Sicherheitspraktiken

Wir bei Smartsheet verstehen, dass Sie mit dem Schutz und der Sicherung Ihrer Daten vertraut sein müssen, wenn Sie unsere Online-Services nutzen. Diese Smartsheet-Sicherheitspraktiken beschreiben die Praktiken und Schutzmaßnahmen. Diese umfassen von Smartsheet verwendete physische, organisatorische und technische Maßnahmen, um die Sicherheit, Integrität und Vertraulichkeit der Online-Services und Inhalte von Kund*innen zum Schutz vor Bedrohungen der Informationssicherheit zu wahren.

 

1.       Allgemein:

1.1     Informationssicherheitsprogramm:  Smartsheet muss ein umfassendes schriftliches Informationssicherheitsprogramm anwenden, einschließlich Richtlinien, Standards, Verfahren und zugehöriger Dokumente, die Kriterien, Mittel, Methoden und Maßnahmen, die die Verarbeitung und Sicherheit von Inhalten von Kund*innen und die Smartsheet-Systeme oder -Netzwerke definieren, die im Zusammenhang mit der Leistung der Services im Rahmen der Vereinbarung und Ergänzung zur Verarbeitung oder Sicherung von Inhalten von Kund*innen verwendet werden („Smartsheet-Informationssysteme“). 

1.2     Vertraulichkeit; Schulungen:  Smartsheet stellt sicher, dass Mitarbeitende von Smartsheet: (a) an Vertraulichkeitsverpflichtungen in Bezug auf Inhalte von Kund*innen gebunden sind, die im Wesentlichen so schützend sind wie die in der Vereinbarung festgelegten Verpflichtungen; und (b) einer angemessenen Schulung in Bezug auf die Verarbeitung von Inhalten von Kund*innen unterzogen werden.

1.3     Definitionen

1.3.1    „Vereinbarung“ bezeichnet die Vereinbarung, die den Zugriff von Kund*innen auf und die Nutzung von Online-Services regelt.

1.3.2    „Kund*in“ bezeichnet die natürliche oder juristische Person, die einen Auftrag ausführt oder annimmt oder sich für den kostenlosen Testzugriff auf und die Nutzung eines Services registriert und eine Vereinbarung getroffen hat.

1.3.3    „Inhalte von Kund*innen“ bezeichnet alle Daten, Dateianhänge, Texte, Bilder, Berichte, personenbezogenen Informationen oder sonstigen Inhalte, die von Kund*innen oder Benutzer*innen hochgeladen oder an einen Online-Service übermittelt und von Smartsheet im Auftrag von Kund*innen verarbeitet werden. 

1.3.4    „Prozess“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die Inhalte von Kund*innen durchlaufen, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abruf, Abfrage, Verwendung, Abgleich, Kombination, Einschränkung, Löschung, Vernichtung oder Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung.

1.3.5    „Sicherheitsverletzung“ bezeichnet eine Verletzung der Sicherheit, die zu versehentlicher oder unrechtmäßiger Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf Inhalte von Kund*innen führt.

1.3.6    „Services“ bezeichnet die Abonnementservices bzw. alle anderen Online-Services oder -Anwendungen, die zur Verwendung mit den Abonnementservices von Smartsheet bereitgestellt oder kontrolliert werden.

1.3.7    „Smartsheet-Personal“ bezeichnet jede Person, die von Smartsheet autorisiert wurde, Inhalte von Kund*innen zu verarbeiten.

1.3.8    „Abonnementservice“ bezeichnet die abonnementbasierten Online-Services und -Anwendungen, die von Smartsheet bereitgestellt oder kontrolliert werden. 

1.3.9     „Ergänzung“ bezeichnet die Kriterien, Mittel, Methoden und Maßnahmen sowie die Bedingungen, die für bestimmte Produkte und Services von Smartsheet oder Arten von Kund*innen gelten, die unter www.smartsheet.com/legal/agreement-supplement verfügbar sind.

1.3.10    „Benutzer*in“ bezeichnet jede Person, die von Kund*innen oder anderen Benutzer*innen autorisiert oder eingeladen wurde, auf Online-Services im Rahmen der Bedingungen dieser Vereinbarung zuzugreifen und diese zu nutzen.

 

2.      Sicherheitskontrollen:  In Übereinstimmung mit seinem Informationssicherheitsprogramm implementiert Smartsheet geeignete physische, organisatorische und technische Kontrollen, um: (a) die Sicherheit, Integrität und Vertraulichkeit der von Smartsheet verarbeiteten Inhalte von Kund*innen zu gewährleisten; und (b) Inhalte von Kund*innen vor bekannten oder vorhersehbaren Bedrohungen oder Gefahren bezüglich ihrer Sicherheit und Integrität zu schützen, einschließlich versehentlicher Verluste, Änderung, Offenlegung und anderer rechtswidriger Formen der Verarbeitung. Ohne das Vorstehende einzuschränken, verwendet Smartsheet gegebenenfalls die folgenden Kontrollen:

2.1    Firewalls:  Smartsheet wird Firewalls installieren und warten, um online zugängliche Daten zu schützen. 

2.2     Updates:Smartsheet wird Programme und Routinen betreiben, um Smartsheet-Informationssysteme mit den neuesten Upgrades, Updates, Fehlerbehebungen, Versionen und anderen Modifikationen auf dem neuesten Stand zu halten.

2.3    Anti-Malware:Smartsheet wird Anti-Malware-Software bereitstellen sowie verwenden und die Anti-Malware-Software auf dem neuesten Stand halten. Smartsheet wird diese Software verwenden, um Bedrohungen durch jegliche Viren, Spyware-Programme und andere bösartige Codes, die erkannt wurden oder erkannt werden sollten, zu mindern. 

2.4    Tests:  Smartsheet wird seine Sicherheitssysteme, -prozesse und -kontrollen regelmäßig testen, um sicherzustellen, dass sie die Anforderungen dieser Sicherheitspraktiken erfüllen.

2.5    Zugriffssteuerung:  Smartsheet wird Inhalte von Kund*innen sichern, die von Smartsheet-Informationssystemen verarbeitet werden, indem Folgendes eingehalten wird:

  • 2.5.1    Smartsheet weist Smartsheet-Personal mit Zugriff auf Smartsheet-Informationssysteme eine eindeutige ID zu. 
  • 2.5.2    Smartsheet beschränkt den Zugriff auf Smartsheet-Informationssysteme nur auf Smartsheet-Personal, das zur Erfüllung einer bestimmten Verpflichtung gemäß der Vereinbarung erforderlich ist. 
  • 2.5.3    Smartsheet wird regelmäßig (mindestens einmal alle neunzig (90) Tage) die Liste des Smartsheet-Personals und der Services mit Zugriff auf Smartsheet-Informationssysteme überprüfen und Konten entfernen, die keinen Zugriff mehr benötigen.
  • 2.5.4    Smartsheet wird keine vom herstellenden Unternehmen bereitgestellten Standardwerte für Systempasswörter auf Betriebssystemen, Software oder Smartsheet-Informationssystemen verwenden. Smartsheet wird die Verwendung von vom System durchgesetzten „starken Passwörtern“ vorschreiben, die mit den (unten beschriebenen) Best Practices übereinstimmen oder diese übertreffen, und verlangen, dass alle Passwörter und Zugangsdaten vertraulich behandelt und nicht zwischen Smartsheet-Personal geteilt werden. 
  • 2.5.5    Smartsheet-Produktionskennwörter: (i) müssen mindestens acht (8) Zeichen enthalten; (ii) dürfen nicht mit früheren Passwörtern, den Anmeldeinformationen der Benutzer*innen oder dem allgemeinen Namen übereinstimmen; (iii) werden geändert, wenn Verdacht auf ein kompromittiertes Konto besteht; und (iv) werden regelmäßig erneuert.
  • 2.5.6    Smartsheet wird eine Kontosperrung erzwingen, indem Konten für die Verarbeitung von Inhalten von Kund*innen deaktiviert werden, wenn für ein Konto in einem bestimmten Zeitraum die festgelegte Anzahl an Anmeldeversuchen überschritten wird.
  • 2.5.7    Smartsheet wird Protokolldaten für die gesamte Nutzung von Konten oder Anmeldeinformationen durch Smartsheet-Personal für den Zugriff auf Smartsheet-Informationssysteme pflegen und überprüft Zugriffsprotokolle regelmäßig auf Anzeichen von böswilligem Verhalten oder unbefugtem Zugriff. 

2.6    Richtlinien:  Smartsheet wird angemessene Informationssicherheits-, Vertraulichkeits- und akzeptable Nutzungsrichtlinien für Smartsheet-Personal aufrechterhalten und durchsetzen, die die in diesen Sicherheitspraktiken festgelegten Standards erfüllen, einschließlich Methoden zur Erkennung und Protokollierung von Richtlinienverstößen. 

2.7    Entwicklung:  Entwicklungs- und Testumgebungen sind von Smartsheet-Informationssystemen getrennt. 

2.8    Löschung:  Smartsheet wird Verfahren anwenden, die mindestens den Empfehlungen des National Institute of Standards and Technology (NIST) SP 800-88 Revision 1 (oder einem branchenweiten Nachfolgestandard) entsprechen, um Inhalte von Kund*innen vor der Entsorgung von Medien nicht wiederherstellbar zu machen.  

2.9    Verschlüsselung:  Smartsheet wird kryptografische Standards verwenden, die autorisierte Algorithmen, Schlüssellängenanforderungen und Schlüsselverwaltungsprozesse vorschreiben. Diese müssen mit den aktuellen Industriestandards, einschließlich NIST-Empfehlungen, und Härtungs- und Konfigurationsanforderungen, die im Einklang mit den dann aktuellen Industriestandards stehen, einschließlich Empfehlungen des SANS Institute, NIST oder Center for Internet Security (CIS) übereinstimmen oder diese übertreffen. Gemäß diesen Standards verschlüsselt Smartsheet ruhende Inhalte von Kund*innen innerhalb der Online-Services und lässt für die Übertragung von Inhalten von Kund*innen nur verschlüsselte Verbindungen zum Online-Service zu.

2.10  Fernzugriff:  Smartsheet stellt sicher, dass jeder Zugriff außerhalb der geschützten Unternehmens- oder Produktionsumgebungen auf Smartsheet-Informationssysteme oder auf die Unternehmens- oder Entwicklungs-Workstation-Netzwerke von Smartsheet angemessene Verbindungskontrollen, wie z. B. VPN oder eine Multi-Faktor-Authentifizierung, erfordert. 

 

3.     Einsatz Dritter:

3.1    Allgemein:  Dritte, die von Smartsheet gemäß der Vereinbarung beauftragt wurden, werden im Wesentlichen (mindestens) ähnliche Sicherheitsniveaus aufrechterhalten, wie sie von diesen Sicherheitspraktiken anwendbar und erforderlich sind.

3.2   Daten-Hosting:  Smartsheet stellt sicher, dass alle Hosting-Drittanbieter*innen („Infrastructure-as-a-Service“ oder „IaaS“), die von Smartsheet zur Verarbeitung von Inhalten von Kund*innen verwendet werden, die folgenden Anforderungen erfüllen:

  • 3.2.1    Grundvoraussetzungen:  Smartsheet stellt mindestens sicher, dass IaaS: (a) angemessene physische Sicherheits- und Zugangskontrollen gemäß Abschnitt 2.5 dieser Sicherheitspraktiken aufrechterhalten; (b) professionelle HLK- und Umweltkontrollen verwenden; (c) professionelle Netzwerk-/Verkabelungsumgebungen nutzen; (d) professionelle Branderkennungs-/Löschfunktionen verwenden; und (e) einen umfassenden Business-Continuity-Plan aufrechterhalten.
  • 3.2.2    Jährliche Prüfungen; Bewertung:  Smartsheet stellt sicher, dass jährliche unabhängige Risikobewertungen und Prüfungen stattfinden. Solche Bewertungen und Prüfberichte werden Smartsheet und, falls gesetzlich vorgeschrieben, Kund*innen zur Verfügung gestellt, vorausgesetzt, Smartsheet kann alle kommerziellen und vertraulichen Informationen oder Bedingungen löschen, die nichts mit den Sicherheitspraktiken der IaaS zu tun haben. Darüber hinaus führt Smartsheet jährliche Überprüfungen und Bewertungen aller kritischen IaaS durch, um zu validieren, dass die Sicherheitsmaßnahmen mindestens die Anforderungen dieser Sicherheitspraktiken erfüllen.
  • 3.2.3    Erweiterte Anforderungen:  Smartsheet stellt sicher, dass IaaS die Anforderungen und Fähigkeiten eines hochverfügbaren, redundanten („N+1“) Rechenzentrums, in dem mehrere Komponenten jeweils mindestens eine unabhängige Backup-Komponente erfüllen, um sicherzustellen, dass die Systemfunktionalität im Falle eines Systemausfalls auf einem akzeptablen Leistungsniveau fortgesetzt wird.

 

4.      Systemverfügbarkeit:  Smartsheet wird ein Disaster-Recovery-Programm („DR“) anwenden (oder, in Bezug auf Systeme, die von Dritten kontrolliert werden, sicherstellen, dass diese Dritten es anwenden), das darauf ausgelegt ist, die Verfügbarkeit des Abonnementservices nach einem Notfall wiederherzustellen. Ein solches DR-Programm umfasst mindestens die folgenden Elemente: (a) Routinevalidierung von Verfahren zur regelmäßigen und programmgesteuerten Erstellung von Aufbewahrungskopien von Inhalten von Kund*innen zum Zwecke der Wiederherstellung verlorener oder beschädigter Daten; (b) Bestandsverzeichnisse, die mindestens einmal jährlich aktualisiert werden und alle kritischen Smartsheet-Informationssysteme enthalten; (c) jährliche Überprüfung und Aktualisierung des DR-Programms; und (d) jährliche Tests des DR-Programms zur Validierung der DR-Verfahren und der Wiederherstellbarkeit des darin beschriebenen Services.

 

5.      Sicherheitsverletzung:

5.1    Verfahren

  • 5.1.1     Smartsheet wird Kund*innen unverzüglich schriftlich benachrichtigen, sobald Smartsheet von einer bestätigten Sicherheitsverletzung Kenntnis erlangt. 
  • 5.1.2    Smartsheet wird eine Sicherheitsverletzung in Übereinstimmung mit den Richtlinien und Verfahren von Smartsheet für Sicherheitsvorfälle („Verwaltung von Sicherheitsverletzungen“) untersuchen und, falls erforderlich, mindern oder beheben.
  • 5.1.3    Vorbehaltlich der gesetzlichen Verpflichtungen von Smartsheet stellt Smartsheet Kund*innen Informationen zur Verfügung, die Smartsheet aufgrund seiner Verwaltung von Sicherheitsverletzungen zur Verfügung stehen, einschließlich der Art des Vorfalls, der offengelegten spezifischen Informationen (sofern bekannt) und aller relevanten Minderungs- oder Lösungsmaßnahmen („Informationen zu Sicherheitsverletzungen“), damit die Kund*innen ihrer Verpflichtung nach geltendem Recht infolge einer Sicherheitsverletzung nachkommen können.
  • 5.1.4    Wenn Kund*innen auf eigene Kosten und auf schriftliche Anfrage zusätzlich zu den Informationen über den Vorfall auch Informationen über eine Sicherheitsverletzung benötigen und nicht in der Lage sind, selbst auf die zusätzlichen Informationen zuzugreifen, wird Smartsheet auf Nachfrage der Kund*innen in angemessener Weise mit ihnen zusammenarbeiten, um diese zusätzlichen Informationen zu erfassen und bereitzustellen.

5.2    Erfolglose Versuche:  Ein erfolgloser Angriff oder ein erfolgloses Eindringen ist keine Sicherheitsverletzung im Sinne von Abschnitt 5. Ein „erfolgloser Angriff oder ein erfolgloses Eindringen“ liegt vor, wenn der Versuch nicht zu einem unbefugten oder rechtswidrigen Zugriff auf Inhalte von Kund*innen führt, und kann ohne Einschränkung Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über IP-Adressen oder TCP/UDP-Header hinaus führt) oder ähnliche Vorfälle beinhalten.

5.3    Beteiligung von Kund*innen oder Benutzer*innen:  Ein unbefugter oder rechtswidriger Zugriff auf Inhalte von Kund*innen, der sich aus den Konfigurationseinstellungen von Kund*innen, der Kompromittierung der Anmeldedaten von Benutzer*innen oder einer absichtlichen oder versehentlichen Weitergabe bzw. Offenlegung von Inhalten von Kund*innen durch die Kund*innen oder Benutzer*innen ergibt, stellt keine Sicherheitsverletzung dar.

5.4    Benachrichtigungen:  Smartsheet benachrichtigt eine*n oder mehrere Systemadmins der Kund*innen auf angemessenem Weg, einschließlich E-Mail, über Sicherheitsverletzungen (falls zutreffend). Kund*innen sind allein dafür verantwortlich, ihre Kontaktinformationen im Online-Service jederzeit aktuell zu halten.

5.5    Haftungsausschluss:  Die Verpflichtung von Smartsheet, eine Sicherheitsverletzung gemäß Abschnitt 5 zu melden oder darauf zu reagieren, stellt keine Anerkennung eines Verschuldens oder einer Haftung von Smartsheet in Bezug auf die Sicherheitsverletzung durch Smartsheet dar.

 

6.      Prüfungen und Berichte:

6.1    Überwachung:  Smartsheet überwacht fortlaufend die Wirksamkeit seines Informationssicherheitsprogramms, indem Smartsheet verschiedene Prüfungen, Risikobewertungen und andere Überwachungsaktivitäten durchführt, um die Wirksamkeit seiner Sicherheitsmaßnahmen und -kontrollen zu gewährleisten. 

6.2    Prüfberichte:  Smartsheet verwendet externe Prüfer*innen, um die Angemessenheit seiner Sicherheitsmaßnahmen und -kontrollen für bestimmte Services, einschließlich der Abonnementservices, zu überprüfen. Die resultierende Prüfung wird: (a) Tests für den gesamten Messzeitraum seit dem Ende des vorherigen Messzeitraums beinhalten; (b) gemäß AICPA SOC2-Standards oder solchen anderen alternativen Standards durchgeführt, die AICPA SOC2 im Wesentlichen gleichwertig sind; (c) von unabhängigen externen Sicherheitsexpert*innen auf Auswahl und Kosten von Smartsheet durchgeführt; und (d) zur Generierung eines SOC2-Berichts („Prüfbericht“) führen, der zu den vertraulichen Informationen von Smartsheet gehört. Der Prüfbericht wird Kund*innen auf schriftliche Anfrage höchstens einmal jährlich und vorbehaltlich der Vertraulichkeitsverpflichtungen der Vereinbarung oder einer einvernehmlich vereinbarten Geheimhaltungsvereinbarung zur Verfügung gestellt. Zur Vermeidung von Missverständnissen wird in jedem Prüfbericht nur auf Services eingegangen, die zum Zeitpunkt der Ausstellung des Prüfberichts bestanden. Nachfolgend freigegebene Services sind, sofern sie in den Geltungsbereich des Prüfberichts fallen, in der nächsten jährlichen Iteration des Prüfberichts enthalten.  

6.3     Penetrationstests:  Smartsheet setzt externe Sicherheitsexpert*innen ein, um Penetrationstests bestimmter Online-Services, einschließlich der Abonnementservices, durchzuführen. Solche Tests werden: (a) mindestens einmal jährlich durchgeführt; (b) von unabhängigen externen Sicherheitsexpert*innen durchgeführt, die von Smartsheet ausgewählt werden und die Smartsheet bezahlt; und (c) zur Erstellung eines Penetrationstestberichts („Penetrationstestbericht“) führen, der zu den vertraulichen Informationen von Smartsheet gehört. Penetrationstestberichte werden Kund*innen auf schriftliche Anfrage höchstens einmal jährlich und vorbehaltlich der Vertraulichkeitsverpflichtungen der Vereinbarung oder einer einvernehmlichen Geheimhaltungsvereinbarung zur Verfügung gestellt.  

6.4    Prüfung durch Kund*innen:  Wenn Kund*innen zusätzlich zu den Prüf- und Penetrationstestberichten gesetzlich Informationen zur Einhaltung der geltenden Gesetze benötigen, wird Smartsheet dies auf eigene Kosten und schriftliche Anfrage der Kund*innen zulassen, sofern sie nicht in der Lage sind, selbst auf die zusätzlichen Informationen zuzugreifen, und bei einer von den Kund*innen beauftragten Prüfung durch externe Prüfer*innen in Bezug auf die Verarbeitung von Inhalten von Kund*innen durch Smartsheet („Prüfung durch Kund*innen“) kooperieren – hierbei gelten folgende Voraussetzungen:

  • 6.4.1.   Kund*innen informieren Smartsheet in angemessener Zeit im Voraus über die Identität der Prüfer*innen sowie über das voraussichtliche Datum und den Umfang der Prüfung durch Kund*innen.
  • 6.4.2     Smartsheet genehmigt die Prüfer*innen durch Mitteilung an die Kund*innen, wobei diese Zustimmung nicht unangemessen verweigert werden darf.
  • 6.4.3     Kund*innen und Prüfer*innen handeln, um zu vermeiden, dass im Rahmen einer solchen Prüfung durch Kund*innen Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung oder dem Geschäft von Smartsheet verursacht werden.
  • 6.4.4.   Kund*innen veranlassen höchstens eine Prüfung durch Kund*innen pro Kalenderjahr, sofern nicht anders von den Strafverfolgungsbehörden vorgeschrieben.

 

Zuletzt aktualisiert: 24. März 2023