Sicherheitszusatz

Inhaltsverzeichniss
Dies ist ein Text innerhalb eines div-Blocks.
Dies ist ein Text innerhalb eines div-Blocks.

Dies ist der Sicherheitszusatz im Rahmen des Rahmenvertrags.

1. SICHERHEITSPOLITIK

  • GTreasury wird eine umfassende Sicherheitsrichtlinie („Sicherheitsrichtlinie“) einhalten, die die unten aufgeführten Anforderungen erfüllt. GTreasury wird keine Änderungen an der Sicherheitsrichtlinie vornehmen, durch die die Rechte oder Schutzmaßnahmen, die dem Kunden im Rahmen dieses Nachtrags im Allgemeinen gewährt werden, wesentlich eingeschränkt oder in wesentlicher Hinsicht eingeschränkt werden. Auf Anfrage des Kunden stellt GTreasury dem Kunden eine Zusammenfassung der jeweils aktuellen Sicherheitsrichtlinien zur Verfügung.
  • GTreasury überprüft die Sicherheitsrichtlinie mindestens einmal jährlich und veröffentlicht sie erneut, falls sie aktualisiert wird, insbesondere aufgrund von Änderungen des geltenden Rechts, technologischen Fortschritten oder wesentlichen Änderungen an der IT-Infrastruktur von GTreasury.

2. NORMEN.

    GTreasury wird branchenübliche Maßnahmen ergreifen, um Kundendaten zu sichern und zu schützen. Gegebenenfalls verwendet GTreasury das jeweils aktuelle Sicherheitskontrollen der Society for Worldwide Interbank Financial Telecommunication (SWIFT) Provider Security Controls Framework und hält sich daran.

3. SCHULUNG UND SENSIBILISIERUNG.

  • Allgemein. GTreasury wird ein geeignetes Schulungs- und Schulungsprogramm einführen, um sicherzustellen, dass seine Mitarbeiter in Bezug auf ihre Pflichten in Bezug auf Vertraulichkeit, Datenschutz und Geheimhaltung angemessen geschult werden, einschließlich, aber nicht beschränkt auf alle besonderen Anforderungen in Bezug auf Kundendaten.
  • Benutzer mit privilegiertem Zugriff. Zusätzlich zu seinen allgemeinen Schulungspflichten bietet GTreasury allen Mitarbeitern, denen privilegierter Zugriff auf Systeme gewährt wird (z. B. Root, DBA, Systemadministrator, Netzwerkadministrator, Zugriff auf Superuser-Ebene, Support usw.), die Kundendaten verarbeiten oder speichern, spezielle Sicherheitsschulungen an.

4.RISIKOBEWERTUNGEN.

  • Risikobewertung. GTreasury führt mindestens einmal jährlich eine umfassende, vom Management geleitete Risikobewertung durch (entweder intern oder mit vertraglich vereinbarten, unabhängigen Ressourcen), bei der Kundendaten, Geschäftsressourcen (z. B. technische Infrastruktur) und die betrieblichen Abläufe von GTreasury, die Bedrohungen gegen diese Elemente (sowohl intern als auch extern), die Wahrscheinlichkeit des Auftretens dieser Bedrohungen und die Auswirkungen auf das Unternehmen, um ein angemessenes Maß an Informationssicherheitsmaßnahmen festzulegen, identifiziert werden.
  • Risikominderung. GTreasury wird branchenübliche Maßnahmen ergreifen, um alle in der Risikobewertung identifizierten Risiken zu managen, zu kontrollieren und zu mindern, die zu unbefugtem Zugriff, Kopieren, Verwenden, Verarbeiten, Offenlegen, Ändern, Übertragen, Verlust oder Zerstörung von Kundendaten führen könnten. All dies entspricht der Sensibilität der Kundendaten sowie der Komplexität und dem Umfang der Aktivitäten von GTreasury im Rahmen der Vereinbarung.

5. TESTEN DER SICHERHEITSKONTROLLEN.

  • GTreasury wird mindestens einmal jährlich einen unabhängigen Prüfer beauftragen, die Sicherheit der Systeme von GTreasury gemäß Statement on Standards for Attestation Engagements Nr. 18 gemäß den Standards des American Institute of Certified Public Accountants (das „AICPA“) zu überprüfen und einen SOC 2 Type II-Bericht zu erstellen. Auf Anfrage des Kunden stellt GTreasury dem Kunden eine Kopie dieses Berichts zur Verfügung. Bei dem Bericht handelt es sich um vertrauliche Informationen von GTreasury, und der Kunde wird die Vertraulichkeitsverpflichtungen erfüllen, die der Prüfer von Personen in ähnlicher Situation verlangt.
  • In Bezug auf die Lieferanten von GTreasury, die Hosting-Dienste anbieten, wird GTreasury dem Kunden auf Anfrage des Kunden umgehend die Sicherheitsüberprüfungen zur Verfügung stellen, die GTreasury gemäß seiner Vereinbarung mit diesem Anbieter einholen darf, sofern der Kunde die Vertraulichkeitsverpflichtungen einhält, die die Auditoren, die diese Berichte erstellt haben, verlangen.

6.ORGANISATORISCHE SICHERHEIT.

  • Verantwortung. GTreasury überträgt die Verantwortung für das Informationssicherheitsmanagement ausschließlich qualifiziertem und leitendem Personal.
  • Zugriff, den Sie unbedingt kennen müssen. GTreasury beschränkt den Zugriff auf Informationssysteme, die im Zusammenhang mit den im Rahmen der Vereinbarung erbrachten Dienstleistungen verwendet werden, und/oder auf Kundendaten auf Mitarbeiter, die zuverlässig sind, über ausreichendes technisches Fachwissen für die zugewiesene Rolle verfügen und deren Pflichten sowie die Folgen einer Sicherheitsverletzung oder Nichteinhaltung von Vertraulichkeitsanforderungen kennen.
  • Vertraulichkeit und Finanzpersonal. GTreasury wird seine Mitarbeiter, die Zugang zu vertraulichen Informationen des Kunden haben, veranlassen, die Vertraulichkeit dieser vertraulichen Informationen gemäß den Verpflichtungen von GTreasury aus dem Rahmenvertrag zu wahren.

7. VERMÖGENSVERWALTUNG.

  • Datenkontrolle. GTreasury wird Kundendaten nicht kopieren, herunterladen, übertragen (an oder von) oder speichern oder auf einem Desktop, Laptop, Server, tragbaren Gerät oder einem anderen Gerät an einem beliebigen Ort speichern, es sei denn, dies steht in direktem Zusammenhang mit der Erbringung von Dienstleistungen im Rahmen der Vereinbarung.
  • Konfigurationsmanagement. GTreasury erstellt anhand der geltenden Informationssicherheitsstandards, Herstellerempfehlungen und Branchenpraktiken eine Konfigurationsbasis für die Informationssysteme der IT-Infrastruktur von GTreasury. GTreasury wird eine angemessene Überwachung einrichten, um sicherzustellen, dass die GTreasury-IT-Infrastruktur während der gesamten Lebensdauer der GTreasury-IT-Infrastruktur gemäß den festgelegten Konfigurationsgrundlagen konfiguriert wird.
  • Änderungsmanagement. Die Implementierung von Änderungen und die Einführung neuer Systeme müssen mithilfe umfassender, formeller Verfahren zur Änderungskontrolle kontrolliert, dokumentiert und durchgesetzt werden, einschließlich Dokumentation, Spezifikationen, Tests, Qualitätskontrolle, Wiederherstellung und verwalteter Implementierung.
  • Schwachstellenmanagement. GTreasury wird eine formelle Organisationsrichtlinie für ein Programm zum Schwachstellenmanagement implementieren, das das Scannen nach Sicherheitslücken, das Abonnement eines Dienstes zur Benachrichtigung über Sicherheitslücken, eine Methode zur Priorisierung der Behebung von Sicherheitslücken auf der Grundlage des Risikos (eine Komponente davon muss ein branchenübliches Bewertungssystem sein), festgelegte Zeitrahmen für die Behebung von Sicherheitslücken auf der Grundlage der Risikobewertung sowie die Nachverfolgung und Berichterstattung über die Wirksamkeit des Behebungsprogramms vorsieht.

8. VERANTWORTUNG FÜR LIEFERANTEN.

GTreasury haftet gegenüber dem Kunden für jede Handlung oder Unterlassung eines Lieferanten oder eines anderen Beauftragten von GTreasury, die, wenn sie von GTreasury begangen oder unterlassen werden, einen Verstoß von GTreasury gegen diesen Zusatz darstellen würde.

9. GEOLOKALISIERUNG:

Wenn ein Auftragsplan einen bestimmten Standort für das Hosting von Kundendaten erfordert (z. B. eine Azure-Region oder eine ähnliche Spezifikation), verwaltet GTreasury die Kundendaten, die vom jeweiligen System an diesem Standort gespeichert und verarbeitet werden.

10. PHYSISCHE SICHERHEIT DER RÄUMLICHKEITEN.

  • Sicherung physischer Einrichtungen. GTreasury unterhält die Hosting-Umgebung für das/die System (e) in einer physisch sicheren Umgebung, die den Zugriff auf autorisierte Personen beschränkt, oder veranlasst deren Wartung. Eine sichere Umgebung umfasst die Leitung des Sicherheitspersonals rund um die Uhr oder gleichwertige Mittel zur aktiven Überwachung der Sicherheitskontrollen an allen relevanten Standorten (einschließlich, aber nicht beschränkt auf Gebäude, Computeranlagen und Einrichtungen zur Aufbewahrung von Aufzeichnungen).
  • Sichere physische Verarbeitungsstandorte. GTreasury führt aktuelle Aufzeichnungen über alle Standorte, an denen es Kundendaten im Zusammenhang mit der Erbringung von Dienstleistungen speichert oder verarbeitet, und über den Eigentümer dieses Datenspeicherorts. GTreasury wird diese Aufzeichnungen aktualisieren, um jeder Übertragung oder Verlagerung wesentlicher Teile der Kundendaten Rechnung zu tragen.

11. UMGANG MIT MEDIEN.

  • Physische Sicherheit von Medien. GTreasury wird branchenübliche Maßnahmen ergreifen, um den unbefugten Zugriff, das Kopieren, Ändern oder Entfernen von Medien, die Kundendaten enthalten, unabhängig davon, wo sie sich befinden, zu verhindern. Wechselmedien, auf denen Kundendaten von GTreasury gespeichert werden (einschließlich, aber nicht beschränkt auf USB-Sticks, CDs und DVDs), müssen mit mindestens 256-Bit-AES (oder gleichwertig) verschlüsselt werden.
  • Zerstörung der Medien. GTreasury löscht oder vernichtet Wechselmedien und alle mobilen Geräte (z. B. Disketten, USB-Laufwerke, DVDs, Backup-Bänder, Drucker, Laptops oder Tablets usw.), die Kundendaten enthalten, sicher, wenn sie nicht mehr verwendet werden, indem Kundendaten auf solchen physischen Medien unverständlich und vor jeder Wiederverwendung der Medien nicht rekonstruiert werden können, wenn dies vom Kunden gewünscht wird oder wenn diese Medien oder Mobilgeräte nicht mehr verwendet werden sollen. Alle Backup-Bänder, die aus irgendeinem Grund nicht vernichtet werden, müssen bis zur Vernichtung das in diesem Addendum beschriebene Schutzniveau erfüllen.
  • Zerstörung von Papier. GTreasury vernichtet alle Papierabfälle, die Kundendaten enthalten, und entsorgt sie auf sichere und vertrauliche Weise, sodass all diese Papierabfälle unlesbar werden.

12. KOMMUNIKATIONS- UND BETRIEBSMANAGEMENT.

  • Penetrationstests. GTreasury wird mindestens einmal jährlich einen Vertrag mit einem unabhängigen Dritten (oder einer organisatorisch unabhängigen Testabteilung) abschließen, um einen Penetrationstest der GTreasury-IT-Infrastruktur durchzuführen. GTreasury stellt dem Kunden auf Anfrage eine allgemeine Zusammenfassung der Testergebnisse zur Verfügung.
  • Umfang der Penetrationstests. Der Umfang eines Penetrationstests muss den Umfang der GTreasury-IT-Infrastruktur und alle kritischen Systeme umfassen, die die Sicherheit der GTreasury-IT-Infrastruktur beeinträchtigen könnten. Dies umfasst sowohl den externen Perimeter (öffentlich zugängliche Angriffsflächen) als auch den internen Perimeter der GTreasury-IT-Infrastruktur (LAN-zu-LAN-Angriffsflächen). Die Tests müssen sowohl Bewertungen auf Anwendungs- als auch auf Netzwerkebene umfassen.
  • Datenverschlüsselung. GTreasury verschlüsselt Kundendaten, die sich im Besitz von GTreasury befinden oder unter der Kontrolle von GTreasury stehen, sowohl im Ruhezustand (wenn sie nicht aktiv verarbeitet werden) als auch während der Übertragung. Unter Umständen während der Übertragung aktiviert GTreasury am Demarkation Point TLS mit einer Verschlüsselungsstärke von mindestens 256 Bit. GTreasury wird eine formelle organisatorische Verschlüsselungsrichtlinie implementieren und einhalten, die akzeptable Standards, Algorithmen, Schlüsselverwaltungspraktiken und Zertifikate umfasst.
  • Verhinderung von Datenverlust. GTreasury wird umfassende Kontrollen gegen Datenlecks implementieren, um Kundendaten automatisch zu identifizieren, zu erkennen, zu überwachen, zu dokumentieren und entweder zu verhindern oder zu warnen, dass sie ohne Genehmigung die Kontrolle von GTreasury verlassen.
  • Datenvernichtung. Wenn GTreasury gemäß Rahmenvertrag berechtigt oder verpflichtet ist, Kundendaten zu vernichten, löscht oder vernichtet GTreasury diese Kundendaten, sodass sie nicht wiederherstellbar sind.
  • Einschränkungen des Netzwerkverkehrs. GTreasury implementiert technische Kontrollen, die den Netzwerkverkehr, der sich auf Kundendaten auswirkt, auf das für die Bereitstellung des Dienstes erforderliche Minimum beschränken (z. B. Portbeschränkungen, Firewallkontrollen usw.).
  • Drahtlose Netzwerke. GTreasury stellt sicher, dass jegliche Nutzung des organisatorischen Wi-Fi-Netzwerkverkehrs für die Übertragung von Kundendaten mithilfe von WPA2 oder WPA3 verschlüsselt wird, wobei die Option des AES-Verschlüsselungsalgorithmus verwendet wird, der SSID ohne Übertragung und gegenseitige Authentifizierung zwischen dem Server und den Endgeräten oder ähnlichen oder besseren Maßnahmen vorsieht.
  • Bösartiger Code. GTreasury implementiert Kontrollen, um die Einführung oder das Eindringen von bösartigem Code in Informationssysteme zu erkennen, die Kundendaten verarbeiten oder speichern, und implementiert und verwaltet Kontrollen, um den unbefugten Zugriff, die Offenlegung oder den Verlust der Integrität von Kundendaten zu verhindern.
  • Internetsteuerungen. GTreasury wird Kontrollen implementieren, um mithilfe der IT-Infrastruktur von GTreasury den Zugriff der Mitarbeiter auf risikoreiche und unerwünschte Internetinhalte und Websites mit erhöhtem Risiko (wie internetbasierte E-Mail- oder Dateispeicherdienste) zu erkennen und zu blockieren.

13. ZUGANGSKONTROLLE.

  • Autorisierter Zugriff. GTreasury hält eine logische Trennung aufrecht, sodass beim Zugriff auf die IT-Infrastruktur von GTreasury, die Kundendaten hostet und/oder zur Erbringung von Dienstleistungen für den Kunden verwendet wird, jede Person, die Zugriff benötigt, eindeutig identifiziert wird, und der Zugriff nur autorisiertem Personal nach dem Prinzip der geringsten Rechte gewährt wird.
  • Inventar für den Benutzerzugriff. GTreasury führt eine genaue und aktuelle Liste aller Mitarbeiter von GTreasury, die Zugriff auf die Kundendaten haben, und verfügt über ein Verfahren zur unverzüglichen Sperrung innerhalb von 24 Stunden nach Übertragung oder Kündigung des Zugriffs. Darüber hinaus überprüft GTreasury in regelmäßigen Abständen (mindestens einmal jährlich) die Zugangsberechtigungen der Nutzer, um sicherzustellen, dass der Grundsatz der geringsten Rechte gewahrt bleibt.
  • Zugriff nicht mehr erforderlich.
    • In Bezug auf Mitarbeiter von GTreasury, die keinen Zugriff mehr auf Kundendaten benötigen oder nicht mehr dazu autorisiert sind, wird GTreasury den Kunden mindestens 24 Stunden vor dem Zeitpunkt, zu dem dieser Zugriff nicht mehr erforderlich oder autorisiert ist, darüber informieren.
    • Ungeachtet des Vorstehenden sperrt GTreasury in Fällen, in denen der Benutzerzugang von GTreasury verwaltet wird, unverzüglich den Zugang zu den Systemen und Geschäftsräumen des Kunden für alle Mitarbeiter von GTreasury, die entweder entfernt wurden oder nicht mehr aktiv an einem Kundenauftrag beteiligt sind oder wenn dieses Personal nicht mehr Mitarbeiter oder Lieferant von
  • Verwaltung von Anmeldeinformationen für die Authentifizierung. GTreasury übermittelt den Benutzern die Zugangsdaten in einer vernünftigen Weise, um zu verhindern, dass sie von Personen empfangen werden, die nicht befugt sind, diese zu erhalten.
  • Protokollierung und Überwachung. GTreasury protokolliert und überwacht alle Zugriffe auf die IT-Infrastruktur von GTreasury im Hinblick auf Ergänzungen, Änderungen, Löschungen und Kopien von Kundendaten. GTreasury führt Aufzeichnungen über das System oder entsprechende Zugriffsversuche, sowohl erfolgreiche als auch fehlgeschlagene. GTreasury speichert Verwaltungsprotokolle für mindestens 60 Tage und Finanztransaktionsprotokolle für mindestens sechs Monate.
  • Multifaktor-Authentifizierung für den Fernzugriff. GTreasury verwendet beim Fernzugriff auf die GTreasury-IT-Infrastruktur eine Multifaktor-Authentifizierung und einen sicheren Tunnel.
  • Multifaktor-Authentifizierung für Anwendungen mit Internetzugriff. GTreasury verlangt für alle Benutzer von Anwendungen, die mit dem öffentlichen Internet verbunden sind, die Finanzanweisungen/Transaktionen ermöglichen oder die Anzeige sensibler personenbezogener Daten ermöglichen, eine mehrstufige Authentifizierung.
  • Administratorzugriff für Endpunkte. GTreasury beschränkt generell den administrativen Zugriff auf Endbenutzer-Computer, die von GTreasury-Mitarbeitern verwendet werden, einschließlich der Möglichkeit, Software zu installieren, ausschließlich auf Mitarbeiter und privilegierte Konten mit technischen Verwaltungsaufgaben.

14. VERWENDUNG VON LAPTOPS UND MOBILGERÄTEN.

  • Anforderungen an die Verschlüsselung. GTreasury verschlüsselt Daten auf allen Laptops oder Mobilgeräten, die Kundendaten enthalten, mithilfe eines branchenweit anerkannten Verschlüsselungsalgorithmus mit mindestens 256-Bit-Verschlüsselung AES (oder gleichwertig).
  • Sicherer Speicher. GTreasury verlangt, dass alle Laptops und Mobilgeräte, die auf Kundendaten zugreifen, sicher aufbewahrt werden, wenn sie sich außerhalb des unmittelbaren Besitzes der Mitarbeiter von GTreasury befinden. Im Falle eines Verlusts oder Diebstahls eines GTreasury-Laptops oder eines anderen Mobilgeräts, das unverschlüsselte oder leicht feststellbare Kundendaten enthält, wird GTreasury den Kunden umgehend darüber informieren.
  • Timeout bei Inaktivität. GTreasury setzt auf allen Laptops, Desktops und Mobilgeräten, die von den Mitarbeitern von GTreasury für den Zugriff auf Kundendaten verwendet werden, Zugriffs- und Passwortkontrollen sowie Zeitüberschreitungen bei Inaktivität von nicht mehr als 30 Minuten ein.
  • Laptops/Mobilgeräte. — GTreasury wird technische Kontrollen einführen, die den Zugriff auf Kundendaten auf Laptops oder Mobilgeräten verbieten, wenn die oben genannten Anforderungen nicht erfüllt werden können.

15. ERWERB, ENTWICKLUNG UND WARTUNG VON INFORMATIONSSYSTEMEN.

  • Code-Analyse. In Bezug auf Software, die GTreasury für den Einsatz als Teil eines Systems entwickelt, führt GTreasury statische Anwendungssicherheitstests (SAST) mit einem kommerziell anerkannten Tool und/oder Verfahren durch, um technische Sicherheitslücken zu identifizieren und zu beheben. Darüber hinaus wird GTreasury seinen Code auf Konstruktionsfehler (wie z. B. verbliebener Debug-Code) untersuchen, die zur Umgehung der implementierten Sicherheitskontrollen verwendet werden könnten, und/oder auf die Aufnahme von Code, der in böswilliger Absicht verwendet werden könnte.
  • Open-Source-Softwaresicherheit. GTreasury wird gegebenenfalls Kontrollen im Zusammenhang mit der Verwendung von Open-Source-Software innerhalb des Entwicklungszyklus einführen, um den mit dieser Software verbundenen Risiken zu begegnen und diese zu mindern. Diese Kontrollen werden mindestens Bestimmungen für Inventare und Prüfungen von Open-Source-Software, Komponenten- und Zusammensetzungsanalysen, Sicherheit und Sicherheitslücken, Lizenzierung und Compliance sowie Softwarequalität beinhalten.
  • Software-Patchen. GTreasury aktualisiert und patcht regelmäßig die gesamte Computersoftware auf der IT-Infrastruktur von GTreasury, die Kundendaten verarbeitet oder speichert. Das Patchen für Sicherheitslücken, die als „kritisch“ oder „hoch“ eingestuft wurden, erfolgt innerhalb von 30 Tagen nach Verfügbarkeit des Patches, sofern nicht andere vom Softwarehersteller vorgeschlagene oder empfohlene Maßnahmen zur Minderung der Sicherheitsanfälligkeit angewendet wurden.

16. VORFALL-, EREIGNIS- UND KOMMUNIKATIONSMANAGEMENT.

  • Vorfallmanagement/Meldung von Verstößen. GTreasury entwickelt und implementiert einen vom Management genehmigten Plan zur Reaktion auf Vorfälle, der Maßnahmen festlegt, die zu ergreifen sind, wenn GTreasury oder einer seiner Lieferanten den Verdacht hat oder feststellt, dass sich eine Person unbefugten Zugriff auf Kundendaten oder Systeme oder Anwendungen verschafft hat, die Kundendaten enthalten (der „Reaktionsplan“). Der Reaktionsplan umfasst die folgenden Bestimmungen.
    • Eskalationsverfahren. Benachrichtigung der Führungskräfte und angemessene Berichterstattung an Aufsichts- und Strafverfolgungsbehörden.
    • Meldung von Vorfällen. GTreasury wird dem Kunden umgehend alle Informationen zur Verfügung stellen, die GTreasury über die allgemeinen Umstände und das Ausmaß eines solchen unbefugten Zugriffs hat oder erhält, einschließlich, aber nicht beschränkt auf die Kategorien der personenbezogenen Kundendaten und die Anzahl und/oder Identität der betroffenen Personen sowie alle Maßnahmen, die ergriffen wurden, um die Kundendaten zu sichern und Informationen für alle erforderlichen Untersuchungen aufzubewahren.
    • Untersuchung und Prävention. GTreasury wird angemessene Anstrengungen unternehmen, um den Kunden bei der Untersuchung oder Verhinderung eines erneuten Auftretens eines solchen Zugriffs zu unterstützen, und wird: (A) mit dem Kunden bei seinen Bemühungen zusammenarbeiten, gesetzliche Hinweise oder andere gesetzliche Verpflichtungen einzuhalten, die für den Kunden oder seine Kunden gelten, die sich aus einem unbefugten Zugriff oder einer unbefugten Nutzung ergeben, und (B) umgehend alle angemessenen Maßnahmen ergreifen, um ein erneutes Auftreten eines solchen unbefugten Zugriffs zu verhindern und den Verlust zu mindern. Falls GTreasury dem Kunden einen Sicherheitsvorfall meldet und der Sicherheitsvorfall dazu führt, dass der Kunde einen Fall für den technischen Support auf der Ebene „kritisch“ einleitet, ergreift GTreasury außerdem die folgenden Maßnahmen, sofern zwischen den Parteien nichts anderes vereinbart wurde:
      • GTreasury beauftragt einen oder mehrere Cloud-Support-Techniker, technische Kundenbetreuer oder ähnliches Personal (der „Incident Responder“) mit der Koordination mit dem Kunden, der Überwachung der Einzelheiten des Sicherheitsvorfalls, der Untersuchung und Diagnose von Kundenanliegen und der Zusammenarbeit mit den Serviceexperten von GTreasury im Zusammenhang mit dem Sicherheitsvorfall;
      • GTreasury wird wirtschaftlich angemessene Anstrengungen unternehmen, damit der Incident Responder auf den technischen Supportfall des Kunden reagiert (oder diesen bestätigt), wie im SLA vorgesehen; und
      • Falls erforderlich und angemessen, sorgt der Incident Responder im Zusammenhang mit dem Sicherheitsvorfall für eine direkte Interaktion zwischen dem Kunden und den Experten von GTreasury Service.
    • Personalschulung und Vertraulichkeit. GTreasury stellt sicher, dass alle Mitarbeiter den Prozess und die Bedingungen, unter denen sie angemessen reagieren müssen, vollständig verstehen. GTreasury wahrt die Vertraulichkeit in Bezug auf tatsächlichen oder vermuteten unbefugten Besitz, Gebrauch oder Kenntnis von Kundendaten oder jedes andere Versagen der Sicherheitsmaßnahmen von GTreasury oder die Nichteinhaltung seiner Sicherheitsrichtlinien oder -verfahren, wie und soweit dies im Rahmenvertrag vorgeschrieben ist.
    • Jahresrückblick/Update. GTreasury überprüft den Reaktionsplan mindestens einmal jährlich, um allen wesentlichen Änderungen an Systemen, Anwendungen oder betrieblichen Abläufen Rechnung zu tragen und vom Management zu genehmigen. GTreasury führt mindestens einmal jährlich eine Überprüfung durch, um zu testen, ob die Annahmen des Reaktionsplans korrekt sind, und um zu bestätigen, dass GTreasury in der Lage ist, den Plan so umzusetzen, wie er entworfen wurde.

DORA-Kunden. Soweit es sich beim Kunden um ein „Finanzunternehmen“ handelt, das dem Gesetz über digitale betriebliche Belastbarkeit (Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale betriebliche Widerstandsfähigkeit des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 unterliegt. Siehe auch https://eur-lex.europa.eu/eli/reg/2022/2554/oj) („DORA“)) und ist verpflichtet, GTreasury die in DORA Art. 30 genannten Verpflichtungen aufzuerlegen. GTreasury unterstützt den Kunden, wenn ein „ICT-Vorfall“ im Zusammenhang mit dem/den dem Kunden zur Verfügung gestellten System (en) auftritt. Wenn ein solcher ICT-Vorfall unmittelbar durch eine Verletzung seiner Verpflichtungen aus dem Vertrag durch GTreasury verursacht wird, erbringt GTreasury diese Dienste bis zu der in der Vereinbarung festgelegten Haftungsbeschränkung ohne zusätzliche Kosten. Wenn ein solcher ICT-Vorfall nicht unmittelbar durch einen Verstoß von GTreasury gegen seine Verpflichtungen aus dem Vertrag verursacht wird, erbringt GTreasury diese Dienstleistungen zu dem im Auftragsdokument angegebenen Tarif für professionelle Dienstleistungen oder, falls im Auftragsdokument kein solcher Tarif angegeben ist, zu den jeweils aktuellen (aber in jedem Fall wirtschaftlich angemessenen) Tarifen von GTreasury.

Siehe GTreasury
in Aktion

Nehmen Sie noch heute Kontakt mit unterstützenden Experten, umfassenden Lösungen und ungenutzten Möglichkeiten auf.

Eine Demo anfragen