Mimecast’s Awareness Training Service Technical and Organizational Security Measures

Last Updated – July 31, 2018

This document describes technical and organizational security measures and controls implemented by Mimecast to protect the data customers entrust to us as part of the Mimecast Awareness Training services (Mimecast AT Service).

Für dieses Dokument gelten die folgenden Definitionen:

  • “Customer” means any subscriber to the Mimecast AT Service.
  • “Mimecast AT Service” means the Software-as-a-Service provided by Mimecast to our Customers.
  • “Customer Data” means any information provided or submitted by the Customer that is processed by the Mimecast AT Service.
  • „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • „Mitarbeiter“ bezeichnet Mitarbeiter von Mimecast sowie autorisierte einzelne Vertragspartner/Lieferanten.

1. Organisation der Informationssicherheit 

Ziel: 

Wir möchten einen Überblick der Informationssicherheitsstruktur von Mimecast geben.

Maßnahmen: 

a)      Mimecast beschäftigt in Vollzeit angestellte ausgebildete/zertifizierte Sicherheitsmitarbeiter, deren ausschließliches Aufgabengebiet die Informationssicherheit ist. 

b)      Mitarbeiter mit Informationssicherheitsauftrag berichten direkt dem Führungsteam von Mimecast.

c)      Mimecast verfügt über umfassende Informationssicherheitsrichtlinien, welche von der Geschäftsleitung genehmigt und an alle Mitarbeiter weitergegeben wurden.

d)      Alle Mitarbeiter von Mimecast haben rechtlich geprüfte Vertraulichkeitsvereinbarungen unterzeichnet.

e)      Alle Mitarbeiter von Mimecast erhalten Schulungen im Bereich der Informationssicherheit.

 

2. Informationssicherheits-Management-System 

Ziel: 

Wir möchten darlegen, auf welche Weise sich Mimecast für die Beurteilung und Behandlung von Sicherheitsrisiken und die Verbesserung seiner Informationssicherheit einsetzt.

Maßnahmen: 

a)      Mimecast verwendet ein Managementsystem für Informationssicherheit ISMS (Information Security Management System), welches die Grundlage unserer Informationssicherheitspraktiken darstellt.

3. Physischer Zugriff

Ziel: 

Wir möchten die physischen Assets schützen, die Kundendaten enthalten. 

Maßnahmen: 

a)     The Mimecast AT Service is housed with the Amazon Cloud environment. Amazon’s description of their data center physical security controls can be found here: https://aws.amazon.com/compliance/data-center/controls/

4. Systemzugriff 

Ziel: 

Wir möchten sicherstellen, dass Systeme, in denen Kundendaten gespeichert sind, ausschließlich von autorisierten, authentifizierten Benutzern verwendet werden.

Maßnahmen: 

a)      Der Zugriff auf Systeme von Mimecast ist nur Mitarbeitern von Mimecast und/oder Mitarbeitern der Subunternehmer von Mimecast gestattet. Der Zugriff ist streng auf den Personenkreis begrenzt, der Aufgaben im Rahmen seiner Funktion zu erfüllen hat.

b)      Der Zugriff auf Systeme von Mimecast erfolgt über eine eindeutige Benutzererkennung (UID). 

c)      Mimecast hat eine Kennwortrichtlinie erstellt, die das Teilen von Passwörtern verbietet und einen regelmäßigen Passwortwechsel sowie die Änderung voreingestellter Passwörter vorschreibt. Alle Passwörter müssen genau definierte minimale Komplexitätsanforderungen erfüllen und werden in verschlüsselter Form gespeichert.

d)      Mimecast has a comprehensive process to deactivate users and their access when Personnel leaves the company or a function.

e)       All access or attempted access to systems is logged and monitored.  

5. Zugriff auf Daten 

Ziel: 

Wir möchten sicherstellen, dass zugriffsberechtigte Mitarbeiter ausschließlich auf die Kundendaten zugreifen können, zu deren Zugriff sie berechtigt wurden. 

Maßnahmen: 

a)      As a matter of course, Mimecast Personnel do not access Customer Data.

b)      Mimecast schränkt den Zugriff durch Mitarbeiter auf Kundendaten nach dem Prinzip „Kenntnis notwendig“ ein.

c)      Jeder Zugriff durch Mitarbeiter und die nachfolgenden Operationen werden protokolliert und überwacht.

d)      Mitarbeiter werden bei entsprechenden Schulungen über Zugriffsrechte und die allgemeinen Richtlinien zur Definition und Verwendung von Kundendaten aufgeklärt. 

6. Datenübertragung/Speicherung/Vernichtung 

Ziel: 

Wir möchten sicherstellen, dass Kundendaten während der Übertragung/Speicherung nicht von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden können. 

Maßnahmen: 

a)      Customer access to the Mimecast AT Service portals are protected by the most current version of Transport Layer Security (TLS).

b)      The Mimecast AT Service relies on Amazon Cloud controls for the destruction of media. An outline of these controls can be found at: https://aws.amazon.com/compliance/data-center/controls/

7. Vertraulichkeit und Integrität 

Ziel: 

Wir möchten gewährleisten, dass Kundendaten während des gesamten Verarbeitungsvorgangs vertraulich behandelt werden, sie während der Verarbeitungstätigkeiten nicht beschädigt werden und ihre Vollständigkeit und Aktualität beibehalten wird. 

Maßnahmen: 

a)      Mimecast verfügt über einen formellen Zuverlässigkeitsüberprüfungsprozess und führt Hintergrundprüfungen für alle neuen Mitarbeiter durch.

b)      Mimecast schult seine Engineering-Mitarbeiter in der Anwendung von Verfahren zur Anwendungssicherheit und sicheren Programmierung. 

c)      Mimecast verfügt über ein zentrales, gesichertes Quellcode-Repository, welches nur für autorisierte Mitarbeiter zugänglich ist. 

d)      Mimecast verfügt über ein formelles Anwendungssicherheitsprogramm und implementiert einen robusten Secure Development Lifecycle (SDL).

e)      Unsere Sicherheitstests umfassen regelmäßige Code-Reviews, Penetrationstests und die Anwendung von Tools für die Analyse von statischen Codes zur Identifizierung von Schwachstellen. 

f)       All changes to software on the Mimecast AT Service are via a controlled, approved release mechanism within a formal change control program. 

8. Verfügbarkeit 

Ziel: 

To ensure Customer Data is protected from accidental destruction or loss, and there is timely access, restoration or availability to Customer Data in the event of a Mimecast AT Service incident.

a)       The Mimecast AT Service is housed in Amazon’s US East Region across multi-availability zones.

a)       Mimecast maintains a robust Business Continuity/Disaster Recovery program including

  • gut definierte, aktualisierte Pläne;
  • regelmäßige Tests und Retrospektiven.

9. Datentrennung 

Ziel: 

Wir möchten gewährleisten, dass die Daten jedes Kunden separat verarbeitet werden. 

Maßnahmen: 

a)      Mimecast nutzt eine logische Abgrenzung innerhalb seiner Multi-Tenant-Architektur, um eine Trennung der Daten seiner Kunden zu gewährleisten.

b)      In jedem Verarbeitungsschritt wird den Kundendaten, die von einzelnen Kunden übermittelt werden, eine eindeutige ID zugewiesen, sodass Daten immer physisch oder logisch getrennt sind. 

10. Incident Management 

Ziel: 

Im Falle einer Sicherheitsverletzung, bei der Kundendaten betroffen sind, werden die Auswirkungen der Verletzung minimiert und der Kunde unverzüglich informiert. 

Maßnahmen:

a)      Mimecast verfügt über einen aktuellen Vorfallreaktionsplan, der Informationen zu Zuständigkeiten, der Evaluierung und Klassifizierung von Informationssicherheitsvorfällen sowie Vorfälle- und Reaktionspläne als auch -verfahren beinhaltet.

b)      Mimecast testet seinen Vorfallreaktionsplan regelmäßig anhand theoretischer Übungen und nutzt die Erkenntnisse aus diesen Tests und aus theoretisch möglichen Szenarien für die kontinuierliche Verbesserung des Plans.

c)      In the event of a security breach, Mimecast will notify Customers without undue delay after becoming aware of the security breach

11. Prüfung 

Ziel: 

Wir möchten sicherstellen, dass wir die Wirksamkeit der oben genannten technischen und organisatorischen Maßnahmen regelmäßig überprüfen, bewerten und evaluieren. 

Maßnahmen umfassen: 

a)      Mimecast führt regelmäßige interne und externe Prüfungen seiner Sicherheitsverfahren durch.

b)      Mimecast sorgt dafür, dass Mitarbeiter die technischen und organisatorischen Sicherheitsmaßnahmen, die in diesem Dokument dargelegt sind, kennen und erfüllen. 


To subscribe to notifications for changes to this and other GDPR related pages, please click here and subscribe to the “GDPR Documents” feed.