US English (US)
FR French
DE German

Externis Knowledge

German

IT - Softwaresicherheit

Super Administrator

Written By Admin FAQ (Super Administrator)

Updated at March 27th, 2025

Software-Sicherheitsrichtlinie

Externis nutzt umfangreiche Software zur Verarbeitung, Bearbeitung und Speicherung von Daten. Um die Integrität und Sicherheit der Externis-Daten zu gewährleisten, muss die gesamte Software Mindestsicherheitsstandards erfüllen.

Diese Richtlinie gilt für alle Externis-Mitarbeiter und Dritte, die Software erwerben oder entwickeln, die im Externis-Netzwerk verwendet oder auf einem mit dem Externis-Netzwerk verbundenen Gerät installiert wird oder zur Erfassung, Speicherung oder Verarbeitung von Externis-Daten verwendet wird. Diese Richtlinie gilt für sämtliche Software, die mit privaten Mitteln oder mit Externis-Mitteln erworben wurde.

Besondere Vorsicht ist beim Kauf oder der Entwicklung eines größeren Systems geboten, das zur Verarbeitung oder Speicherung von Externis-Daten verwendet werden soll.

Die Verantwortung dafür, dass die Software die Sicherheitsanforderungen erfüllt, liegt bei der Einzelperson oder Gruppe, die das Produkt kauft und installiert und konfiguriert.

Wenn eine Person nicht über die erforderliche Sachkenntnis verfügt, um sicherzustellen, dass das Produkt die Anforderungen erfüllt, sollte sie sich an den IT-Service wenden.

Genehmigung durch die Informatikdienste

Alle Externis-Benutzer sollten beachten, dass Vorschläge für neue oder Ersatz-Informationssysteme der Genehmigung durch die IT-Dienste unterliegen.

Software-Sicherheitsstandards

Die gesamte Software muss die folgenden Standards erfüllen:

  • Die gesamte Software muss Externis- und persönliche Informationen vor unbefugter Offenlegung schützen (Vertraulichkeit und Datenschutz).
  • Die gesamte Software muss Externis- und persönliche Informationen vor unbefugter Änderung schützen (Integrität).
  • Sämtliche Software muss Externis sowie personenbezogene Daten und Verarbeitungsdienste vor Störungen und Zerstörung schützen (Verfügbarkeit).
  • Jede Software muss Kontrollen enthalten, die gewährleisten, dass Einzelpersonen für ihre Handlungen zur Verantwortung gezogen werden können (Verantwortlichkeit und Nichtabstreitbarkeit).

Software kaufen

Jeder Mitarbeiter oder Drittanbieter, der Software zur Verwendung im Externis-Netzwerk oder zur Verarbeitung von Daten im Eigentum von Externis kauft, muss Folgendes sicherstellen:

  • Die Software erfüllt die in dieser Richtlinie beschriebenen Mindeststandards.
  • Die Software wird getestet, um sicherzustellen, dass die in dieser Richtlinie definierten Sicherheitskriterien erfüllt werden.
  • Die Software ist richtig und sicher konfiguriert und alle relevanten Sicherheitsfunktionen sind aktiviert.
  • Die Software erfüllt die in diesem Richtliniendokument aufgeführten Lizenzierungskriterien.
  • Diese Vorkehrung sieht eine laufende Wartung der Software durch den Hersteller oder einen dedizierten Systemadministrator vor.
  • Physischer oder logischer Zugriff sollte Lieferanten nur bei Bedarf zu Supportzwecken gewährt werden. Es sollten ausschließlich genehmigte, sichere Zugriffsmethoden verwendet werden. (Der IT-Service berät Sie gerne zu geeigneten Methoden.) Der Lieferant muss ein Formular für den Zugriff Dritter unterzeichnen, und seine Aktivitäten sollten überwacht/protokolliert werden.

Kauf/Nutzung von Cloud-Softwaresystemen

  • Cloud Computing ist eine Methode zur Bereitstellung von Informations- und Kommunikationstechnologie (IKT)-Diensten, bei der der Kunde für die Nutzung der Ressourcen zahlt, diese aber nicht unbedingt besitzt. Diese Dienste werden in der Regel von Drittanbietern mithilfe von Internettechnologien bereitgestellt.
  • Die Prozesse zur Beschaffung und Evaluierung von Cloud-Diensten können komplex sein und unterliegen rechtlichen, ethischen und politischen Compliance-Anforderungen. Diese Anforderungen müssen vor der Anmeldung und Nutzung von Cloud-Diensten geprüft und erfüllt werden. Dies ist unerlässlich, um sicherzustellen, dass persönliche, sensible und vertrauliche Geschäftsdaten und -informationen, die Externis gehören, von ihm kontrolliert oder verarbeitet werden, jederzeit ausreichend geschützt sind. Der Dienst muss so ausgewählt werden, dass die Daten und Informationen sicher sind und ein angemessener Backup- und Wiederherstellungsplan vorhanden ist, um sicherzustellen, dass Daten und Informationen zur Erfüllung der Geschäftsanforderungen abgerufen werden können. Für kritischere Systeme sollte der Dienst hochverfügbar sein, um ebenfalls den Geschäftsanforderungen gerecht zu werden.
  • Die gesamte Beschaffung von Cloud-Diensten unterliegt der Cloud-Richtlinie von Externis, von der Kopien bei den IT-Diensten erhältlich sind.

Softwareentwicklung

Jeder Mitarbeiter oder Dritte, der Software entwickelt, die im Externis-Netzwerk verwendet werden soll oder zur Verarbeitung von Daten im Besitz von Externis dient, muss Folgendes sicherstellen:

  • Die Software erfüllt die in diesem Richtliniendokument aufgeführten Mindeststandards.
  • Die Software wird professionell getestet, um die Wirksamkeit aller Sicherheitskontrollen sicherzustellen. Die entsprechende Dokumentation muss den IT-Services auf Anfrage zur Verfügung gestellt werden.
  • Die Softwareentwicklung und das Testen werden in einer von der Live-Umgebung getrennten Umgebung durchgeführt.
  • Für alle im Testprozess verwendeten Testdaten werden angemessene Kontrollen durchgeführt.
  • Diese Vorkehrung ist für die laufende Wartung der Software vorgesehen

Externis-Daten

Jeder Mitarbeiter oder Dritte, der Software zum Sammeln, Verarbeiten oder Speichern vertraulicher Externis-Informationen wie Finanzdaten, vertraulicher Geschäftsdaten oder Forschungsdaten oder personenbezogener Daten von Einzelpersonen kauft oder entwickelt, muss Folgendes sicherstellen:

  • Dass die Software die in diesem Dokument definierten Kriterien erfüllt.
  • Dass sie in der Lage sind, eine Dokumentation der vorhandenen Sicherheitskontrollen bereitzustellen.
  • Sie müssen in der Lage sein, auf Anfrage der IT-Dienste den Nachweis für die Wirksamkeit dieser Kontrollen zu erbringen, die durch entsprechende Tests erlangt wurden.
  • Wenn vertrauliche Daten in elektronischem Format gespeichert werden sollen, verfügt Externis über eine Versicherung, die alle Vorfälle abdeckt, beispielsweise den Diebstahl der Daten, der während der elektronischen Speicherung der Daten auftreten kann.

Authentifizierung mit Benutzername und Passwort

Pakete, die eine Benutzernamen- und Kennwortauthentifizierung verwenden, müssen der Kennwortrichtlinie von Externis entsprechen.

Änderungskontrolle

Um die Beschädigung von Informationssystemen zu minimieren, sollte die Implementierung von Änderungen an Softwareinstallationen streng kontrolliert werden.
Gegebenenfalls sollten formelle Änderungskontrollverfahren eingeführt werden, um sicherzustellen, dass Sicherheitsverfahren nicht beeinträchtigt werden und dass jede Änderung formal genehmigt wird. Dies sollte Folgendes umfassen:

  • Autorisierung der Änderungsanfrage.
  • Risikobewertung der Änderung.
  • Benutzerakzeptanztests.
  • Entsprechende Genehmigung durch das Management.
  • Freigabe der Informationssicherheit.
  • Rollback-Verfahren für den Fall, dass die Beförderung fehlgeschlagen ist.
  • Dokumentation des oben genannten.

Verschlüsselung

  • Wenn vertrauliche Daten über ein externes Kommunikationsnetzwerk übertragen werden sollen, müssen diese in gesicherter/verschlüsselter Form gesendet werden.
  • Verschlüsselung kann auch bei der internen Übertragung sensibler Daten im Externis-Netzwerk sinnvoll sein. In diesem Fall sollte eine Risikobewertung durchgeführt werden, um festzustellen, ob eine kryptografische Kontrolle sinnvoll ist.
  • Wenn vertrauliche Daten auf tragbaren Medien (USB-Geräten usw.) transportiert werden sollen, müssen diese verschlüsselt sein.
  • Wenn Verschlüsselung verwendet wird, müssen die verschlüsselten Informationen über einen rent Kommunikationskanal übertragen werden als die Schlüssel, die für den Verschlüsselungsprozess verwendet werden.
  • Der/Die Eigentümer von durch Verschlüsselung geschützten Daten müssen ausdrücklich die Verantwortung für die Verwaltung der Verschlüsselungsschlüssel zuweisen, die zum Schutz dieser Daten verwendet werden sollen.

Softwareinstallation, Konfiguration und Updates

Endbenutzer müssen sicherstellen, dass sie die gesamte Software gemäß einem sicheren Basisstandard installieren und konfigurieren. Endbenutzer sollten auch alle verfügbaren Updates und Sicherheitspatches für die Betriebssystemsoftware, Anwendungssoftware oder Datenbanken installieren, die auf Geräten installiert sind, die mit dem Externis-Netzwerk verbunden sind oder zur Verarbeitung oder Speicherung von Externis-Daten verwendet werden.

IT-Dienste müssen sicherstellen, dass sie sämtliche Software auf sichere Weise installieren und konfigurieren und dass sie alle Updates oder Sicherheitspatches auf Betriebssystemen, Anwendungen, Datenbanken und jeglicher anderer Software installieren, die sie kaufen, entwickeln oder verwalten.

Lizenzierung

IT-Dienste und Einzelpersonen sind dafür verantwortlich, Aufzeichnungen über die Softwarelizenzen aller von ihnen erworbenen Software zu führen.
Bei der Nutzung von Software, die auf Testbasis erworben wurde, sind die urheberrechtlichen Hinweise des Anbieters zu beachten.

Die urheberrechtlichen Bestimmungen für die vom Hersteller bereitgestellte Software müssen jederzeit beachtet werden.
Die gesamte innerhalb von Externis entwickelte Software ist Eigentum von Externis und darf ohne vorherige schriftliche Genehmigung weder kopiert noch verbreitet werden.

Verstoß gegen die Richtlinien

Wenn festgestellt wird, dass Software gegen diese Richtlinie verstößt und Grund zu der Annahme besteht, dass Externis-Informationen dadurch gefährdet sind, kann der Leiter der IT-Dienste das Softwaresystem/die Anwendung aus dem Livebetrieb nehmen lassen.

Related Articles

IT - Backup-Richtlinien

eCOS -Datensicherung eCOS -Anwendungen werden in der Microsoft Azure Cloud in Fra...

IT - Sicherheitspolitik

EINFÜHRUNG Die Externis Group ist verpflichtet, alle französischen Gesetze und di...

IT - Datensicherung

Datensicherungsrichtlinie Backup-Verfahren, die sicherstellen, dass sowohl Daten ...

IT - Reaktion auf Datenvorfälle

Richtlinie zur Reaktion auf Vorfälle und zum Missbrauch von IT-Einrichtungen Im F...

Externis, Externis, publisher of eCOS® Blue Eagle, the first SaaS suite dedicated to retail execution for players in the retail ecosystem (brands, distributors, wholesalers, etc.), across all distribution channels.

© 2015-2022 EXTERNIS GROUP, All rights reserved | Legal notice