ThoughtSpot Trust Center

Zertifiziert nach ISO 27001

Die Zertifizierung nach ISO/IEC 27001:2013 legt Sicherheitsverfahren und Kontrollmechanismen für die Einrichtung, Umsetzung, Instandhaltung und laufende Verbesserung von Managementsystemen für Informationssicherheit (ISMS) fest, um die Sicherheit der Datenbestände von Organisationen zu erhöhen. Sie stellt damit sicher, dass unser ISMS mit der sich ständig verändernden Bedrohungslage Schritt hält und die IT-Sicherheit gewährleistet ist. ThoughtSpot durchläuft zu diesem Zweck eine jährliche Neuzertifizierung einschließlich entsprechender Sicherheitsprüfungen. Den Zertifizierungsnachweis finden Sie hier.

SOC 2 und SOC 3

ThoughtSpot hat das „Service Organization Control (SOC) 2 Typ II“-Audit erfolgreich abgeschlossen. Der SOC-2-Bericht verifiziert die Eignung der Ausgestaltung und der Betriebseffektivität der Informationssicherheitspraktiken, -richtlinien, -verfahren und -vorgänge von ThoughtSpot, um die Standards für Sicherheit, Verfügbarkeit und Vertraulichkeit zu erfüllen.

Ein öffentlich zugänglicher SOC-3-Bericht, der zeigt, dass ThoughtSpot die Trust-Services-Grundsätze und -Kriterien der AICPA zu Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit erfüllt, ist hier verfügbar.

Einhaltung des HIPAA

ThoughtSpot befolgt den Health Insurance Portability and Accountability Act von 1996 (HIPAA) und stellt sicher, dass der Zugriff auf vertrauliche Daten eingeschränkt ist und dass Patienteninformationen geschützt sind. Ein Zusatz für Geschäftspartner von ThoughtSpot ist verfügbar und kann bei Bedarf abgeschlossen werden. Auf welche Weise die Sicherheitsmechanismen der ThoughtSpot Analytics Cloud die Anforderungen des HIPAA erfüllen, erfahren Sie im Whitepaper zu Sicherheitsinfrastruktur und HIPAA.

Payment Card Industry Data Security Standards (PCI DSS)

ThoughtSpot selbst speichert und verarbeitet keine Informationen von Karteninhabern und qualifiziert sich nicht als Verarbeiter, Händler oder Dienstleister im Sinne der Payment Card Industry Data Security Standards (PCI DSS). ThoughtSpot unterliegt zwar nicht den PCI-DSS, aber unser bestehendes Sicherheitsprogramm berücksichtigt bereits viele der darin enthaltenen Anforderungen. Während wir unser Sicherheitsprogramm und unsere Prozesse weiterentwickeln, bewerten wir weiterhin die Vorteile einer Einhaltung. Da die Konfiguration und Nutzung von ThoughtSpot in Ihrer Verantwortung liegt, liegt die Verantwortung für die PCI-DSS (und für die Sicherheit und den Datenschutz insgesamt) sowohl bei ThoughtSpot als auch bei Ihnen.

Risikomanagement

ThoughtSpot führt im Rahmen eines Risikoverwaltungsprogramms, welches regelmäßig die Effektivität des Sicherheitsprogramms testet und evaluiert, Risikobewertungen im Bereich der Informationssicherheit durch. Dabei werden die Auswirkungen von Risiken und der implementieren Strategien zur Minderung solcher Risiken ermittelt und bewertet, um auf neue und sich entwickelnde Sicherheitstechnologien, Änderungen der branchenüblichen Praktiken und sich ändernde Sicherheitsbedrohungen reagieren zu können. Das Risikoprogramm wird jährlich von einem unabhängigen Dritten überprüft.

Verwaltung von Schwachstellen

ThoughtSpot führt vierteljährliche Sicherheitsrisikobewertungen durch, um Bedrohungen für Informationsressourcen zu bewerten, potenzielle Schwachstellen zu ermitteln und diese zu beseitigen. Software-Patches werden regelmäßig an Kundeninstanzen verteilt, um bekannte Schwachstellen zu beheben.

Verwaltung von Schwachstellen bei Anbietern

Wenn Software-Schwachstellen von einem Anbieter-Patch aufgedeckt und behoben werden, erhält ThoughtSpot den Patch vom jeweiligen Anbieter und wendet ihn innerhalb eines angemessenen Zeitraums gemäß dem zum jeweiligen Zeitpunkt aktuellen Standardverfahren für die Verwaltung von Schwachstellen und Sicherheits-Patches von ThoughtSpot an – jedoch erst, sobald getestet und bestätigt wurde, dass er sicher und für die Installation in allen Produktionssystemen geeignet ist.

STAR-Beurteilung durch die Cloud Security Alliance (CSA)

Das Security, Trust, Assurance, and Risk (STAR) Registry ist ein öffentliches Verzeichnis der Sicherheits- und Datenschutzkontrollen beliebter Cloud-Dienste. Es steht für Transparenz, gewissenhafte Kontrollen und die Angleichung der laut Cloud Controls Matrix (CCM) vorgesehenen Standards. ThoughtSpot hat den „Consensus Assessments Initiative Questionnaire (CAIQ)“ der CSA ausgefüllt, der hier abrufbar ist und regelmäßig angepasst wird.

Maximale Sicherheit

ThoughtSpot sichert seine Gebäude und Arbeitsstandorte gegen unbefugten Zugriff, um seine Mitarbeiter, Vermögenswerte und Daten zu schützen. Alle Mitarbeiter von ThoughtSpot sowie Auftragnehmer und Dritten, die einen legitimen Grund haben, ThoughtSpot-Bereiche zu betreten, müssen die Sicherheitsbestimmungen erfüllen, um maximale Sicherheit zu gewährleisten.

Redundanz

Die Rechenzentren von ThoughtSpot sind so konzipiert, dass sie Fehler antizipieren und tolerieren und gleichzeitig die Service-Level aufrechterhalten. Bei einem Fehler wird Datenverkehr automatisch aus dem betroffenen Bereich entfernt. Es besteht ausreichend Kapazität, damit der Datenverkehr auf die verbleibenden Standorte verteilt werden kann.

Verfügbarkeit

Kritische Systemkomponenten werden an mehreren isolierten Standorten gesichert und sind so konstruiert, dass sie unabhängig und mit hoher Zuverlässigkeit arbeiten. Stark belastbare Systeme bieten ein Höchstmaß an Serviceverfügbarkeit und ermöglichen es Kunden im Falle eines Ausfalls, extrem kurze Wiederherstellungszeiten und Wiederherstellungspunktziele zu erreichen.

Kapazitätsplanung

Die Service-Nutzung wird kontinuierlich überwacht, um unsere Verfügbarkeitsverpflichtungen und -anforderungen zu erfüllen, und mindestens einmal im Monat anhand eines Kapazitätsplanungsmodells gemessen. Dieses Modell unterstützt die Planung für zukünftige Anforderungen und umfasst Faktoren wie Informationsverarbeitung, Telekommunikation und Speicherung von Auditprotokollen.

Zugriff

Alle Mitarbeiter, die Zugriff auf Rechenzentren benötigen, müssen diesen zuerst beantragen und eine gültige Geschäftsbegründung vorlegen. Die Überprüfung und Genehmigung dieser Anträge erfolgt nach dem Prinzip des geringsten Zugriffsrechts.

Hintergrundprüfungen

ThoughtSpot führt bei allen Mitarbeitern Hintergrundüberprüfungen durch – gemäß den einschlägigen Gesetzen und Vorschriften sowie im Verhältnis zu den geschäftlichen Anforderungen, der Sensibilität der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken in Übereinstimmung mit der ThoughtSpot-Richtlinie für Hintergrundüberprüfungen.

Sicherheitstraining

ThoughtSpot bietet ein Sicherheitstraining an, um seinen Mitarbeiten zu helfen, unnötige Risiken zu vermeiden. Die Mitarbeiter müssen innerhalb eines angemessenen Zeitraums nach der Einstellung und anschließend vierteljährlich an einem Informationssicherheitstraining teilnehmen. ThoughtSpot speichert Anwesenheitslisten und Kopien von Sicherheitstrainingsmaterialien, um zu gewährleisten, dass das Training ordnungsgemäß absolviert wird, bevor die jeweiligen Mitarbeiter Zugriff auf Systeme erhalten.

Verschlüsselung

Alle Daten, die über das globale Netzwerk fließen, das unsere Rechenzentren und Regionen miteinander verbindet, werden automatisch verschlüsselt, bevor sie unsere gesicherten Einrichtungen verlassen. AWS bietet Tools, mit denen ThoughtSpot Ihre Daten für die Übertragung und im Ruhezustand ganz einfach verschlüsseln kann, um sicherzustellen, dass nur autorisierte Nutzer darauf zugreifen können. Verschlüsselungsschlüssel werden vom AWS Key Management Service (KMS) oder von CloudHSM unter Anwendung von nach FIPS 140-2 Level 3 validierten HSMs verwaltet.

Datenstandorte

ThoughtSpot bietet Ihnen die Kontrolle und Sichtbarkeit, die Sie brauchen, um regionale und lokale Gesetze und Vorschriften zum Datenschutz einzuhalten. Der Aufbau der globalen AWS-Infrastruktur ermöglicht Ihnen eine vollständige Kontrolle über die Regionen, in denen sich Ihre Daten physisch befinden, und hilft Ihnen dabei, die Anforderungen an die Datenresidenz zu erfüllen.

Sicherheit auf Zeilenebene

Mit RLS (Row Level Security – Sicherheit auf Zeilenebene) können Sie den Zugriff einer Gruppe bis zur Tabellenzeile einschränken. Sobald eine Regel feststeht, bewertet ThoughtSpot das Zugriffsrecht des Nutzers anhand der bestehenden Regeln und verhindert, das eingeschränkte Daten angezeigt werden, wenn ein Gruppenmitglied nach einer Antwort sucht, diese ansieht oder anderweitig an den Daten arbeitet. So sehen Nutzer nur die Daten, die sie sehen dürfen.

Einhaltung der DSGVO

ThoughtSpot erfüllt die Datenschutz-Grundverordnung der Europäischen Union vollständig. Der Nachtrag zur Datenverarbeitung von ThoughtSpot enthält von der EU genehmigte Übermittlungsmechanismen, nämlich die Standardvertragsklauseln der Europäischen Kommission. Kunden können sich bei der Übermittlung von personenbezogenen Daten in der EU mithilfe unserer Dienstleistungen auf diesen Schutz verlassen. Weitere Informationen zur DSGVO finden Sie hier. Eine Liste der Unterauftragsverarbeiter, die zur Verarbeitung personenbezogener Daten in einzelnen SaaS-Anwendungen von ThoughtSpot berechtigt sind, finden Sie hier.

Datenschutzschild

ThoughtSpot beruft sich bei der Übermittlung personenbezogener Daten nach dem Urteil des EuGH in der Rechtssache C-311/18 nicht mehr auf den EU-US-Datenschutzschild, bleibt aber darin festgelegten Grundsätzen der Sicherheit und des Datenschutzes treu und nimmt weiterhin entsprechende Selbstzertifizierungen vor. Die fortgesetzte Einhaltung des Datenschutzschilds durch ThoughtSpot ist der Website zum Datenschutzrahmen und der Rahmenerklärung zum Datenschutz zu entnehmen.

Datenschutzerklärung

ThoughtSpot unterhält eine Datenschutzerklärung in Bezug auf die Erhebung, Verwendung und Offenlegung personenbezogener Daten, die über die Websites von ThoughtSpot erlangt wurden; in Verbindung mit Ihrem Kauf unserer Produkte, damit einhergehendem Support und professionellen Dienstleistungen; und in Verbindung mit von uns veranstalteten Veranstaltungen, bei denen wir Informationen von Registranten und Teilnehmern erheben.

Cookie-Richtlinie

ThoughtSpot verwendet sowohl sitzungsbasierte als auch dauerhafte Cookies. Cookies existieren nur während Ihrer Websitzung und verfallen, wenn Sie Ihren Internetbrowser schließen. Dauerhafte Cookies verbleiben so lange in einem der Unterordner Ihres Browsers, bis Sie sie manuell löschen oder bis Ihr Browser sie basierend auf der in der Datei des dauerhaften Cookies enthaltenen Dauer löscht.

Internationale Übermittlung personenbezogener Daten nach Schrems II

Nach dem Urteil des Gerichtshofs der Europäischen Union (C-311/18, „Schrems II“) vom 16. Juli 2020 erfolgt die internationale Übermittlung personenbezogener Daten aus dem EWR und der Schweiz in die USA mittlerweile nicht mehr auf Grundlage unserer Zertifizierungen nach dem EU-US- und Schweiz-US-Datenschutzschild. Bezüglich der vor dem 16. Juli 2020 in die USA übermittelten personenbezogenen Daten befolgen wir aber weiterhin die darin niedergelegten Grundsätze.

Bei der Übermittlung dem EU-Recht unterliegender personenbezogener Daten an Kunden und Unterauftragsverarbeiter wendet ThoughtSpot die Standardvertragsklauseln an. Laut Schrems II und diesbezüglichen Empfehlungen der EU-Aufsichtsbehörden verbindet ThoughtSpot die Anwendung der Standardvertragsklauseln mit diversen der jeweiligen Übermittlung angemessenen technischen und organisatorischen Sicherungsmaßnahmen. Weitere Informationen zur Umsetzung von Schrems II durch ThoughtSpot finden Sie hier.

Wir verkaufen Ihre Daten nicht

ThoughtSpot verkauft Ihre Daten nicht, betreibt kein Data-Mining und greift auch nicht zu Werbezwecken auf Ihre Daten zu. ThoughtSpot verpflichtet sich außerdem vertraglich dazu, dass ThoughtSpot-Mitarbeiter und autorisierte, geprüfte Auftragnehmer nur dann auf Kundendaten zugreifen können, wenn dies notwendig ist.