Compliance

Erklärung zu technischen und organisatorischen Maßnahmen

Einführung

Inbenta Technologies, Inc. (Inbenta) bietet eine SaaS-Lösung zur Verarbeitung natürlicher Sprache und professionelle Dienstleistungen auf einer Plattform, die mittels APIs und SDKs in die Systeme des Kunden integriert wird. Alle unternehmensinternen Prozesse entsprechen den Vorgaben der ISMS-Normen.

In dieser Erklärung zu technischen und organisatorischen Maßnahmen (TOMS) wird das Informationssicherheits-Managementsystem (ISMS) beschrieben, mit dem unsere Datenschutz- und Sicherheitsmaßnahmen verwaltet werden. Das oberste Ziel ist es dabei, nicht konforme Handlungen seitens Mitarbeiten und technischen Ressourcen, sowie deren Konsequenzen, vorzubeugen.

Dazu halten wir die Normen ISO 9001, ISO 27001 und ISO 27017 ein und befolgen die Methode Planen – Umsetzen – Prüfen – Handeln. Zur Risikobewertung halten wir ISO 27005 für Risikomanagement für Informationssicherheit sowie den EU-Leitfaden der Europäischen Agentur für Netz-, Informations- und Cloud-Sicherheit ein.

Unser ISMS wird intern und extern über einen Dreijahreszyklus geprüft. Januar 2019 wurde Inbenta Technologies, Inc. erfolgreich von AENOR gemäß ISO 9001, ISO 27001 und ISO 27017 geprüft.

Darüber hinaus wurden die Produkte von Inbenta (Chatbot, Wissensdatenbank, Suche und Fallverwaltung) sowie die APIs und SDKs im Jahr 2018 von Ackcent geprüft, einem auf Cybersecurity spezialisierten Audit-Unternehmen, das internationale Penetration-Test-Methoden im Einklang mit OWASP, OSSTM und ISSAF nutzt.

Zudem werden unternehmensintern jährliche Audits gemäß der ISO/IEC 27007 Richtlinien zur Verwaltung von Informationssicherheits-Managementsystemen (ISMS) durchgeführt. Im Jahr 2018 wurde die interne Revision vom unabhängigen Wirtschaftsprüfer INGECAL durchgeführt.

Einhaltung gesetzlicher Vorschriften und Bestimmungen

Inbenta Technologies, Inc. verarbeitet alle Daten in Spanien und erfüllt damit das aktuelle Spanisches Gesetz zum Schutz personenbezogener Daten. Etwaige Datenverletzungen müssen der Spanischen Agentur für Datenschutz innerhalb von 72 Stunden gemeldet werden. Inbenta Technologies, Inc. erfüllt die EU-Datenschutzgrundverordnung 2016/67 (DSGVO), unsere US-Niederlassung ist nach der Privacy Shield US-EU Vereinbarung zertifiziert.

Richtlinien zur Sicherheit von Informationen

Wir nutzen unser umfassendes Informationssicherheits-Managementsystem als Richtlinie zur Sicherheit von Informationen. Alle anwendbaren und obligatorischen Prozesse, Aufzeichnungen und Kontrollen der Internationalen Norm 27001 werden durchgeführt.

Die Verwaltung der Informationen durch die Mitarbeiter erfolgt auf der Basis von nachgewiesenen Qualifikationen. Positionen und Verantwortlichkeiten sind dabei klar definiert. Die Mitarbeiter sind hinsichtlich der Klassifizierung von Informationen gemäß der EU Datenschutz-Grundverordnung DSGVO geschult und haben eine Vereinbarung zu Schutz geistigen Eigentums sowie eine Erklärung bewährter Verfahren zur Vorbeugung gegen nicht konforme Handlungen bei der Verarbeitung und beim Transfer von Informationen unterzeichnet.

Dieses Dokument mit bewährten Vorgehensweisen enthält verständliche Beispiele für die häufigsten möglichen Situationen bei der Verwaltung und Verarbeitung von Daten von Unternehmen und Personen bezüglich: i) Nutzung des Internets; ii) Verwendung von E-Mails; iii) Verwendung von Passwörtern; iv) Nutzung mobiler Geräte; v) Verbindung über VPNs und externe, drahtlose Netzwerke; vi) Sicherheit von Betriebssystemen und Installation nicht erlaubter Software; vii) physische Sicherheit am Arbeitsplatz und viii) Datenschutz und die Behandlung vertraulicher Daten.

Unsere kontrollierten ISMS umfasst zudem einen wichtigen Datenschutzgrundsatz:

  • Die Richtlinie zum Schutz persönlicher Informationen von Kunden und den Kunden unserer Kunden. Inbenta erfüllt die EU-DSGVO 2016/679 durch die Unterzeichnung der Privacy Shield Vereinbarung zwischen der EU und den USA, die Benennung Datenschutzbeauftragter und durch DSGVO-Mitarbeiterschulungen. Unsere Datenschutzerklärung kann auf unserer Webseite abgerufen werden und einspricht den aktuellen Gesetzen und Vorschriften.
  • Erklärung zum Schutz der personenbezogenen Daten von Mitarbeitern und Bewerbern. Gemäß der DSGVO 2016/679 werden personenbezogene Daten unserer Mitarbeiter nur zu Arbeitszwecken abgefragt, verarbeitet und aufbewahrt. Beispiele sind Bescheinigungen über die Ausbildung, Informationen, die den Sozialversicherungs- und Steuerbehörden zur Verfügung zu stellen sind, oder ein Bankkonto zur Überweisung des Lohns. Die gesammelten Bewerberdaten beschränken sich auf Informationen über Ausbildung und Berufserfahrung sowie eine E-Mail und Telefonnummer zum Zweck der Kontaktaufnahme. Diese Daten werden in Niederlassungen mit Personalauswahlfunktionen für einen Maximalzeitraum von einem Jahr und einem halben Jahr in allen weiteren Niederlassungen aufbewahrt.

Organisation von Informations- und Sicherheitsmaßnahmen

Auf organisatorischer Ebene erhält der Oberste Sicherheitsbeauftragte den maximalen Zugriff auf Informationen, zudem ist er zur Durchführung von Sicherheitsmaßnahmen befugt. Ihm unterstehen die Systemadministratoren sowie der Chief Operation Officer und der Chief Technology Officer.

Wir dokumentieren und zeichnen alle obligatorischen ISMS-Kontrollen auf und verfügen über einen Sicherheitsausschuss bestehend aus unserem CEO, COO, CTO, CISO, Office Manager und Compliance Manager. Die Aufgabe dieses Organs ist die Überwachung und Bewertung der Sicherheit und möglicher Vorfälle.

Bei unseren Dienstleistungs- und Infrastrukturanbietern verfolgen wir eine Politik der dynamischen Risikobewertung. Wir klassifizieren unser Risiko hinsichtlich nicht konformer Handlungen abhängig von unseren Überprüfungen der Zertifizierung unserer Lieferanten und deren Konformität mit den internationalen Sicherheits- und Datenschutzstandards. Falls keine gültige Zertifizierung vorliegt, fordern wir eine detaillierte Beschreibung der obligatorischen ISMS-Aufzeichnungen und -Kontrollen, wobei das Risiko höher eingestuft wird als bei zertifizierten Lieferanten. Unser Grundsatz ist es, so wenig nicht zertifizierte Lieferanten wie möglich zu nutzen.

Betriebssicherheit

Alle Daten werden von Amazon Web Services (AWS) gespeichert, einem Anbieter, der den internationalen Standards für Informationssicherheit und Datenschutz entspricht. Unsere Verfügbarkeitszonen befinden sich in den USA, in Europa, im asiatisch-pazifischen Raum und in Südamerika. AWS-Zertifizierungen sind hier verfügbar. Die Verschlüsselung von gespeicherten Informationen wird von AWS-KMS verwaltet und erfolgt mindestens auf dem Niveau AES256. Zur Gewährleistung der Kommunikationssicherheit und des Datenschutzes werden für die Datenübertragung alle Verbindungen per TLS >1.0 verschlüsselt. Protokolle, Zertifikate und Verschlüsselungen finden Sie hier.

Wir verwenden keine lokalen Server. Workstations werden nur als Zugriffsterminals auf Unternehmens- und Entwicklungsumgebungen per VPN genutzt. Die Festplattenverschlüsselung der Personalcomputer erfolgt durch FireVault (Betriebssystem), LVM-Datenträgerverschlüsselung (UNIX / Linux) oder BitLocker (Windows). Wir überprüfen unsere Geräte regelmäßig, um Installationen nicht autorisierter Software vorzubeugen, und um die Einhaltung der entsprechenden Compliance-Risikobewertung sowie die Verwendung der geeigneten Nutzungslizenzen zu gewährleisten. Diese Überprüfung wird monatlich von unserem Systemadministrationsteam und unserem Compliance-Manager ausgeführt.

Zugriffskontrolle

Der Zugriff auf unsere Service-Infrastruktur ist durch die Aufteilung in verschiedene Instanzen gesichert, auf die Mitarbeiter entsprechend ihren zugewiesenen Profilen – basierend auf ihren Rollen und Verantwortlichkeiten – und ausschließlich mit Benutzernamen und zuverlässigen Kennwortprotokollen zugreifen können.

Darüber hinaus werden Informationen immer protokolliert und gesichert.

Bezüglich des Zugriffs auf unsere Server implementiert die Produktentwicklung auch Amazon Web Services. Diese Implementierung erfolgt in einer separaten Instanz und die Entwickler haben keinen Zugriff auf Systeminfrastruktur und Sicherheit.

Zur internen Arbeitsorganisation nutzen wir Jira und Confluence, Cloud-Plattformen von Atlassian, die den Zugriff auf und die Bearbeitung von Dokumenten einschränken. Atlassian erfüllt mehrere Sicherheitsstandards, wie die Mitgliedschaft in der Cloud Security Alliance, ISO 27001, ISO 27018 und SOC 2. Zur Überprüfung der diesbezüglichen Zertifikate bitte hier klicken.

Verarbeitung personenbezogener Daten gemäß EU-DSGVO 2016/67

Inbenta Holdings, Inc. unterstützt die Online-Kommunikation und die Suche nach Information auf Basis natürlicher Sprache. Dies bedeutet, dass der Benutzer auf Informationen aus der Wissensdatenbank des Kunden zugreifen kann, indem er Text schreibt und sendet. Die Eingabe des Benutzers wird von Inbenta verarbeitet, um die beste Antwort zu geben.

Inbenta wird als Cloud-basierte SaaS geliefert, die über APIs und SDKs in Kundenplattformen integriert ist. Inbenta speichert die Fragen, die Endbenutzer an das System stellen. Die Daten der Endbenutzer gehören Inbentas Kunden, Inbenta fungiert als Datenverarbeiter. Jeder Inbenta-Kunde hat die Kontrolle über die Pseudonymisierung persönlicher Daten von Endbenutzern. Diese erfolgt mittels einer Funktion von Inbenta, die zur Eintrübung von Logs dient und mithilfe derer die Daten vor der Speicherung pseudonymisiert werden.

Der Kunde wählt, welche Art von Daten pseudonymisiert werden und aktiviert die betreffende Option.

Bei Aktivierung dieser Option durch den Kunden, gehen die persönlichen Daten des Benutzers pseudorandomisiert in unsere Server ein. Verzichtet der Kunde auf die Aktivierung dieser Option, werden die persönlichen Daten der Benutzer ohne Anonymisierung auf unserem Server gespeichert, da Inbenta diese Daten nicht manipulieren kann.

Unser Hosting-Provider Amazon Web Services erfüllt die internationalen Sicherheits- und Datenschutzstandards. Sowohl bei der Speicherung als auch beim Transfer von Daten ist die Haftungsbeschränkung von Inbenta daher erfüllt.

Die Verarbeitung und Nutzung personenbezogener Daten durch Inbenta ist auf die Bedürfnisse unserer Kunden beschränkt, daher überträgt Inbenta keine Daten an Dritte, die nicht involviert sind. Sofern im Vertrag zwischen Inbenta und dem Kunden keine abweichende Vereinbarung festgelegt ist, werden die Protokolle auf unserem Server maximal 100 Tage aufbewahrt und können nach Abschluss der Dienste entfernt werden, sofern der Kunde dies angibt.

Physische Sicherheit

Der physische Zugang zu unseren Büros ist durch einen 24-Stunden-Alarmdienst und den Zugriff über Passwörter bzw. Fingerabdrücke gesichert.

Wir erfüllen das Spanische Gesetz 31/1995 (abgeändert durch 54/2003) zur Verhütung von Berufsrisiken und seine Durchführungsbestimmungen. Das diesbezügliche Audit erfolgt dreimal im Jahr durch Prevint. Inbenta führt ein Präventionsprogramm für berufliche Risiken durch. Dieses Programm umfasst die physische und psychische Sicherheit von Menschen sowie die physische Sicherheit unserer Büros.

Management von Informationssicherheitsvorfällen

Wir verwalten Sicherheitsvorfälle gemäß dem von der spanischen Datenschutzbehörde vorgegebenen Verfahren, das mit der DSGVO übereinstimmt. Innerhalb von maximal 72 Stunden müssen wir die Agentur sowie alle betroffenen Personen und Parteien über Art, Umfang und Folgen des Vorfalls informieren.

Unser internes Verfahren lässt sich wie folgt zusammenfassen:

1. Wir erhalten eine Benachrichtigung über einen der verfügbaren Kanäle (privacy(at)inbenta.com, die Firmen-E-Mail-Adresse eines Mitarbeiters, per Telefon usw.) und eröffnen eine Untersuchung.

2. In diesem ersten internen Bericht werden die folgenden Informationen festgehalten:

  1. Nummer des Vorfalls (die Nummer des offenen Tickets).
  2. Datum der Benachrichtigung.
  3. Datum und Uhrzeit des Vorfall oder dessen Feststellung.
  4. Identifikation des Melders (Name, Telefon, E-Mail).
  5. Identifikation der Personen, von denen der Vorfall gemeldet wird.
  6. Profil der vom Vorfall betroffenen Benutzer (falls zutreffend).
  7. Anzahl und Typologie der betroffenen Systeme.
  8. Art der Bedrohung: Malware, Eindringling, Betrug usw.
  9. Beschreibung des Vorfalls
  10. Auswirkungen des Vorfalls auf die Organisation und auf die Rechte der Betroffenen.
  11. Unternommene Maßnahmen und Lösungen.
  12. Bezug des Vorfall auf Daten, Beschreibung der angewandten Verfahren, wiederhergestellte Daten, manuell erfasste Daten, Identifizierung der Verantwortlichen und der am Wiederherstellungsprozess beteiligten Personen und deren Kommunikation.

3. Analyse des Vorfalls und Klassifizierung der betroffenen Daten im Hinblick auf Datenschutz und Sicherheit.

4. Umsetzung der erforderlichen Korrekturmaßnahmen und Lösungen.

5. Information der betroffenen Parteien und Personen über die primäre Beurteilung, den Korrekturprozess und die Folgen.

6. Festlegung eines Zeitraums und einer Methodik zur Beurteilung unserer Intervention um zukünftige Vorfälle dieser Art zu vermeiden und die Sicherheitsstrategien und -methoden zu verbessern.

Letztes Update: 201.01.16