absentify erfordert eine Authentifizierung zu Produktionsdatenspeichern, um autorisierte sichere Authentifizierungsmechanismen, wie einzigartige SSH-Schlüssel, zu verwenden.

absentify beschränkt den privilegierten Zugang zu Verschlüsselungsschlüsseln auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Die Zugangskontrollrichtlinie des Unternehmens dokumentiert die Anforderungen für die folgenden Zugangskontrollfunktionen: das Hinzufügen neuer Benutzer; das Ändern von Benutzern; und/oder das Entfernen des Zugangs eines bestehenden Benutzers.

absentify beschränkt den privilegierten Zugang zu Datenbanken auf autorisierte Nutzer mit einem geschäftlichen Bedarf.

absentify beschränkt den privilegierten Zugang zur Firewall auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

absentify beschränkt den privilegierten Zugang zum Produktionsnetzwerk auf autorisierte Nutzer mit einem geschäftlichen Bedarf.

absentify führt Kündigungschecklisten durch, um sicherzustellen, dass der Zugang für gekündigte Mitarbeiter innerhalb der Service-Level-Agreements entzogen wird.

absentify erfordert eine Authentifizierung im „Produktionsnetzwerk“, um eindeutige Benutzernamen und Passwörter oder autorisierte Secure Socket Shell (SSH)-Schlüssel zu verwenden.

Die Produktionssysteme von absentify können nur von autorisierten Mitarbeitern mit einer gültigen Multi-Faktor-Authentifizierung (MFA) Methode ferngesteuert zugegriffen werden.

Die Produktionssysteme von absentify können nur von autorisierten Mitarbeitern über eine genehmigte verschlüsselte Verbindung ferngesteuert werden.

absentify verwendet Microsoft Defender, um kontinuierlichen Schutz für sein Netzwerk, Cloud-Ressourcen und Endpunkte zu gewährleisten. Die Lösung bietet fortgeschrittene Fähigkeiten zur Bedrohungserkennung und proaktive Maßnahmen, um potenzielle Angriffe zu verhindern.

absentify verwendet ein Protokollverwaltungstool, um Ereignisse zu identifizieren, die möglicherweise Auswirkungen auf die Fähigkeit des Unternehmens haben, seine Sicherheitsziele zu erreichen.

Das Netzwerk von absentify ist segmentiert, um unbefugten Zugriff auf Kundendaten zu verhindern.

absentify überprüft seine Firewall-Regelsätze mindestens jährlich. Erforderliche Änderungen werden bis zum Abschluss nachverfolgt.

absentify verwendet Firewalls und konfiguriert sie, um unbefugten Zugriff zu verhindern.

absentify nutzt die vollständig verwalteten Dienste von Azure, die den branchenführenden Sicherheits- und Systemhärtungsstandards von Microsoft entsprechen. Diese Standards sind dokumentiert, werden kontinuierlich von Microsoft aktualisiert und sind an bewährte Verfahren angelehnt, um eine sichere und zuverlässige Infrastruktur zu gewährleisten.

absentify verlässt sich ausschließlich auf vollständig verwaltete Azure-Dienste für seine Infrastruktur. Diese Dienste werden automatisch von Microsoft gewartet und aktualisiert, um identifizierte Schwachstellen zu beheben und sicherzustellen, dass die Systeme, die Absentify unterstützen, sicher und widerstandsfähig gegen potenzielle Bedrohungen bleiben.

absentify sorgt dafür, dass elektronische Medien, die vertrauliche Informationen enthalten, gemäß den besten Praktiken gelöscht oder vernichtet werden, und für jedes zerstörte Gerät werden Vernichtungszertifikate ausgestellt.

absentify führt ein formelles Inventar der Produktionsanlagen.

absentify verschlüsselt portable und abnehmbare Speichergeräte bei Gebrauch.

absentify setzt Anti-Malware-Technologie in Umgebungen ein, die häufig anfällig für bösartige Angriffe sind, und konfiguriert diese so, dass sie regelmäßig aktualisiert, protokolliert und auf allen relevanten Systemen installiert wird.

absentify verlangt von Auftragnehmern, zum Zeitpunkt der Beauftragung eine Vertraulichkeitsvereinbarung zu unterzeichnen.

absentify verlangt von den Mitarbeitern, während der Einarbeitung eine Vertraulichkeitsvereinbarung zu unterzeichnen.

Führungskräfte sind verpflichtet, Leistungsbewertungen für ihre direkten Untergebenen mindestens jährlich durchzuführen.

absentify verlangt, dass Passwörter für Systemkomponenten, die im Geltungsbereich liegen, gemäß der Unternehmensrichtlinien konfiguriert werden.

absentify verlangt von den Mitarbeitern, dass sie innerhalb von dreißig Tagen nach der Einstellung und danach mindestens jährlich eine Sicherheitsbewusstseinsschulung absolvieren.

Die Datenspeicher von absentify, in denen sensible Kundendaten aufbewahrt werden, sind im Ruhezustand verschlüsselt.

absentify führt mindestens jährlich Kontroll-Selbstbewertungen durch, um sicherzustellen, dass die Kontrollen vorhanden und wirksam sind. Korrekturmaßnahmen werden auf Grundlage relevanter Ergebnisse ergriffen. Hat sich das Unternehmen zu einer SLA für einen Befund verpflichtet, wird die Korrekturmaßnahme innerhalb dieser SLA abgeschlossen.

Die Penetrationstests von absentify werden mindestens jährlich durchgeführt. Ein Sanierungsplan wird erstellt und Änderungen werden vorgenommen, um Schwachstellen gemäß den Service-Level-Agreements zu beheben.

absentify verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten bei der Übertragung über öffentliche Netzwerke zu verschlüsseln.

Die formellen Richtlinien von absentify legen die Anforderungen für die folgenden Funktionen im Bereich IT / Technik fest: Schwachstellenmanagement; Systemüberwachung.

absentify verfügt über Geschäftskontinuitäts- und Notfallwiederherstellungspläne, die Kommunikationspläne umreißen, um die Kontinuität der Informationssicherheit im Falle der Nichtverfügbarkeit von Schlüsselpersonal aufrechtzuerhalten.

absentify verfügt über einen dokumentierten Geschäftskontinuitäts-/Notfallwiederherstellungsplan (BC/DR) und testet diesen mindestens jährlich.

absentify verfügt über ein Verfahren zur Konfigurationsverwaltung, um sicherzustellen, dass Systemkonfigurationen durchgehend konsistent in der Umgebung bereitgestellt werden.

absentify erfordert, dass Änderungen an der Software und den Infrastrukturkomponenten des Dienstes autorisiert, formell dokumentiert, getestet, überprüft und genehmigt werden, bevor sie in der Produktionsumgebung implementiert werden.

absentify beschränkt den Zugang zur Übertragung von Änderungen in die Produktion auf autorisiertes Personal.

absentify verfügt über eine formelle Methodik für den Systementwicklungslebenszyklus (SDLC), die die Entwicklung, Beschaffung, Implementierung, Änderungen (einschließlich Notfalländerungen) und Wartung von Informationssystemen und zugehörigen Technologieanforderungen regelt.

Die Datensicherungsrichtlinie von absentify dokumentiert die Anforderungen für die Sicherung und Wiederherstellung von Kundendaten.

absentify informiert Kunden über kritische Systemänderungen, die ihre Verarbeitung beeinflussen können.

Das Management von Absentify hat definierte Rollen und Verantwortlichkeiten festgelegt, um die Gestaltung und Implementierung von Kontrollen der Informationssicherheit zu überwachen.

absentify führt ein Organigramm, das die Organisationsstruktur und Berichtslinien beschreibt.

Rollen und Verantwortlichkeiten für das Design, die Entwicklung, die Implementierung, den Betrieb, die Wartung und die Überwachung von Informationssicherheitskontrollen sind formell in Stellenbeschreibungen und/oder der Richtlinie für Rollen und Verantwortlichkeiten zugewiesen.

Die Informationssicherheitsrichtlinien und -verfahren von absentify sind dokumentiert und werden mindestens jährlich überprüft.

absentify verfügt über ein nach außen gerichtetes Support-System, das es Benutzern ermöglicht, Systeminformationen über Ausfälle, Vorfälle, Bedenken und andere Beschwerden an zuständiges Personal zu melden.

absentify informiert autorisierte interne Nutzer über Systemänderungen.

absentify führt mindestens vierteljährlich Zugriffsüberprüfungen für die relevanten Systemkomponenten durch, um sicherzustellen, dass der Zugang angemessen eingeschränkt ist. Erforderliche Änderungen werden bis zur Fertigstellung verfolgt.

absentify stellt sicher, dass der Zugriff von Benutzern auf Systemkomponenten im Geltungsbereich auf der Grundlage der beruflichen Rolle und Funktion erfolgt oder einen dokumentierten Zugriffsantrag und die Genehmigung des Vorgesetzten erfordert, bevor der Zugang eingerichtet wird.

absentify verfügt über dokumentierte Sicherheits- und Datenschutzvorfall-Reaktionsrichtlinien und -verfahren, die autorisierten Nutzern mitgeteilt werden.

Sicherheits- und Datenschutzvorfälle bei absentify werden protokolliert, verfolgt, gelöst und von der Geschäftsleitung gemäß der Richtlinien und Verfahren zur Reaktion auf Sicherheitsvorfälle des Unternehmens an betroffene oder relevante Parteien kommuniziert.

Die Sicherheitszusagen von absentify werden den Kunden in Master-Service-Vereinbarungen (MSA) oder Nutzungsbedingungen (TOS) mitgeteilt.

Die Risikobewertungen von absentify werden mindestens jährlich durchgeführt. Als Teil dieses Prozesses werden Bedrohungen und Veränderungen (umweltbedingt, regulatorisch und technologisch) bezüglich der Serviceverpflichtungen identifiziert und die Risiken werden formell bewertet. Die Risikobewertung beinhaltet eine Betrachtung des Potenzials für Betrug und wie Betrug die Erreichung der Ziele beeinflussen könnte.

absentify verfügt über ein dokumentiertes Risikomanagementprogramm, das Richtlinien zur Identifizierung potenzieller Bedrohungen, zur Bewertung der Bedeutung der mit den erkannten Bedrohungen verbundenen Risiken und zu Minderungsstrategien für diese Risiken enthält.

absentify hat schriftliche Vereinbarungen mit Lieferanten und entsprechenden Drittparteien. Diese Vereinbarungen beinhalten Vertraulichkeits- und Datenschutzverpflichtungen, die für diese Entität gelten.

absentify verfügt über ein Lieferantenmanagementprogramm. Bestandteile dieses Programms umfassen: Inventar kritischer Drittanbieter; Sicherheits- und Datenschutzanforderungen des Lieferanten; sowie die Überprüfung kritischer Drittanbieter mindestens jährlich.

Host-basierte Schwachstellenanalysen werden mindestens vierteljährlich auf allen extern zugänglichen Systemen durchgeführt. Kritische und hochriskante Schwachstellen werden bis zur Behebung verfolgt.

absentify verfügt über formelle Verfahren zur Aufbewahrung und Entsorgung, um die sichere Aufbewahrung und Entsorgung von Unternehmens- und Kundendaten zu gewährleisten.

absentify löscht oder entfernt Kundendaten, die vertrauliche Informationen enthalten, aus der Anwendungsumgebung, gemäß den besten Praktiken, wenn Kunden den Dienst verlassen.

absentify verfügt über eine Richtlinie zur Datenklassifizierung, um sicherzustellen, dass vertrauliche Daten ordnungsgemäß gesichert und nur autorisiertem Personal zugänglich gemacht werden.