Sicherheit

Technische und organisatorische Maßnahmen.

Extu hat geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Informationssicherheitspraktiken implementiert und wird diese aufrechterhalten, um die im Rahmen der Vereinbarung von Extu verarbeiteten Daten vor versehentlichem Verlust, Zerstörung oder Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff sowie vor rechtswidriger Zerstörung zu schützen, wie folgt:

Personalüberprüfung, Schulung und Sicherheit

1. Personal. Extu ergreift angemessene Maßnahmen, um sicherzustellen, dass das Personal über ausreichende Fähigkeiten, Erfahrung und Schulungen im Umgang mit personenbezogenen Daten verfügt, wenn es die Dienstleistungen erbringt.
2. Hintergrundüberprüfungen. Extu führt angemessene und geeignete Hintergrundüberprüfungen bei allen Mitarbeitern durch, in Übereinstimmung mit den geltenden Gesetzen und Vorschriften durch.
3. Schulung. Das Compliance-Schulungsprogramm von Extu sieht vor, dass alle Mitarbeiter und Auftragnehmer nach ihrem Eintritt in das Unternehmen eine Schulung zum Datenschutz absolvieren sowie an einer verpflichtenden jährlichen Datenschutz- und Datenschutzbewusstseinsschulung teilnehmen. Dies beinhaltet das Bestehen einer jährlichen Prüfung. Die Datenschutzschulung umfasst Themen wie Sicherheitsbewusstsein, Management von Datenvorfällen und kann auch materialbezogene Inhalte für bestimmte Aufgabenbereiche enthalten.
4. Vertraulichkeit. Extu stellt sicher, dass seine Mitarbeiter verpflichtet sind, die Vertraulichkeit aller personenbezogenen Daten, die sie im Rahmen dieser Vereinbarung verarbeiten, zu wahren und zu schützen.

Physische und umgebungsbezogene Sicherheit

1. Rechenzentren. Extu nutzt Rechenzentren, die die physische Sicherheit durch einen rund um die Uhr bewachten Zugang und biometrische Scanner gewährleisten. Unsere Rechenzentrumsanbieter erfüllen die SOC 2 Compliance-Anforderungen.
2. Physische Kontrollen. Extu hat eine „Clean Desk“-Richtlinie eingeführt, die vorsieht, dass keine personenbezogenen Daten unbeaufsichtigt bleiben dürfen und dass das Personal den Computerbildschirm sperrt, wenn es sich vom Arbeitsplatz entfernt. Alle Druckmedien, die personenbezogene Daten enthalten, werden gemäß unserer Aufbewahrungsrichtlinie sicher vernichtet (z. B. durch Verbrennung oder Schreddern). Alle personenbezogenen Daten, die auf Hardware und austauschbaren Medien gespeichert sind, müssen vor der Entsorgung eines alten Geräts sicher vernichtet werden. Extu stellt durch regelmäßige Schulungen sicher, dass das Personal keine personenbezogenen Daten auf PC-Festplatten, Laptops, tragbare Geräte, austauschbare Medien oder andere Technologien kopiert oder überträgt.
3. Unterauftragsverarbeiter. Extu hat ein Drittanbieter-Compliance-Programm etabliert, das die Sicherheit in die Bewertung eines Anbieters oder Unterauftragsverarbeiters einbezieht und die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherstellt. Extu unterhält vertragliche Beziehungen zu Anbietern, um die Dienstleistungen gemäß einer vereinbarten Datenschutzvereinbarung bereitzustellen.

Technische Sicherheit

1. Zugangskontrolle. Extu unterhält eine formelle Richtlinie zur Zugangskontrolle und verwendet ein zentrales Zugriffsmanagementsystem, um den Zugang von Mitarbeitern und Auftragnehmern zu Systemen zu steuern. Der Zugang wird auf Grundlage der Trennung von Aufgaben und des Prinzips der minimalen Rechtevergabe gewährt. Die Zugangskontrolle umfasstbeinhaltet die Verwendung eines Benutzernamens, eines komplexen Passworts und einer Multi-Faktor-Authentifizierung. Extu passt die Zugriffsrechte des Personals an, wenn dieses neue Aufgaben übernimmt, und entzieht nach Beendigung des Arbeitsverhältnisses oder Vertrags alle Zugriffsrechte.alle Zugriffsrechte nach Beendigung des Arbeitsverhältnisses oder Vertrags.
2. Datenübertragung und Verschlüsselung. Extu ergreift alle angemessenen Maßnahmen, um sicherzustellen, dass alle personenbezogenen Daten (unabhängig von der Form oder dem Medium, ob materiell oder immateriell), deren Verlust, Diebstahl oder unbefugter Zugriff Schaden oder Beeinträchtigung bei der betroffenen Person verursachen könnte, verschlüsselt werden, insbesondere bei der Übertragung zwischen Systemen. Dies schließt die Implementierung von branchenüblichen Verschlüsselungspraktiken bei der Übertragung personenbezogener Daten ein (z. B. Transport Layer Security) sowie die Verschlüsselung personenbezogener Daten im Ruhezustand und während der Übertragung ein.Übertragung.
3. Schutz der Datensicherheit. Es sind angemessene Maßnahmen zum Schutz der Datensicherheit vorhanden, einschließlich (aber nicht beschränkt auf): Antiviren- und Malware-Software, die auf Informationssystemen installiert ist, die Anwendung der neuesten Patches und Sicherheitsupdates für verwendete Software, Netzwerkschutz durch Firewalls mit installierten Eindringungserkennungssystemen sowie Protokollierung für kritische Systeme.
4. Code-Überprüfung. Extu pflegt einen formellen Softwareentwicklungslebenszyklus, der Sicherheitspraktiken im Codierungsprozess, einschließlich Code-Überprüfungen und Verfahren zum Änderungsmanagement in der Ingenieur- und Produktentwicklung, umfasst.
5. Datenaufbewahrung. Extu unterhält eine Richtlinie zur Datenaufbewahrung und -entsorgung.

SOC II-konform und PCI DSS-Zertifizierung.

Der Anbieter für die Kreditkartenabwicklung von Extu verwendet Sicherheitsmaßnahmen, um Ihre Informationen sowohl während der Transaktion als auch danach zu schützen. Unser Anbieter ist als konform mit den Sicherheitsinitiativen der Kreditkartenverbände zertifiziert. Unser System zur Verwaltung von Anreizen ist in die Systeme des Anbieters integriert und PCI DSS-konform (nach SAQ A).

Wir führen außerdem jährliche SOC II Typ 2-Audits unserer Anreizverwaltungssysteme durch. Auf Anfrage stellen wir unseren SOC II-Bericht zur Verfügung.

Vorfallreaktion und Benachrichtigung über Verstöße

1. Katastrophenwiederherstellung. Extu hat Maßnahmen ergriffen, um sicherzustellen, dass die Dienstleistungen auch im Falle einer Katastrophe, die den normalen Betriebsablauf stört, weiterhin erbracht werden können. Kritische Systeme und Dienstleistungen wurden identifiziert, und ein Katastrophenwiederherstellungsplan wurde erstellt. Extu erstellt regelmäßig Backups, um sicherzustellen, dass kritische Systeme mit minimalem Datenverlust wiederhergestellt werden können.
2. Vorfallreaktion. Extu hat Verfahren zur Vorfallreaktion etabliert, die eine zeitgerechte und kontrollierte Bearbeitung von Vorfällen ermöglichen, und dies in Übereinstimmung mit den geltenden Gesetzen und Verpflichtungen.