Smartsheet-Sicherheitspraktiken
Wir bei Smartsheet verstehen, dass Sie mit dem Schutz und der Sicherung Ihrer Daten vertraut sein müssen, wenn Sie unsere Online-Dienste nutzen. Diese Smartsheet-Sicherheitspraktiken beschreiben die Praktiken und Schutzmaßnahmen, die von Smartsheet verwendete physische, organisatorische und technische Maßnahmen umfassen, um die Sicherheit, Integrität und Vertraulichkeit der Online-Dienste und Kundeninhalte zum Schutz vor Bedrohungen der Informationssicherheit zu wahren.
1. Allgemeines.
1.1 Informationssicherheitsprogramm. Smartsheet unterhält ein umfassendes schriftliches Informationssicherheitsprogramm, einschließlich Richtlinien, Standards, Verfahren und zugehöriger Dokumente, die Kriterien, Mittel, Methoden und Maßnahmen für die Verarbeitung und Sicherheit von Kundeninhalten und die Smartsheet-Systeme oder -Netzwerke festlegen. Diese werden zur Verarbeitung oder Sicherung der Kundeninhalte im Zusammenhang mit der Bereitstellung der Dienste („Smartsheet-Informationssysteme“) verwendet.
1.2 Vertraulichkeit; Ausbildung. Smartsheet stellt sicher, dass die Mitarbeiter von Smartsheet: (a) an Vertraulichkeitsverpflichtungen in Bezug auf Kundeninhalte gebunden sind, die im Wesentlichen so schützend sind wie die in der Vereinbarung festgelegten Verpflichtungen; und (b) einer angemessenen Schulung in Bezug auf die Verarbeitung von Kundeninhalten unterzogen werden.
1.3 Definitionen.
- 1.3.1 „Vertrag“ bezeichnet den Vertrag, der den Zugang des Kunden zu und die Nutzung der Online-Dienste regelt.
- 1.3.2 „Kunde“ bezeichnet die natürliche oder juristische Person, die eine Bestellung ausführt oder annimmt oder sich für den kostenlosen Testzugriff auf und die Nutzung eines Dienstes registriert und eine Vereinbarung getroffen hat.
- 1.3.3 „Kundeninhalt“ bezeichnet alle Daten, Dateianhänge, Texte, Bilder, Berichte, persönlichen Daten oder andere Inhalte, die vom Kunden oder Benutzern hochgeladen oder an einen Online-Dienst übermittelt und von Smartsheet im Auftrag des Kunden verarbeitet werden.
- 1.3.4 „Prozess“ bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an Kundeninhalten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie z. B. Erfassung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung, Änderung, Abruf, Abfrage, Verwendung , Abgleich, Kombination, Einschränkung, Löschung, Vernichtung oder Offenlegung durch Übermittlung, Verbreitung oder anderweitige Zurverfügungstellung.
- 1.3.5 „Sicherheitsverletzung“ bezeichnet eine Sicherheitsverletzung, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung von oder Zugriff auf Kundeninhalte führt.
- 1.3.6 „Dienste“ bezeichnet die Abonnementdienste und alle anderen Online-Dienste oder -Anwendungen, die von Smartsheet zur Verwendung mit den Abonnementdiensten bereitgestellt oder kontrolliert werden.
- 1.3.7 „Smartsheet-Personal“ bezeichnet jede Person, die von Smartsheet autorisiert wurde, Kundeninhalte zu verarbeiten.
- 1.3.8 „Abonnementdienst“ bezeichnet die abonnementbasierten Online-Dienste und -anwendungen, die von Smartsheet bereitgestellt oder kontrolliert werden.
- 1.3.9 „Benutzer“ bezeichnet jede Person, die vom Kunden oder einem anderen Benutzer autorisiert oder eingeladen wurde, gemäß den Bedingungen der Vereinbarung auf die Online-Dienste zuzugreifen und sie zu nutzen.
2. Sicherheitskontrollen. In Übereinstimmung mit seinem Informationssicherheitsprogramm implementiert Smartsheet geeignete physische, organisatorische und technische Kontrollen, um: (a) die Sicherheit, Integrität und Vertraulichkeit der von Smartsheet verarbeiteten Kundeninhalte zu gewährleisten; und (b) Kundeninhalte vor bekannten oder vernünftigerweise vorhersehbaren Bedrohungen oder Gefahren zu schützen, einschließlich ihrer Sicherheit, Integrität, versehentlichem Verlust, Änderung, Offenlegung und anderen rechtswidrigen Formen der Verarbeitung. Ohne das Vorstehende einzuschränken, verwendet Smartsheet gegebenenfalls die folgenden Steuerelemente:
2.1 Firewalls. Smartsheet installiert und wartet Firewall(s), um über das Internet zugängliche Daten zu schützen.
2.2 Aktualisierungen. Smartsheet pflegt Programme und Routinen, um die Smartsheet-Informationssysteme mit den neuesten Upgrades, Updates, Fehlerbehebungen, neuen Versionen und anderen Modifikationen auf dem neuesten Stand zu halten.
2.3 Anti-Malware. Smartsheet wird Anti-Malware-Software bereitstellen und verwenden und die Anti-Malware-Software auf dem neuesten Stand halten. Smartsheet verwendet diese Software, um Bedrohungen durch alle Viren, Spyware und anderen bösartigen Code, die erkannt wurden oder erkannt werden sollten, zu mindern.
2.4 Tests. Smartsheet wird seine Sicherheitssysteme, -prozesse und -kontrollen regelmäßig testen, um sicherzustellen, dass sie die Anforderungen dieser Sicherheitspraktiken erfüllen.
2.5 Zugriffskontrollen. Smartsheet sichert Kundeninhalte, die von Smartsheet-Informationssystemen verarbeitet werden, indem Folgendes eingehalten wird:
- 2.5.1 Smartsheet weist Smartsheet-Mitarbeitern mit Zugriff auf Smartsheet-Informationssysteme eine eindeutige ID zu.
- 2.5.2 Smartsheet beschränkt den Zugriff auf Smartsheet-Informationssysteme nur auf Smartsheet-Personal, das zur Erfüllung einer bestimmten Verpflichtung gemäß der Vereinbarung erforderlich ist.
- 2.5.3 Smartsheet überprüft regelmäßig (mindestens einmal alle neunzig (90) Tage) die Liste der Mitarbeiter und Dienste von Smartsheet mit Zugriff auf Smartsheet-Informationssysteme und entfernt Konten, die keinen Zugriff mehr benötigen.
- 2.5.4 Smartsheet verwendet keine vom Hersteller bereitgestellten Standardeinstellungen für Systempasswörter auf Betriebssystemen, Software oder Smartsheet-Informationssystemen, schreibt die Verwendung von vom System erzwungenen „sicheren Passwörtern“ vor, die den Best Practices (unten beschrieben) entsprechen oder darüber hinausgehen, und verlangt, dass alle Kennwörter und Zugangsdaten vertraulich behandelt und nicht an Smartsheet-Mitarbeiter weitergegeben werden.
- 2.5.5 Smartsheet-Produktionskennwörter: (i) müssen mindestens acht (8) Zeichen enthalten; (ii) dürfen nicht mit früheren Passwörtern, dem Login des Benutzers oder dem allgemeinen Namen übereinstimmen; (iii) müssen geändert werden, wenn eine Kontokompromittierung vermutet oder angenommen wird; und (iv) müssen regelmäßig ersetzt werden.
- 2.5.6 Smartsheet erzwingt eine Kontosperrung, indem Konten für die Verarbeitung von Kundeninhalten deaktiviert werden, wenn ein Konto in einem bestimmten Zeitraum eine festgelegte Anzahl falscher Kennwortversuche überschreitet.
- 2.5.7 Smartsheet führt Protokolldaten für die gesamte Nutzung von Konten oder Anmeldeinformationen durch Smartsheet-Personal für den Zugriff auf Smartsheet-Informationssysteme und überprüft Zugriffsprotokolle regelmäßig auf Anzeichen von böswilligem Verhalten oder unbefugtem Zugriff.
2.6 Richtlinien. Smartsheet wird angemessene Informationssicherheits-, Vertraulichkeits- und akzeptable Nutzungsrichtlinien für Smartsheet-Mitarbeiter, einschließlich Methoden zur Erkennung und Protokollierung von Richtlinienverstößen, aufrechterhalten und durchsetzen, die die in diesen Sicherheitspraktiken festgelegten Standards erfüllen.
2.7 Entwicklung. Entwicklungs- und Testumgebungen werden von Smartsheet Information Systems getrennt sein.
2.8 Löschung. Smartsheet verwendet Verfahren, die mindestens den Empfehlungen des National Institute of Standards and Technology (NIST) SP 800-88 Revision 1 (oder einem branchenweit verbreiteten Nachfolgestandard) entsprechen, um Kundeninhalte vor der Entsorgung von Medien nicht wiederherstellbar zu machen.
2.9 Verschlüsselung. Smartsheet wird kryptografische Standards verwenden, die autorisierte Algorithmen, Schlüssellängenanforderungen und Schlüsselverwaltungsprozesse vorschreiben. Diese müssen mit den zum damaligen Zeitpunkt aktuellen Industriestandards, einschließlich NIST-Empfehlungen, und Härtungs- und Konfigurationsanforderungen, die im Einklang mit den dann aktuellen Industriestandards stehen, einschließlich Empfehlungen des SANS Institute, NIST oder Center for Internet Security (CIS) übereinstimmen oder diese übertreffen. Gemäß diesen Standards verschlüsselt Smartsheet ruhende Kundeninhalte innerhalb der Online-Dienste und lässt für die Übertragung von Kundeninhalten nur verschlüsselte Verbindungen zum Online-Dienst zu.
2.10 Fernzugriff. Smartsheet stellt sicher, dass jeder Zugriff von außerhalb seiner geschützten Unternehmens- oder Produktionsumgebungen auf Smartsheet-Informationssysteme oder auf Smartsheets Unternehmens- oder Entwicklungs-Workstation-Netzwerke angemessene Verbindungskontrollen, wie z. B. VPN oder Multi-Faktor-Authentifizierung, erfordert.
3. Nutzung durch Dritte.
3.1 Allgemeines. Dritte, die von Smartsheet gemäß der Vereinbarung beauftragt wurden, werden im Wesentlichen (mindestens) ähnliche Sicherheitsniveaus aufrechterhalten, wie sie von diesen Sicherheitspraktiken anwendbar und erforderlich sind.
3.2 Datenhosting. Smartsheet stellt sicher, dass jeder Hosting-Drittanbieter („Infrastructure-as-a-Service“ oder „IaaS“), der von Smartsheet zur Verarbeitung von Kundeninhalten verwendet wird, die folgenden Anforderungen erfüllt:
- 3.2.1 Basisanforderungen. Smartsheet stellt mindestens sicher, dass IaaS-Anbieter: (a) angemessene physische Sicherheit und Zugriffskontrollen aufrechterhalten, wie in Abschnitt 2.5 dieser Sicherheitspraktiken dargelegt; (b) professionelle HLK- und Umgebungskontrollen verwenden; (c) eine professionelle Netzwerk-/Verkabelungsumgebung nutzen; (d) professionelle Feuererkennungs-/Löschfähigkeiten verwenden; und (e) einen umfassenden Geschäftskontinuitätsplan führen.
- 3.2.2 Jahresabschluss; Bewertung. Führen Sie jährliche unabhängige Risikobewertungen und Audits durch. Solche Bewertungen und Prüfberichte werden Smartsheet und, falls gesetzlich vorgeschrieben, dem Kunden zur Verfügung gestellt, vorausgesetzt, Smartsheet kann alle kommerziellen und vertraulichen Informationen oder Bedingungen entfernen, die nichts mit den Sicherheitspraktiken des IaaS zu tun haben. Darüber hinaus führt Smartsheet jährliche Überprüfungen und Bewertungen aller kritischen IaaS durch, um zu validieren, dass die Sicherheitsmaßnahmen mindestens die Anforderungen dieser Sicherheitspraktiken erfüllen.
- 3.2.3 Erweiterte Anforderungen. Erfüllen Sie Anforderungen und Fähigkeiten eines hochverfügbaren, redundanten („N+1“) Rechenzentrums, in dem mehrere Komponenten jeweils mindestens eine unabhängige Backup-Komponente bieten, um sicherzustellen, dass die Systemfunktionalität im Falle eines Systemausfalls auf einem akzeptablen Leistungsniveau fortgesetzt wird.
4. Systemverfügbarkeit. Smartsheet wird ein Disaster-Recovery-Programm („DR“) unterhalten (oder, in Bezug auf Systeme, die von Dritten kontrolliert werden, sicherstellen, dass diese Dritten es unterhalten), das darauf ausgelegt ist, die Verfügbarkeit des Abonnementdienstes nach einem Notfall wiederherzustellen. Ein solches DR-Programm umfasst mindestens die folgenden Elemente: (a) Routinevalidierung von Verfahren zur regelmäßigen und programmgesteuerten Erstellung von Aufbewahrungskopien von Kundeninhalten zum Zwecke der Wiederherstellung verlorener oder beschädigter Daten; (b) Bestandsverzeichnisse, die mindestens einmal jährlich aktualisiert werden und alle kritischen Smartsheet-Informationssysteme enthalten; (c) jährliche Überprüfung und Aktualisierung des DR-Programms; und (d) jährliches Testen des DR-Programms zur Validierung der DR-Verfahren und der Wiederherstellbarkeit des darin beschriebenen Dienstes.
5. Sicherheitsverletzung.
5.1 Prozedur.
- 5.1.1 Smartsheet benachrichtigt den Kunden unverzüglich schriftlich, sobald Smartsheet von einer bestätigten Sicherheitsverletzung Kenntnis erlangt.
- 5.1.2 Smartsheet wird eine Sicherheitsverletzung in Übereinstimmung mit den Richtlinien und Verfahren von Smartsheet für Sicherheitsvorfälle („Verwaltung von Sicherheitsverletzungen“) untersuchen und, falls erforderlich, mindern oder beheben.
- 5.1.3 Vorbehaltlich der gesetzlichen Verpflichtungen von Smartsheet stellt Smartsheet dem Kunden Informationen zur Verfügung, die Smartsheet als Ergebnis seines Breach Management zur Verfügung stehen. Eingeschlossen sind die Art des Vorfalls, offengelegte spezifische Informationen (falls bekannt) und aller relevanten Minderungsbemühungen oder Abhilfemaßnahmen ( „Breach Information”), damit der Kunde seiner Verpflichtung nach geltendem Recht infolge einer Sicherheitsverletzung nachkommen kann.
- 5.1.4 Wenn der Kunde zusätzlich zu den Vorfallsinformationen Informationen zu einer Sicherheitsverletzung benötigt, wird Smartsheet auf eigene Kosten und auf schriftliche Anfrage des Kunden und in dem Umfang, in dem der Kunde nicht in der Lage ist, selbst auf die zusätzlichen Informationen zuzugreifen, in angemessener vom Kunden gewünschter Weise mit dem Kunden zusammenarbeiten, um zu versuchen, solche zusätzlichen Informationen zu sammeln und bereitzustellen.
5.2 Fehlversuche. Ein erfolgloser Angriff oder Einbruch ist keine Sicherheitsverletzung im Sinne dieses Abschnitts 5. Ein „erfolgloser Angriff oder Einbruch“ ist ein Angriff, der nicht zu einem unbefugten oder rechtswidrigen Zugriff auf Kundeninhalte führt, und kann ohne Einschränkung Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über IP-Adressen oder TCP/UDP-Header hinaus führt) oder ähnliche Vorfälle beinhalten.
5.3 Beteiligung des Kunden oder Benutzers. Unbefugter oder rechtswidriger Zugriff auf Kundeninhalte, der sich aus den Konfigurationseinstellungen des Kunden, der Kompromittierung der Anmeldedaten eines Benutzers oder der absichtlichen oder versehentlichen Weitergabe oder Offenlegung von Kundeninhalten durch den Kunden oder einen Benutzer ergibt, stellt keine Sicherheitsverletzung dar.
5.4 Benachrichtigungen. Benachrichtigungen über Sicherheitsverletzungen, falls vorhanden, werden einem oder mehreren SysAdmin-Benutzern des Kunden auf angemessenem Weg, einschließlich E-Mail, von Smartsheet zugestellt. Der Kunde ist allein dafür verantwortlich, jederzeit korrekte Kontaktinformationen im Online-Dienst zu pflegen.
5.5 Haftungsausschluss. Die Verpflichtung von Smartsheet, eine Sicherheitsverletzung gemäß diesem Abschnitt 5 zu melden oder darauf zu reagieren, stellt keine Anerkennung eines Verschuldens oder einer Haftung von Smartsheet in Bezug auf die Sicherheitsverletzung durch Smartsheet dar.
6. Prüfung und Berichterstattung.
6.1 Überwachung. Smartsheet überwacht fortlaufend die Wirksamkeit seines Informationssicherheitsprogramms, indem es verschiedene Audits, Risikobewertungen und andere Überwachungsaktivitäten durchführt, um die Wirksamkeit seiner Sicherheitsmaßnahmen und -kontrollen sicherzustellen.
6.2 Prüfberichte. Smartsheet verwendet externe Prüfer, um die Angemessenheit seiner Sicherheitsmaßnahmen und -kontrollen für bestimmte Dienste, einschließlich der Abonnementdienste, zu überprüfen. Das resultierende Audit wird: (a) das Testen des gesamten Messzeitraums seit dem Ende des vorherigen Messzeitraums beinhalten; (b) gemäß AICPA SOC2-Standards oder solchen anderen alternativen Standards durchgeführt werden, die AICPA SOC2 im Wesentlichen gleichwertig sind; (c) von unabhängigen Sicherheitsexperten Dritter auf Auswahl und Kosten von Smartsheet durchgeführt werden; und (d) zur Generierung eines SOC2-Berichts („Prüfbericht“) führen, der die vertraulichen Informationen von Smartsheet darstellen wird. Der Auditbericht wird dem Kunden auf schriftliche Anfrage höchstens einmal jährlich und vorbehaltlich der Vertraulichkeitsverpflichtungen des Vertrags oder einer einvernehmlich vereinbarten Geheimhaltungsvereinbarung zur Verfügung gestellt. Zur Vermeidung von Missverständnissen wird in jedem Prüfungsbericht nur auf Dienstleistungen eingegangen, die zum Zeitpunkt der Ausstellung des Prüfungsberichts bestanden; nachfolgend freigegebene Dienste, sofern sie in den Geltungsbereich des Prüfberichts fallen, werden in der nächsten jährlichen Iteration des Prüfberichts enthalten sein.
6.3 Penetrationstests. Smartsheet setzt externe Sicherheitsexperten ein, um Penetrationstests bestimmter Online-Dienste, einschließlich der Abonnementdienste, durchzuführen. Solche Tests werden: (a) mindestens einmal jährlich durchgeführt; (b) von unabhängigen Sicherheitsexperten Dritter auf Auswahl und Kosten von Smartsheet durchgeführt; und (c) zur Erstellung eines Penetrationstestberichts („Pentestbericht“) führen, der die vertraulichen Informationen von Smartsheet darstellt. Pentestberichte werden dem Kunden auf schriftliche Anfrage höchstens einmal jährlich und vorbehaltlich der Vertraulichkeitsverpflichtungen der Vereinbarung oder einer gegenseitig vereinbarten Geheimhaltungsvereinbarung zur Verfügung gestellt.
6.4 Kundenaudit. Wenn der Kunde zusätzlich zu den Audit- und Pentestberichten gesetzlich Informationen zur Einhaltung der geltenden Gesetze benötigt, wird Smartsheet auf eigene Kosten und schriftliche Anfrage des Kunden und in dem Umfang, in dem der Kunde nicht in der Lage ist, selbst auf die zusätzlichen Informationen zuzugreifen, dies zulassen und bei einer vom Kunden beauftragten Prüfung durch einen externen Prüfer in Bezug auf die Verarbeitung von Kundeninhalten durch Smartsheet („Kundenprüfung“) kooperieren, vorausgesetzt, dass:
- 6.4.1 Der Kunde informiert Smartsheet mit angemessenem Vorlauf, und gibt u. a. die Identität des Prüfers und das voraussichtliche Datum und den Umfang des Kundenaudits mit;
- 6.4.2 Smartsheet genehmigt den Prüfer durch Mitteilung an den Kunden, wobei diese Genehmigung nicht unangemessen verweigert werden darf;
- 6.4.3 Der Kunde und der Prüfer handeln, um Schäden, Verletzungen oder Störungen an den Räumlichkeiten, der Ausrüstung oder dem Geschäft von Smartsheet im Verlauf eines solchen Kundenaudits zu vermeiden; und
- 6.4.4 Der Kunde initiiert nur ein Kunden-Audit in einem Kalenderjahr, sofern nicht anders von der Strafverfolgung vorgeschrieben.
Versionskontrolle der englischen Fassung
Sofern dies nicht durch örtliche Gesetze verboten ist, werden nicht-englische Übersetzungen dieses Hinweises nur der Bequemlichkeit halber zur Verfügung gestellt. Bei Zweideutigkeiten oder Konflikten mit Übersetzungen ist die englische Version maßgebend und hat Vorrang.
Zuletzt aktualisiert: 5. Oktober 2021