Awareness Training Service: technische und organisatorische Sicherheitsmaßnahmen von Mimecast

Letzte Aktualisierung – 31. Juli 2018

In diesem Dokument beschreiben wir die technischen und organisatorischen Sicherheitsmaßnahmen und Kontrollverfahren, die Mimecast zum Schutz der Daten anwendet, welche Kunden uns im Rahmen der Awareness Training Services (Mimecast AT Service) von Mimecast bereitstellen.

Für dieses Dokument gelten die folgenden Definitionen:

• „Kunde“ ist jeder Abonnent des Mimecast AT Services.
• „Mimecast AT Service“ bezeichnet die Software-as-a-Service, die Mimecast seinen Kunden zur Verfügung stellt.
• „Kundendaten“ bezeichnet alle Informationen, die von Kunden zur Verfügung gestellt oder eingesendet und durch den Mimecast AT Service verarbeitet werden.
• „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• „Mitarbeiter“ bezeichnet Mitarbeiter von Mimecast sowie autorisierte einzelne Vertragspartner/Lieferanten.

1. Organisation der Informationssicherheit

Ziel:

Wir möchten einen Überblick der Informationssicherheitsstruktur von Mimecast geben.

Maßnahmen:

1. Mimecast beschäftigt in Vollzeit angestellte ausgebildete/zertifizierte Sicherheitsmitarbeiter, deren ausschließliches Aufgabengebiet die Informationssicherheit ist.
2. Mitarbeiter mit Informationssicherheitsauftrag berichten direkt dem Führungsteam von Mimecast.
3. Mimecast verfügt über umfassende Informationssicherheitsrichtlinien, welche von der Geschäftsleitung genehmigt und an alle Mitarbeiter weitergegeben wurden.
4. Alle Mitarbeiter von Mimecast haben rechtlich geprüfte Vertraulichkeitsvereinbarungen unterzeichnet.
5. Alle Mimecast Mitarbeiter erhalten Schulungen im Bereich der Informationssicherheit.

2. Informationssicherheits-Management-System

Ziel:

Wir möchten darlegen, auf welche Weise sich Mimecast für die Beurteilung und Behandlung von Sicherheitsrisiken und die Verbesserung seiner Informationssicherheit einsetzt.

Maßnahmen:

1. Mimecast verwendet ein Managementsystem für Informationssicherheit ISMS (Information Security Management System), welches die Grundlage unserer Informationssicherheitspraktiken darstellt.

3. Physischer Zugriff

Ziel:

Wir möchten die physischen Assets schützen, die Kundendaten enthalten.

Maßnahmen:

1. Der Mimecast AT Service wird in der Amazon-Cloud-Umgebung gehostet. Die Beschreibung der physischen Sicherheitskontrollen des Amazon-Rechenzentrums finden Sie hier: https://aws.amazon.com/compliance/data-center/controls/

4. Systemzugriff

Ziel:

Wir möchten sicherstellen, dass Systeme, in denen Kundendaten gespeichert sind, ausschließlich von autorisierten, authentifizierten Benutzern verwendet werden.

Maßnahmen:

1. Der Zugriff auf Systeme von Mimecast ist nur Mitarbeitern von Mimecast und/oder Mitarbeitern der Subunternehmer von Mimecast gestattet. Der Zugriff ist streng auf den Personenkreis begrenzt, der Aufgaben im Rahmen seiner Funktion zu erfüllen hat.
2. Der Zugriff auf Systeme von Mimecast erfolgt über eine eindeutige Benutzererkennung (UID).
3. Mimecast hat eine Kennwortrichtlinie erstellt, die das Teilen von Passwörtern verbietet und einen regelmäßigen Passwortwechsel sowie die Änderung voreingestellter Passwörter vorschreibt. Alle Passwörter müssen genau definierte minimale Komplexitätsanforderungen erfüllen und werden in verschlüsselter Form gespeichert.
4. Mimecast hat einen umfassenden Prozess erstellt, nach dem Benutzer und ihre Zugangsrechte deaktiviert werden, wenn die jeweiligen Mitarbeiter das Unternehmen oder eine Rolle verlassen.
5. Jeder Zugriff und versuchter Zugriff auf die Systeme wird protokolliert und überwacht.

5. Zugriff auf Daten

Ziel:

Wir möchten sicherstellen, dass zugriffsberechtigte Mitarbeiter ausschließlich auf die Kundendaten zugreifen können, zu deren Zugriff sie berechtigt wurden.

Maßnahmen:

1. Selbstverständlich greift das Personal von Mimecast nicht auf Kundendaten zu.
2. Mimecast schränkt den Zugriff durch Mitarbeiter auf Kundendaten nach dem Prinzip „Kenntnis notwendig“ ein.
3. Jeder Zugriff durch Mitarbeiter und die nachfolgenden Operationen werden protokolliert und überwacht.
4. Mitarbeiter werden bei entsprechenden Schulungen über Zugriffsrechte und die allgemeinen Richtlinien zur Definition und Verwendung von Kundendaten aufgeklärt.

6. Datenübertragung/Speicherung/Vernichtung

Ziel:

Wir möchten sicherstellen, dass Kundendaten während der Übertragung/Speicherung nicht von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden können.

Maßnahmen:

1. Der Kundenzugang zu den Mimecast-Service-Portalen ist durch die aktuellste Version des TLS (Transport Layer Security)-Protokolls geschützt.
2. Der Mimecast AT Service basiert auf Amazon-Cloud-Kontrollen für die Vernichtung von Medien. Eine Übersicht über diese Kontrollen finden Sie unter: https://aws.amazon.com/compliance/data-center/controls/

7. Vertraulichkeit und Integrität

Ziel:

Wir möchten gewährleisten, dass Kundendaten während des gesamten Verarbeitungsvorgangs vertraulich behandelt werden, sie während der Verarbeitungstätigkeiten nicht beschädigt werden und ihre Vollständigkeit und Aktualität beibehalten wird.

Maßnahmen:

1. Mimecast verfügt über einen formellen Zuverlässigkeitsüberprüfungsprozess und führt Hintergrundprüfungen für alle neuen Mitarbeiter durch.
2. Mimecast schult seine Engineering-Mitarbeiter in der Anwendung von Verfahren zur Anwendungssicherheit und sicheren Programmierung.
3. Mimecast verfügt über ein zentrales, gesichertes Quellcode-Repository, welches nur für autorisierte Mitarbeiter zugänglich ist.
4. Mimecast verfügt über ein formelles Anwendungssicherheitsprogramm und implementiert einen robusten Secure Development Lifecycle (SDL).
5. Unsere Sicherheitstests umfassen regelmäßige Code-Reviews, Penetrationstests und die Anwendung von Tools für die Analyse von statischen Codes zur Identifizierung von Schwachstellen.
6. Alle Änderungen an der Software des Mimecast AT Service erfolgen über einen kontrollierten und geprüften Release-Mechanismus im Rahmen eines formellen Änderungssteuerungsprogramms.

8. Verfügbarkeit 

Ziel: 

Wir möchten sicherstellen, dass Kundendaten vor versehentlicher Zerstörung oder versehentlichem Verlust geschützt sind und einen rechtzeitigen Zugang, die Wiederherstellung oder die Verfügbarkeit auf bzw. von Kundendaten bei Vorfällen im Rahmen des Mimecast AT Service gewährleisten.

1. Der Mimecast AT Service ist in der östlichen Region der USA von Amazon in verschiedenen Multi-Verfügbarkeitszonen eingerichtet.
2. Mimecast ein robustes Business Continuity/Disaster Recovery-Programm, das Folgendes umfasst:
1. gut definierte, aktualisierte Pläne;
2. regelmäßige Tests und Retrospektiven.

9. Datentrennung

Ziel:

Wir möchten gewährleisten, dass die Daten jedes Kunden separat verarbeitet werden.

Maßnahmen:

1. Mimecast nutzt eine logische Abgrenzung innerhalb seiner mandantenfähigen Architektur, um eine Trennung der Daten seiner Kunden zu gewährleisten.
2. In jedem Verarbeitungsschritt wird den Kundendaten, die von einzelnen Kunden übermittelt werden, eine eindeutige ID zugewiesen, sodass Daten immer physisch oder logisch getrennt sind.

10. Incident Management

Ziel:

Im Falle einer Sicherheitsverletzung, bei der Kundendaten betroffen sind, werden die Auswirkungen der Verletzung minimiert und der Kunde unverzüglich informiert.

Maßnahmen:

1. Mimecast verfügt über einen aktuellen Plan für die Reaktion auf Vorfälle, der Informationen zu Zuständigkeiten, der Evaluierung und Klassifizierung von Informationssicherheitsvorfällen sowie Incidents- und Reaktionspläne als auch -verfahren beinhaltet.
2. Mimecast testet regelmäßig seinen Plan für die Reaktion auf Vorfälle anhand theoretischer Übungen und nutzt Erkenntnisse aus diesen Tests und aus möglichen Vorfällen für die kontinuierliche Verbesserung des Plans.
3. Im Falle einer Sicherheitsverletzung wird Mimecast seine Kunden unverzüglich informieren, nachdem Mimecast Kenntnis von dieser Verletzung erhalten hat.

11. Prüfung

Ziel:

Wir möchten sicherstellen, dass wir die Wirksamkeit der oben genannten technischen und organisatorischen Maßnahmen regelmäßig überprüfen, bewerten und evaluieren.

Maßnahmen umfassen:

1. Mimecast führt regelmäßige interne und externe Prüfungen seiner Sicherheitsverfahren durch.
2. Mimecast sorgt dafür, dass Mitarbeiter die technischen und organisatorischen Sicherheitsmaßnahmen, die in diesem Dokument dargelegt sind, kennen und erfüllen.

Um Benachrichtigungen über Änderungen auf dieser und anderen Datenschutz-Seiten zu abonnieren, klicken Sie bitte hier und abonnieren Sie den Feed „Trust Center Updates“.