start portlet menu bar end portlet menu bar

Die unten aufgeführten technischen und organisatorischen Maßnahmen (TOM) gelten für alle Produktangebote von HCLSoftware. Nachweise für die von HCLSoftware Security implementierten und aufrechterhaltenen Maßnahmen können auf Kundenanfrage in Form von aktuellen Konformitätsbescheinigungen, Auditberichten oder Auszügen unabhängiger Stellen vorgelegt werden.

Sicherheitsrichtlinien

HCLSoftware unterhält ein robustes Informationssicherheits-Managementsystem (ISMS). Die Sicherheitsrichtlinien werden jährlich überprüft und nach Ermessen von HCLSoftware geändert, um die Einhaltung der Sicherheitsvorschriften zu gewährleisten.

Alle sechs Monate findet eine formelle Managementprüfung statt, um die Wirksamkeit der technischen und organisatorischen Maßnahmen zu bewerten und abzuschätzen. Dazu gehört auch die Nachverfolgung der Kennzahlen für Governance, Risiko und Compliance unseres Informationssicherheits-Managementsystems.

Die Mitarbeiter von HCLSoftware absolvieren jährlich eine Schulung zu Sicherheit und Datenschutz. HCLSoftware verfügt über eine festgelegte Organisationsstruktur für Informationssicherheit, die alle Prozesse und Aktivitäten im Zusammenhang mit der Informationssicherheit für HCLSoftware vorgibt.

  • HCL hat die Datenschutzrichtlinien und -prozesse für den Zugriff auf personenbezogene Daten definiert und dokumentiert.
  • Es finden obligatorische Schulungen zum Thema Informationssicherheit statt.
  • HCL überprüft die Ereignisprotokolle kontinuierlich auf bösartiges oder auffälliges Verhalten.
  • Alle gemeldeten bestätigten Vorfälle werden hinsichtlich ihrer Ursache und Auswirkungen analysiert. Die Abhilfemaßnahmen werden von den Prozessverantwortlichen eingeleitet. Die wichtigsten Vorfälle sowie deren Ursachen und Auswirkungen werden der Geschäftsführung von HCL gemeldet.
  • Die Rechenzentren und die Support-Organisation von HCLSoftware sind nach ISO 27001 zertifiziert.

Interne IT und Governance und Management der IT-Sicherheit

Es wird ein formelles internes Auditprogramm durchgeführt, um die Konformität und Governance unserer ISMS-Kontrollen zu messen. Die Kennzahlen aus unserem internen Auditprogramm werden bei unseren Management-Reviews vorgestellt.

Zertifizierung/Absicherung von Prozessen und Produkten

Externe und unabhängige Audits werden organisiert und verwaltet, um unsere geschäftlichen Anforderungen in Bezug auf Zertifizierung/Absicherung zu erfüllen. Dies umfasst eine vollständige formelle Prüfung der Prozesse und Produkte, die von unserem ISMS unterstützt werden.

Weitere Informationen finden Sie unter „Zertifizierung beantragen“.

Risikomanagement

HCLSoftware hat ein auf ISO 27005 basierendes Risikomanagement-Framework definiert, dokumentiert und implementiert, um Risiken im Zusammenhang mit Sicherheit, Datenschutz und anderen vertraglichen Anforderungen zu identifizieren. Alle Risiken werden hinsichtlich ihrer Auswirkungen auf das Unternehmen bewertet und anschließend abgeschätzt, um die richtigen Maßnahmen zu ermitteln.

HCLSoftware beurteilt und behandelt Risiken und erstellt Aktionspläne, um identifizierte Risiken zu mindern. Alle Bereiche von HCLSoftware verfügen über Risikokontaktstellen, die bei Identifizierung und Management von Risiken helfen. Alle Risiken werden bei Bedarf, mindestens aber einmal jährlich, überprüft.

Vorfallmanagement

HCLSoftware verfügt über eine Richtlinie für die Reaktion auf Vorfälle und befolgt diesbezüglich dokumentierte Pläne, einschließlich der unverzüglichen Benachrichtigung der zuständigen Behörden, Kunden und betroffenen Personen, wenn ein Verstoß bekannt wird oder der begründete Verdacht besteht, dass er Auswirkungen auf Kundendaten hat.

Das Programm von HCLSoftware zur Reaktion auf Vorfälle folgt NIST 800-61 r2 (siehe Abbildung unten).

HCLSoftware unterhält separate Abläufe für die folgenden Vorfälle:

  • Cybersicherheitsvorfälle
  • Datenvorfälle (einschließlich des Datenschutzteams, wenn personenbezogene Daten betroffen sind)
Die Kommunikation außerhalb von HCL wird von den entsprechenden kundenorientierten Ressourcen abgewickelt.

HCL überwacht Sicherheitsvorfälle rund um die Uhr und eskaliert sie an das zuständige Incident Management Response Team, wenn ein Vorfall entdeckt wird. Der Vorfallprozess umfasst je nach Bedarf Isolierung/Beseitigung/Aufbewahrung; bei schwerwiegenden/kritischen Vorfällen wird eine Ursachenanalyse durchgeführt. Zu den Aktivitäten nach einem Vorfall gehören auch Überprüfungen zur Verbesserung von Prozessen/Tools, falls erforderlich.

Physische und umgebungsbezogene Sicherheit

HCLSoftware sorgt für die physische Sicherheit seiner Einrichtungen und Rechenzentren, was auch Vorsichtsmaßnahmen gegen Umweltbedrohungen und Stromausfälle umfasst.

  • Der Zugang zu Rechenzentren wird je nach Funktion kontrolliert und eingeschränkt und unterliegt einer Genehmigung.
  • Der Zugang zu Rechenzentren wird nur bei Bedarf gewährt und regelmäßig überprüft.
  • Der physische Zugang zu Büros wird durch einen Zugangskontrollmechanismus geregelt.
  • Der Zutritt von Besuchern wird überwacht und aufgezeichnet.
  • Alle kritischen Bereiche werden videoüberwacht, und die Aufzeichnungen werden mindestens 30 Tage lang aufbewahrt.

Datenschutz

HCLSoftware hat ein Datenschutzprogramm implementiert und wird dieses aufrechterhalten, das darauf ausgelegt ist, alle für das Unternehmen und die von uns gespeicherten personenbezogenen Daten geltenden Datenschutzbestimmungen einzuhalten. Zudem setzen wir Prozesse ein, um sicherzustellen, dass wir mit den personenbezogenen Daten unserer Kunden in Übereinstimmung mit unseren gesetzlichen Verpflichtungen und unseren Kundenverträgen umgehen. Das Datenschutzprogramm umfasst unter anderem Folgendes:

  1. Datenschutz-Folgenabschätzung
  2. Richtlinien und Verfahren
  3. Schulungen zur Sensibilisierung der Mitarbeiter für Datenschutzfragen
  4. Kundenverträge
  5. Folgenabschätzungen für Datenübertragungen
  6. Datenschutzbewertungen von Lieferanten/Dritten
  7. Produktsicherheit durch Design
  8. Reaktion auf Anfragen von betroffenen Personen
  9. Reaktion auf Vorfälle
  10. Dokumentation der Einhaltung globaler Datenschutzbestimmungen

Gewährleistung einer begrenzten Datenspeicherung

  • Der Support erfasst nur personenbezogene Daten, die für die Bereitstellung von Support und damit verbundenen Dienstleistungen für unsere Kunden erforderlich sind. Der Support speichert Kundendaten nicht länger als erforderlich und ergreift alle notwendigen Maßnahmen, um sicherzustellen, dass personenbezogene Daten gemäß den internen Richtlinien und geltenden Gesetzen geschützt und gelöscht werden.
  • Die im Customer Data Repository (CuDaR) gespeicherten Diagnosedaten werden nach Abschluss des Falls aus dem aktiven Repository gelöscht; es dauert bis zu 60 Tage, bis sie endgültig aus den Backups entfernt werden. Die in unserem Ticketverwaltungssystem gespeicherten Falldaten werden nach Abschluss des Falls bis zu 5 Jahre lang aufbewahrt.

Zugriff auf und Löschung von Kundendaten

Der Support ist in der Lage, Anfragen von betroffenen Personen gemäß internen Richtlinien und geltenden Gesetzen zu bearbeiten. Kunden haben Zugriff auf ihre Daten im Kundensupport-Portal und können ihre Daten bei Bedarf exportieren. Darüber hinaus kann der HCL-Support auf Kundenwunsch beim Exportieren von Kundendaten behilflich sein.

Pseudonymisierung/Anonymisierung

Maßnahmen zur Pseudonymisierung oder Anonymisierung personenbezogener Daten werden im erforderlichen Umfang in den Nicht-Produktionsumgebungen des Supports umgesetzt.

Verschlüsselung personenbezogener Daten

  • Bei der Übermittlung personenbezogener Daten wird eine sichere End-to-End-Verschlüsselung der Kommunikation gewährleistet. Jede Übertragung personenbezogener Daten erfolgt über HTTPS/SFTP und mindestens mit dem TLS 1.2-Protokoll. Die Backend-Datenbank wird im Ruhezustand mit AES-256-Verschlüsselung verschlüsselt.
  • Daten in Bewegung (data in transit): Eine TLS-Verschlüsselung (Transport Layer Security) ist für alle Internetverbindungen während der Anmeldung erforderlich, und alle Daten müssen während der Übermittlung verschlüsselt werden.
  • Daten im Ruhezustand (data at rest): Gespeicherte Kundendaten werden verschlüsselt. Die Schlüsselverwaltung entspricht den branchenüblichen Best Practices. Die Verschlüsselung nutzt AES-256-Standards.

Verschlüsselungsmaßnahmen

  • Verschlüsselungsschlüsselverwaltung – Verfahren zur Verwaltung kryptografischer Schlüssel sind dokumentiert und automatisiert. Es werden Produkte oder Lösungen eingesetzt, um die Datenverschlüsselungsschlüssel verschlüsselt zu halten (z. B. softwarebasierte Lösung, Hardware Security Module (HSM)). Dies ist eine softwarebasierte Verschlüsselung, das Verfahren zur Schlüsselverwaltung wird automatisiert. Die Verschlüsselung von Daten wird während der Speicherung und Übermittlung konfiguriert.
  • Verschlüsselungszwecke: Die Übermittlung vertraulicher Informationen über das öffentliche Internet erfolgt immer über einen verschlüsselten Kanal. Die Verschlüsselungsdetails werden dokumentiert, wenn die Übermittlung automatisiert ist. Wenn eine manuelle Verschlüsselung erforderlich ist, sind dafür zugelassene und speziell dafür zuständige Mitarbeiter für die Ver- und Entschlüsselung der Daten verantwortlich. Vertrauliche Informationen werden während der Übermittlung über jedes Netzwerk mit sicheren Protokollen wie HTTPS, SSL, SFTP usw. verschlüsselt. VPN-Übermittlungen erfolgen über einen verschlüsselten Kanal.

Systemkonfiguration

Die Standardkonfiguration wird einschließlich Passwörtern gemäß unserer HCLSoftware-definierten Systemkonfiguration gehärtet, bevor das Gerät mit dem Netzwerk verbunden wird.

Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Verarbeitungssystemen und -diensten

  • Der Support stellt sicher, dass geeignete Kontrollen vorhanden sind, um die Vertraulichkeit, Integrität und Zugänglichkeit der Support-Systeme und Kundendaten zu gewährleisten.
  • Der Support hat einen Prozess für die Onboarding- und Offboarding-Prozeduren von Benutzern implementiert, um unbefugten Zugriff auf Daten zu verhindern. Der Support befolgt dokumentierte ISMS-Richtlinien zur Reaktion auf Vorfälle und verfügt über einen Prozess zur Eskalation von Datenschutz- und Sicherheitsproblemen.
  • Die Rollen und Verantwortlichkeiten sind innerhalb der Support-Organisation segmentiert, um die Möglichkeiten für unbefugte oder unbeabsichtigte Änderungen oder Missbrauch von Daten zu reduzieren. Der Support stellt sicher, dass alle Support-Mitarbeiter jährlich die erforderlichen Sicherheits- und Datenschutzschulungen absolvieren.
  • Die Ticket-Management-Rechenzentren und die cloudbasierte Infrastruktur des Supports sind auf hohe Verfügbarkeit ausgelegt und verfügen über redundante Komponenten und mehrere Netzwerkpfade, um einzelne Ausfallpunkte zu vermeiden. Die Advanced High Availability-Architektur (AHA) ist das wichtigste Mittel zur Wiederherstellung des Dienstes im Falle einer Störung, die sich auf die Verfügbarkeit auswirken könnte. Alle sieben Tage werden vollständige Backups des Ticket-Management-Systems des Supports direkt auf Festplatte durchgeführt und 28 Tage lang aufbewahrt, wobei alle 24 Stunden differenzielle Backups erstellt werden.

Fähigkeit zur Wiederherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten

  • Der Support verfügt über einen Business Continuity Plan (BCP), der die Verfügbarkeit des Supports im Falle eines physischen oder technischen Vorfalls gewährleistet. Der BCP des Supports regelt die Wiederherstellung des Betriebs auf ein vordefiniertes Niveau innerhalb eines vorgegebenen Zeitrahmens nach einer Betriebsunterbrechung. Der BCP wird jährlich getestet.
  • Es werden Datenbank-Backups erstellt, um den Verlust personenbezogener Daten im Falle einer technischen Störung oder eines menschlichen Fehlers zu verhindern. Inkrementelle Backups werden alle 12 Stunden auf dem CuDaR (Customer Data Repository) durchgeführt, mit wöchentlichen differentiellen Backups und monatlichem Überschreiben. Die Wiederherstellung der Daten-Backups wird regelmäßig, mindestens aber einmal pro Jahr, getestet.

Business Continuity & Disaster Recovery Planning

  • Sicherungsmaßnahmen werden auf alle kritischen Entwicklungssysteme angewendet.
  • Die Sicherung erfolgt auf Speicherebene und entspricht den Branchenstandards. Jedes Rechenzentrum verfügt über eine eigene Backup-Infrastruktur. Die Datenspeicherungsverfahren entsprechen der Norm ISO 27001.
  • Unterbrechungen und Ausfälle werden den betroffenen Kunden mitgeteilt. Die Kommunikation umfasst folgende Informationen:
    • Art der Auswirkungen
    • Betroffene Standorte/Abteilungen/Prozesse
    • Ausmaß der Auswirkungen
    • Standort und Kontaktinformationen des IT-Helpdesks

Prüfung, Abschätzung und Bewertung der Wirksamkeit von technischen und organisatorischen Maßnahmen

Unsere technischen und organisatorischen Maßnahmen werden durch formelle Audits und ein internes Testprogramm bewertet. Alle sechs Monate findet ein formeller Management-Review durch die Geschäftsleitung statt, mit dem wir die Wirksamkeit unserer Informationssicherheits-Managementsysteme und damit unserer technischen und organisatorischen Maßnahmen abschätzen und beurteilen. Dazu gehören Kennzahlen und Maßnahmen für Governance, Risiko und Compliance unseres Informationssicherheits-Managementsystems.

Benutzer-Zugriffsverwaltung

HCL unterhält angemessene Kontrollen für die Beantragung, Genehmigung, Gewährung, Widerrufung und Revalidierung des Benutzerzugriffs auf Systeme. Nur Mitarbeiter mit geschäftlichen Erfordernissen dürfen auf Daten zugreifen. Zugriffsanfragen werden anhand der Rolle der jeweiligen Person genehmigt, und der Benutzerzugriff wird regelmäßig überprüft.

Logische Zugriffsverfahren definieren die Prozesse für die Beantragung, Genehmigung, Bereitstellung und Entziehung des Zugriffs. Die logischen Zugriffsverfahren beschränken den Benutzerzugriff (lokal oder remote) auf Grundlage der Benutzerrolle für Anwendungen und Datenbanken (angemessener rollen-/profilbasierter Zugriff) für Anwendungen, Datenbanken und Systeme, um die Aufgabentrennung sicherzustellen. Die Verfahren werden auf Grundlage von Onboarding, Neuzuweisung von Ressourcen oder Trennung überprüft, verwaltet und dokumentiert. Mithilfe von Benutzerzugriffsprüfungen wird sichergestellt, dass der Zugriff das ganze Jahr über angemessen erfolgt.

  • Alle Systemadministratoren von HCLSoftware werden mithilfe von Multi-Faktor-Authentifizierung, TACACS, VPN und AD für den Systemzugriff durch privilegierte Zugriffsverwaltung authentifiziert.
  • Darüber hinaus wird die Verwendung der privilegierten Zugriffsverwaltung für Audit- und forensische Analysen aufgezeichnet.

Benutzeridentifizierung und -autorisierung

Jeder Benutzer verfügt über eine eindeutig benannte Zugriffskontrolle (Benutzername und Passwort) für den Zugriff auf sein Konto.

Schutz von Daten während der Speicherung

Jeder Benutzer hat Zugriff auf seine spezifischen Daten, aber nicht auf den gesamten Speicher.

Asset-Management und -Kontrollen: Laptops, Desktops, Server, Netzwerkgeräte und Software-Assets

  • Alle Vermögenswerte (Assets) werden offiziell in einem Asset-Register deklariert, geprüft und verwaltet.
  • Vom Hersteller empfohlene Betriebssystem-Patches werden regelmäßig getestet und auf Desktops, Laptops, Servern und Netzwerkgeräten installiert.
  • Standard-IDs werden geändert und deaktiviert. Passwörter werden nach der Erstinstallation geändert. Die Standardpasswörter der Hersteller werden nicht verwendet.
  • Wenn die Weitergabe von Dateien oder Verzeichnissen von einem Server an andere Computer erforderlich ist, muss sie so umgesetzt werden, dass nur Benutzer mit entsprechendem Bedarf die Freigabe erhalten und das Prinzip der geringsten Privilegien eingehalten wird.
  • Die Systemuhren aller Server und Netzwerkgeräte werden synchronisiert und auf die Zeitzone des Standorts des Servers bzw. Geräts eingestellt. Nur autorisiertes Personal ist berechtigt, die Systemuhrzeit zu ändern oder zurückzusetzen.
  • Administratorkonten werden mit starken Passwörtern eingerichtet, und die Berechtigungen werden nur identifizierten Personen erteilt. Der Administratorzugriff wird regelmäßig überprüft.
  • Endpoint Detection and Response-Software (NexGen Antivirus und Malware) wird installiert, wo dies möglich ist.
  • Für identifizierte Systeme werden auf vereinbarter Anfragebasis Backups erstellt und Wiederherstellungsprüfungen durchgeführt.
  • Innerhalb der Einrichtung sind nur firmeneigene und verwaltete Laptops zulässig.
  • Jeder HCL-Mitarbeiter benötigt eine eindeutige „Benutzer-ID“ und ein Passwort, um auf die IT-Systeme des Unternehmens zugreifen zu können.
  • Jede Benutzer-ID hat ein zugehöriges Passwort, und die Benutzer sind verpflichtet, ihre Passwörter gemäß der HCL-Passwortrichtlinie festzulegen und zu ändern.
  • Die Benutzer-IDs werden gemäß einem definierten Prozess und mit entsprechenden Berechtigungen erstellt.
  • Shared-Services-Konten werden über die Plattform für die privilegierte Zugriffsverwaltung verwaltet.

Schutz von Drahtlosverbindungen

  • So schützen wir unsere Drahtlosverbindungen:
    • Der Router (Access Point) ist nur über den Jump-Server des Netzwerkteams mit autorisiertem Zugriff für die Wireless-Verwaltung zugänglich.
  • So schützen wir unsere Drahtlosverbindungen:
    • PNP-CORP SSID-Authentifizierung: Die Wireless-Authentifizierung ist über den Radius-/AD-Server zulässig, sodass nur gültige HCLSW-Benutzer eine Verbindung mit SSID herstellen dürfen.
    • HCL-Software-Gastauthentifizierung: Die Wireless-Authentifizierung ist über die interne Captive-Portal-Authentifizierung zulässig. Wir erstellen Benutzernamen und Passwörter anhand der aktuellen Serveranforderung. Das Wireless-Gastticket erstellt zwei Aufgaben: eine zum Erstellen und eine zum Deaktivieren der Anmeldedaten. Die zweite Aufgabe wird nach dem Enddatum der WLAN-Anforderung zugewiesen.
    • HCL-TECH-SSID-Authentifizierung – Die Wireless-Authentifizierung erfolgt über einen vorab geteilten Schlüssel, der an HCL Tech-Benutzer weitergegeben wird. Das Passwort wird alle drei Wochen geändert.
  • So ersetzen wir die Standardeinstellungen des Anbieters:
    • Wir verwenden HCLSW-Standardvorlagen.

E-Mail-Sicherheit

  • Alle E-Mails werden auf Gateway-Ebene auf Viren oder bösartige Codes überprüft.
  • Die E-Mail-Systeme sind so konfiguriert, dass sie Identitätsbetrug, Spamming und Weiterleitung einschränken, um vor diesen Gefahren zu schützen.

Cloud-Sicherheit

Cloud-Assets und -Dienste werden mit den Benchmarks des Center for Internet Security (CIS) abgesichert.

  • Die Standards und Konfigurationen für das Cloud Security Posture Management (CSPM) werden von unserem rund um die Uhr verfügbaren Detection, Analytics and Response Team in Echtzeit überwacht.
  • Entsprechende Software für Cloud Workload Protection und Endpoint Detection and Response (NexGen Antivirus und Malware) wird gegebenenfalls installiert.
  • HCLSoftware nutzt Web-Application-Firewalls (WAF) von Cloud-Anbietern zum Schutz vor DDoS-Angriffen und anderen externen Angriffsvektoren.

Sicherheitsmaßnahmen

HCLSoftware beschäftigt ein rund um die Uhr verfügbares DART-Team (Detection, Analytics and Response), das Überwachungs- und Reaktionsdienste für Abweichungen von definierten Standards, bösartige bzw. auffällige Aktivitäten und Bedrohungsmodellierung bereitstellt.

  • Definiertes CSIRT-Reaktionsteam.
  • Forensik-Dienste für die Cybersicherheit.

Sonstige Schutzmaßnahmen

  • Die Firewalls sind so konfiguriert, dass nur autorisierter Datenverkehr auf der Anwendungsebene (Layer 7) des OSI-Modells zugelassen wird.
  • Die gesamte gesicherte Kommunikation bei HCL entspricht dem aktuellen Verschlüsselungsstandard.
  • EDR und DLP sind auf allen Endbenutzergeräten installiert.

Einsatz von Unterauftragsverarbeitern

  • HCL setzt bestimmte Dritte im Zusammenhang mit der Erbringung seiner Dienstleistungen ein. Dazu gehören Drittanbieter, die für Cloud-Hosting und die Bereitstellung von Support und damit verbundenen Dienstleistungen eingesetzt werden. Unterauftragsverarbeiter, die Zugriff auf personenbezogene Daten von Kunden haben können, sind hier auf unserer Trust Center-Website aufgeführt: https://www.hcltechsw.com/resources/data-processing-and-transfers Kunden können sich anmelden, um Informationen zur Aktualisierung der Liste der Unterauftragsverarbeiter zu erhalten.
  • HCLSoftware hat gegebenenfalls Datenverarbeitungsvereinbarungen mit allen Unterauftragsverarbeitern geschlossen, die Zugriff auf personenbezogene Daten von Kunden haben, um sicherzustellen, dass angemessene Sicherheitsvorkehrungen für den Datenschutz und die sichere Datenübertragung getroffen werden.