Accentures Schutz von Kundendaten

Die folgenden Begriffe beschreiben die technischen und organisatorischen Maßnahmen, internen Prüfungen und Informationssicherheitsabläufe, mit denen Accenture die von oder im Auftrag unserer Kunden im Rahmen eines Kundendienstauftrags bereitgestellten Daten („Kundendaten“) schützt. Diese Sicherheitsmaßnahmen schützen Kundendaten in den Umgebungen von Accenture (z. B. Systeme, Netzwerke, Einrichtungen) vor versehentlichem, unbefugtem oder rechtswidrigem Zugriff, Offenlegung, Änderung, Verlust oder Zerstörung. Wenn die Kundendaten personenbezogene Daten enthalten, ist unsere Umsetzung und Einhaltung dieser Maßnahmen (und aller zusätzlichen Sicherheitsmaßnahmen, die in der jeweiligen Kundenvereinbarung festgelegt sind) auf ein angemessenes Sicherheitsniveau für die Verarbeitung der personenbezogenen Daten ausgelegt. Accenture kann diese Maßnahmen gelegentlich ohne Vorankündigung ändern, solange solche Änderungen den Schutz der Kundendaten nicht wesentlich verringern oder verschlechtern.

STANDARD-DATENSCHUTZ:

1. Organisation der Informationssicherheit

a. Sicherheitsverantwortung. Accenture ernennt eine:n oder mehrere Sicherheitsbeauftragte, die für die Koordination und Überwachung der Sicherheitsregelungen und -verfahren verantwortlich sind.

b. Sicherheitsrollen und -verantwortlichkeiten. Das Personal von Accenture, das Zugang zu den Kundendaten hat, unterliegt der Vertraulichkeit und Schweigepflicht.

c. Risikomanagementprogramm. Accenture richtet ein Risikomanagementprogramm ein, um Risiken im Zusammenhang mit der Verarbeitung der Kundendaten im Rahmen der geltenden Vereinbarung zwischen den Parteien zu identifizieren, zu bewerten und geeignete Maßnahmen zu ergreifen.

2. Vermögensverwaltung (Asset Management)

a. Anlageninventar. Accenture führt ein Anlageninventar seiner Infrastruktur, seines Netzwerks, seiner Anwendungen und seiner Cloud-Umgebungen. Accenture führt auch ein Anlageninventar seiner Medien, auf denen Kundendaten gespeichert sind. Der Zugriff auf das Inventar dieser Medien ist auf die Mitarbeiter beschränkt, die schriftlich zu einem solchen Zugriff berechtigt sind.

b. Datenverarbeitung. Accenture wird:

1. Kundendaten klassifizieren, um die Identifizierung solcher Daten zu erleichtern und den Zugriff darauf angemessen zu beschränken.
   
   
2. Das Drucken von Kundendaten aus seinen Systemen auf das zur Erbringung von Dienstleistungen erforderliche Minimum beschränken und das Verfahren zur Entsorgung von gedrucktem Material implementieren, das Kundendaten enthält.
   
   
3. Von seinen Mitarbeitenden verlangen, dass sie vor der Speicherung von Kundendaten außerhalb der vertraglich genehmigten Standorte und Systeme, vor dem Fernzugriff auf Kundendaten oder vor der Verarbeitung von Kundendaten außerhalb der Einrichtungen der Parteien eine entsprechende Genehmigung einholen.

3. Personalsicherheit

a. Sicherheitsschulung. Accenture wird:

1. sein Personal über relevante Sicherheitsverfahren und ihre jeweiligen Aufgaben informieren.
   
   
2. sein Personal über mögliche Folgen von Verstößen gegen die Sicherheitsregelungen und -verfahren informieren.
   
   
3. in seinen Schulungsumgebungen nur anonyme Daten verwenden.

4. Physische und Umweltsicherheit

a. Physischer Zugang zu Einrichtungen. Accenture implementiert und pflegt Verfahren, um den autorisierten Zugang zu seinen Einrichtungen, in denen sich Informationssysteme zur Verarbeitung von Kundendaten befinden, zu beschränken.

b. Physischer Zugang zu Komponenten. Accenture führt Aufzeichnungen über die ein- und ausgehenden Medien, die Kundendaten enthalten, einschließlich der Art der Medien, der autorisierten Absender:innen/Empfänger:innen, des Datums und der Uhrzeit, der Anzahl der Medien und der Art der darauf enthaltenen Kundendaten.

c. Entsorgung von Komponenten. Accenture verwendet branchenübliche Prozessstandards (z. B. ISO 27001, CIS Sans 20 und/oder NIST Cyber-Sicherheitsrahmen, je nach Anwendbarkeit), um Kundendaten zu löschen, wenn sie nicht mehr benötigt werden.

5. Kommunikations- und Betriebsmanagement

a. Betriebsrichtlinie. Accenture führt Sicherheitsdokumente, in denen seine Sicherheitsmaßnahmen sowie die entsprechenden Verfahren und Verantwortlichkeiten seines Personals, das Zugriff auf Kundendaten hat, beschrieben sind.

b. Verwaltung mobiler Geräte (Mobile Device Management; MDM)/Verwaltung mobiler Anwendungen (Mobile Application Management; MAM). Accenture verfolgt für seine Mobilgeräte eine Richtlinie, die:

1. die Geräteverschlüsselung erzwingt.
   
   
2. die Nutzung von Apps auf der schwarzen Liste verbietet.
   
   
3. die Registrierung mobiler Geräte untersagt, bei denen ein Jailbreak durchgeführt wurde.

c. Datenwiederherstellungsverfahren. Accenture wird:

1. spezielle Datenwiederherstellungsverfahren in Bezug auf seine Systeme einrichten, die die Wiederherstellung von Kundendaten ermöglichen, die in seinen Systemen gepflegt werden.
   
   
2. mindestens einmal jährlich seine Datenwiederherstellungsverfahren überprüfen.
   
   
3. die Bemühungen zur Datenwiederherstellung in Bezug auf seine Systeme protokollieren, einschließlich der verantwortlichen Person, der Beschreibung der wiederhergestellten Daten und welche Daten (falls zutreffend) von wem manuell in den Datenwiederherstellungsprozess eingegeben werden mussten.

d. Schadsoftware. Accenture implementiert Anti-Malware-Kontrollen, um zu verhindern, dass Schadsoftware, einschließlich Schadsoftware aus öffentlichen Netzwerken, unbefugten Zugriff auf Kundendaten erhält.

e. Daten über Grenzen hinweg. Accenture wird:

1. Kundendaten verschlüsseln, die über öffentliche Netzwerke übertragen werden.
   
   
2. Kundendaten auf Medien schützen, die seine Einrichtungen verlassen (z. B. durch Verschlüsselung).
   
   
3. automatisierte Programme implementieren, wo dies praktikabel ist, um das Risiko fehlgeleiteter E-Mails, Briefe und/oder Faxe aus seinen Systemen zu verringern.

f. Ereignisprotokollierung.

1. Für seine Systeme, die Kundendaten enthalten, protokolliert Accenture Ereignisse in Übereinstimmung mit seinen erklärten Richtlinien oder Standardprozessen.

6. Zugriffskontrolle

a. Zugriffsrichtlinie. Accenture führt ein Verzeichnis der Sicherheitsprivilegien von Personen, die über seine Systeme Zugriff auf Kundendaten haben.

b. Zugriffsberechtigung. Accenture wird:

1. ein Verzeichnis der Mitarbeitenden führen und aktualisieren, die berechtigt sind, über seine Systeme auf die Kundendaten zuzugreifen.
   
   
2. wenn es für die Zugriffsbereitstellung verantwortlich ist, umgehend Authentifizierungsdaten bereitstellen.
   
   
3. Authentifizierungsdaten deaktivieren, wenn diese eine Zeit lang nicht verwendet wurden (wobei dieser Zeitraum der Nichtverwendung 90 Tage nicht überschreiten darf).
   
   
4. Authentifizierungsdaten innerhalb von zwei Werktagen deaktivieren, wenn mitgeteilt wird, dass der Zugriff nicht mehr benötigt wird (z. B. bei Kündigung von Mitarbeitenden, Neuzuweisung eines Projekts).
   
   
5. die Mitarbeitenden identifizieren, die autorisierten Zugriff auf Daten und Ressourcen gewähren, ändern oder aufheben dürfen.
   
   
6. sicherstellen, dass, wenn mehr als eine Person Zugriff auf seine Systeme mit Kundendaten hat, die einzelnen Personen über eindeutige Kennungen/Anmeldungen verfügen (d. h. keine gemeinsamen IDs).

c. Least-Privilege-Prinzip. Accenture wird:

1. seinem technischen Supportpersonal nur dann Zugriff auf Kundendaten gewähren, wenn dies erforderlich ist.
   
   
2. Kontrollen aufrechterhalten, die einen Notfallzugriff auf Produktionssysteme über Firefighter-IDs, temporäre IDs oder IDs ermöglichen, die von einer Privileged Access Management (PAM)-Lösung verwaltet werden.
   
   
3. den Zugriff auf Kundendaten in seinen Systemen auf diejenigen Personen beschränken, die diesen Zugriff zur Erfüllung ihrer beruflichen Aufgabe benötigen.
   
   
4. den Zugriff auf Kundendaten in seinen Systemen auf die Daten beschränken, die für die Erbringung der Dienstleistungen unbedingt erforderlich sind.
   
   
5. die Trennung von Aufgaben zwischen den Umgebungen unterstützen, damit keine Einzelperson Zugriff auf die Ausführung von Aufgaben hat, die einen Sicherheitsinteressenkonflikt verursachen (z. B. Entwicklung/Abnahme, Entwicklung/Prüfung).

d. Integrität und Vertraulichkeit. Accenture weist sein Personal an, administrative Sitzungen zu deaktivieren, wenn das Unternehmensgelände verlassen wird oder Computer anderweitig unbeaufsichtigt bleiben.

e. Authentifizierung. Accenture wird:

1. branchenübliche Verfahren (z. B. ISO 27001, CIS Sans 20 und/oder NIST Cyber-Sicherheitsrahmen, soweit zutreffend) anwenden, um Benutzende zu identifizieren und zu authentifizieren, die versuchen, auf seine Informationssysteme zuzugreifen.
   
   
2. bei passwortbasierten Authentifizierungsmechanismen eine regelmäßige Erneuerung der Passwörter verlangen.
   
   
3. bei Authentifizierungsmechanismen, die auf Passwörtern basieren, verlangen, dass Passwörter für passwortbasierte Authentifizierungsmechanismen mindestens acht Zeichen und drei der folgenden vier Zeichentypen enthalten: Ziffern (0–9), Kleinbuchstaben (a-z), Großbuchstaben (A-Z), Sonderzeichen (z. B. !, *, &).
   
   
4. sicherstellen, dass deaktivierte oder abgelaufene Kennungen nicht an andere Personen vergeben werden.
   
   
5. wiederholte Versuche, die mit einem ungültigen Passwort auf seine Informationssysteme zugreifen, überwachen.
   
   
6. branchenübliche Verfahren (z. B. ISO 27001, CIS Sans 20 und/oder NIST Cyber-Sicherheitsrahmen, je nach Anwendbarkeit) einhalten, um beschädigte oder versehentlich offengelegte Passwörter zu deaktivieren.
   
   
7. branchenübliche Verfahren (z. B. ISO 27001, CIS Sans 20 und/oder NIST Cyber-Sicherheitsrahmen, soweit zutreffend) zum Passwortschutz verwenden, einschließlich Verfahren, die die Vertraulichkeit und Integrität von Passwörtern bei deren Zuweisung und Verteilung sowie bei der Speicherung gewährleisten sollen.

f. Multi-Faktor-Authentifizierung. Accenture wird eine Multi-Faktor-Authentifizierung für den internen Zugriff und den Fernzugriff über ein virtuelles privates Netzwerk (VPN) auf seine Systeme implementieren.

7. Penetrationstests und Schwachstellen-Scans von Accenture-Systemen.

a. Accenture führt gemäß den internen Sicherheitsrichtlinien und Standardverfahren mindestens einmal jährlich Penetrationstests und Schwachstellenanalysen in seinen IT-Umgebungen durch.

b. Accenture verpflichtet sich, dem Kunden zusammenfassende Informationen zu den solchen von Accenture durchgeführten Tests, soweit diese für die Dienstleistungen relevant sind, zur Verfügung zu stellen.

c. Zur Klarstellung: Im Zusammenhang mit solchen Penetrations- und Schwachstellentests ist der Kunde nicht berechtigt, (i) Daten oder Informationen anderer Kunden oder Klienten von Accenture zu erhalten; (ii) IT-Umgebungen Dritter zu testen, es sei denn, Accenture ist berechtigt, solche Tests zu gestatten; (iii) auf gemeinsam genutzte Service-Infrastrukturen oder -Umgebungen zuzugreifen oder diese zu testen, oder (iv) sonstige vertrauliche Informationen von Accenture zu erhalten, die für solche Tests und die Services nicht unmittelbar relevant sind.

d. Für alle Accenture-IT-Systeme, die physisch dem Kundenunternehmen vorbehalten sind, können die Parteien separate, schriftliche Testpläne vereinbaren, wobei solche Tests nicht mehr als zwei Tests pro Jahr umfassen dürfen.

8. Netzwerk- und Anwendungsdesign und -verwaltung. Accenture wird:

a. Kontrollen durchführen, um zu verhindern, dass Einzelpersonen unbefugten Zugriff auf Kundendaten in seinen Systemen erhalten.

b. E-Mail-basierte Datenverlustprävention einsetzen, um die Bewegung sensibler Daten zu überwachen oder einzuschränken.

c. netzwerkbasierte Webfilter verwenden, um den Zugriff auf nicht autorisierte Websites zu verhindern.

d. Firefighter-IDs oder temporäre Benutzer-IDs für den Produktionszugriff verwenden.

e. in seinen Systemen eine Netzwerkangriffserkennung und/oder -prävention einsetzen.

f. sichere Codierungsstandards verwenden.

g. seine Systeme nach OWASP-Schwachstellen durchsuchen und diese beheben.

h. erwarten, dass die Parteien zusammenarbeiten (soweit technisch möglich), um die Möglichkeit für Accenture-Mitarbeitende einzuschränken, von den Kundensystemen aus auf Umgebungen zuzugreifen, die nicht dem Kundenunternehmen oder Accenture gehören.

i. für die Einhaltung aktueller Standards für die Sicherheitskonfiguration von Servern, Netzwerken, Infrastrukturen, Anwendungen und der Cloud sorgen.

j. seine Umgebungen scannen, um sicherzustellen, dass identifizierte Konfigurationsschwachstellen behoben wurden.

9. Patch-Management

a. Accenture verfügt über ein Patch-Management-Verfahren, das Sicherheitspatches für seine Systeme bereitstellt, die zur Verarbeitung von Kundendaten verwendet werden. Dazu gehören:

1. definierte Zeitspanne für die Implementierung von Patches (höchstens 90 Tage für hohe oder mittlere Patches gemäß Accenture-Standard); und
   
   
2. etablierter Prozess zur schnellstmöglichen Bearbeitung von Notfall- oder kritischen Patches.

10. Arbeitsplätze/Arbeitsstationen

a. Accenture implementiert Kontrollen für die von ihr bereitgestellten Arbeitsplätze, die im Zusammenhang mit der Leistungserbringung/dem Leistungsempfang verwendet werden. Dazu gehören:

1. Software-Agent, der die allgemeine Compliance der Arbeitsstation verwaltet und mindestens wöchentlich an einen zentralen Server berichtet
   
   
2. Verschlüsselte Festplatte
   
   
3. Patching-Prozess, damit Arbeitsstationen innerhalb des dokumentierten Patching-Zeitplans gepatcht werden
   
   
4. Möglichkeit, die Installation von Software auf der schwarzen Liste zu verhindern
   
   
5. Antivirus mit mindestens wöchentlichem Scan
   
   
6. Installierte Firewalls

11. Management von Informationssicherheitsverstößen

a. Reaktionsprozess bei Sicherheitsverstößen. Accenture führt Aufzeichnungen über eigene Sicherheitsverstöße in seinen Systemen mit einer Beschreibung des Verstoßes, des Zeitraums, den Folgen des Verstoßes, dem Namen des Meldenden und der Person, der der Verstoß gemeldet wurde, sowie dem Verfahren zur Wiederherstellung der Daten.

b. Serviceüberwachung. Das Sicherheitspersonal von Accenture überprüft im Rahmen seines Reaktionsprozesses auf Sicherheitsverstößen seine eigenen Protokolle, um bei Bedarf Abhilfemaßnahmen vorzuschlagen.

12. Geschäftskontinuitätsmanagement

a. Accenture verfügt über Prozesse und Programme, die auf ISO 22301 ausgerichtet sind, um die Wiederherstellung nach Ereignissen zu ermöglichen, die die Fähigkeit des Unternehmens beeinträchtigen, die Leistung gemäß der Vereinbarung zu erbringen

ZUSATZMASSNAHMEN. Darüber hinaus verpflichtet sich Accenture gemäß den regulatorischen Leitlinien nach der Entscheidung „Schrems II“ des Europäischen Gerichtshofs, die folgenden zusätzlichen technischen, organisatorischen und rechtlichen/vertraglichen Maßnahmen in Bezug auf Kundendaten, einschließlich personenbezogener Daten, aufrechtzuerhalten.

Technische Zusatzmaßnahmen:

1. Die zwischen Accenture-Einheiten übertragenen Kundendaten werden mit einer Verschlüsselung stark verschlüsselt, die:

a. dem aktuellen Stand der Technik entspricht,

b. die Vertraulichkeit für den erforderlichen Zeitraum sichert,

c. durch ordnungsgemäß gewartete Software umgesetzt wird,

d. robust ist und Schutz vor aktiven und passiven Angriffen durch Behörden einschließlich Kryptoanalyse, bietet, und

e. keine Hintertüren in Hardware oder Software enthält, sofern mit dem jeweiligen Kunden nichts anderes vereinbart wurde.

2. Die ruhenden und von Accenture-Einheiten gespeicherten Kundendaten werden mit einer Verschlüsselung stark verschlüsselt, die:

a. dem aktuellen Stand der Technik entspricht,

b. die Vertraulichkeit für den erforderlichen Zeitraum sichert,

c. durch ordnungsgemäß gewartete Software umgesetzt wird,

d. robust ist und Schutz vor aktiven und passiven Angriffen durch Behörden, einschließlich Kryptoanalyse, bietet und

e. keine Hintertüren in Hardware oder Software enthält, sofern mit dem jeweiligen Kunden nichts anderes vereinbart wurde. 

Organisatorische Zusatzmaßnahmen:

1. Die Übertragung von Kundendaten zwischen Accenture-Einheiten und deren Verarbeitung erfolgt in Übereinstimmung mit:

a. den internen Richtlinien und Verfahren von Accenture zur Bearbeitung von Anfragen von Behörden zum Zugriff auf personenbezogene Daten,

b. den internen Richtlinien und Verfahren von Accenture für den Datenzugriff und die Vertraulichkeit,

c. den internen Richtlinien und Verfahren von Accenture zur Datenminimierung und

d. den internen Richtlinien und Verfahren von Accenture zur Datensicherheit und zum Datenschutz.

2. Accenture führt ein dokumentiertes Protokoll über Anfragen von Behörden nach Zugang zu personenbezogenen Daten und die erteilten Antworten, zusammen mit der rechtlichen Begründung und den beteiligten Parteien.

3. Accenture übermittelt dem Chief Compliance Officer von Accenture regelmäßig Berichte über etwaige Anfragen öffentlicher Behörden nach personenbezogenen Daten.

Rechtliche/vertragliche Zusatzmaßnahmen:

1. Accenture erstellt regelmäßig aktualisierte Bewertungsberichte hinsichtlich der Überwachungsgesetze und Datenschutzpraktiken der Länder, in denen Accenture Kundendaten verarbeitet, sofern diese Länder nicht offiziell als Länder mit einem im Wesentlichen mit den EU-Ländern vergleichbaren Schutzniveau anerkannt sind, und stellt Kunden auf Anfrage Kopien der entsprechenden Berichte zur Verfügung.
   
   
2. Sofern mit dem jeweiligen Kunden nichts anderes vereinbart wurde, bestätigen die Accenture-Einheiten, dass sie (a) nicht absichtlich Hintertüren oder ähnliche Programme erstellt haben, die für den Zugriff auf das System und/oder personenbezogene Daten verwendet werden könnten, (b) ihre Geschäftsprozesse nicht absichtlich in einer Weise erstellt oder geändert haben, die den Zugriff auf personenbezogene Daten oder Systeme erleichtert, und (c) nach bestem Wissen von Accenture geltende nationale Gesetze oder Regierungsrichtlinien, die Accenture-Einheit nicht dazu verpflichten, Hintertüren zu erstellen oder aufrechtzuerhalten oder den Zugriff auf personenbezogene Daten oder Systeme zu erleichtern, oder dass die Accenture-Einheit im Besitz des Verschlüsselungsschlüssels ist oder diesen ohne rechtsgültige Anordnung und nach einer entsprechenden rechtlichen Prüfung herausgeben muss.
   
   
3. Soweit nach geltendem Recht zulässig, informiert die Accenture-Einheit, die Kundendaten verarbeitet, das Kundenunternehmen über behördliche Anfragen in Bezug auf personenbezogene Daten, die Accenture im Auftrag des Kundenunternehmens verarbeitet. Wenn es Accenture gemäß den geltenden Gesetzen nicht gestattet ist, den Kunden über eine behördliche Anfrage zu informieren, wird Accenture angemessene Schritte unternehmen, um entweder (i) eine behördliche oder gerichtliche Erlaubnis zu erhalten, den Kunden zum frühestmöglichen Zeitpunkt zu informieren, oder (ii) zu verlangen, dass die jeweilige Regierungsbehörde den Kunden direkt informiert. In jedem Fall wird Accenture vor den Gerichten oder in Verwaltungsverfahren angemessene Schritte unternehmen, um behördliche Anfragen anzufechten, die es für rechtswidrig hält.
   
   
4. Accenture wird den jeweiligen Kunden über alle Änderungen der geltenden Gesetze informieren, die die Fähigkeit von Accenture beeinträchtigen würden, den zugrunde liegenden Datenübertragungsmechanismus einzuhalten.
   
   
5. Die Accenture-Einheit(en), die Kundendaten verarbeiten, ermöglichen dem jeweiligen Kunden, im Rahmen vereinbarter Prüfverfahren gemäß der jeweiligen Kundenvereinbarung zu überprüfen, ob seine personenbezogenen Daten an Behörden weitergegeben wurden.
   
   
6. Die Accenture-Einheit(en), die Kundendaten verarbeiten, werden ohne die in der geltenden Kundenvereinbarung oder anderweitig gesetzlich vorgeschriebene Zustimmung des Kunden keine Weiterübermittlung von Kundendaten vornehmen oder laufende Übermittlungen aussetzen.
   
   
7. Die Rechte der betroffenen Person auf Schadensersatz von Accenture bleiben unberührt, soweit dies nach geltendem Recht zulässig ist, falls Accenture bei der Übermittlung von Kundendaten gegen seine Verpflichtungen aus dem gewählten Übertragungstool verstößt.