Wichtiger Hinweis: Google und Yahoo werden ab Februar 2024 DMARC verlangen.

Richtlinie zur Informationssicherheit

Die SaaS-Plattform PowerDMARC ist Eigentum und wird betrieben von MENAINFOSEC, Inc. PowerDMARC ist eine nach ISO 27001:2013 zertifizierte Plattform.

Für PowerDMARC hat der Schutz der Teilnehmerdaten höchste Priorität. Wie in dieser Informationssicherheitsrichtlinie von PowerDMARC näher beschrieben, setzt PowerDMARC wirtschaftlich angemessene organisatorische und technische Maßnahmen ein, um den unbefugten Zugriff, die unbefugte Nutzung, Änderung oder Offenlegung von Teilnehmerdaten, die auf Systemen unter der Kontrolle von PowerDMARC gespeichert sind, zu verhindern.

Teilnehmerdaten und Verwaltung

PowerDMARC beschränkt den Zugriff seines Personals auf Teilnehmerdaten wie folgt:

  • Erfordert eindeutige Benutzerzugriffsautorisierung durch sichere Logins und Passwörter, einschließlich Multi-Faktor-Authentifizierung für den Cloud-Hosting-Administratorzugriff;
  • Begrenzt die Teilnehmerdaten, die dem PowerDMARC-Personal zur Verfügung stehen, auf eine "need to know"-Basis;
  • Schränkt den Zugriff auf die Produktionsumgebung von PowerDMARC durch PowerDMARC-Personal auf der Grundlage von Geschäftsanforderungen ein;
  • Verschlüsselt die Sicherheitsanmeldeinformationen der Benutzer für den Produktionszugang; und
  • Dem PowerDMARC-Personal ist es untersagt, Teilnehmerdaten auf elektronischen tragbaren Speichermedien wie Computer-Laptops, tragbaren Laufwerken und anderen ähnlichen Geräten zu speichern.
  • PowerDMARC trennt die Daten seiner Kunden logisch voneinander und unterhält Maßnahmen, die verhindern sollen, dass die Daten der Kunden anderen Kunden zugänglich sind oder von diesen eingesehen werden können.

Datenverschlüsselung

PowerDMARC bietet eine dem Industriestandard entsprechende Verschlüsselung der Teilnehmerdaten wie folgt:

  • Implementiert die Verschlüsselung beim Transport und im Ruhezustand;
  • Verwendet starke Verschlüsselungsmethoden zum Schutz von Teilnehmerdaten, einschließlich AES-256-Bit-Verschlüsselung für Teilnehmerdaten, die in der Produktionsumgebung von PowerDMARC gespeichert sind; und
  • Verschlüsselt alle Teilnehmerdaten, die sich im Cloud-Speicher befinden, im Ruhezustand.

Netzwerksicherheit, physische Sicherheit und Umgebungskontrollen

  • PowerDMARC setzt Firewalls, Netzwerkzugangskontrollen und andere Techniken ein, die den unbefugten Zugriff auf Systeme, die Teilnehmerdaten verarbeiten, verhindern sollen.
  • PowerDMARC unterhält Maßnahmen, die dazu dienen, alle relevanten Systeme und Anwendungen, die zur Erbringung der Dienste verwendet werden, zu bewerten, zu testen und Sicherheits-Patches aufzuspielen.
  • PowerDMARC überwacht den privilegierten Zugriff auf Anwendungen, die Teilnehmerdaten verarbeiten, einschließlich Cloud-Dienste.
  • Die Dienste werden auf Amazon Web Services ("AWS") und Heroku betrieben und sind durch die Sicherheits- und Umgebungskontrollen von Amazon geschützt. Detaillierte Informationen zur AWS-Sicherheit finden Sie unter https://aws.amazon.com/security/ und http://aws.amazon.com/security/sharing-the-security-responsibility/. AWS SOC-Berichte finden Sie unter https://aws.amazon.com/compliance/soc-faqs/.
  • Die in AWS gespeicherten Teilnehmerdaten sind jederzeit verschlüsselt. AWS und haben keinen Zugriff auf unverschlüsselte Teilnehmerdaten.

Reaktion auf Vorfälle

Wenn PowerDMARC von einem unbefugten Zugriff oder einer unbefugten Offenlegung der unter seiner Kontrolle stehenden Teilnehmerdaten Kenntnis erlangt (ein "Verstoß"), wird PowerDMARC:

  • Ergreifen Sie angemessene Maßnahmen, um die schädlichen Auswirkungen des Verstoßes zu mindern und weiteren unbefugten Zugriff oder Offenlegung zu verhindern.
  • Nach Bestätigung des Verstoßes den Kunden unverzüglich schriftlich über den Verstoß zu informieren. Ungeachtet des Vorstehenden ist PowerDMARC nicht verpflichtet, eine solche Benachrichtigung vorzunehmen, soweit dies durch geltende Gesetze untersagt ist, und PowerDMARC kann eine solche Benachrichtigung verzögern, wenn dies von den Strafverfolgungsbehörden verlangt wird und/oder im Hinblick auf die legitimen Bedürfnisse von PowerDMARC, die Angelegenheit zu untersuchen oder zu beheben, bevor eine Benachrichtigung erfolgt.

Jede Benachrichtigung über eine Sicherheitsverletzung enthält:

  • Das Ausmaß, in dem Teilnehmerdaten während des Verstoßes verwendet, abgerufen, erworben oder offengelegt wurden oder von dem vernünftigerweise angenommen werden kann, dass es dazu gekommen ist;
  • Eine Beschreibung des Vorfalls, einschließlich des Datums des Verstoßes und des Datums der Entdeckung des Verstoßes, falls bekannt;
  • Das Ausmaß des Verstoßes, soweit bekannt; und
  • Eine Beschreibung der Reaktion von PowerDMARC auf den Verstoß, einschließlich der Schritte, die PowerDMARC unternommen hat, um den durch den Verstoß verursachten Schaden zu mindern.

Business Community Management

  • PowerDMARC unterhält einen angemessenen Business Continuity- und Disaster Recovery-Plan.
  • PowerDMARC unterhält Prozesse zur Sicherstellung der Ausfallsicherheit seiner Systeme, Netzwerke und Datenspeicher.

Personalmanagement

  • PowerDMARC führt für alle neu eingestellten Mitarbeiter in Übereinstimmung mit den geltenden Gesetzen eine Überprüfung des Beschäftigungsverhältnisses durch, einschließlich einer Überprüfung des Identitätsnachweises und einer Überprüfung des strafrechtlichen Hintergrunds.
  • PowerDMARC schult seine Mitarbeiter, die mit der Verarbeitung der Teilnehmerdaten befasst sind, um sicherzustellen, dass sie die Teilnehmerdaten nicht unbefugt erheben, verarbeiten oder nutzen und dass sie die Teilnehmerdaten vertraulich behandeln, auch nach Beendigung einer Funktion, die die Teilnehmerdaten betrifft.
  • PowerDMARC führt eine routinemäßige und stichprobenartige Überwachung der Systemaktivitäten der Mitarbeiter durch.
  • Bei Beendigung des Arbeitsverhältnisses, ob freiwillig oder unfreiwillig, sperrt PowerDMARC sofort den gesamten Zugang zu den PowerDMARC-Systemen.
  • PowerDMARC führt jährlich eine Schulung zum Thema Informationssicherheit und eine fortlaufende Unterweisung seiner Mitarbeiter durch.

Kontakt

  • Wenn Sie Fragen zu dieser Richtlinie haben, kontaktieren Sie uns bitte unter [email protected].

Zuletzt aktualisiert: Mai 10, 2020