Mitarbeiter, Chief Information Security Officer (CISO)

Gewährleisten Sie die Sicherheit, die Verfügbarkeit und die Integrität Ihrer IT-Systeme und Daten

Cybersicherheitsgarantien von verifdiploma im Überblick

Höchste Priorität für Cybersicherheit


  • Cybersicherheitsrat aus internationalen Experten

Ein Cybersicherheitsmonitoring aller unserer Teams


  • Überprüfung aller internen und externen Mitarbeiter
  • Kontinuierliches Fortbildungs- und Upgrade-Programm
  • Screening der Sicherheit von Informationssystemen

Eine Absicherung aller Zugänge


  • Strategie für komplexe Passwörter mit begrenzter Dauer
  • Zweistufige Validierung für jede Sitzung
  • Zugang zu verschlüsselten Dokumenten (Diplom, Ausweis...)
  • Kompartimentierung des Netzwerks
  • Regelmäßige Überprüfung der Benutzernamen und Kennwörter

Permanenter Schutz aller Daten


  • Gesicherte eigene Server mit Sitz in Frankreich (Scaleway)
  • SSL-Zertifikate für den Datenaustausch
  • Übertragung über das https-Protokoll
  • Segmentierte Passwörter
  • Tägliche und geprüfte Backups
  • Duplizierte Backups auf mehreren Servern
  • Programmierung von Eindringungsübungen

Eine Kontrolle der Sicherheit aller Operationen


  • Erstellung eines Plans zur Aufrechterhaltung der Geschäftstätigkeit
  • Planung eines Reversibilitätsplans
  • Qualitätsüberwachung durch das Quality Assurance Team

Ein Management aller Vorfälle von Informationssicherheit


  • Festlegung von Verantwortlichkeiten und Zuweisung von Rollen
  • Bildung eines Komitees zur Bewältigung von Vorfällen
  • Festlegung von Melde- und Warnverfahren
  • Planung eines regelmäßig getesteten Kontinuitätsplans

Eine verifdiplomagroup-Philosophie der kontinuierlichen Verbesserung


  • Planung regelmäßiger interner und externer Audits

verifdiplomas Cybersicherheitsverpflichtungen im Detail

Allgemein


  • die notwendigen technischen und organisatorischen Kompetenzen und Maßnahmen umsetzen, die mindestens dem Stand der Technik entsprechen, um die Sicherheit der Daten und des Informationssystems des Kunden in allen seinen Komponenten zu gewährleisten (Verfügbarkeit, Integrität - indem sie vor jeglicher Beeinträchtigung, insbesondere Änderung oder Zerstörung, geschützt werden -, Vertraulichkeit gegenüber unbefugten Dritten, Nachvollziehbarkeit aller durchgeführten Verarbeitungen und Authentifizierung aller Personen, die sie durchgeführt haben)
  • Aufrechterhaltung eines Kompetenzniveaus im Bereich der Sicherheit von Informationssystemen, das vollkommen dem Stand der Technik entspricht und mindestens für die Ausführung der Dienste ausreicht
  • Auf erste Anfrage dieses Kompetenzniveaus und die organisatorische und technologische Beherrschung durch Vorlage aller anerkannten Qualifikationen, Befähigungen oder Zertifizierungen nachweisen können
  • Den Kunden über die Entwicklung dieses Kompetenzniveaus und der organisatorischen und technologischen Beherrschung informieren
  • Einen Sicherheitsbeauftragten ernennen, der für die Gewährleistung des Sicherheitsniveaus verantwortlich ist.

Sicherheit der Infrastruktur und der Dienste


  • Gewährleistung eines Sicherheitsniveaus der Infrastruktur und der Dienste, das dem Stand der Technik, insbesondere den ISO-Normen 27001 und den daraus abgeleiteten Normen, vollkommen entspricht und mindestens für die Ausführung der Dienste ausreicht. Das Sicherheitsniveau muss also mit ihrer Politik zur Sicherheit von Informationssystemen ("PSSI") und ihren Anwendungsdokumenten übereinstimmen.
  • Dem Kunden alle notwendigen Informationen über die Sicherheit der von ihm durchgeführten Verarbeitungen und/oder der von ihm bereitgestellten Infrastruktur zur Verfügung stellen, damit der Kunde die Robustheit der Architektur und der Betriebsverfahren im Hinblick auf seine Sicherheitsziele, die bekannten Schwachstellen sowie die Restrisiken bewerten und die zusätzlich einzurichtenden Vorkehrungen ermitteln kann;
  • Den Kunden über alle Änderungen in seinem Sicherheitskontext zu informieren (z. B. Änderung des Speicherortes der Server und Backup-Server, Änderung der Technologie, Änderung der Eigentumsverhältnisse usw.).
  • Sicherheitssoftware (Antivirenprogramme usw.) auf allen Systemen zu installieren, die die Erbringung von Dienstleistungen ermöglichen, und diese durch Anwendung der neuesten von den Herausgebern veröffentlichten Signaturen auf dem neuesten Stand zu halten, um den Kunden vor dem Eindringen von Schadprogrammen in das Informationssystem des Kunden oder in die Daten des Kunden zu schützen. Wenn trotz dieser Vorsichtsmaßnahmen ein Schadprogramm in die Informationssysteme oder Daten des Kunden eingeschleust wird, sind die Kosten für die Diagnose und Wiederherstellung dem Anbieter zuzurechnen, es sei denn, er beweist, dass er für diese Einschleusung überhaupt nicht verantwortlich ist. Im Falle des Eindringens eines solchen Schadprogramms in das Informationssystem des Kunden oder in die Daten des Kunden trotz dieser Vorsichtsmaßnahmen verpflichten sich der Kunde undverifdiploma zusammenzuarbeiten, um den Ursprung, die Folgen und die Möglichkeiten zur Behebung des Problems zu ermitteln. Wenn sich herausstellt, dass die Einführung der Malware allein dem Kunden zuzuschreiben ist, trägt dieser die Kosten für die Diagnose und die Wiederherstellung. Sollte sich herausstellen, dass die Einführung des Schadprogramms dem Anbieter zuzuschreiben ist, trägt dieser die Kosten für die Diagnose und die Wiederherstellung.
  • Regelmäßig alle angemessenen Tests durchzuführen und die dem Kunden zur Verfügung gestellten oder von ihm oder von verifdiploma verwendeten Computerelemente vorab zu kontrollieren;
  • Alle technischen und organisatorischen Vorkehrungen für die physische Sicherheit zur Vorbeugung, Erkennung und Reaktion auf Sicherheitsrisiken (z. B. Eindringen), die sich auf Gebäude, Serverräume, technische Räume und Speicherorte auswirken können, die für den vom Kunden genutzten Dienst verwendet werden, umsetzen;
  • Einen regelmäßigen Bericht über die abgedeckten Risiken und die eingeleiteten Abhilfemaßnahmen bereitstellen;
  • Einen regelmäßigen Sicherheitsausschuss in Anwesenheit eines Vertreters des Kunden organisieren. Während dieser Zeit kann der Sicherheitsbeauftragte des Auftragnehmers insbesondere eine Bestandsaufnahme der identifizierten Sicherheitsrisiken und der damit verbundenen eingeleiteten Sicherheitsmaßnahmen vornehmen.

Logische Zugriffskontrolle


  • Alle Sicherheitsmaßnahmen, die dem Stand der Technik in Bezug auf die logische Zugriffskontrolle entsprechen, treffen.
  • Zu Kontroll-, Prüfungs- und Beweiszwecken eine mit einem Zeitstempel versehene Aufzeichnung der in ihrem Informationssystem durchgeführten Aktionen aufbewahren (einschließlich gesendeter und empfangener Datenströme, neuer Anwendungsversionen, Tests, Fehler, Entduplizierungen und Bereinigungen usw.).
  • Dem Kunden ein sicheres Ereignisprotokoll zur Verfügung stellen, das die Spuren von Datenverbindungen und Operationen enthält, die von autorisierten Nutzern und verifdiploma, und gegebenenfalls anderen Personen durchgeführt wurden, und zwar für einen Zeitraum von einem Jahr ab der Aufzeichnung jeder dieser Spuren.

Menschliche Ressourcen


  • Für seine Mitarbeiter und mögliche Subunternehmer bürgen.

Datensicherung


  • Ein System zur Datensicherung und zur Gewährleistung der Kontinuität des Dienstes verwenden. In jedem Fall gewährleistet diplomaverif die Sicherung der Informationen, die sie in ihrem Informationssystem verarbeitet, und ermöglicht jederzeit die Wiederherstellung des Dienstes und der Daten. Die Richtlinien, Verfahren und Maßnahmen, die verifdiploma in Bezug auf die Datensicherung ergreift, enthalten insbesondere Einzelheiten zu den Verantwortlichkeiten, der Häufigkeit, den Speicherbedingungen, den Zugriffs- und Wiederherstellungsprozessen sowie den Kontrollprozessen. Vor der Durchführung der Dienstleistungen werden die Bedingungen festgelegt und dem Kunden mitgeteilt.

Vorbeugung und Management von Anfälligkeiten


  • Dass alle Dienstleistungen, die dem Kunden erbracht oder zugänglich gemacht werden, ab dem Zeitpunkt der Unterzeichnung der Dienstleistungsvereinbarung frei von Schwachstellen seien und welche die Sicherheit der Daten oder des Informationssystems des Kunden beeinträchtigen könnten und über die der Kunde nicht zuvor durch eine Risikobewertung speziell informiert gewesen wäre.
  • Sobald eine neue Schwachstelle von verifdiploma, dem Kunden, ihren Subunternehmern, jedem Dritten, der sich an einen von ihnen wendet, oder durch öffentliche Informationen identifiziert wurde, diese Schwachstelle schließen oder eine andere Lösung zu diesem Zweck einführen, die weder den Preis, die Leistung oder den Betrieb der Dienste noch die Sicherheit der Daten und des Informationssystems des Kunden beeinträchtigt.

Vorbeugung und Verwaltung von Sicherheitsereignissen und Sicherheitsvorfällen


  • Eine strenge Richtlinie für den Umgang mit Sicherheitsereignissen, die Qualifizierung von Sicherheitsereignissen und den Umgang mit Sicherheitsvorfällen gemäß ISO 27001 in der jeweils aktuellen Fassung sowie allen aktuellen und zukünftigen Sicherheitsstandards, die für das Geschäft des Kunden spezifisch sein könnten, zu erstellen und durchzusetzen.
  • Den Kunden unverzüglich zu benachrichtigen, sobald ein Sicherheitsvorfall, der die Daten des Kunden, sein Informationssystem, seine Infrastruktur, sein Netzwerk oder jedes andere System betreffen könnte, das sich auch nur indirekt auf die für den Kunden erbrachten Dienstleistungen auswirken könnte (Abschottung, Zugang, Eindringen, Verlust der Integrität, Datenverlust usw.), entdeckt oder ihm zur Kenntnis gebracht wurde, oder sobald er eine Beschwerde erhält, die von einer von der Verarbeitung der genannten Daten betroffenen Person an ihn gerichtet wurde.
  • Den Kunden kostenlos bei der Durchführung aller Maßnahmen zur Bewältigung des Sicherheitsvorfalls unterstützen, einschließlich der Benachrichtigung der zuständigen Behörden und der von den Verstößen betroffenen Personen.
    In diesem Rahmen:
    - Assister le client lors de toute formalité légale, judiciaire ou réglementaire
    - Den Kunden bei allen gesetzlichen, gerichtlichen oder behördlichen Formalitäten zu unterstützen
    - Dem Kunden alle relevanten Informationen zur Verfügung stellen, um das Ausmaß des Sicherheitsvorfalls einzuschätzen und ihm die Kommunikation mit seinen eigenen Kunden zu ermöglichen
    - Unverzüglich die im Rahmen der Bewältigung dieser Vorfälle verwendeten Sicherungs- und Behebungsverfahren sowie deren Auswirkungen auf den Schutz des Informationssystems und die Datensicherheit angeben.

Sicherheitsaudit


  • Dem Kunden oder einem anderen vom Kunden gewählten Anbieter, sofern es sich nicht um einen direkten Konkurrenten des Anbieters handelt, zu gestatten, in monatlichen Abständen Infrastrukturaudits, Audits von Anwendungsschwachstellen oder auch Penetrationstests bei den Informationssystemen durchzuführen, die die Erbringung der Dienstleistungen ermöglichen, wie insbesondere die Unternehmen, die das System des Anbieters ganz oder teilweise hosten.
  • Über die notwendigen und ausreichenden Rechte und Genehmigungen für die Durchführung der genannten Tests und Audits in den Informationssystemen verfügen, die Gegenstand dieser Verpflichtung sind. Wenn die Ergebnisse dieser Prüfungen und Penetrationstests eine Sicherheitslücke in der Infrastruktur und allen Elementen, die für die Bereitstellung der Dienste erforderlich sind, aufzeigen, verpflichtet sich verifdiploma, so schnell wie möglich alle angemessenen Korrekturmaßnahmen zu ergreifen.

Business Continuity Plan (BCP)


  • Einen BCP haben, den verifdiploma während der gesamten Laufzeit des Dienstes aufrechtzuerhalten sich verpflichtet, um die Kontinuität der Dienste zu gewährleisten.
  • Diesen BCP auf eigene Kosten auf dem neuesten Stand halten und regelmäßig testen.
  • Auf Anfrage des Kunden eine Kopie seines aktuellsten BCP und der letzten durchgeführten Tests zur Verfügung stellen

Unsere Technologie

Verif·IA

Unsere eigens entwickelte und daher exklusive Technologie zur Aufwertung aller Bewerber und ihrer Fähigkeiten

MEHR ERFAHREN

DSGVO-Konformität

Nutzen Sie die Vorteile einer vollständigen und dauerhaften Einhaltung von der CNIL und DSGVO

MEHR ERFAHREN

API

Unsere maßgeschneiderten Webservices

MEHR ERFAHREN