Unternehmenssicherheit

ISO 27001 zertifiziert

Die ISO/IEC 27001:2013-Zertifizierung spezifiziert Best-Practices und Kontrollen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Information Security Management System (ISMS), das Organisationen dabei helfen soll, die Sicherheit der in ihrem Besitz befindlichen Informationen zu erhöhen. Es stellt sicher, dass unser ISMS fein abgestimmt ist, um mit den Veränderungen der Sicherheitsbedrohungen Schritt zu halten, was in der schnelllebigen Welt der IT-Sicherheit unerlässlich ist. ThoughtSpot unterzieht sich alle drei Jahre einem Rezertifizierungsaudit, einschließlich eines jährlichen Überwachungsaudits. Das Zertifikat von ThoughtSpot finden Sie hier.

SOC 2 & SOC3

ThoughtSpot hat das Service Organization Control (SOC) 2 Typ II-Audit erfolgreich abgeschlossen. Der SOC 2-Bericht verifiziert die Eignung des Designs und der Betriebseffektivität der Praktiken, Richtlinien, Verfahren und Vorgänge für Informationssicherheit von ThoughtSpot, um die Standards für Sicherheit, Verfügbarkeit und Vertraulichkeit zu erfüllen.

Ein öffentlich zugänglicher SOC 3-Bericht, der zeigt, dass ThoughtSpot die Trust Services-Grundsätze und -Kriterien Sicherheit, Verfügbarkeit, Integrität der Verarbeitung und Vertraulichkeit der AICPA erfüllt, ist hier verfügbar.

Einhaltung des HIPAA

ThoughtSpot erfüllt den Health Insurance Portability and Accountability Act (HIPAA) und stellt sicher, dass der Zugriff auf vertrauliche Daten eingeschränkt und die Patienteninformationen geschützt werden. Ein ThoughtSpot Business Associate Addendum kann nach Bedarf ausgeführt werden.

Payment Card Industry Data Security Standards (PCI DSS)

ThoughtSpot selbst speichert und verarbeitet keine Informationen von Karteninhabern und qualifiziert sich nicht als Verarbeiter, Händler oder Dienstleister im Sinne der Payment Card Industry Data Security Standards (PCI DSS). ThoughtSpot fällt zwar nicht in den Geltungsbereich von PCI-DSS, aber unser bestehendes Sicherheitsprogramm berücksichtigt bereits viele der darin enthaltenen Anforderungen. Während wir unser Sicherheitsprogramm und unsere Prozesse weiterentwickeln, bewerten wir weiterhin die Vorteile der Einhaltung von Vorschriften. Da die Konfiguration und Nutzung von ThoughtSpot in Ihrer Verantwortung liegt, liegt die Verantwortung für PCI-DSS (und für die Sicherheit und den Datenschutz insgesamt) sowohl bei ThoughtSpot als auch bei Ihnen.

Risikomanagement

ThoughtSpot führt im Rahmen eines Risikoverwaltungsprogramms, welches regelmäßig die Effektivität des Sicherheitsprogramms testet und evaluiert, Risikobewertungen im Bereich Informationssicherheit durch. Solche Bewertungen erkennen und bewerten die Auswirkungen von Risiken und implementieren Strategien zur Minderung solcher Risiken, um auf neue und sich entwickelnde Sicherheitstechnologien, Änderungen der branchenüblichen Praktiken und sich ändernde Sicherheitsbedrohungen reagieren zu können. Das Risikoprogramm wird jährlich von einer unabhängigen Drittpartei überprüft.

Verwaltung von Schwachstellen

ThoughtSpot führt vierteljährliche Sicherheitsrisikobewertungen durch, um Bedrohungen für Informationsressourcen zu bewerten, potenzielle Schwachstellen zu ermitteln und diese zu beheben. Software-Patches werden regelmäßig an Kundeninstanzen verteilt, um bekannte Schwachstellen zu beheben.

Verwaltung von Schwachstellen bei Anbietern

Wenn Software-Schwachstellen von einem Anbieter-Patch aufgedeckt und behoben werden, erhält ThoughtSpot den Patch vom jeweiligen Anbieter und wendet ihn innerhalb eines angemessenen Zeitraums gemäß dem zum jeweiligen Zeitpunkt aktuellen Standardverfahren für die Verwaltung von Schwachstellen und Sicherheits-Patches von ThoughtSpot an; jedoch nur, nachdem getestet und bestätigt wurde, dass er sicher und für die Installation in allen Produktionssystemen geeignet ist.

Maximale Sicherheit

ThoughtSpot sichert seine Gebäude und Arbeitsstandorte gegen unbefugten Zugriff, um seine Mitarbeiter/innen, Vermögenswerte und Daten zu schützen. Alle Mitarbeiter/innen von ThoughtSpot sowie Auftragnehmer und Drittparteien, die einen legitimen Grund haben, ThoughtSpot-Bereiche zu betreten, müssen die Sicherheitsbestimmungen erfüllen, um maximale Sicherheit zu gewährleisten.

Redundanz

Die Datencenter von ThoughtSpot sind so konzipiert, dass sie Fehler antizipieren, tolerieren und gleichzeitig die Service-Level aufrechterhalten. Bei einem Fehler wird der Datenverkehr automatisch aus dem betroffenen Bereich entfernt. Es besteht ausreichend Kapazität, um den Datenverkehr auf die verbleibenden Standorte verteilen zu können.

Verfügbarkeit

Kritische Systemkomponenten werden an mehreren isolierten Standorten gesichert und so konstruiert, dass sie unabhängig und mit hoher Zuverlässigkeit arbeiten. Stark belastbare Systeme bieten ein Höchstmaß an Serviceverfügbarkeit und ermöglichen es Kund/innen im Falle eines Ausfalls, extrem kurze Wiederherstellungszeiten und Wiederherstellungspunktziele zu erreichen.

Kapazitätsplanung

Die Service-Nutzung wird kontinuierlich überwacht, um unsere Verfügbarkeitsverpflichtungen und -anforderungen zu erfüllen, und mindestens einmal im Monat anhand eines Kapazitätsplanungsmodells gemessen. Dieses Modell unterstützt die Planung für zukünftige Anforderungen und umfasst Faktoren wie Informationsverarbeitung, Telekommunikation und Speicherung von Auditprotokollen.

Zugriff

Alle Mitarbeiter/innen, die Zugriff auf Datenzentren benötigen, müssen diesen zuerst beantragen und eine valide geschäftliche Begründung nachweisen. Die Überprüfung und Genehmigung dieser Anträge erfolgt nach dem Prinzip des geringsten Zugriffsrechts.

Hintergrundprüfungen

ThoughtSpot führt bei allen Mitarbeiter/innen Hintergrundprüfungen durch unter Einhaltung der entsprechenden Gesetze und Vorschriften und abhängig von den Unternehmensanforderungen, der Vertraulichkeit der Daten, auf die zugegriffen werden soll, und den wahrgenommenen Risiken in Übereinstimmung mit der ThoughtSpot Richtlinie für Hintergrundüberprüfungen.

Sicherheitstraining

ThoughtSpot bietet Sicherheitstrainings an, um seinen Mitarbeiter/innen zu helfen, unnötige Risiken zu vermeiden. Mitarbeiter/innen müssen innerhalb eines angemessenen Zeitraums nach Einstellung und hiernach vierteljährlich an einem Informationssicherheitstraining teilnehmen. ThoughtSpot speichert Anwesenheitslisten und Kopien von Sicherheitstrainingsmaterialien, um zu gewährleisten, dass das Training ordnungsgemäß absolviert wird, bevor Mitarbeitenden Zugriff auf Systeme gewährt wird.

Verschlüsselung

Alle Daten, die über das globale Netzwerk fließen, das unsere Datencenter und Regionen miteinander verbindet, werden automatisch verschlüsselt, bevor sie unsere gesicherten Einrichtungen verlassen. AWS bietet Tools, mit denen ThoughtSpot Ihre Daten für die Übertragung und im Ruhezustand ganz einfach verschlüsseln kann, um sicherzustellen, dass nur autorisierte Nutzer/innen darauf zugreifen können. Verschlüsselungsschlüssel werden vom AWS Key Management Service (KMS) oder von CloudHSM unter Anwendung von FIPS 140-2 Level 3-validierten HSMs verwaltet.

Datenstandorte

ThoughtSpot bietet Ihnen die Kontrolle und Sichtbarkeit, die Sie brauchen, um regionale und lokale Gesetzen und Vorschriften zum Datenschutz einzuhalten. Das Design der globalen AWS-Infrastruktur ermöglicht Ihnen vollständige Kontrolle über die Regionen, in denen sich Ihre Daten physisch befinden, und hilft Ihnen dabei, die Anforderungen an die Datenresidenz zu erfüllen.

Sicherheit auf Zeilenebene

Mit RLS (Row Level Security – Sicherheit auf Zeilenebene) können Sie den Zugriff einer Gruppe bis auf die Ebene der Tabellenzeile einschränken. Sobald eine Regel feststeht, bewertet ThoughtSpot das Zugriffsrecht des Nutzers/der Nutzerin anhand der bestehenden Regeln und verhindert, das eingeschränkte Daten angezeigt werden, wenn ein Gruppenmitglied nach einer Antwort sucht, diese ansieht oder anderweitig an den Daten arbeitet. So sehen Nutzer/innen nur die Daten, die sie sehen dürfen.

DGSVO konform

ThoughtSpot erfüllt die Datenschutzgrundverordnung der Europäischen Union vollständig. Der Nachtrag zur Datenverarbeitung von ThoughtSpot enthält von der EU genehmigte Übermittlungsmechanismen, nämlich die Standardvertragsklauseln der Europäischen Kommission. Kund/innen können sich bei der Übermittlung von personenbezogenen Daten in der EU mithilfe unserer Dienstleistungen auf diesen Schutz verlassen. Weitere Informationen zur DSGVO finden Sie hier.

Datenschutz-Schild

Obwohl sich ThoughtSpot angesichts des Urteils des Europäischen Gerichtshofs in der Rechtssache C-311/18 nicht auf das EU-US-Datenschutzschild als Rechtsgrundlage für die Übermittlung personenbezogener Daten beruft, bleibt ThoughtSpot den Grundsätzen der Sicherheit und des Schutzes der Privatsphäre verpflichtet, die im Privacy Shield enthalten sind, und fährt fort, sich selbst nach den Anforderungen des Privacy Shield zu zertifizieren. ThoughtSpots fortgesetzte Einhaltung des Privacy Shields kann auf der Privacy Shield Website und in der ThoughtSpot Privacy Shield Policy nachgelesen werden.

Datenschutzerklärung

ThoughtSpot unterhält eine Datenschutzerklärung iin Bezug auf die Erhebung, Verwendung und Offenlegung personenbezogener Daten, die über die Websites von ThoughtSpot erlangt wurden. Dies gilt in Verbindung mit Ihrem Kauf unserer Produkte, damit einhergehendem Support und professionellen Dienstleistungen sowie in Verbindung mit von uns durchgeführten Veranstaltungen, bei denen wir Informationen von Anmeldungen und Teilnehmern sammeln.

Cookies-Richtlinie

TThoughtSpot verwendet sowohl sitzungsbasierte als auch persistente Cookies. Sitzungsbasierte Cookies existieren nur während Ihrer Websitzung und verfallen, wenn Sie Ihren Internetbrowser schließen. Auf Persistenz basierte Cookies verbleiben so lange in einem der Unterordner Ihres Browsers, bis Sie sie manuell löschen oder Ihr Browser sie aufgrund der in der Datei des persistenten Cookies enthaltenen Dauer löscht.

Wir verkaufen Ihre Daten nicht

ThoughtSpot verkauft Ihre Daten nicht, betreibt kein Data-Mining und greift auch nicht zu Werbezwecken auf Ihre Daten zu. ThoughtSpot verpflichtet sich außerdem vertraglich dazu, dass ThoughtSpot-Mitarbeiter/innen und autorisierte, geprüfte Auftragnehmer nur dann auf Kundendaten zugreifen können, wenn dies notwendig ist.