Genesys Mindestsicherheitsmaßnahmen für die Google Cloud Dialogflow-Kontoverwaltung

Die folgenden Mindestsicherheitsmaßnahmen spiegeln einen Grundstock an Sicherheitskontrollen für die gesamte Genesys-Umgebung und die Daten wider, die von Genesys für Dienste verwaltet werden, die nicht in den Anwendungsbereich unseres Genesys Cloud-Zertifizierungsprogramms fallen (z. B. HIPAA, ISO27001, ISO27018, PCI, SOC2). Jeder Unterauftragsverarbeiter führt Kontrollen, Prüfungen und Zertifizierungen für die Daten durch, sobald sie unter seiner Kontrolle sind.

Genesys-Mindestsicherheitskontrollen

Dieser Anhang beschreibt die Mindestsicherheitsanforderungen, die allgemein für die Nutzung der Genesys Services durch den Kunden gelten. Zusätzliche Kontrollen für bestimmte Dienste oder Module sind in der jeweiligen Lizenzvereinbarung oder dem Rahmenvertrag zu finden. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Der Auftragsverarbeiter ergreift daher die erforderlichen angemessenen technischen, organisatorischen und sicherheitstechnischen Maßnahmen, um personenbezogene Daten des Auftraggebers, die sich im Besitz des Auftragsverarbeiters befinden oder von diesem anderweitig verarbeitet werden, vor unbefugtem Zugriff, Veränderung, Weitergabe oder Zerstörung zu schützen, wie in diesem Anhang näher beschrieben:

1. Sicherheitsprogramm

Genesys hat ein Informationssicherheitsprogramm implementiert und wird es beibehalten, das den allgemein anerkannten Grundsätzen der Systemsicherheit folgt, die im SOC-2-Standard enthalten sind, um die Kundendaten entsprechend der Art und dem Umfang der erbrachten Dienstleistungen zu schützen. Das Informationssicherheitsprogramm umfasst mindestens die folgenden Elemente:

a. Sicherheitsbewusstsein und Schulung

Genesys hat ein Programm zur Informationssicherheit und Sensibilisierung implementiert und wird dieses beibehalten, das den Mitarbeitern und geeigneten Vertragspartnern zum Zeitpunkt der Einstellung oder des Vertragsbeginns und danach jährlich zur Verfügung gestellt wird. Das Sensibilisierungsprogramm wird elektronisch bereitgestellt und beinhaltet einen Test mit Mindestanforderungen. Darüber hinaus erhalten die Entwicklungsmitarbeiter eine Schulung zur sicheren Codeentwicklung.

b. Grundsätze und Verfahren

Genesys unterhält Richtlinien und Verfahren zur Unterstützung des Informationssicherheitsprogramms. Diese Strategien und Verfahren werden jährlich überprüft und bei Bedarf aktualisiert.

c. Malware-Prävention

Genesys wendet branchenübliche Verfahren an, um die Aufnahme von Programmen, Routinen, Unterprogrammen oder Daten (einschließlich bösartiger Software oder "Malware", Viren, Würmern und Trojanern) in Anwendungen, die innerhalb der Genesys-Dienste laufen, zu vermeiden.

2. Sicherheit im Netz

Genesys wird wirksame Netzwerksicherheitskontrollen auf der Grundlage von Industriestandards einsetzen, um den Schutz der Kundendaten zu gewährleisten.

3. Benutzerzugangskontrolle

Genesys wird angemessene Zugangskontrollen einführen, um sicherzustellen, dass nur autorisierte Benutzer Zugang zu den Kundendaten haben.

4. Geschäftskontinuität und Notfallwiederherstellung

Genesys unterhält einen unternehmensweiten Business-Continuity-Plan, der sicherstellen soll, dass die laufenden Überwachungs- und Unterstützungsdienste im Falle einer Störung der Unternehmensumgebung fortgesetzt werden.

5. Reaktion auf Sicherheitsvorfälle

Genesys unterhält ein auf Industriestandards basierendes Programm zur Reaktion auf Sicherheitsvorfälle, um vermutete und tatsächliche Sicherheitsvorfälle, die Kundendaten betreffen, zu identifizieren und darauf zu reagieren. Das Programm wird mindestens einmal jährlich überprüft, getestet und erforderlichenfalls aktualisiert. "Sicherheitsvorfall" bezeichnet ein bestätigtes Ereignis, das zur unbefugten Nutzung, Löschung, Änderung, Offenlegung oder zum unbefugten Zugriff auf Kundendaten führt.