Datenschutzrichtlinie
Diese Richtlinie wurde verfasst, um sicherzustellen, dass Nonstop Network GmbH („das Unternehmen“) die folgenden Amazon-Richtlinien einhält, und regelt die Erfassung, Verarbeitung, Speicherung, Nutzung und Entsorgung von Amazon-Daten, die für die Nutzung von Kunden über die Amazon Marketplace Web Service APIs erfasst werden:
- Data Protection Policy (DPP)
- Acceptable Use Policy (AUP)
Allgemeine Sicherheitsanforderungen
Im Einklang mit branchenführender Sicherheit wird das Unternehmen physische, administrative und technische Schutzmaßnahmen sowie andere Sicherheitsmaßnahmen ergreifen, (i) um die Sicherheit und Vertraulichkeit der abgerufenen, gesammelten, verwendeten, gespeicherten Informationen zu gewährleisten, oder vom Unternehmen übermittelt werden, und (ii) um seine Informationen vor bekannten oder vernünftigerweise vorhersehbaren Bedrohungen oder Gefahren für ihre Sicherheit und Integrität, versehentlichem Verlust, Änderung, Offenlegung und allen anderen rechtswidrigen Formen der Verarbeitung zu schützen. Ohne Einschränkung wird das Unternehmen die folgenden Anforderungen erfüllen:
Zugangskontrolle
Der Zugriff auf Amazon-Informationen ist streng auf Benutzer beschränkt, die Zugriff benötigen, um bestimmte erforderliche Aufgaben auszuführen, und der Zugriff ist nach Möglichkeit nur auf die erforderlichen Daten beschränkt. Alle Benutzer sind einzigartig und haben keine gemeinsamen Anmeldedaten. Der Zugriff wird protokolliert und überwacht. Der Zugriff kann bei Bedarf jederzeit widerrufen werden und der Zugriff wird regelmäßig (monatlich) überprüft. Beim Verlassen des Unternehmens werden Zugriffs- und Benutzerberechtigungen sofort widerrufen. Es dürfen keine Amazon-Daten auf Wechseldatenträgern oder persönlichen Geräten gespeichert werden. Es werden niemals personenbezogene Daten auf Geräte heruntergeladen. Systeme halten die „Kontosperrung“ aufrecht und erzwingen sie, indem sie verdächtige Aktivitäten wie mehrere fehlgeschlagene Anmeldungen oder eine große Anzahl von Anfragen erkennen. Kontoberechtigungen werden sofort widerrufen und von IT- und Systemadministratoren untersucht.
Netzwerksicherheit
Alle Unternehmens-Server verwenden Netzwerkschutzkontrollen, einschließlich Netzwerk-Firewalls. Öffentlich Der Zugriff ist auf autorisierte Benutzer beschränkt.
Richtlinie zum Vorfallmanagement
Jeder Mitarbeiter ist verpflichtet, mögliche oder bekannte Verstöße gegen die Informationssicherheit und Vertraulichkeit unverzüglich der IT-Abteilung des Unternehmens zu melden. Folgendes ist mit eingeschlossen:
- Infrastrukturvorfall: jedes Ereignis, das als böswillige Aktion angesehen wird und einen Ausfall, eine Unterbrechung oder einen Verlust der Verfügbarkeit einer Informationsressource des Unternehmens verursacht.
- Datenvorfall: jeglicher Verlust, Diebstahl oder Gefährdung von Unternehmens-Informationen.
- Vorfall durch unbefugten Zugriff: jeder unbefugte Zugriff auf eine Unternehmensressource.
Potenzielle Vorfälle und Bedrohungen, die durch Ereignisprotokollierung, Schwachstellenmanagement und andere Überwachungsaktivitäten gemeldet werden, müssen der IT-Abteilung des Unternehmens gemeldet werden.
Alle gemeldeten Vorfälle müssen von der IT des Unternehmens bewertet werden, um den Bedrohungstyp zu bestimmen und die entsprechenden Verfahren zu aktivieren.
Änderungsmanagement
Änderungen an den Informationsressourcen des Unternehmens müssen dokumentiert und nach Dringlichkeit und Komplexität klassifiziert werden.
Die Änderungsdokumentation muss mindestens Folgendes enthalten:
- Datum der Einreichung
- Datum der Änderung
- Antragsteller
- Rollback-Plan
- Implementierer
- Hinweis auf Erfolg oder Misserfolg.
Änderungen mit erheblichen potenziellen Auswirkungen auf die Informationsressourcen des Unternehmens müssen geplant werden. Eigentümer von Informationsressourcen müssen über Änderungen informiert werden, die sich auf die Systeme auswirken, für die sie verantwortlich sind. Für Änderungen mit potenziell hohen Auswirkungen müssen autorisierte Wartungszeiträume eingerichtet werden. Änderungen an Kundenumgebungen müssen den Kunden gemäß den geltenden Vereinbarungen und/oder Verträgen mitgeteilt werden. Alle Änderungen müssen vom Informationseigentümer genehmigt werden. Notfalländerungen, die eine sofortige Implementierung erfordern (z. B. Unterbrechung/Behebung, Reaktion auf Vorfälle usw.), können ohne Einhaltung des formellen Änderungskontrollprozesses implementiert werden, dürfen jedoch die Dokumentationsanforderungen nicht umgehen, selbst wenn sie nach der Änderung dokumentiert werden.
Reaktionsplan für Vorfälle
Das Unternehmen führt und pflegt einen Reaktionsplan zur Erkennung und Bewältigung von Sicherheitsvorfällen. Solche Pläne legen die Rollen und Verantwortlichkeiten für die Reaktion auf Vorfälle fest, definieren Vorfalltypen, die sich auf Amazon auswirken können, definieren Vorfallreaktionsverfahren für definierte Vorfalltypen und definieren einen Eskalationspfad und Verfahren zur Eskalation von Sicherheitsvorfällen an Amazon.
Das Unternehmen überprüft und verifiziert den Plan alle sechs (6) Monate und nach jeder größeren Infrastruktur- oder Systemänderung, einschließlich Änderungen am System, an den Kontrollen, an der Betriebsumgebung, am Risikoniveau und an der Lieferkette. Das Unternehmen benachrichtigt Amazon (per E-Mail an 3p-security@amazon.com) innerhalb von 24 Stunden nach der Feststellung eines Sicherheitsvorfalls oder dem Verdacht, dass ein Sicherheitsvorfall aufgetreten ist. Das Unternehmen wird jeden Sicherheitsvorfall untersuchen und die Beschreibung des Vorfalls, die Abhilfemaßnahmen und die damit verbundenen korrigierenden Prozess-/Systemkontrollen dokumentieren, die implementiert wurden, um ein erneutes Auftreten in der Zukunft zu verhindern. Das Unternehmen wird die Aufbewahrungskette für alle gesammelten Beweise oder Aufzeichnungen aufrechterhalten und diese Dokumentation wird Amazon auf Anfrage zur Verfügung gestellt. Wenn ein Sicherheitsvorfall aufgetreten ist, kann das Unternehmen Amazon nicht gegenüber Aufsichtsbehörden oder Kunden vertreten oder im Namen von Amazon sprechen, es sei denn, Amazon fordert das Unternehmen ausdrücklich schriftlich auf, dies zu tun.
Organisatorische Änderungen oder Ereignisse
Das Unternehmen wird Amazon (3p-security@amazon.com) innerhalb von 30 Tagen über alle organisatorischen Änderungen oder Ereignisse informieren, die zu einer Änderung des Informationsbedarfs der Nonstop Network GmbH führen.
Zusätzliche Sicherheitsanforderungen speziell für personenbezogene Daten
Die folgenden zusätzlichen Sicherheitsanforderungen werden für personenbezogene Daten („PII“) erfüllt. PII werden dem Unternehmen für ausgewählte steuerliche und händlerbezogene Versandzwecke auf freiwilliger Basis gewährt. Wenn eine Amazon Services-API personenbezogene Daten enthält oder personenbezogene Daten mit nicht personenbezogenen Daten kombiniert werden, erfüllt der gesamte Datenspeicher die folgenden Anforderungen:
Datenaufbewahrung
Das Unternehmen speichert personenbezogene Daten nicht länger als 30 Tage nach Lieferung der Bestellung und nur für den Zweck und so lange, wie dies erforderlich ist, um (i) Bestellungen zu erfüllen, (ii) Steuern zu berechnen und abzuführen, (iii) Steuerrechnungen zu erstellen oder (iv) rechtliche Anforderungen erfüllen, einschließlich steuerlicher oder behördlicher Anforderungen. Wenn das Unternehmen gesetzlich dazu verpflichtet ist, Archivkopien personenbezogener Daten aus steuerlichen oder anderen behördlichen Gründen aufzubewahren, werden personenbezogene Daten nur als verschlüsselte Sicherung bereitgehalten.
Richtlinien zur Datenaufbewahrung
Das Unternehmen wird für seine Anwendungen oder Dienste Datenschutz- und Datenverarbeitungsrichtlinien erstellen, dokumentieren und einhalten, die das angemessene Verhalten und die technischen Kontrollen regeln, die bei der Verwaltung und dem Schutz von Informationsbeständen anzuwenden sind. Es sollte eine Aufzeichnung der Datenverarbeitungsaktivitäten, wie z. B. spezifischer Datenfelder und der Art und Weise, wie diese erfasst, verarbeitet, gespeichert, verwendet, weitergegeben und entsorgt werden, für alle personenbezogenen Daten geführt werden, um die Verantwortlichkeit und die Einhaltung von Vorschriften sicherzustellen. Das Unternehmen wird einen Prozess zur Erkennung und Einhaltung der für sein Unternehmen geltenden Datenschutz- und Sicherheitsgesetze und behördlichen Anforderungen einrichten und dokumentierte Nachweise über deren Einhaltung aufbewahren. Das Unternehmen wird seine Datenschutzrichtlinien für die Einwilligung des Kunden und die Datenrechte auf Zugriff, Berichtigung, Löschung oder Einstellung der Weitergabe/Verarbeitung seiner Daten festlegen und einhalten, sofern dies anwendbar oder durch Datenschutzbestimmungen erforderlich ist.
Asset Management
Das Unternehmen führt einen Bestand an Software und physischen Vermögenswerten (z. B. Computer, mobile Geräte) mit Zugriff auf PII und aktualisiert ihn vierteljährlich. Physische Vermögenswerte, die personenbezogene Daten speichern, verarbeiten oder anderweitig verarbeiten, unterliegen allen in dieser Richtlinie festgelegten Anforderungen. Das Unternehmen speichert personenbezogene Daten nicht auf Wechselmedien, persönlichen Geräten oder ungesicherten öffentlichen Cloud-Anwendungen (z. B. öffentliche Links, die über Google Drive verfügbar gemacht werden), es sei denn, sie sind mit mindestens AES-128- oder RSA-2048-Bit-Schlüsseln oder höher verschlüsselt. Das Unternehmen wird alle gedruckten Dokumente, die personenbezogene Daten enthalten, sicher entsorgen.
Verschlüsselung von ruhenden Daten
Das Unternehmen verschlüsselt alle ruhenden PII mit mindestens AES-256 oder RSA mit einer Schlüsselgröße von 2048 Bit oder höher. Die kryptografischen Materialien (z. B. Verschlüsselungs-/Entschlüsselungsschlüssel) und kryptografischen Funktionen (z. B. Daemons, die virtuelle Trusted-Platform-Module implementieren und Verschlüsselungs-/Entschlüsselungs-APIs bereitstellen), die für die Verschlüsselung von PII im Ruhezustand verwendet werden, sind nur für die Prozesse und Dienste des Entwicklers zugänglich.
Sichere Codierungspraktiken
Das Unternehmen wird vertrauliche Anmeldeinformationen, einschließlich Verschlüsselungsschlüssel, geheime Zugangsschlüssel oder Passwörter, nicht in seinem Code fest kodieren. Sensible Anmeldeinformationen werden in öffentlichen Code-Repositorys nicht offengelegt. Das Unternehmen wird separate Test- und Produktionsumgebungen unterhalten.
Protokollierung und Überwachung
Das Unternehmen erfasst Protokolle, um sicherheitsrelevante Ereignisse in seinen Anwendungen und Systemen zu erkennen, einschließlich Erfolg oder Misserfolg des Ereignisses, Datum und Uhrzeit, Zugriffsversuche, Datenänderungen und Systemfehler. Das Unternehmen implementiert diesen Protokollierungsmechanismus auf allen Kanälen (z. B. Service-APIs, Speicherschicht-APIs, Verwaltungs-Dashboards), die den Zugriff auf Informationen ermöglichen. Alle Protokolle verfügen über Zugriffskontrollen, um unbefugten Zugriff und Manipulationen während ihres gesamten Lebenszyklus zu verhindern. Protokolle enthalten keine PII, es sei denn, die PII sind zur Erfüllung gesetzlicher Anforderungen, einschließlich steuerlicher oder behördlicher Anforderungen, erforderlich. Protokolle werden für den Fall eines Sicherheitsvorfalls als Referenz für mindestens 90 Tage aufbewahrt. Das Unternehmen wird Mechanismen zur Überwachung der Protokolle und aller Systemaktivitäten entwickeln, um bei verdächtigen Aktionen (z. B. mehrere nicht autorisierte Anrufe, unerwartete Anfragerate und Datenabrufvolumen) Ermittlungsalarme auszulösen. Das Unternehmen wird Überwachungsalarme implementieren, um zu erkennen, ob Informationen aus seinen geschützten Grenzen entnommen werden. Das Unternehmen wird Untersuchungen durchführen, wenn Überwachungsalarme ausgelöst werden, und gemäß des Vorfallreaktionsplanes dokumentieren.