Version 2.0 – Stand: 15. Mai 2024

Acsia ist sich darüber im Klaren, dass die Gewährleistung der Informationssicherheit eine der wichtigsten Aufgaben des Managements ist, und wird dafür sorgen, dass jeder, der mit dem Unternehmen zu tun hat, sich dafür einsetzt.

Acsia verpflichtet sich, die Vertraulichkeit, Integrität und Verfügbarkeit von Geschäftsinformationen, auf die im Rahmen von Geschäftsvorgängen zugegriffen wird, die verarbeitet, gespeichert oder ausgetauscht werden, in allen Phasen des Lebenszyklus von Informationen zu gewährleisten. Dies geschieht durch die Umsetzung von Richtlinien und Prozessen, die dem Industriestandard entsprechen und optimal auf die Ziele der Organisation abgestimmt sind, sowie durch die Verpflichtung zur kontinuierlichen Verbesserung unter Einbeziehung aller Beteiligten der Organisation.

Acsia ergreift je nach Stand der einzelnen Vorgänge geeignete Verwaltungsmaßnahmen, um die Informationswerte zuverlässig vor jeder Bedrohung ihrer Vertraulichkeit, Integrität und Verfügbarkeit zu schützen.

Acsia hält sich an geltende Gesetze und Vorschriften, andere Regeln und vertragliche Anforderungen zur Gewährleistung der Informationssicherheit.

Acsia wird den Mitarbeitern, die an seinen Aktivitäten beteiligt sind, Schulungen und Trainings anbieten, um ihr Bewusstsein für die Informationssicherheit zu verbessern und sie mit der Informationssicherheitspolitik vertraut zu machen.

Acsia wird sein Informationssicherheits-Managementsystem so betreiben, dass jeder Mitarbeiter daran arbeitet, Unfälle im Bereich der Informationssicherheit zu verhindern.
Sollte sich ein Unfall ereignen, werden wir umgehend geeignete Maßnahmen ergreifen, einschließlich solcher, die eine Wiederholung verhindern.

Acsia wird die Funktionsweise seines Informationssicherheits-Managementsystems regelmäßig überprüfen und bei Bedarf Abhilfemaßnahmen ergreifen, um die Informationssicherheit aufrechtzuerhalten.

Jedes Jahr legen wir Ziele für die Informationssicherheit fest, definieren und planen Aktivitäten, um diese Ziele zu erreichen, und legen dann, je nach den Ergebnissen der regelmäßigen Überprüfung, die Ziele für das folgende Jahr fest.
Darüber hinaus bewerten und überprüfen wir regelmäßig unsere Informationssicherheitspolitik, die zugehörigen internen Vorschriften und unser Managementsystem und streben eine kontinuierliche Verbesserung der Informationssicherheit an.

• Schützen Sie die Vertraulichkeit und Integrität von Acsia-Plattformen und sensiblen Informationen
• Gewährleistung der Betriebszeit und Verfügbarkeit der Plattformen und der damit verbundenen Dienste gemäß den Kundenvereinbarungen
• Gewährleistung von Qualität, Genauigkeit und Sicherheit der Plattformen und der darin enthaltenen Daten
• Gewährleistung der Sicherheit, Vertraulichkeit und Integrität von Daten, die mit Dritten in Kontakt kommen

• Die Bedeutung der Informationssicherheit und des richtigen Umgangs mit personenbezogenen Daten
• Physische Kontrollen wie Besucherprotokolle, Sicherung von tragbaren Geräten und ordnungsgemäße Datenvernichtung
• Logische Kontrollen im Zusammenhang mit der Auswahl sicherer Passwörter/Best Practices
• Wie Sie Social Engineering-Angriffe wie Phishing erkennen

c) Schwachstellen-Scan: Acsia stellt sicher, dass die Server kontinuierlich auf Schwachstellen überprüft werden und die Netzwerksicherheit mindestens halbjährlich mit einem branchenüblichen Schwachstellen-Scan-Tool überprüft wird. d) Mitarbeiterbezogene Richtlinien :

• Unbefugten wird der physische Zugang zu unseren Räumlichkeiten und den Räumen, in denen sich die Datenverarbeitungssysteme befinden, verwehrt.
• Mitarbeiter haben nur Zugriff auf die ihnen zugewiesenen Aufgaben.
• Wir stellen sicher, dass alle Computer, auf denen personenbezogene Daten verarbeitet werden (einschließlich Computern mit Fernzugriff), mit einem Passwort geschützt sind, sowohl nach dem Hochfahren als auch beim Verlassen des Computers, selbst wenn dieser nur für kurze Zeit benutzt wird.
• Wir vergeben individuelle Benutzerpasswörter für die Authentifizierung.
  Passwörter müssen mindestens 8 Zeichen enthalten, sowohl Groß- als auch Kleinbuchstaben, mindestens eine Ziffer und ein Symbol.
• Wir gewähren nur unseren autorisierten Mitarbeitern Zugriff auf das System und beschränken den Zugriff streng auf Anwendungen, die diese Mitarbeiter zur Erfüllung ihrer spezifischen Aufgaben benötigen.
• Wir werden eine Kennwortrichtlinie einführen, die die Weitergabe von Kennwörtern verbietet, die Verfahren nach der Offenlegung eines Kennworts festlegt und verlangt, dass Kennwörter regelmäßig geändert werden.
• Wir stellen sicher, dass Passwörter immer in verschlüsselter Form gespeichert werden.
• Wir haben Verfahren zur Deaktivierung von Benutzerkonten eingeführt, wenn ein Mitarbeiter, Vertreter oder Administrator unser Unternehmen verlässt oder eine andere Aufgabe innerhalb des Unternehmens übernimmt.
• Wir sind in der Lage, nachträglich zu prüfen und festzustellen, ob und von wem Ihre persönlichen Kundendaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden.
• Wir protokollieren Administrator- und Benutzeraktivitäten.
  Die Protokolle enthalten den Benutzernamen, die IP-Adresse, den zugegriffenen Port und die Zugriffsdaten des Zielhosts.
  Acsia wird die Protokolle 6 Monate lang aufbewahren.
• Wir werden die von verschiedenen Kunden erhaltenen personenbezogenen Daten so verarbeiten, dass bei jedem Schritt der Verarbeitung der für die Verarbeitung Verantwortliche identifiziert werden kann und dass die Daten immer physisch oder logisch getrennt sind.
• Die Mitarbeiter sind verpflichtet, die Multi-Faktor-Authentifizierung zu aktivieren.

e) Anforderungen auf Prozessebene: Wir werden die folgenden Prozesse implementieren, um Sicherheit und Datenschutz zu gewährleisten:

• Acsia implementiert Kontrollen zur Beendigung von Nutzern, die eine sofortige Entfernung / Deaktivierung des Zugriffs bei Beendigung von Mitarbeitern beinhalten.
• Acsia muss über einen Patch-Management-Prozess verfügen und diesen aufrechterhalten, um Patches in einem angemessenen, risikobasierten Zeitrahmen zu implementieren.
• Acsia setzt Firewall(s), Sicherheitsgruppen/VPCs oder ähnliche Technologien ein, um Server zu schützen, auf denen personenbezogene Daten des Kunden gespeichert sind.
• Wenn Acsia personenbezogene Kundendaten verarbeitet, werden die Server durch geeignete physische Sicherheitsmechanismen vor unbefugtem Zugriff geschützt. Dazu gehören u.a. Zugangskontrollen mit Ausweisen, eine sichere Umgebung und durchgesetzte Kontrollen bei der Einrichtung von Benutzerkonten (d.h. angemessene Autorisierung neuer Konten, rechtzeitige Kontokündigungen und häufige Überprüfung der Benutzerkonten).
  Diese physischen Sicherheitsmechanismen werden von Rechenzentrumspartnern wie AWS, Azure und Google bereitgestellt, sind aber nicht auf diese beschränkt.
  Alle in der Cloud gehosteten Systeme werden gescannt, sofern dies möglich und vom Cloud-Service-Anbieter genehmigt ist.
• Acsia wird alle persönlichen Daten des Kunden in Übereinstimmung mit ihren etablierten Verfahren virtuell trennen.
  Die Kundeninstanz der Dienste kann sich auf Servern befinden, die von anderen Nicht-Kundeninstanzen genutzt werden.
• Wenn ein Mitarbeiter oder Auftragnehmer ausscheidet oder gekündigt wird, wird der Zugang dieser Person zu den Kundenkonten sofort beendet oder deaktiviert.

f) Anforderungen auf Anwendungsebene:

• Acsia führt eine Dokumentation der gesamten Anwendungsarchitektur, der Prozessabläufe und der Sicherheitsmerkmale für Anwendungen, die personenbezogene Kundendaten verarbeiten.
• Acsia setzt branchenübliche Scanning-Tools und/oder Code-Review-Verfahren ein, um Anwendungsschwachstellen zu identifizieren.

g) Anforderungen auf Datenebene:

• Verschlüsselungs- und Hashing-Protokolle, die für persönliche Kundendaten bei der Übertragung und im Ruhezustand verwendet werden, müssen NIST-geprüfte Verschlüsselungsstandards (z.B. SSH, TLS) unterstützen.
• Acsia stellt sicher, dass der Zugriff auf Informationen und Funktionen des Anwendungssystems nur autorisiertem Personal vorbehalten ist.
• Persönliche Kundendaten, die auf Archiv- oder Backup-Systemen gespeichert sind, werden auf demselben oder einem höheren Sicherheitsniveau gespeichert als die Daten, die auf Betriebssystemen gespeichert sind.

h) Anforderungen an die Endbenutzer-Computerebene:

• Acsia verlangt, dass Antiviren-Scans mit häufigen Signatur-Updates für Endbenutzer-Computer mindestens wöchentlich durchgeführt werden.
• Acsia verbietet die Verwendung von Wechseldatenträgern für die Speicherung oder den Transport persönlicher Kundendaten.
  Zu den Wechseldatenträgern gehören Flash-Laufwerke, CDs und DVDs.

i) Compliance-Anforderungen:

• Acsia wird eine Gebäudezugangskontrolle einrichten, um den Zugang zu seinen Netzwerken und anderen Geräten zu kontrollieren und zu verfolgen.
• Acsia legt jedes Jahr fest, welche Führungskräfte und Mitarbeiter innerhalb des Unternehmens Zugang zu welchen Datenkategorien haben, und überprüft diese Liste jährlich auf Führungsebene.

j) Personal: Acsia untersagt ihren Mitarbeitern das Herunterladen und/oder die Verarbeitung personenbezogener Kundendaten ohne die in den Sicherheitsmaßnahmen festgelegte Genehmigung von Acsia und stellt sicher, dass alle Personen, die von Acsia zur Verarbeitung personenbezogener Kundendaten ermächtigt sind, einer angemessenen Geheimhaltungspflicht unterliegen. k) Reaktion auf Sicherheitsvorfälle: Sobald Acsia von einem Sicherheitsvorfall Kenntnis erlangt, wird sie den Kunden unverzüglich benachrichtigen.
Acsia stellt Informationen über den Sicherheitsvorfall zur Verfügung, sobald diese bekannt werden oder der Kunde sie in angemessener Weise anfordert, um seinen Verpflichtungen als Verantwortlicher nachzukommen, und ergreift angemessene Maßnahmen zur Eindämmung, Untersuchung und Abschwächung eines Sicherheitsvorfalls.
l) ISO 27001:2022 Zertifizierung: Acsia hat die ISO27001-Zertifizierung erhalten und unterzieht sich einer jährlichen Überprüfung.
m) TISAX-Zertifizierung: Acsia hat die TISAX-Zertifizierung erhalten, einen Standard der europäischen Automobilindustrie für die Bewertung der Informationssicherheit (ISA), und wir werden alle drei Jahre überprüft.
n) Datenminimierung: Acsia stellt sicher, dass die von ihr gesammelten und verarbeiteten personenbezogenen Daten angemessen und relevant sind und sich auf das beschränken, was zur Erbringung der Dienstleistungen erforderlich ist . o) Datenaufbewahrung und -vernichtung: Acsia verfügt über gesicherte Vernichtungsprozesse und löscht die personenbezogenen Daten des Kunden unter Verwendung sicherer Methoden (die mindestens den Richtlinien von NIST SP-800-88 Rev. 1 oder deren Nachfolgern entsprechen), die die Daten unlesbar und unwiederbringlich machen.
p) Reaktion auf Sicherheitsvorfälle: Bei Bekanntwerden eines Vorfalls, bei dem der Verdacht besteht, dass sich Unbefugte Zugang zu den Systemen von Acsia verschafft haben, werden die Führungskräfte des Unternehmens auf höchster Ebene unverzüglich benachrichtigt.

• Die Führungskräfte besprechen jeden Sicherheitsvorfall unverzüglich untereinander und mit den Rechtsberatern, um die Einhaltung der gesetzlichen und vertraglichen Verpflichtungen zu gewährleisten.
• Wir werden jeden Sicherheitsvorfall sofort untersuchen und entschärfen.
• Acsia wird eine angemessene Versicherung abschließen und aufrechterhalten, um sich gegen Cyber-Haftung abzusichern.

Die Reaktion und Lösung auf einen Sicherheitsvorfall und eine Schwachstelle erfolgt nach dem folgenden Schema:

Prioritätsdefinition – Zielreaktion – Zielauflösung

• Schwerer Zwischenfall – 10 Minuten – 4 Stunden
• Hoch – 30 Minuten – 8 Stunden
• Mittel – 1 Stunde – 2 Tage
• Niedrig – 4 Stunden – 5 Tage
• Planung / Schwachstellen in der Informationssicherheit – 2 Tage – 10 Tage