Eddy AI Vertrauensseite

Zweck: Die Richtlinie zielt darauf ab, den ordnungsgemäßen und effektiven Einsatz von Kryptographie zum Schutz der Vertraulichkeit, Authentizität und Integrität von Informationen sicherzustellen.

Geltungsbereich: Die Richtlinie gilt für alle Informationssysteme, die von Document360 entwickelt und/oder gesteuert werden und vertrauliche Daten speichern oder übertragen.

Policy Owner: Der CEO ist für die Police verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Risikobewertung: Document360 bewertet Risiken und implementiert kryptografische Kontrollen, um sie gegebenenfalls zu mindern.

Verschlüsselungsstandards: Starke Kryptografie mit den zugehörigen Schlüsselverwaltungsprozessen und -verfahren muss in Übereinstimmung mit Industriestandards, einschließlich NIST SP 800-57, implementiert und dokumentiert werden. Wir haben eine teilweise Implementierung des NIST AI Risk Management Framework.

Schlüsselverwaltung: Der Zugriff auf Schlüssel und Geheimnisse wird streng kontrolliert, und es gibt spezifische Empfehlungen für die Verwendung von kryptografischen Schlüsseln, einschließlich Schlüsseltypen, Algorithmen und Schlüssellängen für verschiedene Domänen wie Webzertifikate, Webchiffren und Endpunktspeicher.

Ausnahmen: Anträge auf Ausnahmen von der Richtlinie müssen dem CEO zur Genehmigung vorgelegt und dokumentiert werden.

Verstöße und Durchsetzung: Bekannte Verstöße sollten dem CEO gemeldet werden und können zu Disziplinarmaßnahmen führen, einschließlich der Kündigung des Arbeitsverhältnisses.

Ruhende Daten: Vertrauliche ruhende Daten müssen für einen Zeitraum von maximal 1 Jahr mit symmetrischer Verschlüsselung mit AES-256 Bit verschlüsselt werden.

Passwörter: Passwörter müssen mit unidirektionalen Hash-Funktionen wie Bcrypt, PBKDF2, scrypt oder Argon2 gehasht werden, mit einem 256-Bit-Schlüssel und einem 10K-Stretch, einschließlich eines einzigartigen kryptografischen Salz- und Pfeffers.

Zweck und Umfang: Das Dokument zielt darauf ab, einen Plan für das Management von Vorfällen und Ereignissen im Bereich der Informationssicherheit zu erstellen, der alle diese Vorkommnisse innerhalb des Unternehmens abdeckt.

Definitionen: Sie verdeutlicht den Unterschied zwischen einem Sicherheitsereignis (ein beobachtbares Ereignis, das für die Datensicherheit relevant ist) und einem Sicherheitsvorfall (ein Ereignis, das zu einem Verlust oder einer Schädigung der Datensicherheit führt).

Meldung und Dokumentation: Die Mitarbeiter sind angewiesen, vermutete Vorfälle unverzüglich über bestimmte Kommunikationskanäle zu melden und alle Vorfälle zu dokumentieren.

Schweregrade: Vorfälle werden in die Schweregrade S1 (Kritisch), S2 (Hoch) und S3/S4 (Mittel/Niedrig) eingeteilt, mit klaren Richtlinien für Eskalation und Reaktion.

Incident Response Team: Engineer Manager leiten die Incident Response Bemühungen, mit einem ausgewiesenen "War Room" für die zentralisierte Reaktion. Es werden regelmäßige Meetings abgehalten, um das Incident-Ticket zu aktualisieren, Indikatoren für eine Kompromittierung zu dokumentieren und andere Reaktionsaktivitäten durchzuführen.

Ursachenanalyse: Bei kritischen Vorfällen wird eine Ursachenanalyse durchgeführt, dokumentiert und vom Director of Engineering überprüft, der über die Notwendigkeit eines Post-Mortem-Meetings entscheidet.

Reaktionsprozess: Der Reaktionsprozess umfasst Triage, Untersuchung, Eindämmung, Ausrottung, Wiederherstellung und Härtung, wobei der Schwerpunkt auf den gewonnenen Erkenntnissen und langfristigen Verbesserungen liegt.

Physische Sicherheit: Das Dokument befasst sich mit der physischen Sicherheit betroffener Systeme, einschließlich Isolations- und Backup-Verfahren.

Feststellung und Berichterstattung von Sicherheitsverletzungen: Nur der Product Owner kann feststellen, ob ein Vorfall eine Sicherheitsverletzung darstellt. Das Unternehmen ist verpflichtet, alle relevanten Parteien unverzüglich in Übereinstimmung mit den Richtlinien und regulatorischen Anforderungen zu benachrichtigen.

Externe Kommunikation: Das Unternehmen arbeitet bei Bedarf mit Kunden, Datenverantwortlichen und Behörden zusammen, wobei Rechts- und Führungskräfte den Ansatz bestimmen.

Rollen und Verantwortlichkeiten: Das Dokument beschreibt die spezifischen Verantwortlichkeiten der Incident Responder-Rollen.

Besondere Überlegungen: Dazu gehören der Umgang mit internen Problemen, kompromittierter Kommunikation und Kompromittierung von Root-Konten.

Vorfallstatus und Zusammenfassung: Es wird eine detaillierte Vorlage für die Dokumentation von Vorfalldetails bereitgestellt, einschließlich Datum, Uhrzeit, Ort, beteiligtes Personal, Art der beteiligten Informationen, Indikatoren für eine Kompromittierung, Ursache und ergriffene Maßnahmen.

Policeninhaber und Datum des Inkrafttretens: Der Product Owner ist der Policeneigentümer, und der Plan tritt am 1. März 2024 in Kraft.

Ziel: Festlegung klarer Rollen und Zuständigkeiten für den Schutz elektronischer Informationssysteme und zugehöriger Geräte.

Policeninhaber und Datum des Inkrafttretens: Der CEO ist der Policeneigentümer, und der Plan tritt am 1. März 2024 in Kraft.

Anwendbarkeit

• Gilt für alle Document360-Infrastrukturen, Netzwerksegmente, Systeme, Mitarbeiter und Auftragnehmer, die an Sicherheits- und IT-Funktionen beteiligt sind.

Publikum

• Alle Mitarbeiter und Auftragnehmer, die am Informationssicherheitsprogramm beteiligt sind.

• Umfasst Partner, verbundene Unternehmen, Zeitarbeitskräfte, Auszubildende, Gäste und Freiwillige.

Rollen und Verantwortlichkeiten

1. Geschäftsführung:

• Genehmigt Investitionsausgaben für Sicherheitsprogramme.

• Überwacht die Ausführung und Kommunikation des Risikomanagements in den Bereichen Informationssicherheit und Datenschutz.

• Stellt die Einhaltung von Gesetzen und Standards (z. B. DSGVO, CCPA, SOC 2, ISO 27001) sicher.

• Überprüft Serviceverträge von Anbietern und überwacht das Risikomanagement von Drittanbietern.

2. Direktor für Technik:

• Überwacht die Informationssicherheit in der Softwareentwicklung.

• Implementiert und überwacht Sicherheitskontrollen für Entwicklungs- und IT-Prozesse.

• Führt IT-Risikobewertungen durch und kommuniziert Risiken an die Geschäftsleitung.

3. Vizepräsident des Kundensupports:

• Verwaltet Tools und Prozesse zur Informationssicherheit in Kundenumgebungen.

• Stellt die Einhaltung von Richtlinien zur Datenaufbewahrung und -löschung sicher.

4. Systembesitzer:

• Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen.

• Genehmigen Sie Zugriffs- und Änderungsanfragen für ihre Systeme.

5. Angestellte, Auftragnehmer, Zeitarbeiter:

• Handeln Sie verantwortungsbewusst, um Gesundheit, Sicherheit und Informationsressourcen zu schützen.

• Identifizieren Sie Bereiche für verbesserte Risikomanagementpraktiken.

• Melden Sie Vorfälle und halten Sie sich an die Unternehmensrichtlinien.

6. Chief People Officer

• Stellt sicher, dass Mitarbeiter und Auftragnehmer qualifiziert und kompetent sind.

• Beaufsichtigt Hintergrundüberprüfungen, die Präsentation von Richtlinien und die Einhaltung des Verhaltenskodex.

• Bewertet die Leistung der Mitarbeiter und bietet Sicherheitsschulungen an.

Einhaltung von Richtlinien

• Messung der Compliance durch Berichte, Audits und Feedback.

• Ausnahmen müssen vorab vom CEO genehmigt werden.

• Die Nichteinhaltung kann zu Disziplinarmaßnahmen bis hin zur Kündigung führen.

Dokumentenlenkung

• Ausführung: 1.0

• Datum: 3. Februar 2024

Policeninhaber und Datum des Inkrafttretens: Der CEO ist der Policeneigentümer, und der Plan tritt am 1. März 2024 in Kraft.

Zweck: Sicherstellung, dass die Informationssicherheit innerhalb des Entwicklungslebenszyklus für Anwendungen und Informationssysteme konzipiert und implementiert wird.

Umfang: Gilt für alle Document360-Anwendungen und -Informationssysteme, die geschäftskritisch sind und/oder vertrauliche Daten verarbeiten, speichern oder übertragen.

Secure-by-Design-Prinzipien:

• Minimieren Sie die Angriffsfläche.

• Richten Sie sichere Standardeinstellungen ein.

• Wenden Sie das Prinzip der geringsten Rechte an.

• Implementieren Sie tiefgehende Verteidigung.

• Sicher scheitern.

• Vermeiden Sie Sicherheit durch Verschleierung.

• Halten Sie die Sicherheit einfach.

Privacy-by-Design-Prinzipien:

• Proaktiver, präventiver Ansatz.

• Datenschutz als Standardeinstellung.

• Privatsphäre im Design verankert.

• Volle Funktionalität ohne Kompromisse bei der Privatsphäre.

• End-to-End-Sicherheit.

• Vollständiger Schutz über den gesamten Lebenszyklus.

Entwicklungsumgebung: Logische oder physische Trennung von Umgebungen: Produktion, Test/Staging, Entwicklung.

Systemabnahme-Tests: Legen Sie Akzeptanztestprogramme und -kriterien für neue Informationssysteme, Upgrades und neue Versionen fest. Füllen Sie eine Release-Checkliste aus, bevor Sie Code bereitstellen.

Schutz von Prüfdaten: Testdaten müssen sorgfältig ausgewählt, geschützt und kontrolliert werden. Vertrauliche Kundendaten müssen geschützt werden und dürfen nicht ohne ausdrückliche Genehmigung für Tests verwendet werden.

Verfahren zur Änderungskontrolle: Stellen Sie sicher, dass die Entwicklung, das Testen und die Bereitstellung von Änderungen nicht von einer einzelnen Person ohne Genehmigung und Aufsicht durchgeführt werden.

Software-Versionskontrolle: Die gesamte Software ist versionskontrolliert, wobei der Zugriff je nach Rolle eingeschränkt ist.

Einhaltung der Richtlinien: Gemessen durch Berichte, Audits und Feedback. Die Nichteinhaltung kann zu Disziplinarmaßnahmen bis hin zur Kündigung führen.

Policy Owner: Der CEO ist für die Police verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Zweck: Die Richtlinie zielt darauf ab, ein sicheres und integratives Umfeld für alle Mitarbeiter zu schaffen und aufrechtzuerhalten.

Geltungsbereich: Diese Richtlinie gilt für alle Mitarbeiter in allen beruflichen Umgebungen innerhalb der Organisation.

Kultur: Die durch diese Richtlinie geförderte Organisationskultur betont Respekt, Zusammenarbeit und Rücksichtnahme unter allen Mitarbeitern.

Erwartetes Verhalten: Von den Mitarbeitern wird erwartet, dass sie sich aktiv an der Schaffung eines respektvollen und kollaborativen Arbeitsumfelds beteiligen.

Inakzeptables Verhalten: Jede Form von Belästigung, Gewalt, Diskriminierung oder unangemessenem Verhalten ist strengstens untersagt.

Waffenrichtlinie: Die Richtlinie verbietet den Besitz von Waffen auf dem Firmengelände, mit strengen Konsequenzen bei Verstößen.

Konsequenzen: Die Nichteinhaltung dieser Richtlinie führt zu sofortigen Korrekturmaßnahmen, einschließlich Disziplinarmaßnahmen und der Anforderung, Verstöße zu melden.

Verantwortung: Der CEO ist dafür verantwortlich, dass alle Mitarbeiter die in dieser Richtlinie dargelegten Grundsätze einhalten und aufrechterhalten.

Policy Owner: Der CEO ist für die Police verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Zweck: Der Zweck dieser Richtlinie besteht darin, den Zugriff auf Informationen und Systeme auf autorisierte Personen in Übereinstimmung mit den Geschäftszielen zu beschränken.

Umfang: Diese Richtlinie gilt für alle von Document360 betriebenen Systeme, die vertrauliche Daten von Mitarbeitern und externen Parteien mit Netzwerkzugriff verarbeiten.

Zusammenfassung der Zugriffskontrolle und Benutzerverwaltung:

Identifizierung von Benutzern: Zugriffsrechte werden basierend auf bestimmten Jobrollen und Kompetenzen zugewiesen, die zum Ausführen von Aufgaben erforderlich sind.

Berechtigung pflegen: Alle Zuweisungen von privilegiertem Zugriff werden dokumentiert und gepflegt, um die Verantwortlichkeit zu gewährleisten.

Durchsetzung von Sicherheitsmaßnahmen: Die Multi-Faktor-Authentifizierung (MFA) ist für den privilegierten Zugriff obligatorisch, um die Sicherheit zu erhöhen. Generische Verwaltungs-IDs sind verboten, um eine unbefugte Verwendung zu verhindern.

Verabschiedung von Protokollen: Zeitgebundene Zugriffsberechtigungen werden erteilt, um die Gefährdung zu begrenzen und Sicherheitsrisiken zu reduzieren.

Protokollierung und Überwachung: Alle privilegierten Anmeldungen und Aktivitäten werden protokolliert und geprüft, um sie auf unbefugten Zugriff oder Missbrauch zu überwachen.

Bewertungen des Benutzerzugriffs: Regelmäßige Überprüfungen stellen sicher, dass eindeutige und angemessene Identitäten für Personen mit privilegiertem Zugriff beibehalten werden.

Richtlinie zur Zugriffskontrolle: Der Zugriff ist nur auf autorisierte Parteien beschränkt, um sicherzustellen, dass die Informationen geschützt bleiben.

Passwortverwaltung: Sichere Anmeldeverfahren und Passwortrichtlinien sind implementiert, um sich vor unbefugtem Zugriff zu schützen.

Bereitstellung des Benutzerzugriffs: Zugriffsberechtigungen werden auf der Grundlage dokumentierter Geschäftsanforderungen und validierter Anforderungen erteilt.

Verstöße & Durchsetzung: Verstöße gegen diese Richtlinie werden gemeldet und unterliegen Durchsetzungsmaßnahmen, um die Einhaltung und Sicherheit zu gewährleisten.

Policy Owner: Der CEO ist für die Police verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Zweck: Um sicherzustellen, dass Informationen basierend auf ihrer Bedeutung für die Organisation klassifiziert, geschützt, aufbewahrt und sicher entsorgt werden.

Umfang: Gilt für alle Daten, Informationen und Informationssysteme von Document360.

Klassifizierung der Daten: Vertraulich: Hochsensible Daten, die das höchste Schutzniveau erfordern. Beispiele hierfür sind Kundendaten, personenbezogene Daten, Unternehmensfinanzen, strategische Pläne und technische Berichte.

Eingeschränkt: Proprietäre Informationen, die gründlich geschützt werden müssen. Standardklassifizierung für alle Unternehmensinformationen, sofern nicht anders angegeben. Beispiele hierfür sind interne Richtlinien, rechtliche Dokumente, Verträge und E-Mails.

Öffentlich: Informationen, die für den öffentlichen Gebrauch bestimmt sind und frei verbreitet werden können. Beispiele hierfür sind Marketingmaterialien und Produktbeschreibungen.

Datenverarbeitung:

Vertrauliche Daten:

• Eingeschränkter Zugriff auf bestimmte Mitarbeiter oder Abteilungen.

• Muss im Ruhezustand und während der Übertragung verschlüsselt werden.

• Sollte nicht auf persönlichen Geräten oder Wechselmedien gespeichert werden.

• Erfordert eine sichere Lagerung und Entsorgung.

Eingeschränkte Daten:

• Der Zugriff ist auf Benutzer beschränkt, die dies wissen müssen.

• Erfordert die Genehmigung des Managements für die externe Übertragung.

• Eine sichere Lagerung und Entsorgung ist Pflicht.

Öffentliche Daten: Es sind keine besonderen Schutz- oder Handhabungskontrollen erforderlich.

Datenspeicherung und -vernichtung:

• Die Daten werden so lange aufbewahrt, wie es für geschäftliche, behördliche oder vertragliche Anforderungen erforderlich ist.

• Vertrauliche und eingeschränkte Daten werden sicher gelöscht, wenn sie nicht mehr benötigt werden.

• PII werden gelöscht oder anonymisiert, wenn sie nicht mehr für geschäftliche Zwecke benötigt werden.

Jährliche Datenüberprüfung: Das Management überprüft jährlich die Anforderungen an die Datenaufbewahrung, um die Einhaltung der Richtlinie sicherzustellen.

Gesetzliche Anforderungen: Daten, die mit gesetzlichen Aufbewahrungspflichten oder Klagen verbunden sind, sind von den Standardanforderungen der Police ausgenommen und werden gemäß den Bestimmungen des Rechtsberaters aufbewahrt.

Einhaltung der Richtlinien: Messung der Compliance durch Berichte und Audits von Business-Tools.

Ausnahmen: Alle Ausnahmen von der Richtlinie bedürfen der Genehmigung des CEO.

Verstöße & Durchsetzung: Bekannte Verstöße gegen die Richtlinien sollten dem CEO gemeldet werden und können zu Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses führen.

Policy Owner: Der CEO ist für die Police verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Zweck und Geltungsbereich:

• Gewährleisten Sie den sicheren Betrieb von informationsverarbeitenden Systemen und Einrichtungen.

• Gilt für alle kritischen Document360-Informationssysteme und Drittanbieter mit Netzwerkzugriff.

Dokumentierte Betriebsverfahren:

Technische und administrative Verfahren müssen dokumentiert und den relevanten Nutzern zugänglich gemacht werden.

Veränderungsmanagement:

• Wesentliche Änderungen müssen vor der Bereitstellung dokumentiert, getestet, überprüft und genehmigt werden.

• Notfalländerungen bedürfen einer nachträglichen Überprüfung und Genehmigung.

Kapazitätsmanagement:

• Überwachen Sie Verarbeitungsressourcen und Systemspeicher und passen Sie sie an, um die Leistungsanforderungen zu erfüllen.

• Beziehen Sie die Personalkapazität in die Planung und die jährlichen Risikobewertungen ein.

Verhinderung von Datenlecks:

• Identifizieren und klassifizieren Sie Informationen gemäß der Datenverwaltungsrichtlinie.

• Schulen Sie die Benutzer im richtigen Umgang mit sensiblen Informationen.

• Verwenden Sie DLP-Tools (Data Loss Prevention, Data Loss Prevention, die auf einer Risikobewertung basieren).

Web-Filterung:

• Implementieren Sie DNS- und IP-Blockierung, um den Zugriff auf riskante Websites einzuschränken.

• Blockieren Sie Websites mit bösartigen Inhalten oder Command-and-Control-Servern, es sei denn, dies ist für Ihr Unternehmen erforderlich.

Trennung der Umgebungen:

• Trennen Sie Entwicklungs-, Staging- und Produktionsumgebungen strikt.

• Verwenden Sie vertrauliche Produktionskundendaten nicht ohne Genehmigung in Entwicklungs- oder Testumgebungen.

System- und Netzwerkkonfiguration:

• Befolgen Sie Konfigurations- und Härtungsstandards, um die System- und Netzwerksicherheit zu gewährleisten.

• Überprüfen Sie jährlich die Konfigurationsregeln für den Zugriff auf das Produktionsnetzwerk.

Schutz vor Malware:

• Implementieren Sie Erkennungs-, Präventions- und Wiederherstellungskontrollen für Malware.

• Nutzen Sie Anti-Malware- und Bedrohungserkennungssoftware auf allen Endpunkten und E-Mails des Unternehmens.

Sicherung von Informationen: Entwerfen und implementieren Sie Backup-Prozesse für Systeme und Daten, um die Wiederherstellung von Kundendaten gemäß SLAs sicherzustellen.

Protokollierung und Überwachung: Implementieren Sie Protokollierung und Überwachung, um Sicherheitsvorfälle zu erkennen und darauf zu reagieren.

Steuerung der Betriebssoftware: Verwalten Sie die Installation und Nutzung der Betriebssoftware nach festgelegten Regeln.

Bedrohungs-Intelligence: Sammeln und analysieren Sie Bedrohungen der Informationssicherheit, um verwertbare Informationen zu gewinnen.

Technisches Schwachstellenmanagement: Identifizieren, bewerten und beheben Sie technische Schwachstellen rechtzeitig.

Einschränkungen bei der Softwareinstallation: Legen Sie Regeln für die Softwareinstallation fest, um Sicherheit und Compliance zu gewährleisten.

Überlegungen zur Prüfung von Informationssystemen: Planen und vereinbaren Sie Auditanforderungen, um Unterbrechungen der Geschäftsprozesse zu minimieren.

Bewertung und Anforderungen der Systemsicherheit: Berücksichtigen Sie Sicherheitsanforderungen bei der Anschaffung oder wesentlichen Änderungen an Systemen.

Datenmaskierung: Implementieren Sie Datenmaskierungstechniken, um personenbezogene Daten und sensible Daten auf der Grundlage einer Risikobewertung zu schützen.

Policy Owner: Der CEO ist für die Datenaufbewahrungsrichtlinie verantwortlich.

Datum des Inkrafttretens: Die Richtlinie tritt am 1. März 2024 in Kraft.

Zweck: Diese Richtlinie beschreibt, wie Daten in Document360 gespeichert, analysiert und gelöscht werden, um Transparenz und Benutzerkontrolle über die aufbewahrten Informationen zu gewährleisten.

Geltungsbereich: Diese Richtlinie gilt für alle Kunden, die Document360 verwenden, einschließlich öffentlicher und privater Wissensdatenbankprojekte.

Datenerfassung:

• Für öffentliche Websites: Es werden keine Daten auf Benutzerebene erfasst.

• Für private Projekte: Wir erfassen Daten auf Benutzerebene, einschließlich der Identität des Benutzers, der eine Eingabeaufforderung einreicht, Zeitstempel und andere Benutzerinformationen, die in Document360 verfügbar sind.

Datenverwendung: Document360 speichert alle Eingabeaufforderungen/Fragen, die in den Eddy AI Chatbot eingegeben werden, um die folgenden Analysen durchzuführen:

• Topical Analysis: Clustering von Fragen/Eingabeaufforderungen unter Verwendung von hauseigenen Algorithmen und OpenAI-APIs.

• Zitationsanalyse: Identifizierung der am häufigsten zitierten Artikel.

• Metriken: Anzeige von Tiefenmetriken und Verfolgung von beantworteten und unbeantworteten Fragen.

Anpassung: Diese Richtlinie kann vom Kunden nicht angepasst werden, aber Kunden haben das Recht, jederzeit während der Vertragslaufzeit die Löschung ihrer Daten zu verlangen.

Datenspeicherung und -löschung:

• Alle gesammelten Daten bleiben in Ihrem Document360-Projekt erhalten.

• Daten werden dauerhaft gelöscht, wenn das Wissensdatenbank-Projekt gelöscht wird.

• Sie können jederzeit während Ihres Vertrags mit Document360 die Löschung dieser Daten verlangen.

Verantwortung: Der CEO ist dafür verantwortlich, die Umsetzung und Einhaltung dieser Richtlinie für alle Kundenkonten und -projekte sicherzustellen.