Zum Inhalt springen

DPA – Kunde

 

Nachtrag zur Datenverarbeitung
(Dezember 2022)

Dieser Zusatz zur Datenverarbeitung („DPA”) wird durch Bezugnahme in die Vereinbarung oder Bestellung aufgenommen und zu einem Teil der Vereinbarung oder Bestellung gemacht, für die der Kunde das Recht oder die Abonnementlizenz zur Nutzung der BigID-Software und -Dienste erhält, und wird zwischen dem Kunden und BigID geschlossen (diese Vereinbarung und alle damit verbundenen Bestellungen werden zusammenfassend als „Vereinbarung").

Diese DPA ergänzt die Vereinbarung und legt die Bedingungen fest, die gelten, wenn personenbezogene Daten (siehe unten) von BigID im Rahmen der Vereinbarung verarbeitet werden. Der Zweck der DPA besteht darin, sicherzustellen, dass die Verarbeitung gemäß den geltenden Gesetzen und unter gebührender Berücksichtigung der Rechte und Freiheiten der Personen erfolgt, deren personenbezogene Daten verarbeitet werden.

Der Kunde versteht, erkennt an und stimmt zu, dass diese DPA für ihn selbst und, soweit gemäß den geltenden Datenschutzgesetzen und -vorschriften erforderlich, für seine autorisierten verbundenen Unternehmen gilt, sofern und soweit BigID personenbezogene Daten verarbeitet, für die diese autorisierten verbundenen Unternehmen als Verantwortliche gelten. Im Sinne dieser DPA und sofern nicht anders angegeben, umfasst der Begriff „Kunde“ sowohl den Kunden als auch die autorisierten verbundenen Unternehmen. Alle hierin nicht definierten Begriffe haben die in der Vereinbarung festgelegte Bedeutung.

Im Zuge der Bereitstellung der Software und Dienste für den Kunden gemäß der Vereinbarung kann BigID personenbezogene Daten im Namen des Kunden verarbeiten, und die Parteien vereinbaren, die folgenden Bestimmungen in Bezug auf alle personenbezogenen Daten einzuhalten, wobei jede Partei vernünftig und in gutem Glauben handelt.

Datenverarbeitungsbedingungen

1. Begriffsbestimmungen

  1. "Partnerprogramm„bezeichnet jede Einheit, die die betreffende Einheit direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht, solange die Kontrolle besteht.“Kontrolle„“, bedeutet im Sinne dieser Definition den direkten oder indirekten Besitz oder die Kontrolle von mehr als 50% der Stimmrechte des betreffenden Unternehmens.
  2. "Geltende Datenschutzgesetze„“ bezeichnet das US-Datenschutzgesetz und die DSGVO, die für die Verarbeitung personenbezogener Kundendaten im Rahmen dieser Datenverarbeitungsvereinbarung gelten.
  3. "Autorisiertes Partnerunternehmen„“ bezeichnet ein verbundenes Unternehmen des Kunden, das gemäß der Vereinbarung zwischen dem Kunden und BigID die Software und Dienste nutzen darf, aber keine eigene Bestellung bei BigID unterzeichnet hat.
  4. "Autorisierte europäische Niederlassung„“ bezeichnet ein autorisiertes verbundenes Unternehmen, das den Datenschutzgesetzen und -vorschriften Europas (wie unten definiert) unterliegt.
  5. "BigID„“ bezeichnet die BigID-Einheit, die sowohl Vertragspartei der Vereinbarung als auch dieser DPA ist. Dabei kann es sich um BigID, Inc. handeln, ein im Bundesstaat Delaware eingetragenes Unternehmen.
  6. "Regler„“ bezeichnet eine Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
  7. "Kunde„“ bezeichnet die juristische Person, die die Vereinbarung ausgeführt hat, zusammen mit ihren autorisierten verbundenen Unternehmen (solange sie autorisierte verbundene Unternehmen bleiben), die Zugriff auf die Software und Dienste haben.
  8. "Kundendaten„“ bezeichnet alle vom Kunden stammenden Daten, Informationen oder Materialien, die der Kunde an BigID übermittelt, durch seine Nutzung der Software und Dienste sammelt oder BigID im Laufe der Nutzung der Software und Dienste bereitstellt.
  9. Betroffener„“ bezeichnet die identifizierte oder identifizierbare Person, auf die sich die personenbezogenen Daten beziehen.
  10. "Anonymisierte Daten„“ bezeichnet Daten, die nicht vernünftigerweise mit einer identifizierten oder identifizierbaren natürlichen Person oder einem mit einer solchen Person verknüpften Gerät verknüpft werden können, vorausgesetzt, dass der Kunde oder BigID über diese Daten verfügt.
  11. "Europa„“ bezeichnet den Europäischen Wirtschaftsraum (der aus den Mitgliedstaaten der Europäischen Union sowie Norwegen, Island und Liechtenstein besteht) sowie für die Zwecke dieser DPA das Vereinigte Königreich und/oder die Schweiz.
  12. "GDPR” bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (die „EU-DSGVO”), sowie für die Zwecke dieser DPA (i) die britische Datenschutz-Grundverordnung, wie sie gemäß Abschnitt 3 des European Union (Withdrawal) Act 2018 (der „UK GDPR”); und (ii) das Schweizer Bundesgesetz über den Datenschutz vom 25. September 2020 (das „Schweizer Datenschutzbehörde").
  13. "Persönliche Daten„“ bezeichnet alle Informationen in Bezug auf: (i) eine identifizierte oder identifizierbare natürliche Person und (ii) eine identifizierte oder identifizierbare juristische Person (wobei diese Informationen gemäß den geltenden Datenschutzgesetzen ähnlich wie personenbezogene Daten oder persönlich identifizierbare Informationen geschützt sind, wobei es sich bei diesen Daten im Falle von (i) oder (ii) jeweils um Kundendaten handelt).
  14. "Verarbeitung„“ bezeichnet jeden Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie etwa das Erheben, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder anderweitige Bereitstellung, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
  15. "Prozessor„“ bezeichnet eine Entität, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, einschließlich gegebenenfalls aller „Dienstanbieter“ im Sinne der US-Datenschutzgesetze.
  16. "Pseudonymisierte Daten„“ bezeichnet personenbezogene Daten, die ohne Hinzuziehung zusätzlicher Informationen nicht einer spezifischen natürlichen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und geeigneten technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
  17. "Sicherheitsvorfall„“ bezeichnet jeden bestätigten Sicherheitsverstoß, der zur versehentlichen, unbefugten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, Offenlegung oder zum Zugriff auf personenbezogene Kundendaten führt, die von BigID und/oder seinen Unterauftragsverarbeitern im Zusammenhang mit der Bereitstellung des Dienstes verarbeitet werden. „Sicherheitsvorfall“ umfasst nicht erfolglose Versuche oder Aktivitäten, die die Sicherheit personenbezogener Daten nicht gefährden, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und anderer Netzwerkangriffe auf Firewalls oder vernetzte Systeme.
  18. "Dienstleistungen„“ bezeichnet die Bereitstellung der Produkte und Dienste durch BigID an den Kunden gemäß der Vereinbarung.
  19. Standardvertragsklauseln” bezeichnet Modul zwei der Standardvertragsklauseln im Anhang der Europäischen Kommission Entscheidung (EU) 2021/914 vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates in der jeweils gültigen Fassung, ergänzt um die in Anhang 2 dieser DPA aufgeführten Einzelheiten. Zum Zeitpunkt dieser DPA sind die Standardvertragsklauseln verfügbar hier.
  20. "Unterauftragsverarbeiter„“ bezeichnet jeden von BigID beauftragten Auftragsverarbeiter, der ihn bei der Erfüllung seiner Verpflichtungen in Bezug auf die Bereitstellung der Dienste gemäß der Vereinbarung oder dieser Datenverarbeitungsvereinbarung unterstützt, sofern diese Stelle personenbezogene Daten des Kunden verarbeitet.
  21. "Aufsichtsbehörde„“ bezeichnet (i) in der EU eine unabhängige öffentliche Behörde, die von einem EU-Mitgliedstaat gemäß der EU-DSGVO eingerichtet wurde, (ii) im Vereinigten Königreich das britische Information Commissioner’s Office und (iii) in der Schweiz den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten.
  22. "UK-Nachtrag„“ bezeichnet den britischen Nachtrag zu den Standardvertragsklauseln, herausgegeben gemäß Abschnitt 119A des Data Protection Act 2018, in der jeweils gültigen Fassung, ergänzt um die in Anhang 2 dieser DPA aufgeführten Details. Zum Zeitpunkt dieser DPA ist der britische Nachtrag verfügbar [hier]).
  23. "US-Datenschutzgesetze” bezeichnet den California Consumer Privacy Act („CCPA”) und, sobald umgesetzt, der California Privacy Rights Act („CPRA”), Virginia Consumer Data Protection Act („VCDPA”), Colorado Privacy Act („ColCPA”), Utah Privacy Act („UCPA”), Connecticut Data Privacy Act („CTDPA”) und alle anderen staatlichen oder bundesstaatlichen Gesetze in Bezug auf Privatsphäre oder Datenschutz sowie deren jeweilige Durchführungsbestimmungen.

2. Verarbeitung personenbezogener Daten

  1. Rolle der ParteienDie Parteien erkennen an und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung der Kunde der Verantwortliche, BigID der Auftragsverarbeiter ist und BigID Unterauftragsverarbeiter gemäß den in Abschnitt 6 „Unterauftragsverarbeiter“ weiter unten dargelegten Anforderungen beauftragen wird.
  2. Verarbeitung personenbezogener Daten durch den KundenDer Kunde ist verpflichtet, bei der Nutzung der Software und Dienste personenbezogene Daten gemäß den Anforderungen der geltenden Datenschutzgesetze zu verarbeiten, einschließlich der geltenden Verpflichtung, betroffene Personen über die Nutzung von BigID als Auftragsverarbeiter zu informieren. Zur Vermeidung von Missverständnissen: Die Anweisungen des Kunden zur Verarbeitung personenbezogener Daten müssen den geltenden Datenschutzgesetzen entsprechen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten sowie für die Art und Weise, wie er diese Daten erlangt hat.
  3. Verarbeitung personenbezogener Daten durch BigIDBigID verarbeitet personenbezogene Daten im Namen des Kunden und nur gemäß dessen dokumentierten Anweisungen, einschließlich der in Anhang 1 (Details der Verarbeitung) dieser DPA festgelegten Zwecke, es sei denn, BigID ist gesetzlich dazu verpflichtet, personenbezogene Daten für andere Zwecke zu verarbeiten. In diesem Fall benachrichtigt BigID den Kunden vorab, es sei denn, das geltende Recht verbietet eine Benachrichtigung. Befindet sich der Kunde in der Europäischen Union, beziehen sich die Gesetzesverweise in diesem Abschnitt 2.3 auf die Gesetze der Europäischen Union oder eines Mitgliedstaats der Europäischen Union. BigID informiert den Kunden, wenn die Anweisungen des Kunden nach Ansicht von BigID gegen geltende Datenschutzgesetze verstoßen. In diesem Fall stimmt der Kunde zu, dass BigID nicht verpflichtet ist, diese Verarbeitung durchzuführen.
  4. Details der VerarbeitungGegenstand der Verarbeitung personenbezogener Daten durch BigID ist die Bereitstellung der Software und die Erbringung der Dienstleistungen gemäß der Vereinbarung. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten der personenbezogenen Daten und die Kategorien der betroffenen Personen, die im Rahmen dieser Datenverarbeitungsvereinbarung verarbeitet werden, sind in Anhang 1 (Details der Verarbeitung) dieser Datenverarbeitungsvereinbarung näher erläutert.
  5. Kundensicherheit. BigID ergreift geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Daten des Kunden vor Sicherheitsvorfällen zu schützen und die Sicherheit und Vertraulichkeit der personenbezogenen Daten des Kunden gemäß den in Anhang 3 („Sicherheitsmaßnahmen“) beschriebenen Sicherheitsstandards von BigID zu wahren. Der Kunde erkennt an, dass die Sicherheitsmaßnahmen dem technischen Fortschritt und der Entwicklung unterliegen und dass BigID die Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern kann, sofern diese Aktualisierungen und Änderungen die Gesamtsicherheit der Dienste nicht beeinträchtigen.
  6. Zusätzliche Verarbeitungsbedingungen der Vereinigten Staaten. Wenn der Kunde personenbezogene Daten offenlegt, die den US-Datenschutzgesetzen unterliegen, gelten die folgenden Bestimmungen in Bezug auf die Verarbeitung personenbezogener Daten in Bezug auf „Verbraucher“ oder „Haushalte“ im Sinne dieser Gesetze:
    1. Als Auftragsverarbeiter des Kunden wird BigID personenbezogene Daten nur wie in der Vereinbarung festgelegt oder wie durch die US-Datenschutzgesetze anderweitig gestattet in einer Weise aufbewahren, verwenden oder offenlegen, die mit der eines Auftragsverarbeiters oder „Dienstanbieters“ (wie dieser Begriff im CCPA/CPRA definiert ist) vereinbar ist.
    2. Der Kunde darf BigID nicht anweisen, personenbezogene Daten zu anderen als den ausdrücklichen Geschäftszwecken zur Erbringung der im Vertrag, im DPA und in anderen zwischen den Parteien vereinbarten Dienstleistungen beschriebenen Dienstleistungen zu verarbeiten oder offenzulegen.
    3. BigID darf personenbezogene Daten, die BigID in seiner Rolle als Verarbeiter zur Verfügung gestellt werden, weder „verkaufen“ (wie in den US-Datenschutzgesetzen definiert) noch „weitergeben“ (wie in der CPRA definiert).
    4. Sofern die US-Datenschutzgesetze nichts anderes vorschreiben oder gestatten, darf BigID personenbezogene Daten nicht an Dritte weitergeben, offenlegen, verbreiten, bereitstellen, übertragen oder anderweitig kommunizieren, mit Ausnahme der Unterauftragsverarbeiter von BigID, die an Bedingungen gebunden sind, die mit den in dieser DPA festgelegten Bedingungen übereinstimmen.

3. Rechte der betroffenen Personen

  1. Antrag der betroffenen Person. BigID wird den Kunden, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn BigID eine Anfrage einer betroffenen Person in Bezug auf personenbezogene Daten erhält, um das Recht der betroffenen Person auf Zugang, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung oder ihr Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, auszuüben, wobei jede solche Anfrage eine „Antrag der betroffenen Person„. Unter Berücksichtigung der Art der Verarbeitung unterstützt BigID den Kunden soweit möglich durch geeignete technische und organisatorische Maßnahmen dabei, seiner Verpflichtung nachzukommen, auf eine Anfrage einer betroffenen Person gemäß der DSGVO und den US-Datenschutzgesetzen zu antworten. Sofern der Kunde bei der Nutzung der Software oder Dienste nicht in der Lage ist, auf eine Anfrage einer betroffenen Person zu antworten, unternimmt BigID auf Anfrage des Kunden wirtschaftlich angemessene Anstrengungen, um den Kunden bei der Beantwortung einer solchen Anfrage zu unterstützen, soweit BigID hierzu gesetzlich berechtigt ist und die Beantwortung einer solchen Anfrage einer betroffenen Person gemäß der DSGVO und den US-Datenschutzgesetzen erforderlich ist. Soweit gesetzlich zulässig, trägt der Kunde alle Kosten, die durch die Bereitstellung dieser Unterstützung durch BigID entstehen.

4.Europäische Sonderbestimmungen

  1. Einhaltung der VorschriftenBigID hat als Auftragsverarbeiter alle geltenden Datenschutzgesetze, insbesondere die EU-Datenschutzgesetze, eingehalten und wird dies auch weiterhin tun. Der Kunde ist als Verantwortlicher dafür verantwortlich, dass im Zusammenhang mit personenbezogenen Daten und der Bereitstellung der Software und Dienstleistungen an den Kunden Folgendes gewährleistet ist:
    1. Es hat alle geltenden Datenschutzgesetze, einschließlich der DSGVO, eingehalten und wird dies auch weiterhin tun.
    2. Es ist und bleibt das Recht, die personenbezogenen Daten an BigID zu übertragen oder Zugriff darauf zu gewähren, damit diese gemäß den Bedingungen der Vereinbarung, einschließlich dieser Datenverarbeitungsvereinbarung, verarbeitet werden können.
  2. Datenschutz-FolgenabschätzungAuf Anfrage des Kunden leistet BigID dem Kunden die erforderliche angemessene Zusammenarbeit und Unterstützung, um seiner Verpflichtung gemäß der DSGVO nachzukommen, eine Datenschutz-Folgenabschätzung im Zusammenhang mit der Nutzung der Software und Dienste durch den Kunden durchzuführen, sofern der Kunde keinen anderen Zugriff auf die relevanten Informationen hat und sofern BigID diese Informationen zur Verfügung stehen. BigID leistet dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder vorherigen Konsultation mit einer Aufsichtsbehörde bei der Erfüllung seiner Aufgaben im Zusammenhang mit Abschnitt 4.2 dieser DPA, soweit dies gemäß der DSGVO erforderlich ist.
  3. KundensicherheitAuf Anfrage des Kunden wird BigID dem Kunden die angemessene Zusammenarbeit und Unterstützung bieten, die zur Erfüllung der Sicherheitsverpflichtungen des Kunden gemäß der DSGVO und den US-Datenschutzgesetzen erforderlich ist.
  4. AufsichtsbehördenBigID wird den Kunden, soweit gesetzlich zulässig, unverzüglich benachrichtigen, wenn eine Aufsichtsbehörde oder Strafverfolgungsbehörde eine Anfrage oder Aufforderung zur Offenlegung personenbezogener Daten stellt.
  5. Beitritt zu den Standardvertragsklauseln: Die Standardvertragsklauseln und die in diesem Abschnitt genannten zusätzlichen Bedingungen sind durch Bezugnahme in diese DPA aufgenommen und gelten für die Übermittlung personenbezogener Daten an BigID von (i) dem Kunden, sofern dieser den europäischen Datenschutzgesetzen und -vorschriften unterliegt, und (ii) seinen autorisierten europäischen Tochtergesellschaften. Sofern eine solche Übermittlung personenbezogener Daten:
    1. unterliegen der UK-DSGVO und nicht der EU-DSGVO, dann werden die Standardvertragsklauseln gemäß dem UK-Nachtrag geändert, oder
    2. unterliegen sowohl der UK GDPR als auch der EU GDPR, dann müssen BigID und der Kunde die Standardvertragsklauseln (a) in ihrer aktuellen Fassung und (b) parallel dazu in der durch den UK Addendum geänderten Fassung einhalten, jedoch nur insoweit, als die Übertragung personenbezogener Daten der UK GDPR unterliegt und unbeschadet ihrer Verpflichtungen aus den Standardvertragsklauseln.

Für die Zwecke der Standardvertragsklauseln (einschließlich des UK-Nachtrags, sofern zutreffend) gelten der Kunde und alle autorisierten europäischen Tochterunternehmen jeweils als „Datenexporteur“ und BigID als „Datenimporteur“.

5.BigID-Personal

  1. VertraulichkeitBigID stellt sicher, dass sein mit der Verarbeitung personenbezogener Daten befasstes Personal über die sensible Natur der personenbezogenen Daten informiert ist, eine angemessene Schulung zu seinen Verantwortlichkeiten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat.
  2. ZuverlässigkeitBigID ergreift wirtschaftlich angemessene Maßnahmen, um die Zuverlässigkeit aller BigID-Mitarbeiter sicherzustellen, die mit der Verarbeitung personenbezogener Daten befasst sind.
  3. ZugriffsbeschränkungBigID stellt sicher, dass der Zugriff von BigID auf personenbezogene Daten auf das Personal beschränkt ist, das die Software bereitstellt und die Dienste gemäß der Vereinbarung erbringt.
  4. DatenschutzbeauftragterBigID hat eine Niederlassung in der EU, wo ein EU-Vertreter unter [email protected] erreichbar ist.

6. Unterauftragsverarbeitung

  1. Unterauftragsverarbeiter. Der Kunde erkennt an und stimmt zu, dass BigID im Zusammenhang mit der Bereitstellung der Software und Dienstleistungen im Auftrag des Kunden Unterauftragsverarbeiter beauftragen kann. Die derzeit von BigID beauftragten und vom Kunden autorisierten Unterauftragsverarbeiter sind unter aufgeführt. https://bigid.com/sub-processors/ („Liste der Unterauftragsverarbeiter”), die die Identitäten und Details dieser Unterauftragsverarbeiter enthalten. BigID wird: (i) mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung mit Datenschutzbedingungen abschließen, die den Unterauftragsverarbeiter verpflichten, die personenbezogenen Daten des Kunden gemäß den geltenden Datenschutzgesetzen zu schützen, und zwar in einem Umfang, der hinsichtlich des Schutzes personenbezogener Daten nicht weniger Schutz bietet als die in dieser Vereinbarung enthaltenen Bedingungen, soweit dies auf die Art der von dem jeweiligen Unterauftragsverarbeiter erbrachten Dienstleistungen zutrifft; und (ii) gegenüber dem Kunden für die Erfüllung der Datenschutzverpflichtungen des jeweiligen Unterauftragsverarbeiters gemäß diesen Bedingungen verantwortlich bleiben.
  2. Änderungen bei Unterauftragsverarbeitern. BigID muss möglicherweise in regelmäßigen Abständen unsere Liste der Unterauftragsverarbeiter ergänzen oder ändern. Der Kunde kann der Ernennung eines zusätzlichen Unterauftragsverarbeiters innerhalb von fünfzehn (15) Kalendertagen nach einer solchen Mitteilung aus triftigen Gründen im Zusammenhang mit der Verarbeitung personenbezogener Daten widersprechen. In diesem Fall hat BigID das Recht, den Widerspruch durch eine der folgenden Optionen zu beheben (die nach alleinigem Ermessen von BigID ausgewählt werden): (a) BigID gibt seine Pläne auf, den Unterauftragsverarbeiter in Bezug auf personenbezogene Daten zu verwenden, oder bietet eine Alternative zur Bereitstellung der Software und Dienste ohne einen solchen Unterauftragsverarbeiter an; oder (b) BigID ergreift die vom Kunden in seinem Widerspruch geforderten Abhilfemaßnahmen (die den Widerspruch des Kunden beseitigen) und fährt mit der Verwendung des Unterauftragsverarbeiters in Bezug auf personenbezogene Daten fort; oder (c) wenn keine der oben genannten Optionen in angemessener Weise verfügbar ist und der Einwand nicht zur angemessenen beidseitigen Zufriedenheit der Parteien innerhalb von dreißig (30) Kalendertagen nach Eingang des Einwands des Kunden bei BigID gelöst wurde, kann jede Partei die Vereinbarung kündigen und der Kunde hat Anspruch auf eine anteilige Rückerstattung der im Voraus bezahlten Gebühren für die bis zum Kündigungsdatum noch nicht erbrachte Software und Dienste.
  3. NotfallersatzBigID kann einen Unterauftragsverarbeiter ersetzen, wenn die Änderung dringend und für die Bereitstellung der Software und Dienste erforderlich ist und der Grund für die Änderung außerhalb der Kontrolle von BigID liegt. In diesem Fall aktualisiert BigID die Liste der Unterauftragsverarbeiter online so schnell wie möglich. Der Kunde behält sich das Recht vor, gemäß Abschnitt 6.3 Einspruch gegen den Ersatz-Unterauftragsverarbeiter einzulegen.
  4. Haftung. Sofern in der Vereinbarung nichts anderes festgelegt ist, haftet BigID für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter in demselben Umfang, in dem BigID haften würde, wenn es die Dienste jedes Unterauftragsverarbeiters direkt gemäß den Bedingungen dieser Datenverarbeitungsvereinbarung erbringen würde.

7.Sicherheit

  1. Kontrollen zum Schutz personenbezogener DatenBigID unternimmt wirtschaftlich angemessene Anstrengungen, um die personenbezogenen Daten vor Sicherheitsvorfällen zu schützen, und unterhält ein Informationssicherheitsprogramm, das administrative, physische und technische Maßnahmen umfasst, die ein dem mit der Verarbeitungsaktivität verbundenen Risiko angemessenes Sicherheitsniveau gewährleisten sollen, einschließlich (soweit zutreffend) der in Artikel 32 der DSGVO genannten Maßnahmen.
  2. Vertraulichkeit der VerarbeitungBigID stellt sicher, dass alle Personen, die mit der Verarbeitung personenbezogener Daten beauftragt werden (einschließlich Mitarbeiter, Vertreter, Subunternehmer und Unterauftragsverarbeiter), auch nach Beendigung ihres Arbeitsverhältnisses und/oder Vertragsverhältnisses einer Geheimhaltungspflicht unterliegen.
  3. SicherheitsvorfallSobald BigID von einem Sicherheitsvorfall Kenntnis erlangt, benachrichtigt BigID den Kunden unverzüglich und gemäß den Bedingungen der Vereinbarung, spätestens jedoch innerhalb von zweiundsiebzig (72) Stunden, und stellt dem Kunden zeitnah die Informationen zur Verfügung, die er in angemessenem Umfang benötigt, um seinen Meldepflichten bei Datenschutzverletzungen gemäß den geltenden Gesetzen nachzukommen. BigID wird die Ursache eines solchen Sicherheitsvorfalls unverzüglich untersuchen und beheben. BigID stellt dem Kunden alle Informationen zur Verfügung, die er zum Nachweis seiner Einhaltung der DSGVO und der US-Datenschutzgesetze benötigt.
  4. Zertifizierungen und Audits durch Dritte. Auf schriftliche Anfrage des Kunden in angemessenen Abständen und vorbehaltlich der im Vertrag festgelegten Vertraulichkeitsverpflichtungen wird BigID auf die angemessene Risikobewertung des Kunden durch Dritte reagieren und einem Kunden, der kein Konkurrent von BigID ist (oder einem unabhängigen externen Prüfer des Kunden, der kein Konkurrent von BigID ist), eine Kopie der jeweils aktuellsten externen Prüfungen oder Zertifizierungen von BigID zur Verfügung stellen, um die Einhaltung dieser DPA nachzuweisen.
  5. Löschung von Daten. Bei Kündigung oder Ablauf der Vereinbarung löscht BigID gemäß den Bedingungen der Vereinbarung und auf Anfrage des Kunden alle relevanten personenbezogenen Daten im Besitz von BigID, es sei denn, BigID ist gesetzlich verpflichtet, einige oder alle personenbezogenen Daten aufzubewahren. Wenn der Kunde sich dafür entscheidet, dass BigID gesetzlich verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren, erweitert BigID den Schutz der Vereinbarung und dieser Datenverarbeitungsvereinbarung auf diese personenbezogenen Daten und beschränkt die weitere Verarbeitung dieser personenbezogenen Daten auf die begrenzten Zwecke, die die Aufbewahrung erfordern, solange BigID die personenbezogenen Daten speichert. Befindet sich der Kunde in der Europäischen Union, beschränken sich die Gesetzesverweise in diesem Abschnitt 7.5 auf die Gesetze der Europäischen Union oder eines Mitgliedstaats der Europäischen Union.

8.Verschiedenes

  1. Sofern durch diese DPA keine Änderungen vorgenommen werden, bleibt die Vereinbarung in vollem Umfang in Kraft.
  2. Im Falle eines Konflikts zwischen der Vereinbarung und dieser Datenverarbeitungsvereinbarung gelten die Bedingungen dieser Datenverarbeitungsvereinbarung.
  3. Sämtliche Ansprüche im Rahmen dieser DPA unterliegen den Bedingungen der Vereinbarung, insbesondere den darin enthaltenen Ausschlüssen und Beschränkungen.
  4. Diese DPA tritt mit dem Datum der Vereinbarung in Kraft und bleibt bis zu deren Ablauf oder Kündigung in Kraft; zu diesem Zeitpunkt endet sie automatisch.

ANHANG 1 – DETAILS DER VERARBEITUNG

Art und Zweck der Verarbeitung

BigID (und alle beauftragten Unterauftragsverarbeiter) verarbeitet personenbezogene Daten, soweit dies zur Bereitstellung der Software und Erbringung der Dienstleistungen gemäß der Vereinbarung und gemäß den weiteren Anweisungen des Kunden bei der Nutzung der Software und Dienstleistungen erforderlich ist. Dies umfasst:

  1. Bereitstellung der Software und Dienste für den Kunden.
  2. Damit der Kunde die Software und Dienste nutzen kann, einschließlich aller Verarbeitungen, die von den Benutzern des Kunden bei der Nutzung der Software und Dienste initiiert werden.
  3. Dokumentierte, angemessene Anweisungen des Kunden (z. B. per E-Mail) zu befolgen, sofern diese Anweisungen mit den Bedingungen der Vereinbarung übereinstimmen.
  4. Erfüllung der Vereinbarung und der geltenden Aufträge, dieser Datenverarbeitungsvereinbarung und/oder anderer von den Parteien abgeschlossener Verträge.
  5. Bereitstellung von Support und technischer Wartung, sofern im Vertrag vereinbart.
  6. Beilegung von Streitigkeiten.
  7. Durchsetzung der Vereinbarung, dieser DPA und/oder Verteidigung der Rechte von BigID.
  8. Verwaltung der Vereinbarung, der DPA und/oder anderer von den Parteien abgeschlossener Verträge, einschließlich Gebührenzahlung, Kontoverwaltung, Buchhaltung, Steuern, Management, Rechtsstreitigkeiten.
  9. Einhaltung der geltenden Gesetze und Vorschriften, einschließlich der Zusammenarbeit mit lokalen und ausländischen Steuerbehörden, sowie Verhinderung von Betrug, Geldwäsche und Terrorismusfinanzierung.
  10. Alle Aufgaben, die mit einem der oben genannten Punkte in Zusammenhang stehen.

Dauer und Häufigkeit der Verarbeitung sowie Zeitraum, für den personenbezogene Daten gespeichert werden

Vorbehaltlich Abschnitt 7.5 des DPA verarbeitet BigID personenbezogene Daten kontinuierlich für die Dauer der Vereinbarung, sofern nicht schriftlich etwas anderes vereinbart wurde.

Kategorien betroffener Personen

Der Kunde kann personenbezogene Daten an die Software und Dienste übermitteln. Der Umfang dieser Daten wird vom Kunden nach eigenem Ermessen bestimmt und kontrolliert. Dazu können unter anderem personenbezogene Daten gehören, die sich auf die folgenden Kategorien betroffener Personen beziehen:

  • Endbenutzer oder Verbraucher und/oder Klienten des Kunden
  • Vom Kunden zur Nutzung der Software und Dienste autorisierte Benutzer des Kunden
  • Interessenten, Kunden, Geschäftspartner und Lieferanten des Kunden (die natürliche Personen sind)
  • Mitarbeiter, Vertreter, Berater, Verkäufer, Freiberufler von Kunden (die natürliche Personen sind) oder Kontaktpersonen von Interessenten, Kunden, Geschäftspartnern und Verkäufern des Kunden
  • Mitarbeiter, Vertreter, Berater, freie Mitarbeiter des Kunden (die natürliche Personen sind)

Art der personenbezogenen Daten

Der Kunde kann personenbezogene Daten an die Software und Dienste übermitteln. Der Umfang dieser Daten wird vom Kunden nach seinem alleinigen Ermessen bestimmt und kontrolliert. Dazu können unter anderem die folgenden Kategorien personenbezogener Daten gehören:

  • Vor- und Nachname
  • Titel
  • Position
  • Arbeitgeber
  • Kontaktinformationen (E-Mail, Telefon, Postanschrift)
  • ID-Daten
  • Daten zum Berufsleben
  • Persönliche Lebensdaten
  • Lokalisierungsdaten

ANHANG 2 – INFORMATIONEN ZU INTERNATIONALEN ÜBERMITTLUNGEN

Wann die Standardvertragsklauseln gelten:

  • Anhang IA wird mit den im Vertrag aufgeführten Namen, Adressen und Ansprechpartnern der Parteien ergänzt.
  • Die Unterschriften aller Parteien und das Datum der Vereinbarung gelten als eingetragen.
  • Die Rolle des Kunden wird als „Verantwortlicher“ und die Rolle von BigID als „Auftragsverarbeiter“ angegeben.
  • Anhang IB wird durch die in Anhang 1 dieser DPA aufgeführten Informationen sowie durch die Einzelheiten der in Anhang 3 dieser DPA aufgeführten Beschränkungen und Sicherheitsvorkehrungen vervollständigt, die unter Berücksichtigung der Art der Daten und der damit verbundenen Risiken für alle übertragenen personenbezogenen Daten, einschließlich sensibler Daten, gelten.
  • Anhang II wird durch die Einzelheiten der in Anlage 3 dieser DPA aufgeführten technischen und organisatorischen Maßnahmen ergänzt.
  • Anhang IC wird wie folgt ergänzt:
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden nicht in den Anwendungsbereich der EU-DSGVO fällt, wird gemäß dem britischen Nachtrag das britische Information Commissioner’s Office als zuständige Aufsichtsbehörde eingesetzt.
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden in den Anwendungsbereich der EU-DSGVO fällt, ist die zuständige Aufsichtsbehörde entweder (i) die Aufsichtsbehörde des EU-Mitgliedstaats, in dem der Kunde niedergelassen ist, oder (ii) (wenn der Kunde nicht in der EU niedergelassen ist) der EU-Mitgliedstaat, in dem der Kunde seinen EU-Vertreter ernannt hat, oder (iii) (wenn der Kunde nicht in der EU niedergelassen ist und keinen EU-Vertreter ernannt hat) die irische Datenschutzkommission.
  • Option 1 wird aus Klausel 9(a) gestrichen. Der relevante Zeitraum richtet sich nach den Abschnitten 6.3 und 6.4. Die in dieser Bestimmung genannte „vereinbarte Liste“ ist die in Abschnitt 6.2 dieser DPA genannte Liste der Unterauftragsverarbeiter.
  • Der optionale Wortlaut in Klausel 11(a) wird gestrichen.
  • Option 2 wird aus Klausel 17 gestrichen und:
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden nicht in den Anwendungsbereich der EU-DSGVO fällt, dann gelten die Gesetze von England und Wales; aber
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden in den Geltungsbereich der EU-DSGVO fällt, gilt das Recht der Republik Irland.
  • Klausel 18(b) wird wie folgt ergänzt:
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden nicht in den Geltungsbereich der EU-DSGVO fällt, mit den Worten „England und Wales“; oder
    • Wenn die Verarbeitung der personenbezogenen Daten durch den Kunden in den Geltungsbereich der EU-DSGVO fällt, mit den Worten „Republik Irland“.

Wenn der UK-Nachtrag Anwendung findet, gilt zusätzlich zu den Informationen zu den in diesem Anhang oben aufgeführten Standardvertragsklauseln Folgendes:

  • Tabelle 1 wird mit dem Datum des Vertragsabschlusses als Startdatum sowie den Firmen- und Handelsnamen, der Hauptadresse, der amtlichen Registrierungsnummer, dem Namen des Hauptansprechpartners, der Berufsbezeichnung und den Kontaktdaten (einschließlich E-Mail-Adresse) der Parteien gemäß dem Vertrag ausgefüllt. Die Unterschriften aller Parteien gelten als in den Hauptvertrag aufgenommen.
  • Die Tabellen 2 und 3 werden mit den Informationen zu den in diesem Anhang aufgeführten Standardvertragsklauseln ausgefüllt, die für eine Übertragung gemäß Klausel 4.5 dieser DPA relevant sind. Die erste Option in Tabelle 2 wird ausgewählt und das Datum der Vereinbarung eingetragen.
  • Tabelle 4 wird ausgefüllt, damit jede Partei den UK-Nachtrag beenden kann, wenn der UK-Nachtrag vom britischen Information Commissioner's Office geändert wird. Die Parteien vereinbaren, dass der Kunde nach Beendigung des UK-Nachtrags keine personenbezogenen Daten, die der britischen DSGVO unterliegen, mehr gemäß der Vereinbarung und dieser DPA an BigID überträgt, es sei denn, es wurde zur angemessenen Zufriedenheit von BigID eine alternative Übertragungssicherung eingerichtet.

ANHANG 3 – SICHERHEITSMASSNAHMEN

I. DEFINITIONEN; ANWENDBARKEIT

Dieser Anhang 3, Sicherheitsmaßnahmen („Sicherheitsmaßnahmen”), wird durch Bezugnahme in die Datenverarbeitungsvereinbarung aufgenommen und zu einem Teil davon gemacht („DPA”). Alle in diesen Sicherheitsmaßnahmen oder in der DPA nicht definierten Begriffe haben die im Vertrag festgelegte Bedeutung. Der Kunde erkennt an und stimmt zu, dass diese Sicherheitsmaßnahmen für eine BigID-Softwarebereitstellung vor Ort oder eine gehostete BigID-Softwarebereitstellung verwendet werden können. Im Falle einer BigID-Softwarebereitstellung vor Ort gelten jedoch nur Abschnitt 2 („Sicherheitszertifizierungen und -prüfungen“), Abschnitt 3 („Sicherheitsschulungen, Vertraulichkeitsverpflichtungen und Hintergrundüberprüfungen“) und Abschnitt 12 („Sichere Codierungspraktiken“) von Artikel III dieser Sicherheitsmaßnahmen.

  • „Gehostete Software“ bezeichnet BigID-Software und -Dienste, die dem Kunden auf Anfrage über das Internet zum Zugriff und zur Nutzung zur Verfügung gestellt werden.

II. DATENSICHERHEITSKONTROLLEN DES CLOUD-ANBIETERS

BigID verwendet einen Unterprozessor, um die Infrastrukturumgebung für die Ausführung der gehosteten Software bereitzustellen (die „Cloud-Anbieter”). Dementsprechend arbeitet die gehostete Software innerhalb des Sicherheitsrahmens des Cloud-Anbieters. BigID behält sich das Recht vor, gemäß den Bedingungen der DPA und der Vereinbarung zu einem anderen Cloud-Anbieter oder zu einem von BigID oder einem seiner verbundenen Unternehmen betriebenen Rechenzentrum zu wechseln; vorausgesetzt, dass die Datensicherheitsvorkehrungen mindestens den geltenden Branchenstandards entsprechen und die Bestimmungen dieser Sicherheitsmaßnahmen nicht wesentlich eingeschränkt werden. Zu den aktuellen Sicherheitszertifizierungen des Cloud-Anbieters gehören ISO 27001 und SOC2. Diese Zertifizierungen können von Zeit zu Zeit vom Cloud-Anbieter oder bei einem Wechsel von BigID zu einem anderen Cloud-Anbieter geändert werden. Im Rahmen des Prozesses zum Erhalt und zur Aufrechterhaltung dieser Zertifizierungen hat der Cloud-Anbieter zahlreiche Verfahren implementiert, darunter: (a) Hintergrundüberprüfungen des Personals und Schulungen zum Sicherheitsbewusstsein; (b) physische und logische Zugangskontrollmaßnahmen; (c) Notfallreaktionspläne; und (d) Notfallwiederherstellungs- und Geschäftskontinuitätspläne.

1. ÜBERBLICK

Obwohl kein Unternehmen potenzielle Hackerangriffe oder andere kriminelle Handlungen vollständig verhindern kann, unterhält BigID ein Sicherheitsprogramm mit administrativen, physischen und technischen Maßnahmen sowie das Sicherheitsprogramm und die Sicherheitszertifizierungen des Cloud-Anbieters, das darauf ausgelegt ist, die personenbezogenen Daten vor Sicherheitsvorfällen zu schützen und ein Sicherheitsniveau zu gewährleisten, das dem mit der Verarbeitungsaktivität verbundenen Risiko angemessen ist.

Ohne Einschränkung des Vorstehenden umfasst das Sicherheitsprogramm von BigID, das zusätzlich zum Sicherheitsprogramm des Cloud-Anbieters besteht, derzeit die in den Abschnitten 2 bis 17 unten beschriebenen Elemente.

2. SICHERHEITSZERTIFIZIERUNGEN UND AUDITS
BigID verfügt über ein Zertifikat einer renommierten externen Zertifizierungsstelle, das die Konformität mit ISO/IEC 27001:2013 oder einem Nachfolgestandard bestätigt. Darüber hinaus wird BigID einen SSAE18 SOC 2, Typ II-Auditbericht für alle Systeme und Prozesse zur Verarbeitung personenbezogener Daten sowie für Systeme, die ein Risiko für diese Systeme und Prozesse darstellen könnten, einholen und pflegen. Nach schriftlicher Anfrage des Kunden (maximal einmal jährlich) stellt BigID umgehend eine Kopie der aktuellsten ISO-Zertifizierung oder Auditzusammenfassung eines Drittanbieters, des SSAE18 SOC 2, Typ II-Auditberichts oder aktueller Penetrationstest-Bescheinigungen oder -Zusammenfassungen eines Drittanbieters zur Verfügung.

3. SICHERHEITSSCHULUNGEN, VERTRAULICHKEITSVERPFLICHTUNGEN UND HINTERGRUNDÜBERPRÜFUNGEN
BigID bietet ein obligatorisches Sicherheits- und Datenschutzbewusstseins- und Schulungsprogramm für alle BigID-Mitarbeiter und Auftragnehmer (mit Ausnahme von Unterauftragsverarbeitern), die bei der Erbringung ihrer Dienste Zugriff auf personenbezogene Daten haben können (zusammen „Arbeiter mit Zugang”). Alle Mitarbeiter mit Zugang unterliegen zudem den im Vertrag festgelegten Vertraulichkeitsverpflichtungen. Darüber hinaus führt BigID im Zusammenhang mit der Einstellung oder Beschäftigung aller Mitarbeiter mit Zugang Hintergrundüberprüfungen gemäß den gängigen Praktiken ähnlicher Unternehmen durch. BigID wird keinen Mitarbeiter mit Zugang einstellen oder beschäftigen, wenn die Hintergrundüberprüfung ergibt, dass die Person wegen eines Verbrechens im Zusammenhang mit Diebstahl, Unehrlichkeit, Betrug oder Computerkriminalität verurteilt wurde; die Verpflichtungen von BigID in Bezug auf Hintergrundüberprüfungen unterliegen jedoch jederzeit den geltenden Gesetzen für solche Hintergrundüberprüfungen.

4. VERSCHLÜSSELUNGSPROGRAMME

  • Verschlüsselungsrichtlinie.  BigID verfügt über eine dokumentierte Sicherheitskryptografierichtlinie, die die Verwendung der Verschlüsselung, die geltenden Verschlüsselungsstandards und die Verschlüsselungsstärke vorschreibt.
  • Verschlüsselung während der Übertragung.  Verschlüsselung während der Übertragung unter Verwendung standardmäßiger Verschlüsselungstechnologie (z. B. Transport Layer Security (TLS), IPSec und SMB).
  • Verschlüsselung im Ruhezustand.  Alle gespeicherten personenbezogenen Daten werden mit der branchenüblichen symmetrischen Verschlüsselung verschlüsselt.

5. ANTI-MALWARE-DIENSTE
BigID nutzt Anti-Malware-Programmdienste von Drittanbietern, die vor Malware schützen sollen, die Systemdienste und -funktionen beeinträchtigt, wie im Folgenden näher beschrieben:

  • BigID bietet, unterstützt und wartet einen Anti-Malware-Dienst, der Laufzeitschutz vor schädlichen ausführbaren Dateien bietet.

6. PHYSIKALISCHE SICHERHEIT
BigID unternimmt wirtschaftlich angemessene Anstrengungen, um sicherzustellen, dass der Cloud-Anbieter physische Sicherheitskontrollen für den Zugang zum Rechenzentrum aufrechterhält, darunter mehrstufige Sicherheitsmaßnahmen, die Umzäunungen, Videokameras, Sicherheitspersonal, sichere Eingänge und Echtzeit-Kommunikationsnetzwerke umfassen.

7. DATENENTSORGUNG
Nach Beendigung oder Ablauf des Vertrags löscht BigID auf Anfrage des Kunden alle relevanten personenbezogenen Daten im Besitz von BigID gemäß den Bestimmungen des DPA und des Vertrags; BigID darf jedoch Kopien der Kundendaten gemäß diesen Bestimmungen aufbewahren. Die Löschung bedeutet, dass die personenbezogenen Daten unzugänglich, unleserlich oder anderweitig nicht wiederherstellbar sind.

8. WEITERE ZUGRIFFSKONTROLLEN
Wie in Abschnitt 9 („Richtlinien für Zugriffskontrolle und Kennwortverwaltung“) näher beschrieben, verfügt BigID über Richtlinien, Verfahren und logische Kontrollen, die den Zugriff auf die gehostete Software auf autorisiertes Personal beschränken, das diese Informationen benötigt. Sie verhindern, dass Mitarbeiter ohne Zugriff Zugriff erhalten, und sperren den Zugriff von Mitarbeitern bei Änderungen der Aufgaben oder des Beschäftigungsstatus. Für Mitarbeiter mit Zugriff beschränken die Standardverfahren von BigID den Zugriff zusätzlich auf die Behebung von Problemen mit Systemkomponenten und nicht auf die Einsichtnahme in personenbezogene Daten (außer in Situationen, in denen die gelegentliche Einsichtnahme in personenbezogene Daten im Zusammenhang mit der Behebung eines Problems oder der Beantwortung einer Kundenanfrage erforderlich sein kann).

9. Zugangskontroll- und Passwortverwaltungsrichtlinie

  • Allgemeine Passwortanforderungen. BigID verfügt über eine Richtlinie zur Zugriffskontrolle und Passwortverwaltung sowie ein automatisiertes Passwortverwaltungssystem zur Durchsetzung der Richtlinienanforderungen. Die Richtlinie gilt für alle relevanten Systeme, Anwendungen und Datenbanken. In den Unternehmens- und gehosteten Softwareumgebungen von BigID gibt es verschiedene Passwortklassen, wie unten näher erläutert. Zum Schutz vor unbefugter Passwortverwendung werden branchenübliche Passwortpraktiken eingesetzt, darunter: (a) Mindestlänge des Passworts; (b) Passwortkomplexität; (c) Passwortverlauf; (d) Passwortsperre bei Fehlversuchen; und (e) zufällig generierte Initialpasswörter.
  • BigID Enterprise-Identitäts- und Passwortverwaltung. Das BigID-Unternehmen verwendet einen Single-Sign-On-Multifaktor-Authentifizierungsdienst zur Authentifizierung aller Personen in der Organisation und zur Authentifizierung des Zugriffs auf die Systeme, die die gehostete Software unterstützen und betreiben (die „Backend").
    • Front-End-Zugriff. BigID verwendet die folgenden Methoden für den Zugriff auf die Benutzeroberfläche (das „Front-End“):
      • Der Kunde steuert die Front-End-Anmeldungen zu seinem Geo über ein Passwortverwaltungssystem, das den Benutzerauthentifizierungsanbieter, z. B. Active Directory, verwendet. Der Kunde kontrolliert die Front-End-Passwortrichtlinien für seine autorisierten Benutzer und kann aus jedem unterstützten Authentifizierungsanbieter der gehosteten Software wählen, einschließlich Anforderungen an Länge, Ablauf, Wiederverwendung und Komplexität sowie Sperr- und Reset-Optionen.
      • BigID unterstützt die Integration mit seinem Single-Sign-On-Multifaktor-Authentifizierungsdienst, damit Kunden den Zugriff über das Front-End einschränken können.
    • Back-End-Zugriff. BigID verwendet die folgenden Methoden für den Zugriff auf das Back-End:
      • Alle Verbindungen zu Back-End-Ressourcen werden über eine privilegierte Zugriffsverwaltungslösung vermittelt, die die eindeutige Benutzer-ID protokolliert, die die Verbindungen hergestellt hat. Nur bestimmte Mitglieder von BigID können über die privilegierte Zugriffsverwaltungslösung auf Back-End-Konten zugreifen. Für den Zugriff auf diese Lösung ist eine Authentifizierung über einen Single-Sign-On-Multifaktor-Authentifizierungsdienst erforderlich.

10. Notfallwiederherstellungs- und Geschäftskontinuitätspläne

Der Cloud-Anbieter und BigID verfügen über Notfallwiederherstellungs- und Geschäftskontinuitätspläne. Diese Pläne umfassen ein separates Backup-Rechenzentrum und einen formalen Rahmen für die Bewältigung ungeplanter Ereignisse, um den Verlust wichtiger Ressourcen zu minimieren. Der formale Rahmen umfasst eine definierte Backup-Richtlinie und zugehörige Verfahren, darunter dokumentierte Richtlinien und Verfahren zur (a) Wiederherstellung von Anwendungen und Betriebssystemen und (b) zur regelmäßigen Überprüfung der Wiederherstellung vom Backup-Speicherort. Sofern BigID Backups auf Band oder anderen Wechseldatenträgern erstellt, müssen diese gemäß den oben genannten Verschlüsselungsanforderungen verschlüsselt werden.

11. Zugewiesene Sicherheitsverantwortung
BigID überträgt die Verantwortung für die Entwicklung, Implementierung und Wartung seines Sicherheitsprogramms, einschließlich:

  • Benennung eines Sicherheitsbeauftragten mit der Gesamtverantwortung;
  • Definition von Sicherheitsrollen für Personen mit Sicherheitsverantwortung; und
  • Durchführung von Risikobewertungen von BigID und der gehosteten Software mindestens einmal jährlich und bei größeren Änderungen an Systemen oder Prozessen.

12. SICHERE CODIERUNGSPRAKTIKEN
Alle BigID-Entwickler müssen einen Kurs zu Sicherheitsbewusstsein und sicherem Programmieren absolvieren. Die BigID-Programmierstandards enthalten eine starke Sicherheitskomponente. Unter anderem sind die OWASP Secure Coding Practices Quick Reference Guidelines in die BigID-Programmierstandards integriert. Die Programmierstandards werden jährlich überprüft und von den Entwicklungs- und Sicherheitsteams gepflegt, um stets auf dem neuesten Stand zu bleiben und die geltenden Standards durchzusetzen. Standardmäßige Produktionsquellcodeänderungen durchlaufen einen Pull-Request-Workflow, um ein Peer-Review hinsichtlich Codequalität und Einhaltung der Programmierstandards sicherzustellen. Jeder Commit in eine BigID-Codebasis erfordert die Genehmigung eines anderen Entwicklers. Dieser prüft die Einhaltung der BigID-Programmierstandards, bevor er Codeänderungen akzeptiert. Für neue Funktionen ist ein strukturierter Überprüfungsprozess mit dem BigID-Sicherheitsteam erforderlich. Im Rahmen dieses Prozesses erhält jedes Projekt eine Risikobewertung basierend auf Risikobewertungskriterien. Je höher die Risikobewertung, desto intensiver wird das Projekt während seines Lebenszyklus auf seine Sicherheit geprüft.

13. SICHERHEITSTESTS
BigID testet regelmäßig die wichtigsten Kontrollen, Systeme und Verfahren seines Sicherheitsprogramms, um sicherzustellen, dass sie ordnungsgemäß implementiert sind und den identifizierten Bedrohungen und Risiken wirksam begegnen. Die Tests umfassen derzeit:

  • Interne Risikobewertungen
  • Einsatz interner Sicherheitsspezialisten und/oder Dritter zur Durchführung von Sicherheitsbewertungen auf Webanwendungsebene. Diese Bewertungen beziehen sich in der Regel auf die OWASP Top 10, die Folgendes umfassen können:
    • Cross-Site-Request-Forgery;
    • Unsachgemäße Eingabeverarbeitung (z. B. Cross-Site-Scripting, SQL-Injection, XML-Injection, Cross-Site-Flashing);
    • XML- und SOAP-Angriffe;
    • Schwaches Sitzungsmanagement;
    • Mängel bei der Datenvalidierung und Inkonsistenzen bei den Einschränkungen des Datenmodells;
    • Unzureichende Authentifizierung;
    • Unzureichende Autorisierung;
    • Penetrationstests für Webanwendungen:
      • Beim Penetrationstest von Webanwendungen sucht ein spezielles Penetrationstestteam nach Sicherheitsrisiken wie XSS, Cross Site Request Forgery, Authentifizierungs- und Autorisierungsproblemen. BigID verwendet neben branchenüblichen Tests auch spezielle Tests, die teilweise an neue Funktionen angepasst werden. Das Penetrationstestteam nutzt aufgrund seiner vielfältigen Erfahrungen und Kenntnisse der gehosteten Software auch andere Penetrationstesttechniken.
      • BigID beauftragt jährlich ein externes Penetrationstestunternehmen mit einem umfassenden Test der Funktionalität der gehosteten Software. Dieser umfasst branchenübliche Tests wie die von OWASP sowie zusätzliche Tests, die das Penetrationstestunternehmen im Rahmen der Prüfung der Anwendung für notwendig erachtet.
      • Auf Anfrage stellt BigID dem Kunden jährlich ein Bestätigungsschreiben für den Penetrationstest zur Verfügung.

14. SICHERHEITSÜBERWACHUNG UND AUTOMATISIERTE SCHWACHSTELLEN-SCANS
BigID überwacht Netzwerk- und Produktionssysteme, einschließlich Fehlerprotokollen auf Servern, Festplatten und Sicherheitsereignissen, auf verdächtige oder bösartige Aktivitäten. Die Überwachung umfasst im Allgemeinen:

  • Wir organisieren regelmäßige automatisierte Schwachstellenscans aller in der gehosteten Software bereitgestellten Assets, um Schwachstellen zu identifizieren, zu minimieren oder zu beheben. Zu den Assets zählen Server, Anwendungen und gegebenenfalls Endpunkte und Netzwerkgeräte.
  • Abonnieren Sie Schwachstellen-Informationsdienste oder Hinweise zur Informationssicherheit und andere relevante Quellen, die aktuelle Informationen zu Systemschwachstellen bereitstellen.
  • Überprüfung von Änderungen, die sich auf Systeme zur Authentifizierung, Autorisierung und Überwachung auswirken.
  • Es ist angebracht, den privilegierten Back-End-Zugriff auf die gehostete Software zu überprüfen, um den privilegierten Zugriff zu validieren.
  • Beauftragen Sie Dritte jährlich mit der Durchführung von Netzwerk-Schwachstellenbewertungen und Penetrationstests.
  • Führen Sie die branchenübliche Ereignisprotokollierung für Server, Anwendungen und Netzwerkgeräte durch, um das Management von Sicherheitsvorfällen und -ereignissen zu erleichtern. BigID speichert diese Protokolle mindestens ein (1) Jahr lang.
  • Klassifizierung von Schwachstellen gemäß branchenüblicher Risikobewertungsmethoden (z. B. Common Vulnerability Scoring System, OWASP oder NIST).
  • Minderung und/oder Behebung von Schwachstellen in der Infrastruktur oder den Anwendungen der gehosteten Software, die einen direkten, unbefugten Zugriff auf personenbezogene Daten ermöglichen könnten, sei es durch die Anwendung eines verfügbaren Patches oder durch Ergreifen anderer angemessener Maßnahmen innerhalb der folgenden Zeiträume:

15. ÄNDERUNGS- UND KONFIGURATIONSMANAGEMENT
BigID verfügt über Richtlinien und Verfahren zur Verwaltung von Änderungen an der gehosteten Software. Zu diesen Richtlinien und Verfahren gehören:

  • einen Prozess zur Dokumentation, Prüfung und Genehmigung der Einführung von Änderungen in die Produktion; und
  • Ein Sicherheitspatchprozess, der auf der Grundlage einer Risikoanalyse das zeitnahe Patchen von Systemen erfordert.

16. REAKTIONEN AUF SICHERHEITSVORFÄLLE

  • Cyber-Operations-Team. BigID verfügt über ein Cyber-Operations-Team, das (a) in der Lage ist, sich kurzfristig zu treffen, um etwaige Vorfälle zu beheben; und (b) sich auf die kontinuierliche Weiterentwicklung und Verbesserung der Verfahren konzentriert, die im Falle eines Sicherheitsvorfalls mit personenbezogenen Daten oder eines Sicherheitsvorfalls mit Anwendungen oder Systemen, die direkt mit der Verarbeitung personenbezogener Daten verbunden sind, zu befolgen sind. Zu den aktuellen Verfahren gehören:
    • Rollen und Verantwortlichkeiten: Das Cyber-Team von BigID wird während des gesamten Vorfallreaktionsprozesses in Abstimmung mit zusätzlichen Sicherheits- und Engineering-Ressourcen agieren.
    • Untersuchung: Bewertung des Risikos, das der Vorfall darstellt, und Bestimmung, wer gemäß dem DPA betroffen sein könnte;
    • Kommunikation: interne Berichterstattung sowie das im DPA und nachstehend dargelegte Verfahren zur Meldung von Sicherheitsvorfällen;
    • Aufzeichnungen: eine dauerhafte Aufzeichnung darüber zu führen, was getan wurde und von wem, um eine spätere Analyse gemäß dem DPA zu erleichtern; und
    • Prüfung: Durchführen und Dokumentieren von Ursachenanalysen und Sanierungsplänen gemäß DPA.
  • Reaktion auf Sicherheitsvorfälle
    • Benachrichtigung über einen Sicherheitsvorfall.  Sofern die Benachrichtigung nicht durch geltendes Recht oder die Maßnahmen oder Forderungen einer Strafverfolgungsbehörde verzögert oder verboten wird, meldet BigID einen Sicherheitsvorfall dem Sicherheitskontakt des Kunden, der BigID gemäß der DPA und der Vereinbarung zugewiesen wurde.
    • BigID-Antwort. BigID ergreift angemessene Maßnahmen, um die Ursache von Sicherheitsvorfällen umgehend zu beheben, entsprechende Überwachungsprotokolle zu implementieren und die Umstände zu ermitteln, die zu dem Sicherheitsvorfall geführt haben, um weitere ähnliche Sicherheitsvorfälle verhindern zu können (es sei denn, der Sicherheitsvorfall wurde durch Handlungen oder Unterlassungen des Kunden oder seiner autorisierten Benutzer verursacht; in diesem Fall muss der Kunde entsprechende Maßnahmen ergreifen). BigID kann mit forensischen Ermittlern, Anwaltskanzleien und Strafverfolgungsbehörden zusammenarbeiten, um Art, Ausmaß und Quelle von Sicherheitsvorfällen zu ermitteln und kann Sicherheitsaufzeichnungen, Sicherheitsprotokolle und andere Informationen offenlegen, wenn BigID dies für angemessen hält oder wenn dies nach geltendem Recht erforderlich ist; vorausgesetzt, dass für die Offenlegung von Kundendaten die vorherige schriftliche Zustimmung des Kunden im nach geltendem Recht zulässigen Umfang erforderlich ist, es sei denn, BigID würde durch das Zurückhalten der Informationen Geldbußen, Strafen oder andere Sanktionen oder Haftungen (oder erhöhte Geldbußen, Strafen oder andere Sanktionen oder Haftungen) riskieren. Wenn BigID ohne die Zustimmung des Kunden Aussagen zu einem Sicherheitsvorfall macht, wird BigID nicht offen legen, dass der Kunde oder Kundendaten betroffen waren, es sei denn, eine solche Offenlegung ist durch geltendes Recht vorgeschrieben.
    • Zusammenarbeit mit dem Kunden. Auf Anfrage des Kunden arbeitet BigID mit dem Kunden (und den Aufsichtsbehörden und Versicherern des Kunden) zusammen, um den Sicherheitsvorfall zu untersuchen und zu versuchen, die spezifischen Kundendaten zu identifizieren, die von dem Sicherheitsvorfall betroffen sind (kostenlos, außer in dem Umfang, in dem der Sicherheitsvorfall durch Handlungen oder Unterlassungen des Kunden oder seiner autorisierten Benutzer verursacht wurde oder dazu beigetragen wurde). Sofern nicht durch geltendes Recht verboten, wird BigID: (a) Informationen über die Art und die Folgen des Sicherheitsvorfalls bereitstellen, sobald diese Informationen erfasst werden oder BigID anderweitig zur Verfügung stehen; und (b) den Kunden anderweitig angemessen dabei unterstützen, betroffene Personen, Regierungsbehörden, Aufsichtsbehörden und/oder Kreditauskunfteien zu benachrichtigen; vorausgesetzt, die Parteien vereinbaren, dass der Kunde allein dafür verantwortlich ist, zu entscheiden, ob betroffene Eigentümer der Kundendaten benachrichtigt werden müssen und ob für den Kunden oder die Kundendaten zuständige Aufsichtsbehörden oder Durchsetzungskommissionen benachrichtigt werden müssen, und solche Benachrichtigungen bereitzustellen.
    • Zugangsdaten. Zur Klarstellung: Der Kunde ist im Rahmen der Vereinbarung für die Sicherung seiner Zugangsdaten verantwortlich; jeder Verstoß gegen diese Verpflichtung stellt einen Verstoß gegen die Vereinbarung dar.

17. Anpassung dieser Datenschutzbestimmungen
BigID überwacht und bewertet sein Sicherheitsprogramm regelmäßig und kann dieses und diese Sicherheitsmaßnahmen von Zeit zu Zeit gegebenenfalls anpassen angesichts (a) vorherrschender Praktiken; (b) aller relevanten technologischen Änderungen und aller internen oder externen Bedrohungen für BigID oder die Kundendaten; und (c) der sich ändernden Geschäftsvereinbarungen von BigID, wie Fusionen und Übernahmen, Allianzen und Joint Ventures, Outsourcing-Vereinbarungen und Änderungen an Informationssystemen.

Führend in der Industrie