Sicherheitsrichtlinien von Miovision Technologies
1. SICHERHEITSRICHTLINIEN.
1.1 Informationssicherheitsprogramm.Miovision unterhält ein spezielles Informationssicherheitsprogramm, das auf allgemein anerkannte Branchenstandards und -rahmenwerke abgestimmt ist, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu gewährleisten. Miovision setzt eine Kombination aus technischen, physischen und administrativen Kontrollmaßnahmen ein, die darauf ausgelegt sind, die unbefugte Offenlegung, Änderung oder Vernichtung sensibler Daten zu verhindern.
1.2 Datenmanagement. Miovisionnutzt definierte Prozesse für die Speicherung, Sicherheit, Nutzung und Verwaltung von Systemdaten wie folgt:
(a) Für kritische Kundendaten werden gemäß den geltenden Gesetzen regelmäßig Sicherungskopien erstellt.
(b) Sensible Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.
(c) Miovision wird den Kunden über alle Datenanfragen von Aufsichts- oder Strafverfolgungsbehörden informieren, die Kundendaten betreffen, sofern dies nicht gesetzlich untersagt ist.
(d) Bei Beendigung dieser Vereinbarung und auf schriftliche Aufforderung des Kunden wird Miovision die Kundendaten zurückgeben, löschen oder vernichten, sofern dies technisch zumutbar ist. Sollte Miovision jedoch gesetzlich zur Aufbewahrung der Kundendaten verpflichtet sein oder sollten die Kundendaten so gespeichert sein, dass sie nicht ohne Beeinträchtigung anderer Daten ohne Weiteres zurückgegeben oder vernichtet werden können, wird Miovision die Kundendaten weiterhin gemäß den Bestimmungen eines Rahmenvertrags über Dienstleistungen und diesen Richtlinien schützen und deren Nutzung auf den Zweck dieser Aufbewahrung beschränken.
(e) Miovision ist berechtigt, Kundendaten (die„aggregierten Kundendaten“) für Analysezwecke, Marketing, Branchenanalysen oder andere geschäftliche Zwecke im Rahmen der Bereitstellung der Miovision-Plattform zu aggregieren und zu nutzen; vorausgesetzt jedoch, dass bei der Auswertung der aggregierten Kundendaten zu keinem Zeitpunkt der Kunde, ein autorisierter Nutzer, ein Kunde und/oder die Geschäftstätigkeit des Kunden oder seiner Kunden identifiziert werden können.
1.3 Datensicherheit. Miovision unterhält ein spezielles Informationssicherheitsprogramm, das alle Anforderungen der geltenden Gesetze erfüllt und darauf ausgelegt ist, Miovision und seine Systeme sowie Kundendaten zu schützen. Dieses Programm umfasst die folgenden Elemente:
(a) Netzwerk: Miovision unterhält eine branchenübliche Netzwerksicherheitsinfrastruktur, einschließlich Firewalls sowie Technologien zur Erkennung und Abwehr von Eindringversuchen.
(b) Protokollierung: Miovision erfasst, speichert und überprüft Systemprotokolle, um böswillige oder ungewöhnliche Aktivitäten zu erkennen.
(c) Zugriffskontrolle: Miovision hält sich an das Prinzip der geringsten Berechtigungen. Der Systemzugang ist auf das beschränkt, was die Mitarbeiter von Miovision zur Erfüllung ihrer Aufgaben benötigen.
(d) Antivirus/Anti-Malware: Miovision setzt Technologien auf Host- und Netzwerkebene ein, um böswillige Aktivitäten durch nicht autorisierte Software zu erkennen und zu verhindern. Die Antiviren-Definitionen werden regelmäßig aktualisiert.
(e) Schwachstellenmanagement: Miovision überprüft und bewertet Systemkomponenten regelmäßig auf Schwachstellen. Identifizierte Schwachstellen werden anhand eines risikobasierten Priorisierungsansatzes behoben. Miovision wird die Erkennung und Behebung von Schwachstellen in den Softwareentwicklungszyklus integrieren.
(f) Systemprüfung: Miovision führt regelmäßige interne und externe Audits der Systeme und Daten gemäß den Branchenstandards und Vorschriften durch. Höchstens einmal jährlich können Kunden schriftlich Zugang zu allen angemessenen Unterlagen im Zusammenhang mit den Richtlinien und Prozessen von Miovision beantragen. Miovision behält sich das Recht vor, Anträge auf Bereitstellung von Informationen abzulehnen, die ein unangemessenes Sicherheitsrisiko für Miovision oder seine Kunden darstellen.
(g) Penetrationstests: Miovision führt interne und externe Penetrationstests durch. Penetrationstests an Miovision-Systemen durch den Kunden oder einen Dritten müssen mit dem Miovision-Informationssicherheitsteam abgestimmt und von diesem genehmigt werden.
(h) Sicherheitsbewusstsein: Schulungen zum Sicherheitsbewusstsein sind für Miovision-Mitarbeiter verpflichtend und finden regelmäßig statt. Die Mitarbeiter nehmen im Rahmen der Einarbeitungsphase für neue Mitarbeiter bei Miovision an Schulungen zum Sicherheitsbewusstsein teil und anschließend jährlich.
(i) Vorfallmanagement: Miovision verfügt über einen festgelegten Prozess für die Bearbeitung und das Management von Vorfällen im Bereich der Informationssicherheit.
(j) Benachrichtigung bei Datenschutzverletzungen: Miovision wird die Kunden unverzüglich, in jedem Fall jedoch innerhalb von achtundvierzig (48) Stunden nach Bekanntwerden eines Datensicherheitsvorfalls (wie hierin definiert), über jede versehentliche oder vorsätzliche Offenlegung, jeden Verlust oder jede Veränderung von Kundendaten durch unbefugte Dritte informieren, sofern dies nicht gesetzlich untersagt ist. Miovision wird dem Kunden eine detaillierte Beschreibung des Datensicherheitsvorfalls, der Art der Kundendaten, die Gegenstand des Datensicherheitsvorfalls waren, und, soweit Miovision dies bekannt ist, die Identität jeder betroffenen Person zur Verfügung stellen, sobald diese Informationen erfasst werden können oder anderweitig verfügbar sind, sowie alle weiteren Informationen und die Zusammenarbeit, die der Kunde im Zusammenhang mit dem Datensicherheitsvorfall vernünftigerweise verlangen kann. Die Parteien arbeiten zusammen, um festzustellen, ob gemäß den geltenden Gesetzen eine Benachrichtigung der betroffenen Personen und/oder staatlicher Behörden erforderlich ist. Ist eine Benachrichtigung erforderlich, trägt Miovision alle angemessenen Kosten für diese Benachrichtigungen. Im Sinne dieses Absatzes bezeichnet ein„Datensicherheitsvorfall“jeden versehentlichen, unbefugten oder rechtswidrigen Zugriff, Erwerb, Diebstahl, jede Zerstörung oder Offenlegung von Kundendaten, die eintreten, während sich diese Kundendaten im Besitz oder unter der Kontrolle von Miovision befinden oder unter der Kontrolle eines Dritten stehen, der von Miovision mit der Erbringung eines Teils der in dieser Vereinbarung vorgesehenen Dienstleistungen beauftragt wurde.
(k) Abhilfemaßnahmen.Miovision verpflichtet sich, unverzüglich und auf eigene Kosten Maßnahmen zu ergreifen, um jeden Vorfall im Bereich der Datensicherheit zu untersuchen und die Auswirkungen des Vorfalls im Bereich der Datensicherheit zu ermitteln, zu verhindern und zu mindern sowie – mit vorheriger schriftlicher Zustimmung des Kunden – alle Wiederherstellungs- oder sonstigen Maßnahmen durchzuführen, die zur Behebung des Vorfalls im Bereich der Datensicherheit erforderlich sind.
(l) Öffentlichkeitsarbeit.Miovision darf ohne die vorherige schriftliche Zustimmung oder Aufforderung des Kunden keine Pressemitteilungen oder sonstigen Mitteilungen bezüglich eines Datensicherheitsvorfalls, der die Daten des Kunden betrifft, herausgeben, veröffentlichen oder Dritten zugänglich machen, sofern nicht durch geltende Gesetze anders vorgeschrieben; Miovision wird den Kunden jedoch, soweit gesetzlich zulässig, unverzüglich über eine solche erforderliche Offenlegung informieren und mit dem Kunden zusammenarbeiten, um die Offenlegung anzufechten oder deren Umfang zu minimieren.
(m) Zusammenarbeit. Miovision wird dem Kunden uneingeschränkt kooperieren und ihn unterstützen, damit dieser seinen Verpflichtungen nachkommen kann, die von einem Datenschutzvorfall betroffenen Personen die Ausübung ihrer Rechte gemäß den geltenden Gesetzen zu ermöglichen. Miovision wird den Kunden innerhalb von drei (3) Werktagen über alle Mitteilungen informieren, die Miovision von einer betroffenen Person erhält, die ihr Recht im Zusammenhang mit einem Datenschutzvorfall ausüben möchte.
1.4 Richtlinien zur Informationssicherheit; Standardverfahren.Unbeschadet der Allgemeingültigkeit von Abschnitt 1.3 dieser Vereinbarung oder anderer Bestimmungen einer Vereinbarung oder eines Leistungsumfangs (SOW) muss Miovision Richtlinien, Standards, Prozesse und Verfahren zur Informationssicherheit einführen, die den Branchenstandards entsprechen, einschließlich der folgenden bewährten Praktiken, soweit anwendbar:
1.4.1 den Schutz aller Kundendaten, die sich auf Systemen befinden, die von Miovision oder zu dessen Gunsten betrieben werden, oder die sich im Besitz oder unter der Kontrolle von Miovision befinden, solange und soweit dies gemäß den Bestimmungen dieser Vereinbarung erforderlich ist;
1.4.2 die Übertragung von Kundendaten in verschlüsselter Form unter Verwendung von Verschlüsselungsalgorithmen nach Industriestandard und anderen sicheren Methoden wie virtuellen privaten Netzwerken (VPN) sowie die Verschlüsselung ruhender Daten usw.;
1.4.3 die physische Unversehrtheit und den Zustand aller Medien zu gewährleisten, die sich im Besitz oder unter der Kontrolle von Miovision befinden und vertrauliche Informationen des Kunden, Vermögenswerte des Kunden oder Kundendaten enthalten;
1.4.4 Sicherstellung, dass Miovision über logische sowie physische Zugangskontrollsysteme verfügt, die eine individuelle Identifizierung und Authentifizierung vor der Gewährung des Zugriffs auf Kundensysteme und Kundendaten umfassen;
1.4.5 Sicherstellung, dass die Systeme und Anwendungen, die Kundendaten verarbeiten, Prüfpfade erstellen, die zur Überprüfung der Datenintegrität sowie zur Feststellung etwaiger Sicherheitsverletzungen geprüft werden können;
1.4.6 den Zugriff auf die auf dem Computer gespeicherten Daten, Informationen, Dateien und Programme des Kunden und seiner verbundenen Unternehmen so zu beschränken, dass diese nur Miovision und den Vertretern von Miovision nach dem „Need-to-know“-Prinzip zur Verfügung stehen;
1.4.7 Sicherstellung, dass auf den für die Geschäftstätigkeit des Kunden genutzten Systemen ausschließlich ordnungsgemäß lizenzierte Software installiert ist;
1.4.8 Sicherstellung, dass die Systeme frei von Malware sind, die zur Kompromittierung der Kundendaten genutzt werden könnte, wobei Miovision die Systeme regelmäßig scannen muss, um solche Malware zu erkennen und zu entfernen; und
1.4.9 Sicherstellung, dass die neuesten Software- und Hardware-Upgrades sowie Patches auf diesen Systemen getestet und installiert wurden, um alle bekannten Sicherheitslücken innerhalb einer wirtschaftlich angemessenen Frist zu beheben.
1,5 Cybersicherheits- und Datenschutzversicherung.Miovision hat während der Laufzeit dieser Vereinbarung für den Kunden eine Netzwerksicherheits- und Datenschutzversicherung in Höhe von mindestens zwei Millionen Dollar (2.000.000 $) pro Schadensfall und mindestens fünf Millionen Dollar (5.000.000 $) insgesamt aufrechtzuerhalten.
1.6 Begriffsbestimmungen. GroßgeschriebeneBegriffe,die hier nicht definiert sind, haben die ihnen im Rahmenvertrag über Dienstleistungen zugewiesene Bedeutung