Zum Inhalt springen
Schließen Sie
Demo anfordern
Anmeldung
Einloggen
Demo anfordern
Anmeldung

Sicherheitsmaßnahmen

itslearning hat die in diesem Anhang beschriebenen Sicherheitsmaßnahmen, sowohl organisatorische als auch technische Maßnahmen, in Übereinstimmung mit den Industriestandards umgesetzt.

itslearning kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der allgemeinen Sicherheit der Dienste führen.

 

Organisatorische Maßnahmen

Das Führungsteam von itslearning hat sich aktiv an der Entwicklung einer Kultur der Informationssicherheit innerhalb des Unternehmens durch ein fortlaufendes Sensibilisierungsprogramm beteiligt und verfügt über eine Managementstruktur, um die Umsetzung der Informationssicherheit in seinen Dienstleistungen mit klaren Rollen und Verantwortlichkeiten innerhalb der Organisation zu verwalten.

 

Betriebsführung

Um die bestmögliche Vertraulichkeit, Verfügbarkeit und Integrität der Plattform zu gewährleisten, gibt es zahlreiche Best-Practice-Verfahren und -Richtlinien. Diese Richtlinien beruhen auf strengen Anforderungen in einer Reihe von Bereichen, wie z. B.;

  • Informationssicherheit
  • Sicherheit der Hosting-Umgebung
  • Zugang für Dritte
  • Kontrolle der Kapazität
  • Management von Veränderungen
  • Sicherung und Wiederherstellung
  • Zugangskontrolle
  • Dokumentation
  • Protokollierung und Überwachung
  • Reaktion auf Vorfälle
  • Verwaltung der Freigabe

 

Sicherheitsteam

itslearning verfügen über ein Team von Sicherheitsexperten, die für die gesamte Informationssicherheit der Organisation verantwortlich sind. Ihre Rolle umfasst die Verantwortung für;

  • Koordinierung der sicherheitsrelevanten Aufgaben
  • Sicherung von Unternehmensumgebung, Netzwerk und Geräten
  • Sicherheit der Anwendung (interne Penetrationstests und Anwendungsaudits)
  • Überwachung und Protokollierung
  • Prozess- und Richtlinienmanagement (Notfallwiederherstellung, Pfadmanagement usw.)
  • Schulung und Ausbildung von Mitarbeitern im Bereich der Informationssicherheit
  • Koordinierung von Sicherheitsprüfungen durch Dritte und Weiterverfolgung der Ergebnisse
  • Überprüfung des Codes auf potenzielle Sicherheitsschwachstellen.

 

Rollen und Verantwortlichkeiten

Alle Mitarbeiter haben klare Rollen innerhalb des Unternehmens und erhalten nur Zugang zu Daten, die sie für ihre jeweilige Aufgabe benötigen. Eine begrenzte Anzahl von Mitarbeitern hat administrativen Zugang zu unserer Produktionsumgebung, und ihre Rechte sind streng geregelt und werden in festgelegten Abständen überprüft. Jede größere Änderung an der Anwendung, der Umgebung oder der Hardware der Produktionsumgebung wird immer von mindestens zwei Personen überprüft.

 

Sicherheit des Personals

Alle Mitarbeiter von itslearning sind verpflichtet, eine strenge Vertraulichkeitsvereinbarung einzuhalten. Alle Mitarbeiter sind verpflichtet, die Unternehmensrichtlinien in Bezug auf Vertraulichkeit, Geschäftsethik und professionelle Standards zu befolgen. Mitarbeiter, die mit der Sicherung, Handhabung und Verarbeitung von Kundendaten befasst sind, müssen eine ihrer Rolle entsprechende Schulung absolvieren.

 

Zugangskontrolle

Für jeden Mitarbeiter, jeden beauftragten Berater oder jeden Dritten, der Zugang zu den Informationssystemen von itslearning beantragt, gelten strenge Anforderungen. Die Zugangskontrolle wird durch ein Authentifizierungssystem gesteuert. Der Benutzer muss Folgendes tun:

  • die Genehmigung der Geschäftsleitung für den beantragten Zugang haben
  • über sichere Passwörter verfügen, die mit den Passwortrichtlinien des Unternehmens übereinstimmen
  • ihr Passwort regelmäßig zu ändern
  • Dokumentieren Sie, dass der beantragte Zugang für ihre spezifische Rolle/Aufgabe erforderlich ist
  • Sicherstellen, dass das verwendete Gerät (PC, Tablet, Mobiltelefon) angemessen gesichert und bei Abwesenheit des Benutzers abgeschlossen ist

 

itslearning ermöglicht die automatische vorübergehende Sperrung des Benutzerterminals, wenn es nicht benutzt wird.

Interne Datenzugriffsprozesse und -richtlinien sollen verhindern, dass unbefugte Personen und/oder Systeme Zugang zu Systemen erhalten, mit denen personenbezogene Daten verarbeitet werden. Alle Datenänderungen werden protokolliert, um einen Prüfpfad für die Nachvollziehbarkeit zu schaffen.

 

Physische Sicherheit

  • Datenzentren
    itslearning betreibt alle seine Kundendienste von Datenzentren aus, die von den Arbeitsräumen des Unternehmens getrennt sind. Der Zugang zu den Rechenzentren wird streng kontrolliert und geschützt, um die Wahrscheinlichkeit von unbefugtem Zugang, Feuer, Überschwemmungen oder anderen Schäden an der physischen Umgebung zu verringern. Der physische Zugang zu den Rechenzentren ist auf eine kleine Anzahl von Mitarbeitern von itslearning und/oder seinen Hosting-Center-Anbietern beschränkt. Strenge Sicherheitsüberprüfungen sind erforderlich und müssen vom Sicherheitsmanagement genehmigt werden, bevor ein Rechenzentrum betreten werden kann.

  • Büroarbeitsbereich
    Der gesamte Büroarbeitsbereich von itslearning ist durch eine Zugangskontrolle geschützt. Nur eingeladene Besucher und Mitarbeiter haben Zugang zu den Arbeitsräumen von itslearning. Es gibt zahlreiche Maßnahmen, um Sicherheitsprobleme aufgrund von Diebstahl oder Verlust von Computerausrüstung zu vermeiden. Dazu gehören Sicherheitsrichtlinien und Richtlinien zur akzeptablen Nutzung, Authentifizierungssysteme und gegebenenfalls die Verschlüsselung von Speichereinheiten.

 

Technische Maßnahmen - Systemverfügbarkeit

itslearning hat branchenübliche Maßnahmen ergriffen, um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind:

  • Redundanz der Infrastruktur (einschließlich vollständiger Redundanz von Netzwerk, Stromversorgung, Kühlung, Datenbank, Server und Speicher)
  • Das Backup wird an einem alternativen Standort gespeichert und steht bei einem Ausfall des Primärsystems zur Wiederherstellung zur Verfügung.
  • angemessener Denial-of-Service-Schutz
  • 365/24/7 Personal zur Überwachung und Fehlerbehebung

 

Datenschutz

itslearning hat eine Reihe von branchenüblichen Maßnahmen ergriffen, um zu verhindern, dass personenbezogene Daten während des Transports oder im Ruhezustand von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Dies wird durch verschiedene branchenübliche Maßnahmen erreicht, darunter:

  • Einsatz von mehrschichtigen Firewalls, VPNs und Verschlüsselungstechnologien zum Schutz von Gateways und Pipelines
  • HTTPS-Verschlüsselung (auch als SSL- oder TLS-Verbindung bezeichnet) mit sicheren kryptografischen Schlüsseln
  • Der Fernzugriff auf die Rechenzentren ist durch mehrere Ebenen der Netzwerksicherheit geschützt
  • Besonders sensible Kundendaten im Ruhezustand werden durch Verschlüsselung und/oder Hashing (Pseudonymisierung) geschützt.
  • Jede stillgelegte Festplatte wird gemäß unserer "Richtlinie zum Löschen von Festplatten" gelöscht, und die Stilllegung wird anhand der Seriennummer der Festplatte protokolliert.
  • Regelmäßige Sicherheitsüberprüfungen durch Dritte (mindestens jährlich), einschließlich Penetrationstests, die den Kunden zur Verfügung gestellt werden

 

Datenzentren

itslearning verwendet nur hochmoderne Rechenzentren mit 365/24/7 Sicherheits- und Überwachungsmaßnahmen vor Ort. Die Rechenzentren sind in modernen, feuerfesten Einrichtungen untergebracht, zu denen der Zugang nur mit elektronischen Schlüsselkarten möglich ist und die mit dem Sicherheitsdienst vor Ort verbunden sind. Nur befugte Mitarbeiter und Auftragnehmer dürfen mit elektronischen Schlüsselkarten Zugang zu diesen Einrichtungen beantragen.

 

Entwicklung des Systems

itslearningDie Plattform des Unternehmens basiert auf Industriestandardtechnologien bekannter Anbieter, darunter Microsoft, Linux, Dell, Fujitsu, Amazon, Cloudflare, F5 und Cisco. Die Systeme werden in regelmäßigen Abständen auf die neueste Version gepatcht, um sicherzustellen, dass die neuesten Sicherheitsverbesserungen angewendet werden. Die Plattform wird in der Regel mehrmals pro Quartal aktualisiert, und Fehlerkorrekturen werden nach strengen Qualitätskontrollen je nach Priorität zügig veröffentlicht.

itslearning hat Maßnahmen ergriffen, um das Risiko der Einführung von Code in seine Plattform zu minimieren, der die Sicherheit oder Integrität der verarbeiteten Kundendienste und personenbezogenen Daten beeinträchtigen kann. Die Maßnahmen umfassen:

  • Regelmäßige Schulung des Personals
  • Codeüberprüfung durch Sicherheitsarchitekten
  • QA-Prozess für rigorose Tests von Änderungen vor der Einführung

 

Sicherheit des Subprozessors

Bei der Aufnahme von Unterauftragsverarbeitern führt itslearning eine Prüfung der Sicherheits- und Datenschutzpraktiken der Unterauftragsverarbeiter durch, um sicherzustellen, dass die Unterauftragsverarbeiter ein Sicherheits- und Datenschutzniveau bieten, das ihrem Zugang zu den Daten und dem Umfang der von ihnen zu erbringenden Dienstleistungen angemessen ist. itslearning führt regelmäßig Sicherheitsaudits der Praktiken und Lieferungen für bestehende Unterauftragsverarbeiter durch.

GDPR und itslearning