DigitAll360 legt großen Wert auf ein solides Informationssicherheitsmanagement, um die Daten, die internen Vermögenswerte und das wertvolle geistige Eigentum unserer Kunden zu schützen. Wir nutzen branchenweit anerkannte Frameworks zur Einrichtung, Verwaltung und kontinuierlichen Verbesserung unserer Sicherheitslage.

• ISO 27001: Wir führen ein Informationssicherheitsmanagementsystem (ISMS) ein, das auf den Grundsätzen von ISO 27001 basiert. Dies umfasst:
• Systematische Risikobewertung und Behandlung
• Dokumentierte Sicherheitsrichtlinien und -verfahren
• Klar definierte Rollen und Verantwortlichkeiten für die Informationssicherheit
• Ongoing auditing and process improvement
• SOC 2: Im Rahmen unseres Engagements für Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und/oder Datenschutz werden wir uns Anfang 2025 nach SOC 2 zertifizieren lassen. Dies wird eine unabhängige Überprüfung unserer Kontrollen und Prozesse ermöglichen.

• Grundlagen der Sicherheit

1. Starke Passwörter und Multi-Faktor-Authentifizierung (MFA): Erzwingen Sie komplexe Passwörter und verlangen Sie MFA für den Zugriff auf wichtige Systeme und Konten.
2. Antivirus-/Antimalware-Software: Seriöse Lösung für alle Endgeräte (Computer, Laptops, Server) zur Erkennung und Verhinderung gängiger Malware-Infektionen.
3. Software-Aktualisierungen: Wir überprüfen regelmäßig die verfügbaren Updates, um Sicherheitslücken zu schließen und Betriebssysteme, Anwendungen und Firmware mit den neuesten Sicherheits-Patches auf dem neuesten Stand zu halten.
4. Firewalls: We have implemented the best industry firewalls to control network traffic and block suspicious incoming and outgoing connections.

• Data Protection

1. Encryption: Encrypt sensitive data both when stored (at rest) and when sent over the internet (in transit). Using AES-256 and TLS encryption.
2. Backups: Critical data is backed up to an offsite or cloud location every 6 hours, and full backups are performed daily during slow use periods. The ability to restore data is tested weekly to ensure recoverability.
3. Zugangskontrollen: Durchsetzung des Prinzips der geringsten Privilegien - gewähren Sie Mitarbeitern nur den Zugang, der für die Erfüllung ihrer Aufgaben erforderlich ist. Überprüfen Sie regelmäßig die Berechtigungen.

• Employee Education

1. Schulungen zum Sicherheitsbewusstsein: Führen Sie regelmäßig Schulungen durch, um die Mitarbeiter in der Erkennung von Phishing-Angriffen, Social-Engineering-Betrug und dem Umgang mit sensiblen Daten zu schulen.
2. Phishing-Simulationen: Wir testen das Bewusstsein unserer Mitarbeiter vierteljährlich mit realistischen Phishing-Simulationen, die uns helfen, diejenigen zu identifizieren, die zusätzliche Schulungen benötigen.

• Planung der Reaktion auf Vorfälle

1. Reaktionsplan: Wir befolgen die Richtlinien und Empfehlungen von ISO/IEC 27035-2:2016; der Zeitrahmen für die Benachrichtigung beträgt 2-4 Stunden, je nach Schwere des Ereignisses. Alle Benachrichtigungen an den Kunden erfolgen ausschließlich über verschlüsselte Voltage SecureMail.
2. Tests planen: Führen Sie Tabletop-Übungen durch, um verschiedene Einbruchszenarien zu simulieren und sicherzustellen, dass unser Team den Prozess versteht.

• Spezielle Überlegungen

1. Cloud Security: We use Cloudflare network & application security & performance services combined with Google Data cloud service.

Wir sind uns bewusst, dass Cybersicherheit ein fortlaufendes, gemeinschaftliches Unterfangen ist. Wir arbeiten eng mit unseren Kunden, Partnern und Sicherheitsexperten zusammen, um ein robustes Sicherheitssystem aufrechtzuerhalten, das an die sich entwickelnden Bedrohungen und Kundenanforderungen angepasst werden kann.

Luis Vale
VP of Digital Solutions
Luis.Vale@DigitAll360.com
Tel: +43 12 264 462