Quest
Quest nimmt die Informationssicherheit bei der Verarbeitung und Übertragung personenbezogener Daten ernst. Diese Übersicht zur Informationssicherheit bezieht sich auf die Unternehmenskontrollen von Quest zum Schutz personenbezogener Daten, die von Quest oder seinen Tochterunternehmen verarbeitet und/oder zwischen den Unternehmen der Quest Gruppe übertragen werden.
Sicherheitspraktiken
Quest hat Praktiken und Standards für die Sicherheit von Unternehmensinformationen implementiert, die darauf ausgelegt sind, die Unternehmensumgebung von Quest zu schützen und die Geschäftsziele in den Bereichen Informationssicherheit, System- und Asset-Management, Entwicklung und Governance zu erreichen.
Diese Praktiken und Standards wurden von der Führungsebene von Quest genehmigt und werden in regelmäßigen Abständen geprüft und nach Bedarf angepasst.
Quest setzt ein angemessenes Programm für Datenschutz und Informationssicherheit um, das Richtlinien und Verfahren für physische und logische Zugangsbeschränkungen, die Datenklassifizierung, Zugriffsrechte, Programme für Berechtigungsnachweise, die Datenaufbewahrung, den Datenschutz, die Informationssicherheit und den Umgang mit persönlichen Daten und sensiblen persönlichen Daten während des gesamten Lebenszyklus umfasst. Wichtige Richtlinien werden mindestens einmal im Jahr überprüft.
Unternehmenssicherheit
Es liegt in der Verantwortung sämtlicher Mitarbeiter von Quest, die persönliche Daten von Kunden verarbeiten, die Einhaltung dieser Praktiken und Standards sicherzustellen. Der Funktionsbereich Informationssicherheit („IS“) von Quest ist für die folgenden Aktivitäten zuständig:
- Sicherheitsstrategie: Der Funktionsbereich Informationssicherheit kümmert sich mit seinen sicherheitsbezogenen Richtlinien und Standards sowie sämtlichen relevanten Bestimmungen nicht nur um die Gewährleistung der Compliance, sondern auch um die Sensibilisierung und Schulung der Benutzer. Außerdem führt IS Risikobeurteilungen und Aktivitäten für das Risikomanagement durch und verwaltet Vertragssicherheitsanforderungen.
- Sicherheitstechnik: IS ist verantwortlich für das Testen, Konzipieren und Implementieren von Sicherheitslösungen, um die Einführung von Sicherheitskontrollen in der Online- und IT-Umgebung von Quest zu ermöglichen.
- Sicherheitsvorgänge: IS kümmert sich um den Support für implementierte Sicherheitslösungen, die Überwachung und das Scannen der Online- und IT-Umgebung sowie der Assets von Quest und um das Management der Reaktion auf Sicherheitsvorfälle.
- Forensische Untersuchungen: IS arbeitet mit der Rechts- und Compliance-Abteilung sowie dem Personalwesen zusammen, um Untersuchungen durchzuführen (einschließlich Ermittlung und Forensik).
- Sicherheitsberatung und -tests: IS arbeitet mit Softwareentwicklern an der Zusammenstellung von Best Practices für die Sicherheit, berät in puncto Anwendungsentwicklung und Architektur für Softwareprojekte und führt Sicherheitstests durch.
Asset-Klassifizierung und -Kontrolle
Quest verfolgt und verwaltet wichtige Informationen sowie physische, softwarebasierte und logische Assets. Die möglicherweise von Quest verfolgten Assets umfassen beispielsweise:
- Informations-Assets wie spezifische Datenbanken, Pläne für die Notfall-Wiederherstellung, Business-Continuity-Pläne, Datenklassifizierungen und archivierte Informationen
- Software-Assets wie spezifische Anwendungen und Systemsoftware
- Physische Assets wie spezifische Server, Desktop-PCs/Notebooks, Bänder für die Sicherung/Archivierung, Drucker und Kommunikationsgeräte
Diese Assets werden je nach Bedeutung für das Geschäft klassifiziert, um die Vertraulichkeitsanforderungen zu bestimmen. Leitlinien der Branche zum Umgang mit persönlichen Daten liefern das Framework für technische, organisatorische und physische Schutzmaßnahmen. Diese Schutzmaßnahmen können Kontrollen wie das Zugriffsmanagement, die Verschlüsselung, die Protokollierung und Überwachung sowie die Datenvernichtung umfassen.
Screening, Schulung und Sicherheit der Mitarbeiter
- Screening/Hintergrundprüfungen: Sofern es in vertretbarem Maße möglich und angemessen ist, führt Quest im Rahmen des Auswahlverfahrens/Einstellungsprozesses ein Screening und Hintergrundprüfungen der Mitarbeiter oder potenziellen Mitarbeiter durch (mit Unterschieden von Land zu Land je nach lokalen Gesetzen und Bestimmungen), wenn die jeweiligen Mitarbeiter Zugang zu den Netzwerken, Systemen oder Einrichtungen von Quest haben werden.
- Identifikation: Quest verlangt von allen Mitarbeitern einen Identitätsnachweis sowie weitere Dokumentation, die je nach Land der Einstellung oder Anforderungen anderer Quest Entitäten oder Kunden, für die der jeweilige Mitarbeiter Services erbringt, gegebenenfalls erforderlich ist.
- Schulung: Das jährliche Compliance-Schulungsprogramm von Quest sieht vor, dass Mitarbeiter eine Schulung zum Online-Datenschutz und zur Sensibilisierung für Informationssicherheit absolvieren.
- Vertraulichkeit: Quest stellt sicher, dass seine Mitarbeiter rechtlich dazu verpflichtet sind, die Vertraulichkeit der Daten, die sie in Übereinstimmung mit Standardvereinbarungen verarbeiten, zu schützen und zu wahren.
Physische Zugangskontrollen und Umgebungssicherheit
- Programm für physische Sicherheit: Quest nutzt im Rahmen seines Sicherheitsprogramms verschiedene technologische und betriebliche Ansätze zur Minderung von Sicherheitsrisiken, sofern dies in vertretbarem Maße möglich ist. Das Sicherheitsteam von Quest arbeitet eng mit den einzelnen Standorten zusammen, um sicherzustellen dass angemessene Vorkehrungen getroffen wurden, durch die verhindert wird, dass Unbefugte Zugang zu den Systemen erhalten, in denen persönliche Daten verarbeitet werden, und durch die jegliche Änderungen mit Blick auf die physische Infrastruktur, das Unternehmen und bekannte Bedrohungen überwacht werden können. Außerdem beobachtet das Team die Best-Practice-Maßnahmen von anderen Unternehmen in der Branche und wählt sorgfältig Ansätze aus, die zu den einzigartigen geschäftlichen Eigenschaften und Erwartungen von Quest passen. Quest sorgt durch Berücksichtigung von Kontrollelementen, die Architektur, Betrieb und Systeme abdecken, für einen ausgewogenen Sicherheitsansatz.
- Physische Zugangskontrollen: Physische Zugangskontrollen/Sicherheitsmaßnahmen an den Einrichtungen/Standorten von Quest sind auf die folgenden Anforderungen ausgelegt:
- Der Zugang zu den Gebäuden, Einrichtungen und sonstigen physischen Räumlichkeiten von Quest wird kontrolliert und ist von der geschäftlichen Notwendigkeit, der Vertraulichkeit der Assets und der Rolle der jeweiligen Person bzw. ihrer Beziehung zu Quest abhängig. Der Zugang zu den Einrichtungen und physischen Ressourcen von Quest wird nur Personen mit Verbindung zu Quest gewährt. Der Zugang wird nur in Übereinstimmung mit der Rolle und den Verantwortlichkeiten der jeweiligen Person im Unternehmen gewährt.
- Wichtige Einrichtungen von Quest sind durch ein Zugangskontrollsystem geschützt. Der Zugang zu solchen Einrichtungen ist nur mit einer aktivierten Karte möglich.
- Personen, die Zugang zu mittels Karte geschützten Einrichtungen und/oder Ressourcen erfordern, werden von IS entsprechende und eindeutige physische Zugangsberechtigungsnachweise bereitgestellt (z. B. ein Ausweis oder eine Zugangskarte für nur eine bestimmte Person). Personen, die über diese eindeutigen physischen Zugangsberechtigungsnachweise verfügen, ist es untersagt, anderen mit ihrer Zugangsberechtigung den Zugang zu den Einrichtungen oder Ressourcen von Quest zu erlauben oder zu ermöglichen (z. B. kein „Durchschlüpfen“). Vorläufige Zugangsberechtigungsnachweise (für bis zu 14 Tage) können für Personen ohne aktive Identität ausgestellt werden, sofern dies (i) für den Zugang zu einer bestimmten Einrichtung und (ii) aus stichhaltigen geschäftlichen Gründen erforderlich ist. Eindeutige Zugangsberechtigungsnachweise sind nicht übertragbar. Sollte eine Person ihren Nachweis auf Anforderung nicht vorlegen können, kann ihr der Zugang zu den Einrichtungen von Quest verweigert oder sie kann vom Gelände verwiesen werden. An durch Personal bewachten Eingängen muss dem Sicherheitsmitarbeiter beim Betreten ein gültiger Lichtbildausweis oder ein gültiger Zugangsberechtigungsnachweis vorgezeigt werden. Personen, die ihren Zugangsberechtigungsnachweis oder sonstigen Ausweis verloren oder verlegt haben, müssen einen durch Personal bewachten Eingang nutzen und sich von einem Sicherheitsmitarbeiter einen vorläufigen Ausweis ausstellen lassen.
- Besucher, die Zugang zu den Einrichtungen von Quest benötigen, müssen einen durch Personal bewachten Eingang oder den Haupteingang der Einrichtung nutzen. Besucher müssen das Datum und die Uhrzeit ihrer Ankunft, die Uhrzeit, zu der sie das Gebäude wieder verlassen, und den Namen der Person angeben, die sie besuchen. Besucher müssen zur Überprüfung ihrer Identität einen staatlich ausgestellten Identifikationsnachweis vorlegen. Damit Besucher keinen Zugang zu proprietären Informationen des Unternehmens erlangen und solche Daten auch nicht offenlegen können, dürfen sie eingeschränkte oder kontrollierte Bereiche nicht ohne Begleitung betreten.
- An ausgewählten Einrichtungen von Quest kommen – sofern angemessen und rechtlich zulässig – Videoüberwachung, Sicherheitskräfte und andere physische Maßnahmen zum Einsatz.
- Zur sicheren Vernichtung vertraulicher Informationen/persönlicher Daten gibt es an den meisten Standorten verriegelte Aktenvernichter.
- Bei Softwareentwicklungs- und Infrastrukturbereitstellungsprojekten nutzt IS einen Risikobeurteilungsprozess und ein Datenklassifizierungsprogramm, um die mit solchen Aktivitäten verbundenen Risiken zu verwalten.
Sicherheitsvorfälle und Reaktionsplan
- Plan zur Reaktion auf Sicherheitsvorfälle: Quest verfügt über eine Richtlinie für die Reaktion auf Sicherheitsvorfälle sowie einen zugehörigen Plan und entsprechende Verfahren für die Maßnahmen, die Quest im Falle von Kontrollverlust, Diebstahl, nicht autorisierter Offenlegung, unbefugtem Zugriff oder unerlaubter Aneignung persönlicher Daten ergreift. Diese Maßnahmen können neben der Vorfallsanalyse auch die Eindämmung, Reaktion, Korrektur, Berichterstellung und schlussendlich die Wiederaufnahme des normalen Betriebs umfassen.
- Reaktionskontrollen: Es wurden Kontrollen zum Schutz vor und zur Erkennung von böswilligen Asset-Nutzungsweisen und böswilliger Software sowie zum Melden möglicher Vorfälle an den Funktionsbereich IS oder den Service Desk von Quest implementiert, sodass entsprechende Maßnahmen ergriffen werden können. Die Kontrollen können unter anderem Folgendes umfassen: Richtlinien und Standards für die Informationssicherheit, Zugangsbeschränkungen, spezielle Entwicklungs- und Testumgebungen, Viruserkennung auf Servern, Desktop-PCs und Laptops, Virenscans für E-Mail-Anhänge, System-Compliance-Scans, Überwachung und Reaktion zur Angriffsvermeidung, Firewall-Regeln, Protokollierung und Benachrichtigungen bei wichtigen Ereignissen, Verfahren für den Umgang mit Informationen je nach Datentyp, Sicherheit von E-Commerce-Anwendungen und Netzwerken sowie Sicherheitslückenscans für Systeme und Anwendungen. Je nach Risiko können weitere Kontrollen implementiert werden.
Kontrolle der Datenübertragung und Verschlüsselung
Quest unternimmt – sofern Quest die Kontrolle über eine elektronische Übertragung oder Übermittlung von personenbezogenen Daten hat – alle angemessenen Schritte, um sicherzustellen, dass die übertragenen oder übermittelten Daten während der Übertragung oder Übermittlung ohne ordnungsgemäße Befugnis nicht gelesen, kopiert, geändert oder entfernt werden können. Im Besonderen muss Quest die Durchführung der folgenden Maßnahmen zum Schutz personenbezogener Daten sicherstellen:
- Implementierung von Verschlüsselungspraktiken nach Branchenstandard für die Übermittlung persönlicher Daten: Die von Quest verwendeten Verschlüsselungsmethoden nach Branchenstandard umfassen Secure Sockets Layer (SSL), Transport Layer Security (TLS), ein Secure Shell-Programm wie SSH und/oder Internet Protocol Security (IPSec).
- Für Webanwendungen, mit denen unter Umständen sensible persönliche Daten verarbeitet werden und/oder die per Echtzeitintegration mit Systemen im Netzwerk (einschließlich des Kernnetzwerks von Quest) verbunden sind, die solche Informationen enthalten, kann eine Web Application Firewall (WAF) zum Einsatz kommen, um eine zusätzliche Ebene zur Eingabeüberprüfung und Angriffsabwehr bereitzustellen. Die WAF wird so konfiguriert, dass potenzielle Sicherheitslücken wie Angriffe durch Einschleusung, Pufferüberläufe, Cookie-Manipulation und andere gängige Angriffsmethoden vermieden werden.
Kontrollen für den Zugriff auf Systeme
Der Zugriff auf die Systeme von Quest ist auf autorisierte Benutzer beschränkt. Formelle Verfahren und Kontrollen regeln, wie autorisierten Personen Zugriff gewährt wird und welche Zugriffsberechtigungen die jeweilige Person für ihre Aufgaben benötigt bzw. welche Zugriffsberechtigungen für die jeweilige Person angemessen sind.
Kontrolle des Zugriffs auf Daten
Quest wendet für den Zugriff auf persönliche Daten und deren Nutzung die folgenden Kontrollen an:
- Mitarbeiter sind angehalten, nur die Mindestmenge an persönlichen Daten zu verwenden, die zum Erreichen der jeweiligen Geschäftsziele von Quest erforderlich sind.
- Sofern es für ihre Aufgaben nicht erforderlich ist, ist es Mitarbeitern untersagt, persönliche Daten zu lesen, zu kopieren, zu ändern oder zu entfernen.
- Die Nutzung persönlicher Daten durch Drittanbieter ist vertraglich zwischen dem Drittanbieter und Quest geregelt, sodass die Nutzung persönlicher Daten durch Drittanbieter eingeschränkt wird und nur in dem zur Servicebereitstellung durch den Drittanbieter erforderlichen Ausmaß zulässig ist.
Verfügbarkeitskontrolle
Quest schützt persönliche Daten mithilfe der folgenden Kontrollen vor versehentlicher Vernichtung oder Verlust:
- Persönliche Daten werden in Übereinstimmung mit dem Kundenvertrag oder bei Fehlen eines solchen Vertrags in Übereinstimmung mit den Richtlinien und Praktiken zur Datensatzverwaltung von Quest sowie rechtlichen Aufbewahrungsanforderungen aufbewahrt.
- Persönliche Daten auf Papier werden in einem sicheren Abfallbehälter oder querschneidenden Aktenvernichter entsorgt, damit die Informationen nicht mehr entziffert werden können.
- Elektronische persönliche Daten werden zur ordnungsgemäßen Entsorgung an das IT Asset Management Team von Quest übergeben.
- Es wurden angemessene technische Maßnahmen implementiert, darunter unter anderem: Virenschutzsoftware auf allen Systemen, Netzwerkschutz mittels Firewall, Netzwerksegmentierung, Inhaltsfilter/Proxys für Benutzer, unterbrechungsfreie Stromversorgung, regelmäßige Sicherungen, Festplattenspiegelung nach Bedarf, Brandschutzsystem, Wasserschutzsysteme nach Bedarf, Notfallpläne und gekühlte Serverräume.
Dateneingabekontrolle
Quest verfügt – wo angemessen – über Maßnahmen zum Überprüfen, ob und durch wen persönliche Daten in Datenverarbeitungssysteme eingegeben wurden und ob diese Daten geändert oder entfernt wurden. Der Zugriff auf wichtige Anwendungen wird protokolliert.
Systementwicklung und -pflege
Öffentlich bekannt gegebene Sicherheitslücken von Drittanbietern werden auf Anwendbarkeit in der Umgebung von Quest überprüft. Je nach Risiko für das Geschäft und die Kunden von Quest gibt es vordefinierte Zeitrahmen für die Korrektur. Zusätzlich werden basierend auf dem Risiko Sicherheitslücken-Scans und Beurteilungen für neue und wichtige Anwendungen sowie die Infrastruktur durchgeführt. Je nach Risiko werden Code-Überprüfungen und Scanner vor der Produktion in der Entwicklungsumgebung verwendet, um Sicherheitslücken im Code proaktiv aufzudecken. Diese Prozesse ermöglichen die proaktive Identifizierung von Sicherheitslücken und Compliance-Problemen.
Compliance
Die Informationssicherheits-, Rechts-, Datenschutz- und Compliance-Abteilungen arbeiten zusammen, um regionale Gesetze und Bestimmungen zu identifizieren, die auf Quest zutreffen könnten. Diese Anforderungen decken verschiedene Bereiche ab, beispielsweise das geistige Eigentum von Quest und seinen Kunden, Softwarelizenzen, den Schutz der persönlichen Informationen von Mitarbeitern und Kunden, Verfahren für den Datenschutz und den Umgang mit Daten, grenzübergreifende Datenübertragungen, finanzielle und betriebliche Verfahren, regulatorische Exportkontrollen rund um Technologie und forensische Anforderungen.
Zur Förderung der Compliance mit diesen Anforderungen werden verschiedene Mechanismen kombiniert, darunter das Informationssicherheitsprogramm, der Datenschutzvorstand, interne und externe Audits/Bewertungen, interne und externe Rechtsberatung, interne Kontrollbewertungen, interne Penetrationstests und Sicherheitslückenbewertungen, die Vertragsverwaltung, die Sicherheitssensibilisierung, die Sicherheitsberatung, die Überprüfung von Richtlinienausnahmen und das Risikomanagement.
Unterauftragsverarbeiter
Informationen zu unseren aktuellen Unterauftragsverarbeitern finden Sie unter https://support.quest.com/subprocessor. Kunden können Benachrichtigungen abonnieren, um über neue Unterauftragsverarbeiter informiert zu werden.
Informationen zu weiteren produktspezifischen technischen und organisatorischen Maßnahmen sind in den produktbezogenen Sicherheitsleitfäden enthalten.