Mimecast Trust Center

„Vertrauen ist die Grundlage unserer Beziehungen zu unseren Kunden, Partnern und potenziellen Kunden. Wir schätzen ihr Vertrauen in uns und nehmen diese Verantwortung sehr ernst. Um dieses Vertrauen zu rechtfertigen, investieren wir ständig in die Sicherheit, den Datenschutz und in die Transparenz. Sie bilden die Grundlage von allem, was wir hier bei Mimecast tun.“ - Marc French - Senior Vice President and Chief Trust Officer

ISO 22301

Datenschutz-Grundverordnung (DSGVO)

Am 25. Mai 2018 tritt ein neues Europäisches Datenschutzrecht, die Datenschutz-Grundverordnung (DSGVO), in Kraft. Die DSGVO erlässt neue Verpflichtungen für Unternehmen und Behörden, welche die persönlichen Daten von Personen mit Wohnsitz innerhalb der Europäischen Union (EU) vermarkten, aufzeichnen oder verarbeiten. 

Mimecast verpflichtet sich zu einer DSGVO-Compliance für sämtliche unserer Produkte und Dienstleistungen sobald das Gesetz in Kraft tritt. Dazu werden wir entsprechende Versicherungen im Zusammenhang mit der DSGVO in unsere Verträge aufnehmen.

Bitte besuchen Sie unseren Informationsbereich über die DSGVO, um mehr darüber zu erfahren, wie Mimecastssisting unseren Kunden dabei hilft, DSGVO-Compliance zu erreichen.

ISO 22301

ISO 22301 Zertifizierung

Die Norm ISO/IEC 22301:2012 enthält Anforderungen an das Planen, Etablieren, Implementieren, Betreiben, Überwachen, Prüfen, Warten und ständige Verbessern eines dokumentierten Management-Systems. Das Ziel ist der Schutz vor Betriebsunterbrechungen durch eine Verringerung der Wahrscheinlichkeit ihres Auftretens, durch Vorbereitung, durch geeignete Reaktionsmaßnahmen und durch Wiederherstellung des Systems. Die Anforderungen nach ISO 22301:2012 sind allgemein gehalten und sollen auf alle Organisationen oder Teilstrukturen anwendbar sein, unabhängig von Art, Größe und den Besonderheiten der Organisation. Der Umfang einer Anwendung dieser Anforderungen ist von der Betriebsumgebung und Komplexität der Organisation abhängig.

Siehe: http://certificationeurope.com/certification/iso-22301-business-continunity-certification/

ISO 27001

ISO 27001-Zertifizierung

ISO 27001 is the international standard which is recognised globally for managing risks to the security of information you hold. Certification to ISO 27001 allows you to prove to your clients and other stakeholders that you are managing the security of your information. ISO 27001:2013 (the current version of ISO 27001) provides a set of standardised requirements for an Information Security Management System (ISMS). The standard adopts a process based approach for establishing, implementing, operating, monitoring, maintaining, and improving your ISMS.

Reference: https://www.certificationeurope.com/app/uploads/2017/12/ISO-27001.pdf

ISO 27018

ISO 27018-Zertifizierung

Die Norm ISO/IEC 27018:2014 legt allgemein akzeptierte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung der Maßnahmen fest, die zum Schutz persönlich identifizierbarer Informationen (PII) in Einklang mit den Datenschutzgrundsätzen in ISO/IEC 29100 für öffentliche Cloud-Computing-Umgebungen gelten. Insbesondere spezifiziert die ISO/IEC 27018:2014 Richtlinien auf der Grundlage der ISO/IEC 27002. Dies geschieht unter Berücksichtigung der regulatorischen Anforderungen an den Schutz personenbezogener Daten, die möglicherweise im Rahmen der Informationssicherheitsrisiko-Umgebung(en) eines Anbieters von öffentlichen Cloud-Services anwendbar sind. Die Norm ISO/IEC 27018:2014 gilt für alle Arten und Größen von Organisationen, die Services der Informationsverarbeitung anbieten, einschließlich öffentlicher und privater Unternehmen, Regierungsbehörden und Non-Profit-Organisationen, wie zum Beispiel Verarbeiter personenbezogener Daten in der Cloud im Auftrag von anderen Organisationen.

Siehe: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498

SOC-2 Bestätigungsberichte

Diese Berichte sollen die Anforderungen eines breiten Spektrums von Anwendern erfüllen und ihr Verständnis für die internen Kontrollen in einem Dienstleistungsunternehmen verbessern, und zwar im Hinblick auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Sie sind für die Verwendung durch Stakeholder des Dienstleistungsunternehmens (zum Beispiel Kunden, Regulierungsbehörden, Geschäftspartner, Lieferanten, Direktoren) bestimmt, die ein tiefgreifendes Verständnis des Dienstleistungsunternehmens und seiner  internen Kontrollen haben.

Der SOC-2-Typ-1-Bericht von Mimecast Nordamerika begutachtete die Beschreibung des Mimecast Systems und die Eignung des Designs der eingesetzten Steuerung.

Mimecast hat darüber hinaus den SOC-2-Typ-II-Bestätigungsbericht erhalten. Geprüft wurde die operative Effektivität der globalen Systeme und Betriebsverfahren von Mimecast im Hinblick auf die Trust Services Principles für Sicherheit, Verfügbarkeit, Prozessintegrität und Vertraulichkeit.

Beide Berichte sind auf Anfrage für potenzielle Kunden verfügbar, die eine entsprechende Vertraulichkeitsvereinbarung unterschrieben haben, und für Bestandskunden, die laut Service Agreement Vertraulichkeit zugesichert haben.

Siehe: http://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/pages/aicpasoc2report.aspx

HIPAA

HIPAA/HITECH Compliance-Bewertungsbericht

Die Regeln des Health Insurance Portability and Accountability Act (HIPAA) bieten landesweiten Schutz von Patientendaten, die von betroffenen Einrichtungen und Geschäftspartnern gespeichert werden. Die HIPAA Privacy, Security, and Breach Notification Rules, die durch die HIPAA Final Omnibus Rule 2 im Jahr 2013 aktualisiert wurden, legen fest, wie bestimmte Einrichtungen, darunter die meisten Anbieter von Gesundheitsleistungen, Patienteninformationen schützen und sichern müssen. Der Health Information Technology for Economic and Clinical Health Act (HITECH) reguliert unmittelbar Geschäftspartner und legt ihnen die gleichen Datenschutz- und Sicherheitsverpflichtungen auf, die für die betroffenen Einrichtungen vorgeschrieben sind. Der HIPAA/HITECH-Security Compliance Assessment Report von Mimecast ist auf Anfrage für potenzielle Kunden verfügbar, die eine entsprechende Vertraulichkeitsvereinbarung unterschrieben haben, und für Bestandskunden, die laut Service Agreement Vertraulichkeit zugesichert haben.

Siehe: https://www.healthit.gov/sites/default/files/pdf/privacy/privacy-and-security-guide.pdf

Shared Assessment

Shared Information Gathering (SIG) Assessment-Bericht

Der Fragebogen Standardized Information Gathering (SIG) enthält sehr zielgerichtete, aber dennoch einfach zu beantwortende Fragen. Er dient dem Erkennen und Bewerten von IT-, Betriebs- und Sicherheitsrisiken (sowie der zugehörigen Kontrollen) in einer IT-Umgebung. Die SIG-Fragen basieren auf referenzierten Industriestandards und Richtlinien (einschließlich, aber nicht beschränkt auf FFIEC, OCC, ISO, NIST, COBIT und PCI). Sie können darüber hinaus für die Bewertung der Umgebung von Drittanbietern, aber auch der eigenen Kontrollumgebung genutzt werden. Die SIG-Fragen sind im weit verbreiteten Excel-Format erhältlich. Der vollständige Mimecast SIG-Bericht ist auf Anfrage für potenzielle Kunden erhältlich, die eine entsprechende Vertraulichkeitsvereinbarung unterschrieben haben, und für Bestandskunden, die laut Service Agreement Vertraulichkeit zugesichert haben.

Siehe: https://sharedassessments.org/about/

CSA Star

Cloud Security Alliance (CSA) STAR Assessment-Bericht

CSA STAR ist das branchenweit leistungsfähigste Programm für Sicherheit in der Cloud. STAR umfasst die wichtigsten Transparenzgrundsätze, ein strenges Auditing und die Harmonisierung von Standards, wobei seit Ende 2015 auch eine kontinuierliche Überwachung angeboten wird. Die STAR-Zertifizierung bietet mehrere Vorteile, darunter Hinweise zu Best Practices und eine Validierung des Sicherheitsstatus von Cloud-Angeboten.

Siehe: https://cloudsecurityalliance.org/star-registrant/mimecast/

GPG

UK Gender Pay Gap Report 2017

Mimecast hat eine Vorgabe der Regierung Großbritanniens erfüllt und das geschlechtsspezifische Lohngefälle des Unternehmens veröffentlicht. Wir glauben, dass mehr Transparenz und Verantwortlichkeit uns dabei hilft, unseren Verpflichtungen in puncto Gleichstellung und Vielfalt zu belegen und weiter zu verbessern.

Download: https://www.mimecast.com/globalassets/documents/legal/gender-pay-gap-report_uk-2017.pdf


Mimecast Trust Center Mailbox

In enger Zusammenarbeit mit den Kunden hilft Mimecast bei der Erfüllung eines breiten Spektrums von internationalen, nationalen und branchenspezifischen regulatorischen Anforderungen. Mit unabhängig zertifizierten und geprüften Cloud-Services erleichtert Mimecast den Kunden die Einhaltung der Compliance ihrer Infrastruktur und Anwendungen. Mimecast bietet Kunden detaillierte Informationen über Sicherheits- und Compliance-Programme, darunter Sicherheitspakete, die dem Kunden helfen, unsere Services im Hinblick auf ihre eigenen rechtlichen und regulatorischen Anforderungen zu bewerten.

Don’t hesitate to send questions regarding this page to Mimecast’s Trust Center mailbox (trust@mimecast.com).

Informationen zu Support-Standorten von Mimecast finden Sie hier.