Digitsole ergreift die folgenden technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz persönlicher Daten:

1. Organisatorisches Management und engagierte Mitarbeiter, die für die Entwicklung, Implementierung und Wartung des Informationssicherheitsprogramms von Digitsole verantwortlich sind.

2. Audit- und Risikobewertungsverfahren zum Zweck der periodischen Überprüfung und Bewertung von Risiken für die Digitsole-Organisation, der Überwachung und Aufrechterhaltung der Einhaltung der Digitsole-Richtlinien und -Verfahren sowie der Berichterstattung über den Zustand der Informationssicherheit und die Einhaltung der Richtlinien an die interne Geschäftsleitung.

3. Aufrechterhaltung der Informationssicherheitsrichtlinien und Gewährleistung, dass die Richtlinien und Maßnahmen regelmäßig überprüft und, falls erforderlich, verbessert werden.

4. Die Kommunikation mit Digitsole-Anwendungen verwendet kryptographische Protokolle wie TLS zum Schutz von Informationen bei der Übertragung über öffentliche Netzwerke. Am Netzwerkrand werden Stateful-Firewalls, Webanwendungs-Firewalls und DDoS-Schutz zur Filterung von Angriffen eingesetzt. Innerhalb des internen Netzwerks folgen die Anwendungen einem mehrschichtigen Modell, das die Möglichkeit bietet, Sicherheitskontrollen zwischen den einzelnen Schichten anzuwenden.

5. Datensicherheitskontrollen, die eine logische Trennung der Daten, eingeschränkten (z.B. rollenbasierten) Zugriff und Überwachung sowie gegebenenfalls die Verwendung kommerziell verfügbarer und dem Industriestandard entsprechender Verschlüsselungstechnologien umfassen.

6. Logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen auf der Grundlage von Autoritätsebenen und Arbeitsfunktionen (z.B. Gewährung des Zugriffs auf der Grundlage des "need-to-know"-Grundsatzes und der geringsten Privilegien, Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und sofortiger Widerruf/Änderung des Zugriffs bei Beendigung des Arbeitsverhältnisses oder bei Änderungen der Arbeitsfunktionen).

7. Passwortkontrollen zur Verwaltung und Kontrolle der Stärke und Verwendung von Passwörtern, einschließlich des Verbots der gemeinsamen Nutzung von Passwörtern durch Benutzer.

8. Systemaudit oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung des Benutzerzugriffs und der Systemaktivität zur routinemäßigen Überprüfung.

9. Physische und umgebungsbezogene Sicherheit des Datenzentrums, der Serverraumeinrichtungen und anderer Bereiche, die vertrauliche Kundeninformationen enthalten: (i) Schutz der Informationswerte vor unberechtigtem physischen Zugriff, (ii) Verwaltung, Überwachung und Protokollierung der Bewegungen von Personen in und aus den Digitsole-Einrichtungen und (iii) Schutz vor Umweltgefahren wie Hitze, Feuer und Wasserschäden.

10. Betriebsverfahren und -kontrollen, um die Konfiguration, Überwachung und Wartung von Technologie- und Informationssystemen gemäß den vorgeschriebenen internen und angenommenen Industriestandards zu gewährleisten, einschließlich der sicheren Entsorgung von Systemen und Medien, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder Freigabe aus dem Besitz von Digitsole als nicht entzifferbar oder nicht wiederherstellbar zu machen.

11. Änderungsmanagementverfahren und Nachverfolgungsmechanismen zur Prüfung, Genehmigung und Überwachung aller Änderungen an Digitsole-Technologie und Informationsbeständen.

12. Vorfall-/Problemmanagementverfahren, die es Digitsole ermöglichen, Ereignisse im Zusammenhang mit der Digitsole-Technologie und den Informationsbeständen zu untersuchen, darauf zu reagieren, sie zu mildern und zu melden.

13. Netzwerksicherheitskontrollen, die den Einsatz von Unternehmensfirewalls und mehrschichtigen DMZ-Architekturen sowie Einbruchserkennungssysteme und andere Verkehrs- und Ereigniskorrelationsverfahren vorsehen, die Systeme vor Einbruch schützen und den Umfang eines erfolgreichen Angriffs begrenzen sollen.

14. Technologien zur Schwachstellenbewertung, zum Patch-Management und zum Schutz vor Bedrohungen sowie planmäßige Überwachungsverfahren, die dazu dienen, identifizierte Sicherheitsbedrohungen, Viren und anderen bösartigen Code zu identifizieren, zu bewerten, abzuschwächen und vor ihnen zu schützen.

15. Gegebenenfalls Verfahren zur Wiederherstellung der Geschäftsfähigkeit/Kontinuität und zur Wiederherstellung im Katastrophenfall, die dazu dienen, den Dienst und/oder die Wiederherstellung nach vorhersehbaren Notfallsituationen oder Katastrophen aufrechtzuerhalten.