Sicherheit und Datenschutz
Trust
Die Sicherheit und die Vertraulichkeit von Kundendaten haben bei ThousandEyes schon immer hohe Priorität. Unsere Kunden vertrauen uns, wenn wir Informationen zur Performance der von ihnen genutzten Netzwerke und Applikationen erfassen und speichern. Je nach Bereitstellungsszenario und abhängig vom jeweiligen Use Case beim Kunden kann es sich dabei um Informationen aus dem Internet handeln, die aus dem öffentlichen Bereich stammen, aber auch um Informationen aus privaten Unternehmensnetzwerken. Daher behandeln wir alle erfassten Daten als streng vertraulich und haben ein Managementsystem implementiert, um die Vertraulichkeit, Integrität, Verfügbarkeit und den Schutz dieser Daten zu wahren.
Als Grundlage für solides Management halten wir bei unserem Managementsystem für Informationssicherheit die allgemein anerkannte Norm ISO/IEC 27001 ein. Unser Managementsystem für Datenschutzinformationen beruht auf ISO 27701 und ist entsprechend zertifiziert.
Zusammen bilden diese Frameworks das sogenannte ThousandEyes Unified Security and Privacy Management Framework (USPMF), das durch strikte Richtlinien, Standards, Technologien und Prozesse unterstützt wird. Wir verbessern unser USPMF kontinuierlich, indem wir weitere technische und organisatorische Kontrollen implementieren, die dafür sorgen, dass Kundendaten immer gemäß den aktuellen Best Practices geschützt werden.
Als Cloud-Service-Provider teilt sich ThousandEyes die Verantwortung für Sicherheit und Datenschutz mit seinen Kunden. Nachstehend wird beschrieben, welche Rolle Sie bei der Implementierung von Sicherheitskontrollen und betrieblichen Aktivitäten spielen.
Bug Bounty-Programm
Wir von ThousandEyes möchten unseren Kunden, Partnern und der Community ein hohes Maß an Sicherheit bieten. Das Programm von Cisco ThousandEyes zur Belohnung der Meldung von Sicherheitslücken ist Teil unserer allgemeinen Security-Strategie. Wir wollen damit auch externe Teams und Einzelpersonen dazu ermutigen, mit unserem Security-Team zusammenzuarbeiten, damit wir gemeinsam die Sicherheit der Plattform gewährleisten können.
Wenn Sie der Meinung sind, eine Sicherheitslücke bezüglich der Produkte, Services, Websites oder anderer Infrastrukturen von ThousandEyes entdeckt zu haben, oder wenn Sie einen Verdacht bezüglich eines anderen Missstandes melden möchten, reichen Sie Ihre Ergebnisse unter bugcrowd.com/thousandeyes-og ein. Nach Erhalt Ihrer Anfrage arbeitet Bugcrowd mit dem ThousandEyes Security-Team an deren Prüfung und Beantwortung. Wir bitten Sie um Ihre Mithilfe bezüglich der Offenlegung aller Informationen und um eine verantwortungsvolle Zusammenarbeit mit uns, damit wir unsere Kunden, Partner und die Community schützen können.
Informationssicherheit
Organisation der Informationssicherheit
Die Organisation der Informationssicherheit bei ThousandEyes erfolgt unter der Leitung des Chief Information Security Officer. Sein Team ist für alle Aspekte des Datenschutzes (geschäftlich, physisch und technisch) und der Sicherheit zuständig. Hierzu zählen Audits und Compliance sowie das allgemeine Risikomanagement.
Sicherheit im Personalwesen
Wir sind überzeugt davon, dass Informationssicherheit bei den Usern anfängt und es nicht genügt, nur die physischen Systeme zu schützen. Daher investieren wir in Schulungen und Sensibilisierung zum Thema Sicherheit für alle unsere Mitarbeiter:innen. Wir statten sie mit dem nötigen Wissen aus, um unsere Managementsysteme für Sicherheit und Datenschutz vom ersten Tag an zu unterstützen.
Asset- und Risikomanagement
Alle Informationen werden im Hinblick auf ihre Vertraulichkeit im Rahmen eines dreistufigen Datenklassifizierungsschemas klassifiziert, und wir schreiben die Implementierung entsprechender Sicherheitskontrollen vor. Für alle kritischen Informationsressourcen muss eine Risikobewertung durchgeführt werden, um zu überprüfen, ob die bestehenden Kontrollen den festgelegten Kriterien entsprechen. Alle Kundeninformationen werden standardmäßig als vertraulich eingestuft. Dementsprechend gilt dafür immer ein Höchstmaß an Schutz.
Zugriffskontrolle
Der Zugriff auf Informationen wird nach dem Need-to-know-Prinzip gewährt und durch einen verwalteten Prozess kontrolliert, der die Autorisierung neuer Zugriffe, eine zeitnahe Beendigung des Zugriffs bei Bedarf und die regelmäßige Überprüfung der Zugriffslisten für kritische Informationen beinhaltet.
Kryptografie
Alle Krypto-Kontrollen bei ThousandEyes entsprechen internationalen Gesetzen und Auflagen und erfordern sichere Schlüsselmanagementverfahren.
Physische Sicherheit und Sicherheit der Umgebung
Rechenzentren und Büros sind mit Zugangskontroll- und Videoüberwachungssystemen ausgestattet, und Sicherheit vor Ort ist rund um die Uhr gegeben. ThousandEyes akzeptiert nur Rechenzentren, die den Anforderungen für Tier III genügen.
Betriebssicherheit
Alle Netzwerke, Systeme und Applikationen werden sicher konfiguriert, implementiert und durch Backups geschützt, damit sie zuverlässig wie vorgesehen funktionieren. Auf allen wichtigen Systemen, die von Kunden genutzt werden, wird Malwareschutz bereitgestellt.
Kommunikationssicherheit
Alle Kommunikationsressourcen bei ThousandEyes werden so verwendet, wie es unseren ethischen und Geschäftsprinzipien entspricht. Darüber hinaus werden relevante Kontrollen wie Kryptografie für die Übertragung vertraulicher Daten implementiert.
Erwerb, Entwicklung und Wartung von Systemen
Beispiele für unsere Kontrollen sind Penetrationstests und Code-Überprüfungen, die wichtige Schritte im Genehmigungsprozess darstellen. Des Weiteren werden unsere Design- und Bereitstellungsmethoden für den sicheren Softwareentwicklungszyklus kontinuierlich verbessert, damit sie den aktuellen Best Practices entsprechen und neue Trends berücksichtigen.
Drittanbieter-Services
Wenn externe Auftragnehmer in unserem Namen handeln, müssen sie die strikten Standards für Sicherheit und Datenschutz erfüllen, die wir auch intern einhalten. Die entsprechende Due-Diligence-Prüfung erfolgt im Rahmen unseres Risikomanagementprozesses für Auftragnehmer, der eine umfassende Sicherheitsprüfung des Drittunternehmens sowie seines Serviceangebots oder Produkts beinhaltet.
Security-Monitoring und Incident-Management
Wir überwachen unsere Netzwerke, Systeme und Applikationen kontinuierlich, um verschiedene Arten von Ereignissen zu erkennen. Natürlich überwacht unsere eigene Cloud-Monitoring-Lösung sich selbst und andere Komponenten unserer Technologieinfrastruktur. Sobald ein kritisches Ereignis erkannt wird, greift ein Incident-Response-Plan.
Datenschutz
Die Cisco Online-Datenschutzerklärung und diese Zusammenfassung gelten für Websites von Cisco und unseren Partnerunternehmen, die zu dieser Erklärung verlinken.
Cisco respektiert die Privatsphäre und schützt personenbezogene Daten. Unsere Datenschutzerklärung spiegelt die aktuellen globalen Prinzipien und Standards für den Umgang mit personenbezogenen Informationen wider: Transparenz, Fairness und Verantwortungsbewusstsein. Im Folgenden finden Sie einige der wichtigsten Aspekte der Online-Datenschutzerklärung von Cisco. Beachten Sie, dass genauere Informationen darüber, wie Cisco personenbezogene Daten verarbeitet, in Informationsblättern zum Datenschutz, Angebotsbeschreibungen oder anderen Hinweisen, die vor oder zum Zeitpunkt der Datenerfassung bereitgestellt werden, zu finden sind.
Personenbezogene Daten
Wir erfassen personenbezogene Daten für eine Vielzahl von Zwecken, beispielsweise zur Verarbeitung Ihrer Bestellung, zur Bereitstellung von Websites und Applikationen und zur Ermöglichung ihrer Funktionalität, um Ihnen ein Newsletter-Abonnement bereitzustellen, um Ihnen Unternehmenskommunikation und Marketingmaterialien zu senden, für die Personalisierung Ihrer User Experience oder im Zusammenhang mit Stellenbewerbungen.
Wir werden Sie über den Zweck der Erfassung personenbezogener Daten informieren, sobald wir diese von Ihnen erfassen. Die Aufbewahrung der Daten erfolgt ausschließlich zu dem Zweck, zu dem sie erfasst wurden, oder gemäß geltenden Gesetzen oder eines berechtigten Interesses.
Wir können die von Ihnen erfassten Daten mit aus anderen Quellen erfassten Daten zusammenführen. Auf diese Weise können wir deren allgemeine Genauigkeit und Vollständigkeit verbessern und unsere Interaktionen mit Ihnen sowie unsere Leistungen für Sie verbessern und besser auf Ihre Bedürfnisse abstimmen.
Wir können unter Verwendung unterschiedlicher Technologien wie Cookies auch Daten in Bezug auf Ihre Nutzung unserer Websites und webbasierten Lösungen erfassen.
Benachrichtigung und Ihre Auswahlmöglichkeiten zur Verarbeitung der personenbezogenen Daten
Wir verwenden Ihre personenbezogenen Daten zu dem Zweck, zu dem sie erfasst wurden und wir werden Sie nicht zu einem anderen Zweck verwenden, ohne Sie vorher um Einwilligung gebeten zu haben oder ohne eine rechtliche Grundlage für die Nutzung zu haben.
Wir werden Sie um Erlaubnis bitten, bevor wir Ihre personenbezogenen Daten zu einem anderen Zweck an Dritte weitergeben als dem, zu dem Sie sie bereitgestellt haben oder dies in unserer Online-Datenschutzerklärung angegeben ist.
Weitere Informationen zu Ihren Auswahlmöglichkeiten hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten durch Cisco oder unserer Verwendung von Cookies oder anderen Web-Technologien finden Sie in der vollständigen Fassung unserer Online-Datenschutzrichtlinie.
Datenzugriff und -integrität
Wenn Sie Ihre personenbezogenen Daten oder Ihre Kommunikations-Voreinstellungen aktualisieren möchten, klicken Sie hier, oder besuchen Sie die Website des jeweiligen Produkts oder Services.
Datensicherheit
Wir schützen Ihre personenbezogenen Daten vor nicht autorisiertem Zugriff oder Offenlegung.
Datentransfer
Als weltweit tätiges Unternehmen können wir Ihre personenbezogenen Daten zu Cisco in den USA, zu einer beliebigen Cisco Tochtergesellschaft weltweit oder zu in unserem Auftrag tätigen Dritten übertragen, die außerhalb des Landes ansässig sind, in dem die Daten erfasst wurden, und wo sich die Datenschutzstandards unterscheiden können.
Wir übertragen Ihre personenbezogenen Daten ausschließlich an Dritte, die ein Datenschutzniveau zusichern, das mindestens dem unseren entspricht.
Wichtige Informationen
Unsere Datenschutzerklärungen und -praktiken sind darauf ausgerichtet, weltweit geltende Gesetze einzuhalten und Ihr Vertrauen in Cisco zu gewinnen und zu erhalten.
Cisco ist gemäß dem Cross Border Privacy Rules System und der Privacy Recognition for Processors der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC) in Bezug auf die Verarbeitung personenbezogener Daten und ihre Übertragung in die/aus den APEC-Mitgliedsländer(n) zertifiziert. Für weitere Informationen zum Umfang unserer Teilnahme oder zum Einreichen einer Datenschutzanfrage durch BBB National Programs, unseren Accountability Agent, klicken Sie bitte auf das offizielle Siegel unten:
Die Binding Corporate Rules – Controller (BCR-C) von Cisco sorgen dafür, dass weltweite Übertragungen personenbezogener Informationen aus Europa durch Cisco angemessen geschützt sind.
Cisco ist außerdem nach den vom US-Handelsministerium formulierten Rahmenbedingungen des EU-US Privacy Shield sowie des Swiss-US Privacy Shield in Bezug auf die Erfassung, Nutzung, Verarbeitung und grenzüberschreitende Übermittlung personenbezogener Daten aus der EU und der Schweiz zertifiziert.
Wenn Sie Fragen, Kommentare oder Bedenken bezüglich dieser Datenschutzerklärung oder der Behandlung Ihrer personenbezogenen Daten haben, klicken Sie bitte hier.
Falls Sie Bedenken hinsichtlich des Datenschutzes oder der Datennutzung haben, die von uns nicht zufriedenstellend ausgeräumt werden konnten, wenden Sie sich bitte an die externe Schlichtungsstelle in den USA (kostenlos).
Referenzen
Weitere Informationen zum Datenschutz bei uns finden Sie in der vollständigen Version der Cisco Online-Datenschutzerklärung.
Letzte Aktualisierung: 1. Dezember 2021
Compliance
ThousandEyes und unsere Mitarbeiter:innen halten eine Reihe von Gesetzen und Auflagen ein:
Wir haben einen zweistufigen Prozess für Compliance implementiert. Zum einen stellen wir sicher, dass alle externen und internen Anforderungen in unseren Richtlinien berücksichtigt und von den zugrunde liegenden Standards, Technologien und Prozessen unterstützt werden. Zum anderen führen wir im Rahmen von internen Risikobewertungen und Audits regelmäßige Tests durch, um sicherzugehen, dass alle Sicherheitskontrollen ordnungsgemäß implementiert sind und effektiv funktionieren.
Wir arbeiten mit einem unabhängigen Anbieter für Nachweise gemäß AT Section 101 zusammen, woraus sich ein Bericht gemäß SOC 2 Typ II für das Sicherheitsprinzip über einen Zeitraum von 12 Monaten ergibt. Darüber hinaus wurde das Managementsystem für Informationssicherheit, das unsere Software-as-a-Service-Applikation (SaaS) für das Netzwerk-Performancemanagement unterstützt, durch eine unabhängige Zertifizierungsstelle gemäß ISO/IEC 27001:2013 und ISO/IEC 27018:2019 zertifiziert. Auch unser Managementsystem für Datenschutzinformationen, das unsere SaaS-Applikation für das Netzwerk-Performancemanagement unterstützt, wurde durch eine unabhängige Zertifizierungsstelle gemäß ISO/IEC 27701:2019 zertifiziert. Und schließlich führt ein unabhängiger Anbieter jährlich eine Unternehmensrisikobewertung für unsere kritischen Informationsressourcen durch.
ThousandEyes ist als Unternehmen Mitglied der Cloud Security Alliance. Dort teilen wir Informationen und arbeiten mit anderen Branchenführern zusammen, um stets die sichersten Best Practices zu befolgen. ThousandEyes ist auch Mitglied im Center for Internet Security, einer zukunftsorientierten gemeinnützigen Organisation, die auf eine weltweite IT-Community zurückgreift, um private und öffentliche Unternehmen und Organisationen vor Cyberbedrohungen zu schützen.