Unsere Initiativen und Pflichten im Bereich des Datenschutzes
Datenschütz
Was ist ISO/IEC 27001?
Fiabilis Consulting Group ist in einen Prozess des Datenschutzes eingebunden. Die ISO 27001-Zertifizierung bestätigt unsere Fähigkeit, alle wesentlichen Daten und Informationen zu schützen, die für unsere Analysen erforderlich sind.
Wir bieten unseren Kunden, Partnern und Mitarbeitern vollständige Datensicherheit durch die Implementierung, Aktualisierung und Wartung eines integrierten globalen Managementsystems für Informationssicherheit (ISMS).
Die Zertifizierung belegt die Fähigkeit von Fiabilis, seine Kompetenz zur Bewältigung aller Arten von Risiken zu bewerten, unabhängig davon, ob diese durch Infrastrukturen, Personen oder Prozesse verursacht werden.
Norm ISO 27701, eine Ergänzung zur Norm ISO/IEC 27001.
In Ergänzung zur Norm ISO 27001 hat Fiabilis 2022 die Zertifizierung ISO 27701 erhalten. Diese internationale Zertifizierungsnorm erweitert den Anwendungsbereich der ISO 27001 auf die Governance und Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Sie berücksichtigt die wichtigsten geltenden Vorschriften zum Schutz personenbezogener Daten, insbesondere die DSGVO.
Diese Norm ermöglicht es uns insbesondere, gemäß dem Verantwortlichkeitsprinzip, nachzuweisen, dass unsere internen Praktiken zur Verarbeitung personenbezogener Daten mit den grundlegenden Prinzipien der DSGVO übereinstimmen (Rechtmäßigkeit, Fairness, Transparenz; Zweckbindung; Datenminimierung; Richtigkeit; Speicherbegrenzung; Integrität und Vertraulichkeit).
Externe Kontrolle und Erneuerung der ISO-Zertifizierungen
Jährliche umfassende Audits werden jedes Jahr von AENOR durchgeführt. Alle drei Jahre werden die Zertifizierungen überprüft und erneuert nach einer strengen Konformitätsprüfung.
Überblick der Initiativen zum Schutz Ihrer Daten
HR
- Kontrolle der Referenzen und des Strafregisters des Bewerbers
- Unterzeichnung der IT Charter sowie einer Vertraulichkeitsvereinbarung
- Schulung, Sensibilisierung, regelmäßige Bewertung der Kenntnisse im Bereich der Informationssicherheit
- Verfolgung einer RACI matrix (Responsible, Accountable, Consulted, Informed) entsprechend den Projekten, Fähigkeiten und dem Organigramm des Unternehmens
Physical security
- Aufbewahrung der Zugangsdaten zu den Räumlichkeiten für 45 Tage
- Direkte Beaufsichtigung der Besucher durch ein Mitglied von Fiabilis für die Dauer des Besuchs
- Begrenzte Kontrollen und Zugang zu den Räumlichkeiten
Asset management
- Automatisierte und dezentralisierte Inventarisierung der Vermögenswerte
- Richtlinien für die Verwaltung, Überwachung und Entsorgung der anvertrauten Vermögenswerte während ihrer gesamten Lebensdauer
- Zentralisierte Grundsätze für die Verwaltung von Zugangsrechten und regelmäßige unabhängige Kontrollen
- Managementpolitik für Dienstleistungs- oder Lieferanbieter, obligatorische Vertraulichkeitsvereinbarung, jährliche Kontrolle der Sicherheit dieser Anbieter
- Richtlinien zur Entwicklungskontrolle, Code-Audit, Schwachstellentests
Data
- Hosting aller Kunden- und internen Daten auf unserer eigenen internen Infrastruktur
- Strenge Richtlinien für den Austausch oder die gemeinsame Nutzung von Dateien über unsere eigenen, intern gehosteten Tools
- Anonymisierung von sensiblen Daten (NISS) nach dem Hochladen auf die NSSO-Website
- Keine Übermittlung sensibler Daten an einen Unterauftragnehmer
- Obligatorische Benutzerauthentifizierung durch Anmeldung und Passwort, mit obligatorischer doppelter Authentifizierung (MFA) für den Fernzugang (VPN)
- Zentralisierte Archivierung von Datenzugriffsprotokollen
- Strenger Lebenszyklus der Daten in Übereinstimmung mit den geltenden Vorschriften ( DSGVO) und lokalen Empfehlungen (APD)
- Eine Datensicherungspolitik legt eindeutig die Verschlüsselung und den Speicherort der Daten intern (in unseren Räumlichkeiten) und extern (Belgien) fest
Hosting and networks
- Die gesamte Infrastruktur wird lokal in unseren eigenen Büros gehostet
- Fiabilis verfügt über mehrere interne Netzwerke, die eine feinkörnige Verwaltung des Zugangs und eine Trennung der Umgebungen ermöglichen
- Der Zugang zu den Daten, die den Fiabilis-Mitarbeitern vorbehalten sind, ist nur über eine lokale physische Verbindung oder über das mit doppelter Authentifizierung (MFA) gesicherte VPN möglich
- Die gesamte Infrastruktur wird lokal in unseren eigenen Büros gehostet
Security audit
-
Jedes Jahr, in Übereinstimmung mit unserer ISO 27001-Zertifizierung, führt das unabhängige Institut AENOR ein Audit, eine Kontrolle und eine Zertifizierung unseres ISMS (Informationssicherheits-Managementsystems) durch, zusätzlich zur Überprüfung unseres PIMS (Privacy Information Management System) gemäß der ISO 27701.
-
Ein interner Auditplan stellt die Kohärenz des PDCA-Zyklus (Plan, Do, Check, Act) sicher, der für alle unsere Prozesse unerlässlich ist.
- Jährlich werden drei interne Penetrationstests von unseren internen IT-Teams durchgeführt. Diese werden durch einen externen und unabhängigen Penetrationstest sowie einen externen Schwachstellenscan ergänzt.
Konformität mit dem Datenschutz – FAQ
1) Welche Rolle spielt Fiabilis bei der Verarbeitung von Kundendaten?
Fiabilis verarbeitet die personenbezogenen Daten seiner Kunden grundsätzlich als Auftragsverarbeiter. Vor Beginn einer Analyse unterzeichnen wir mit jedem Kunden eine entsprechende Vereinbarung zur Verarbeitung personenbezogener Daten (Data Processing Agreement, DPA). Diese Vereinbarung legt genau die Prinzipien fest, nach denen die Datenverarbeitung erfolgt, sowie unsere Verpflichtungen in diesem Prozess, gemäß Artikel 28 der DSGVO.
2) Wie werden die Daten an Fiabilis übertragen?
Wir haben eine sichere und individuelle Datenübertragungsplattform für jeden Kunden eingerichtet, über die er seine Daten direkt auf unseren Server übertragen kann. Der Kunde kann sich auch für eine Datenübertragung nach seinen eigenen Anforderungen entscheiden, beispielsweise über eine dedizierte interne Infrastruktur, die er selbst bereitstellt.
3) Wo und wie lange werden die Daten gespeichert?
Ihre Daten werden ausschließlich auf unseren sicheren Servern in Europa gespeichert und verarbeitet. Gemäß den Bestimmungen des DPA werden sie für die vereinbarte Dauer aufbewahrt und anschließend endgültig gelöscht.