Mimecast AT1 MIME|OS Service: technische und organisatorische Sicherheitsmaßnahmen

Letzte Aktualisierung – 31. August 2019

In diesem Dokument beschreiben wir die technischen und organisatorischen Sicherheitsmaßnahmen und Kontrollverfahren, die Mimecast zum Schutz der Daten anwendet, welche Kunden uns im Rahmen der Awareness Training Services auf MIME|OS (Mimecast AT1 MIME|OS Service) von Mimecast bereitstellen.

Für dieses Dokument gelten die folgenden Definitionen:

• „Kunde“ ist jeder Abonnent des Mimecast AT1 MIME|OS Service.
• „Mimecast AT1 MIME|OS Service“ bezeichnet die Software-as-a-Service, welche Mimecast seinen Kunden über das MIME|OS-Grid zur Verfügung stellt.
• „Kundendaten“ bezeichnet alle Informationen, die von Kunden zur Verfügung gestellt oder eingesendet und durch den Mimecast AT1 MIME|OS Service verarbeitet werden.
• „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
• „Mitarbeiter“ bezeichnet Mitarbeiter von Mimecast sowie autorisierte einzelne Vertragspartner/Lieferanten.

1. Organisation der Informationssicherheit

Ziel:

Wir möchten einen Überblick der Informationssicherheitsstruktur von Mimecast geben.

Maßnahmen:

1. Mimecast beschäftigt in Vollzeit angestellte ausgebildete/zertifizierte Sicherheitsmitarbeiter, deren ausschließliches Aufgabengebiet die Informationssicherheit ist.
2. Mitarbeiter mit Informationssicherheitsauftrag berichten direkt dem Führungsteam von Mimecast.
3. Mimecast verfügt über umfassende Informationssicherheitsrichtlinien, welche von der Geschäftsleitung genehmigt und an alle Mitarbeiter weitergegeben wurden.
4. Alle Mitarbeiter von Mimecast haben rechtlich geprüfte Vertraulichkeitsvereinbarungen unterzeichnet.
5. Alle Mimecast Mitarbeiter erhalten Schulungen im Bereich der Informationssicherheit.

2. Informationssicherheits-Management-System

Ziel:

Wir möchten darlegen, auf welche Weise sich Mimecast für die Beurteilung und Behandlung von Sicherheitsrisiken und die Verbesserung seiner Informationssicherheit einsetzt.

Maßnahmen:

1. Mimecast verwendet ein Managementsystem für Informationssicherheit ISMS (Information Security Management System), welches die Grundlage unserer Informationssicherheitspraktiken darstellt.

3. Physischer Zugriff

Ziel:

Wir möchten die physischen Assets schützen, die Kundendaten enthalten.

Maßnahmen:

1. Der Mimecast AT1 MIME|OS Service wird betrieben von mehreren industriezertifizierten Rechenzentren von Drittanbietern mit einem definierten und geschützten Gelände, starken Zugangskontrollen einschließlich Zugangskontrollmechanismen, kontrollierten Liefer- und Verladebereichen sowie Überwachungs- und Sicherheitspersonal.
2. Jedes Rechenzentrum wird auf die Einhaltung der Sicherheitskontrollen von Mimecast geprüft.
3. Ausschließlich autorisierte Mitarbeiter haben Zugang zu den Rechenzentren, in denen Kundendaten gespeichert sind. Der Zugang wird nur nach dem erfolgreich abgeschlossenen Anmeldevorgang einschließlich einer Sicherheitsprüfung gewährt, bei der ein amtlicher Lichtbildausweis vorgelegt werden muss.
4. Strom- und Telekommunikationsverkabelungen mit Kundendaten oder unterstützende Informationsdienste in den Produktionsrechenzentren sind vor Abhören, Störungen und Beschädigungen geschützt. 
5. Die Produktionsrechenzentren und deren Ausstattung sind physisch gegen Naturkatastrophen, unbefugtes Betreten, böswillige Angriffe und Unfälle geschützt. 
6. Die Ausstattung des Produktionsrechenzentrums ist vor Stromausfällen und anderen Störungen durch Ausfälle bei unterstützenden Versorgungsunternehmen geschützt, und wird angemessen gewartet. 

4. Systemzugriff

Ziel:

Wir möchten sicherstellen, dass Systeme, in denen Kundendaten gespeichert sind, ausschließlich von autorisierten, authentifizierten Benutzern verwendet werden.

Maßnahmen:

1. Der Zugriff auf Systeme von Mimecast ist nur Mitarbeitern von Mimecast und/oder Mitarbeitern der Subunternehmer von Mimecast gestattet. Der Zugriff ist streng auf den Personenkreis begrenzt, der Aufgaben im Rahmen seiner Funktion zu erfüllen hat.
2. Der Zugriff auf Systeme von Mimecast erfolgt über eine eindeutige Benutzererkennung (UID).
3. Mimecast hat eine Kennwortrichtlinie erstellt, die das Teilen von Passwörtern verbietet und einen regelmäßigen Passwortwechsel sowie die Änderung voreingestellter Passwörter vorschreibt. Alle Passwörter müssen genau definierte minimale Komplexitätsanforderungen erfüllen und werden in verschlüsselter Form gespeichert.
4. Mimecast hat einen umfassenden Prozess erstellt, nach dem Benutzer und ihre Zugangsrechte deaktiviert werden, wenn die jeweiligen Mitarbeiter das Unternehmen oder eine Rolle verlassen.
5. Jeder Zugriff und versuchter Zugriff auf die Systeme wird protokolliert und überwacht.

5. Zugriff auf Daten

Ziel:

Wir möchten sicherstellen, dass zugriffsberechtigte Mitarbeiter ausschließlich auf die Kundendaten zugreifen können, zu deren Zugriff sie berechtigt wurden.

Maßnahmen:

1. Selbstverständlich greift das Personal von Mimecast nicht auf Kundendaten zu.
2. Mimecast schränkt den Zugriff durch Mitarbeiter auf Kundendaten nach dem Prinzip „Kenntnis notwendig“ ein.
3. Jeder Zugriff durch Mitarbeiter und die nachfolgenden Operationen werden protokolliert und überwacht.
4. Mitarbeiter werden bei entsprechenden Schulungen über Zugriffsrechte und die allgemeinen Richtlinien zur Definition und Verwendung von Kundendaten aufgeklärt.

6. Datenübertragung/Speicherung/Vernichtung

Ziel:

Wir möchten sicherstellen, dass Kundendaten während der Übertragung/Speicherung nicht von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden können.

Maßnahmen:

1. Der Kundenzugang zu den Mimecast AT1 MIME|OS Service-Portalen ist durch die aktuellste Version des TLS (Transport Layer Security)-Protokolls geschützt.  
2. Auf Wunsch des Kunden werden Kundendaten umgehend gelöscht.
1. Es wird darauf hingewiesen, dass mit jedem Löschantrag die Kundendaten in der ersten Speicherkopie logisch gelöscht und dann in den anderen Kopien vollständig gelöscht werden. Mit dieser Vorgehensweise sollen versehentliche Löschungen oder vorsätzliche Beschädigungen verhindert werden.

7. Vertraulichkeit und Integrität

Ziel:

Wir möchten gewährleisten, dass Kundendaten während des gesamten Verarbeitungsvorgangs vertraulich behandelt werden, sie während der Verarbeitungstätigkeiten nicht beschädigt werden und ihre Vollständigkeit und Aktualität beibehalten wird.

Maßnahmen:

1. Mimecast verfügt über einen formellen Zuverlässigkeitsüberprüfungsprozess und führt Hintergrundprüfungen für alle neuen Mitarbeiter durch.
2. Mimecast schult seine Engineering-Mitarbeiter in der Anwendung von Verfahren zur Anwendungssicherheit und sicheren Programmierung.
3. Mimecast verfügt über ein zentrales, gesichertes Quellcode-Repository, welches nur für autorisierte Mitarbeiter zugänglich ist.
4. Mimecast verfügt über ein formelles Anwendungssicherheitsprogramm und implementiert einen robusten Secure Development Lifecycle (SDL).
5. Unsere Sicherheitstests umfassen regelmäßige Code-Reviews, Penetrationstests und die Anwendung von Tools für die Analyse von statischen Codes zur Identifizierung von Schwachstellen.
6. Alle Änderungen an der Software des Mimecast AT1 MIME|OS Service erfolgen über einen kontrollierten und geprüften Release-Mechanismus im Rahmen eines formellen Änderungssteuerungsprogramms. 

8. Verfügbarkeit 

Ziel: 

Wir möchten sicherstellen, dass Kundendaten vor versehentlicher Zerstörung oder versehentlichem Verlust geschützt sind, und einen rechtzeitigen Zugang, die Wiederherstellung oder die Verfügbarkeit auf bzw. von Kundendaten bei Vorfällen im Rahmen des Mimecast AT1 MIME|OS gewährleisten. 

1. Mimecast verwendet eine hohe Redundanz bei der Speicherung von Kundendaten. Kundendaten werden in dreifacher Ausführung in zwei geografisch getrennten Rechenzentren mit zwei separaten Querverbindungen gespeichert.
2. Jedes Rechenzentrum kann Kundendaten durch Failover- und Failback-Funktionalität bei Überschwemmungen, Erdbeben, Feuer oder anderer physischer Vernichtung oder bei Stromausfällen gegen versehentliche Zerstörung und versehentlichen Verlust schützen.
3. Jedes Produktionsrechenzentrum verfügt über mehrere Stromversorgungseinheiten, Generatoren vor Ort und ist mit Akku-Backups zur Gewährleistung der Stromversorgung im jeweiligen Rechenzentrum ausgestattet. 
4. Jedes Produktionsrechenzentrum verfügt über mehrere Zugangspunkte zum Internet, um die Verbindung aufrechtzuerhalten. 
5. Jedes Produktionsrechenzentrum wird rund um die Uhr auf Strom-, Netzwerk-, Umgebungs- und technische Probleme überwacht. 
6. Mimecast ein robustes Business Continuity/Disaster Recovery-Programm, das Folgendes umfasst:
1. gut definierte, aktualisierte Pläne;
2. regelmäßige Tests und Retrospektiven.
7. Mimecast unterzieht seine Business Continuity-Praktiken jedes Jahr einer unabhängigen ISO 22301-Bewertung.
8. Kunden können auf Wunsch einmal pro Jahr Kopien dieser Bewertung über ihren Kundenbetreuer anfordern.

9. Datentrennung

Ziel:

Wir möchten gewährleisten, dass die Daten jedes Kunden separat verarbeitet werden.

Maßnahmen:

1. Mimecast nutzt eine logische Abgrenzung innerhalb seiner mandantenfähigen Architektur, um eine Trennung der Daten seiner Kunden zu gewährleisten.
2. In jedem Verarbeitungsschritt wird den Kundendaten, die von einzelnen Kunden übermittelt werden, eine eindeutige ID zugewiesen, sodass Daten immer physisch oder logisch getrennt sind. 

10. Incident Management

Ziel:

Im Falle einer Sicherheitsverletzung, bei der Kundendaten betroffen sind, werden die Auswirkungen der Verletzung minimiert und der Kunde unverzüglich informiert.

Maßnahmen:

1. Mimecast verfügt über einen aktuellen Plan für die Reaktion auf Vorfälle, der Informationen zu Zuständigkeiten, der Evaluierung und Klassifizierung von Informationssicherheitsvorfällen sowie Incidents- und Reaktionspläne als auch -verfahren beinhaltet.
2. Mimecast testet regelmäßig seinen Plan für die Reaktion auf Vorfälle anhand theoretischer Übungen und nutzt Erkenntnisse aus diesen Tests und aus möglichen Vorfällen für die kontinuierliche Verbesserung des Plans. 
3. Im Falle einer Sicherheitsverletzung wird Mimecast Kunden unverzüglich informieren, nachdem Mimecast Kenntnis von dieser Verletzung genommen hat.

11. Prüfung

Ziel:

Wir möchten sicherstellen, dass wir die Wirksamkeit der oben genannten technischen und organisatorischen Maßnahmen regelmäßig überprüfen, bewerten und evaluieren.

Maßnahmen umfassen:

1. Mimecast führt regelmäßige interne und externe Prüfungen seiner Sicherheitsverfahren durch.
2. Mimecast sorgt dafür, dass Mitarbeiter die technischen und organisatorischen Sicherheitsmaßnahmen, die in diesem Dokument dargelegt sind, kennen und erfüllen.

Um Benachrichtigungen über Änderungen auf dieser und anderen Datenschutz-Seiten zu abonnieren, klicken Sie bitte hier und abonnieren Sie den Feed „Trust Center Updates“.