Datensicherheit

/

DATENSICHERHEIT

Datum der letzten Überprüfung: 22. Oktober 2025 

Zweck

Die Sicherheit der Daten ist uns wichtig. Dieses Dokument soll so viele Fragen wie möglich zur Sicherheit, Zuverlässigkeit und Verfügbarkeit der Anwendungen und Datenverarbeitungssysteme von DDI beantworten. Dieses Dokument beschreibt den Datenfluss für DDI-Technologie-basierte Lösungen und befasst sich mit den Sicherheitsmaßnahmen, die wir ergriffen haben, um jeden Teil des Prozesses zu schützen. 

Diese globale Informationssicherheitsrichtlinie ist Teil des globalen Informationssicherheitsprogramms, das DDI verabschiedet hat. Der Zweck dieser Richtlinie besteht darin, die Kriterien, Mittel, Methoden und Maßnahmen der Informationssicherheit festzulegen, um die Informationsbestände des Unternehmens und unserer Kunden vor unbefugter Offenlegung, Änderung oder Verweigerung durch die Einrichtung, Implementierung und Verwaltung des globalen Informationssicherheitsprogramms zu schützen. 

Um Benachrichtigungen zu erhalten, wenn Änderungen an dieser Seite vorgenommen werden, abonnieren Sie unser Trust Center.

Abonnieren


Umfang 

Diese Richtlinie gilt für alle Mitarbeiter, Vertreter, Auftragnehmer und Dritte, weltweit, an allen Standorten, Geschäftsbereichen und Funktionen, die auf Unternehmensinformationen oder Informationssysteme zugreifen, diese verwalten oder mit ihnen interagieren. 

Definitionen & Abkürzungen 

Definitionen der Richtlinie: 

Einleitung 

DDI: Wer wir sind, was wir tun 

Development Dimensions International (DDI), ein globales Personalberatungsunternehmen, wurde im Jahr 1970 gegründet und hilft Unternehmen, die Lücke zwischen den heutigen Talentfähigkeiten und dem zukünftigen Talentbedarf zu schließen. Die Expertise von DDI umfasst die Konzeption und Implementierung von Auswahlsystemen sowie die Identifizierung und Entwicklung von Talenten an vorderster Front bis zur Geschäftsleitung. Weitere Informationen zu DDI finden Sie unter http://www.ddiworld.com

DDIs Ansatz zur Datensicherheit 

Die heutige Talentmanagement-Umgebung erfordert die Verarbeitung elektronischer Datensätze. Die Anwendungsfunktionalität hängt von der Speicherung und Übertragung von Informationen über DDI-Netzwerke und das Internet ab. Angemessene Sicherheit ist unerlässlich und vollständig in die Anwendungsfunktionalität und -prozesse integriert. DDI unterhält ein konsistentes Sicherheitsframework mit angemessenen Datenschutzstandards, innerhalb dessen Systemanwendungen und Benutzergruppen Informationen in verschiedenen Geschäftskontexten nutzen. DDI verfolgt einen mehrschichtigen Ansatz für die Informationssicherheit, der sich auf den Schutz von Benutzerdaten (einschließlich Kandidaten-, Teilnehmer-, Teilnehmer-, Administrator- und Kundeninformationen) und die Verhinderung vor unbefugtem Zugriff, Änderung oder Zerstörung bezieht. Unsere Richtlinien und Prozesse sind darauf ausgerichtet: 

DDI verpflichtet sich, unsere Geschäfte in einer Weise zu führen, die Vertrauen fördert, was die ordnungsgemäße Verwendung und Verwaltung personenbezogener Daten einschließt, die uns von unseren Kollegen, Kunden und Lieferanten zur Verfügung gestellt werden. 

Sicherheits-Governance 

Um die Datenintegrität zu gewährleisten, verfügt DDI über Ressourcen, Richtlinien und Prozesse, die dem Datenschutz gewidmet sind, einschließlich eines Privacy, Security and Compliance Office und eines Datenschutzbeauftragten, der routinemäßig globale Standards überwacht. 

Das Privacy, Security and Compliance Office von DDI legt die Vision und Strategie für das Sicherheits- und Compliance-Programm des Unternehmens fest und setzt diese durch, mit dem Ziel der globalen Konsistenz, um sicherzustellen, dass Risiken angemessen gemanagt und Ziele erreicht werden.

Sicherheit in Partnerschaft 

Die Sicherheit und Vertraulichkeit der Daten unserer Kunden liegt in der gemeinsamen Verantwortung von DDI und unseren Kunden. DDI bietet sichere Plattformen, auf denen Kunden auf ihre Daten zugreifen und diese nutzen können. Darüber hinaus bietet DDI Tools, Dienstleistungen, Support und Ressourcen, die es unseren Kunden ermöglichen, die Sicherheit ihrer Daten während des gesamten Lebenszyklus des Auftrags zu gewährleisten.  

Die Kunden sind während und nach ihrer Zusammenarbeit mit DDI gemeinsam für die Sicherheit ihrer Daten verantwortlich. Kunden müssen verstehen, welche Daten in DDI-Systemen gesammelt und gespeichert werden, und die entsprechende Datenfreigaberichtlinie definieren, um sicherzustellen, dass Daten nur an diejenigen weitergegeben werden, die zum Zugriff berechtigt sind. Die Richtlinie für die gemeinsame Nutzung von Daten sollte auf Risiko- und Compliance-Anforderungen abgestimmt sein, die mit der Bedeutung und Klassifizierung dieser Daten korrelieren. 

Die Rolle von DDI als Datenverarbeiter 

DDI-Kunden agieren als "Datenverantwortlicher" gemäß den Standardvertragsklauseln der Europäischen Union (EU). DDI fungiert als "Datenverarbeiter" gemäß den EU-Standardvertragsklauseln und der Datenschutz-Grundverordnung (DSGVO). Siehe https://www.ddi.com/privacy/en-us.  

Datenschutzbestimmungen 

DDI hat seinen Hauptsitz in den Vereinigten Staaten, bedient Kunden weltweit und hat Mechanismen eingesetzt, um sicherzustellen, dass Datenübertragungen aus der EU in die USA den von den EU-Datenschutzbestimmungen geforderten rechtlichen Schutz bieten, einschließlich der Selbstzertifizierung mit dem EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln und der Zustimmung der Endnutzer. Die Zertifizierung von DDI nach dem DPF kann unter https://www.dataprivacyframework.gov/ eingesehen werden. DDI achtet auf die Einhaltung aller geltenden Datensicherheits- und Datenschutzbestimmungen. Weitere Informationen finden Sie unter Hinweise onhttps://www.ddi.com/privacy/en-us. Wenn Sie Fragen zur regulatorischen Anwendbarkeit haben, wenden Sie sich an DataProtectionOfficer@ddiworld.com

Politik 

Risikomanagement 

DDI unterhält eine Risikomanagementrichtlinie und -verfahren, die darauf ausgelegt sind, Informationssicherheitsrisiken zu identifizieren und zu beheben. Es werden Prozesse implementiert, um inhärente und Restrisiken zu ermitteln. Risikoakzeptanzkriterien werden auf der Grundlage der Geschäftsanforderungen festgelegt. Es werden Prozesse für Risikobehandlungsmethoden implementiert, einschließlich einer Priorisierung der Risikobehandlung auf der Grundlage des Risikos. Es werden Prozesse etabliert, um die Risikobewertungsmethodik regelmäßig zu überprüfen.  

Drittanbieter 

DDI nutzt Drittanbieter für die Bereitstellung unserer Dienste für unsere Kunden. Alle Drittanbieter sind verpflichtet, die Datenverarbeitungs-, Schutz- und Sicherheitsstandards von DDI einzuhalten. Informationssicherheitsrisiken im Zusammenhang mit Dritten, einschließlich Anbietern von Informations- und Kommunikationstechnologie (IKT) und Cloud-Dienstanbietern (CSP), die auf DDI-Informationsressourcen zugreifen, werden identifiziert, bewertet und verwaltet. Anforderungen an die Informationssicherheit werden dokumentiert und umgesetzt, um die Auswahl von Drittanbietern zu erleichtern. Verträge mit Drittanbietern enthalten Informationssicherheits- und Vertraulichkeitsklauseln. Informationssicherheitsüberprüfungen bestehender Drittanbieter werden in regelmäßigen Abständen durchgeführt. Beendigung von Drittanbietern oder Diensten, Einhaltung von Informationssicherheits- und Vertraulichkeitsklauseln, die in unterzeichneten Verträgen definiert sind. 

Eine Liste der aktuellen Drittanbieter finden Sie unter: 

https://www.ddiworld.com/thirdpartyproviders 

Datenklassifizierung 

DDI klassifiziert die gesammelten und verarbeiteten Daten in vier Kategorien: öffentliche, interne/private, vertrauliche und geheime Daten, die jeweils bestimmte Aktionen erfordern, um die Sicherheit zu gewährleisten.  

Infrastruktur-Kontrollen 

Hosting-Umgebung 

DDI-Dienste werden auf Microsoft Azure (https://azure.microsoft.com gehostet. In Microsoft-Rechenzentren werden die physischen Ressourcen und die Infrastruktur, die für die Bereitstellung von Cloudlösungen verwendet werden, sicher untergebracht. Microsoft besitzt, betreibt und wartet alle seine physischen Rechenzentren. Alle Dienste werden in redundanten Azure-Rechenzentren in den USA gehostet. 

Microsoft Azure-Clouddienste arbeiten mit einem Cloud-Kontroll-Framework, das die Kontrollen an mehreren regulatorischen Standards ausrichtet. Microsoft entwirft und erstellt Clouddienste mithilfe eines gemeinsamen Satzes von Steuerelementen, wodurch die Einhaltung einer Reihe von Vorschriften nicht nur für heute, sondern auch für morgen optimiert wird. Microsoft beauftragt unabhängige Prüfer mit der Durchführung eingehender Prüfungen der Implementierung und Wirksamkeit dieser Kontrollen.  

Microsoft Azure ist nach ISO/IEC 27001 und ISO/IEC 27017 zertifiziert. Auditberichte, einschließlich SOC 1 und SOC 2, sind unter https://servicetrust.microsoft.com verfügbar.  

Die Cloud-Überwachungsprozesse, -tools und -technologien von DDI gewährleisten die organisierte Aufsicht, Kontrolle, Verwaltung und Wartung von Cloud-Computing-Infrastruktur, -Diensten und -Ressourcen. Die Aufsichtstools decken sowohl infrastrukturelle als auch produktbasierte Setups ab. Die Überwachung ermöglicht es DDI-Administratoren, Kontrolle, Transparenz und Skalierbarkeit zu fördern und sich gleichzeitig schnell an Änderungen in der Cloud-Landschaft anzupassen. Beispiele für die kritischen Vorgänge sind: - Installation, Änderung und Löschung von virtualisierten Geräten wie Servern, Netzwerken und Speicher; - Kündigungsverfahren für die Nutzung von Cloud-Diensten; - Sicherung und Wiederherstellung. 

DDI unterhält einen detaillierten Disaster Recovery-Plan für die Wiederherstellung des Geschäftsdienstes im Falle eines groß angelegten Systemausfalls. Dieser Plan wird aktualisiert, wenn Änderungen an der Systeminfrastruktur oder der Konfiguration der Produktionswebfarm vorgenommen werden, und wird jährlich getestet. 

Anwendbare Zertifizierungen/Normen 

SSAE-18-KARTON 

DDI speichert Daten nur in Rechenzentren, die unvoreingenommene, positive jährliche SAS 70 Typ II-Audits erhalten haben. Beachten Sie, dass SAS 70 durch das Statement on Standards for Attestation Engagements (SSAE) Nr. 18 ersetzt wurde und die Rechenzentren von DDI nach diesem Standard zertifiziert sind. 

ISO 27001 / ISO 27701 

DDI nutzt nur Rechenzentren, die ihre Einhaltung von ISO27001 und ISO27701 durch regelmäßige Bewertungen und jährliche Zertifizierungen nachgewiesen haben.  

DDI verfügt über eine eigene ISO27001- und ISO27701-Zertifizierung und wird jährlich auditiert.  

SOC 1 / SOC 2 

DDI hat am 08.2025.31 ein Type1 SOC 2-Audit® abgeschlossen, das die Pinpoint- und LeaderLab-Plattformen abdeckt. 

DDI hostet alle Dienste in Rechenzentren, die auf SOC1 und SOC2 geprüft wurden. 

Server-Härtung 

Der Prozess von DDI zur Verbesserung der Serversicherheit umfasst die folgenden Maßnahmen: 

Patch-Verwaltung 

Patches mit hoher Auswirkung sind definiert als Patches, die vor einem Sicherheitsrisiko schützen, das das Potenzial hat, das Netzwerk von DDI am oder vor dem Datum des Patches erheblich zu beeinträchtigen. DDI verteilt diese Patches nach Verifizierung und Test des Patches auf Testplattformen an alle Geräte. Die Verteilung erfolgt spätestens 24 Stunden nach der Identifizierung. 

Patches mit mittlerer oder geringer Auswirkung sind definiert als Patches, die vor einem zukünftigen Sicherheitsrisiko schützen. DDI verteilt diese Patches nach dem Testen des Patches auf Testplattformen und mit Tests mit einer Kontrollgruppe von Benutzern an alle Geräte. Die Verteilung erfolgt spätestens 2 Wochen nach Abschluss der Tests. 

Sicherungs-, Aufbewahrungs- und Archivierungsverfahren 

Die Daten werden jede Nacht inkrementell gesichert, um sicherzustellen, dass alle Anwendungen und Clientdaten erhalten bleiben und im Falle eines Datenverlusts oder eines katastrophalen Ereignisses wiederhergestellt werden können. Hot-Backups werden direkt in den Cloud-Speicher mit schnellem Zugriff erstellt und in den Cloud-Speicher der Archivebene übertragen. Tägliche Backups werden mit AES-256-Verschlüsselung zwei Wochen lang im Hot Storage gespeichert. Wöchentliche Vollsicherungen werden einen Monat lang im Archivspeicher gespeichert. Monatliche vollständige Backups werden ein Jahr lang im Archivtierspeicher gespeichert. Jährliche vollständige Backups werden fünf Jahre lang im Archivtierspeicher gespeichert. Der gesamte Speicher auf Archivebene ist AES-256-verschlüsselt. 

Alle Backup-Daten werden in der Commvault-Cloud oder in Azure (mit nativen Backup-Funktionen) gespeichert. Die Rotation der Backups in den Archive Tier Storage erfolgt automatisch durch die jeweiligen Plattformen. 

Wenn eine Systemwiederherstellung erforderlich ist, kann DDI die Datei, die Daten oder den Systemstatus von einem Online-Backup-System abrufen. Abhängig von der Menge der abgerufenen Daten dauert die System- oder Datenbankwiederherstellung in der Regel zwischen einigen Minuten und mehreren Stunden. 

Veränderungsmanagement 

Bei der Einführung neuer Ressourcen oder bei Änderungen an vorhandenen Ressourcen, einschließlich Änderungen an Konfiguration und Infrastruktur, werden formale Change-Management-Verfahren befolgt. Dokumentierte Verfahren zur Erleichterung von Änderungsanträgen, einschließlich Priorisierung, Überprüfung, Genehmigung, Prüfung und Implementierung von Änderungen, sind vorhanden. Änderungen werden während und nach der Implementierung überwacht. 

Rückgewinnung, Recycling und Entsorgung von Vermögenswerten 

Hardware-Recycling/-Entsorgung 

Wenn die Hardware das Ende ihres Lebenszyklus erreicht hat, wird sie in einem verschlossenen Asset-Raum gelagert und zur Entsorgung aufbewahrt. Ausgemusterte Geräte werden über einen R2-zertifizierten Recyclinganbieter recycelt, und DDI erhält einen detaillierten Vernichtungsbericht über die Anlagen, die zu Aufzeichnungszwecken recycelt wurden. 

Festplatten werden gemäß NIST 800-88 von dem/den zugelassenen Recyclinganbieter(n) desinfiziert, und DDI erhält ein Vernichtungszertifikat zur Aufzeichnung. 

Azure-basierte Hardwareressourcen unterliegen den Standards von Microsoft, wie hier definiert: https://learn.microsoft.com/en-us/azure/security/fundamentals/physical-security#data-bearing-devices 

Netzwerksicherheit 

Bedrohungsinformationen 

DDI unterhält ein Sicherheitsteam, das sich aus funktionsübergreifenden Experten für Infrastruktur- und Anwendungssicherheit zusammensetzt. Dieses Team ist dafür verantwortlich, die Sicherheitslage des Unternehmens durch die Identifizierung und Bewertung neuer und potenzieller Bedrohungen zu unterstützen. 

In Abstimmung mit dem Privacy, Security, and Compliance Office (PSCO) ist das Sicherheitsteam für das Sammeln und Analysieren von Bedrohungsinformationen aus internen und externen Quellen verantwortlich. Dazu gehören strategische, taktische und operative Bedrohungsinformationen, die für die Risikolandschaft des Unternehmens relevant sind. 

Das Sicherheitsteam ist dafür verantwortlich, sicherzustellen, dass relevante Bedrohungsinformationen an die entsprechenden Stakeholder innerhalb der Organisation weitergegeben werden. Der Leiter des Sicherheitsteams ist dafür verantwortlich, das Executive Leadership Team (ELT) über alle Bedrohungen zu informieren, die direkte oder wesentliche Auswirkungen auf das Unternehmen haben können. 

Netzwerk-Infrastruktur 

Die Dienste von DDI werden in einer Cloud-Instanz gehostet und nutzen Dienste, die zuverlässige und skalierbare Beschleunigungsfunktionen für unsere Anwendungen und Plattformen bieten.  

Die Infrastruktur wird sicher zwischen eingehenden und ausgehenden Firewalls platziert. Alle Zugriffsversuche werden protokolliert. Starke Authentifizierungsmethoden werden angewendet, um alle Ressourcen zu schützen. 

Firewalls (Firewalls) 

Application Layer Firewalls werden vor allen Assets/Infrastrukturen bereitgestellt und untersuchen den ein- und ausgehenden Datenverkehr, während alle Sitzungen protokolliert werden. Alle Firewalls auf Anwendungsebene bieten TLS-Entschlüsselung, IDPS und durch Theat Intelligence erweiterte Regeln. 

Intrusion Detection und Monitoring 

DDI verwendet eine umfassende Reihe von Tools, die eine kontinuierliche Echtzeitüberwachung jeder Komponente ermöglichen, um Sicherheitsüberwachung, Patch-Management und andere Remote-Verwaltungsfunktionen zu ermöglichen. DDI beschäftigt ein Managed-Services-Sicherheitsunternehmen für Sicherheitsüberwachungs- und Intrusion-Detection-Systeme (Systeme zur Erkennung potenzieller Bedrohungen in Echtzeit) und Reaktionsprozesse. 

DDI setzt sowohl hostbasierte als auch netzwerkbasierte Erkennungssysteme ein, die auf einer 24x7-Basis überwacht und darauf reagiert werden. DDI IT wird sofort benachrichtigt, wenn Anomalien entdeckt werden. Wöchentliche Berichte werden DDI zur Überprüfung zur Verfügung gestellt. 

Malware- und Virenschutz 

DDI verpflichtet sich, die Sicherheit und Integrität seiner Technologieumgebung durch kontinuierliche Überwachung seiner Netzwerke, Systeme und Anwendungen zu gewährleisten. Überwachungsaktivitäten dienen dazu, Anomalien zu erkennen, den Systemzustand sicherzustellen und die rechtzeitige Reaktion auf potenzielle Sicherheitsbedrohungen zu unterstützen. 

Alle relevanten Systeme unterliegen der Überwachung auf sicherheitsrelevante Ereignisse. Warnungen, die von Überwachungstools generiert werden, werden an das zuständige Personal weitergeleitet, um eine angemessene und zeitnahe Reaktion zu gewährleisten. 

DDI stellt sicher, dass Systeme durch zentral verwaltete Sicherheitslösungen geschützt werden, einschließlich Antiviren- und Bedrohungserkennungstechnologien. Diese Schutzmaßnahmen werden auf Endpunkte, Server und Gateway-Systeme angewendet, um Risiken im Zusammenhang mit Malware und anderen bösartigen Aktivitäten zu minimieren. 

DDI setzt mehrschichtige Sicherheitskontrollen ein, einschließlich Inhalts- und heuristischer Scans, um E-Mail- und Web-Datenverkehr zu schützen und sicherzustellen, dass Daten, die in die Umgebung gelangen oder diese verlassen, frei von bekannten Bedrohungen sind. 

Sichere Datenübertragung und Verschlüsselung 

Alle DDI-Anwendungen unterstützen die sichere Datenübertragung mit branchenweit anerkannten Verschlüsselungsprotokollen (TLS1.2 und höher). Sensible Anmeldeinformationen wie Passwörter und API-Schlüssel werden mithilfe verschlüsselter Mechanismen sicher gespeichert. 

Daten, die von DDI-verwalteten Geräten auf externe Speicher übertragen werden, bleiben verschlüsselt, um unbefugten Zugriff zu verhindern. Verschlüsselungskontrollen werden auf dem Ziellaufwerk unabhängig von der Vertraulichkeitsklassifizierung der Daten erzwungen. 

E-Mail wird standardmäßig nicht als sicherer Kommunikationskanal betrachtet. DDI bietet jedoch Mechanismen, um die Verschlüsselung der E-Mail-Kommunikation zu aktivieren, wenn dies zum Schutz vertraulicher Informationen erforderlich ist. 

Anwendungssicherheit 

Rollenbasierte Sicherheit 

Anwendungen verwenden ein rollenbasiertes Sicherheitsmodell, um Zugriffsrechte zu bestimmen. Clientdaten werden logisch auf der Grundlage von Standort-, Rollen-, Benutzer- und clientgesteuerten Benutzerzugriffsgruppen getrennt.  

Kontoverwaltung und Zugriff mit den geringsten Rechten 

DDI erzwingt eine strenge Kontrolle über die Infrastrukturverwaltung und das Kontomanagement, um Systeme und Daten vor unbefugtem Zugriff zu schützen. 

Der Zugriff auf Systeme und Daten unterliegt dem Prinzip der geringsten erforderlichen Rechte, wodurch sichergestellt wird, dass Benutzern nur das Mindestmaß an Zugriff gewährt wird, das für die Erfüllung ihrer Aufgaben erforderlich ist. Dies gilt für alle Benutzer, einschließlich DDI-Personal, Kundenvertreter und autorisierte Endbenutzer. 

Starke Authentifizierungsmethoden sind für alle Benutzer- und Dienstkonten erforderlich. Der Zugriff auf das Konto unterliegt Kontrollen, um eine unbefugte Nutzung zu verhindern, einschließlich Sperrmechanismen und Deaktivierung bei Beendigung des Arbeitsverhältnisses oder des Vertrags. 

Direkter Datenbankzugriff 

DDI erzwingt strenge Kontrollen des privilegierten Zugriffs auf sensible Systeme und Daten, einschließlich Datenbankumgebungen. Der Zugriff auf Datenbankebene ist auf eine kleine Anzahl autorisierter Mitarbeiter beschränkt und wird ausschließlich für betriebliche Zwecke wie Sicherungs- und Wiederherstellungsaktivitäten gewährt. Diese Aktivitäten werden auf der Ebene der Steuerungsebene ohne Zugriff auf die Datenebene ausgeführt. 

Alle privilegierten Zugriffe werden in Übereinstimmung mit dem Identity Governance Framework von DDI formell angefordert, begründet und genehmigt. Der Zugriff ist zeitgebunden und unterliegt der Überwachung und Überprüfung, um die Einhaltung der Sicherheitsstandards des Unternehmens zu gewährleisten. 

Die Verwaltung privilegierter Konten wird von Identity-Governance-Tools unterstützt, um Zugriffskontrollen durchzusetzen, die Nutzung zu überwachen und die Verantwortlichkeit aufrechtzuerhalten. Für Personen mit erhöhten Zugriffsrechten können zusätzliche Anforderungen an die Hintergrundüberprüfung gelten, wie in der Richtlinie zur Hintergrundüberprüfung von DDI beschrieben. 

Zugriff auf Anwendungsdaten 

DDI definiert unterschiedliche Rollen für Endbenutzer innerhalb seiner Anwendungssysteme, um angemessene Zugriffs- und Datenverarbeitungspraktiken zu gewährleisten. Dazu gehören Client-Teilnehmer, Client-Administratoren und DDI-Systembenutzer

Der Zugriff auf Benutzerdaten durch DDI-Mitarbeiter ist auf das beschränkt, was zur Erfüllung von Support- oder Betriebsaufgaben erforderlich ist. Wenn technischer Support angefordert wird, kann autorisiertem Supportpersonal vorübergehender Zugriff auf Benutzerkonten gewährt werden, um das Problem zu lösen. Ein solcher Zugriff ist in Umfang und Dauer beschränkt und unterliegt den Datenschutzstandards von DDI. 

Anwendungs-Penetrationstests 

DDI hat es sich zur Aufgabe gemacht, Sicherheitslücken in seinen Anwendungsumgebungen proaktiv zu identifizieren und zu beheben. Um dieses Ziel zu erreichen, beauftragt DDI unabhängige Sicherheitsexperten, regelmäßige Bewertungen der Anwendungssicherheit durchzuführen. 

Diese Bewertungen umfassen sowohl automatisierte als auch manuelle Testtechniken, um eine breite Palette von Schwachstellen zu identifizieren, einschließlich solcher, die für die Anwendungslogik und -konfiguration spezifisch sind, sowie bekannte Sicherheitsschwachstellen. 

Die Bewertungsergebnisse werden von den designierten Sicherheits- und Produktverantwortlichen überprüft, um potenzielle Risiken zu bewerten und geeignete Abhilfemaßnahmen festzulegen. Identifizierte Schwachstellen werden auf der Grundlage des Schweregrads und der geschäftlichen Auswirkungen priorisiert, und die Behebungsmaßnahmen werden in Übereinstimmung mit dem Risikomanagement-Framework von DDI verfolgt und verwaltet. 

Alle Ergebnisse und die damit verbundenen Risikoentscheidungen werden dokumentiert und unterliegen der Aufsicht des Director, Global Technology Services & Security, um die konsistente Anwendung von Sicherheitsstandards und die Ausrichtung auf die Risikotoleranz des Unternehmens zu gewährleisten. 

Klassifizierung von Schwachstellen 

Die Klassifizierung und Behebung von Schwachstellen ist in der Richtlinie für das Schwachstellenmanagement von DDI definiert. 

DDI-Associate-Richtlinien 

DDI verwendet strenge Prozesse und Kontrollen über den Zugriff und die Berechtigungen für alle Infrastrukturkomponenten, Netzwerke, Firewalls, Server, Datenbanken usw. Dies wird innerhalb der Global Technology Group streng kontrolliert, die die letzte Autorität über alle administrativen Benutzerzugriffe und Systemüberwachung/-benachrichtigungen sowie Betriebssystem-, Sicherheits- und Anwendungsupdates hat. 

Sperren des Bildschirms 

Alle Computer sind so konfiguriert, dass sie über einen kennwortfähigen Bildschirmschoner verfügen. Die DDI-Richtlinie für die Bildschirmsperre beträgt 15 Minuten. Nach 15 Minuten Inaktivität wird der Bildschirmschoner aufgerufen. Der Benutzer muss dann sein Kennwort erneut eingeben, um Zugriff auf den Computer zu erhalten. 

Kennwörter 

Die Kennwortrichtlinie von DDI enthält Anforderungen an Komplexität, Länge, Alterung und Multi-Faktor-Authentifizierung.  

Remote-Arbeit 

Anforderungen an Telearbeit oder Remote-Arbeit werden identifiziert, festgelegt und implementiert, um Daten zu schützen, wenn Sie sich nicht an einem physischen Standort befinden. Standards und die damit verbundenen technischen und administrativen Kontrollen werden eingeführt, um die Telearbeit zu erleichtern. Endpunkte werden durch Sicherheitshärtung, Malware-Schutz und hostbasierte Überwachung geschützt. Normen und die damit verbundenen technischen und administrativen Kontrollen werden eingeführt, um den Schutz von Informationen vor betrügerischen Aktivitäten und unbefugter Offenlegung oder Änderung bei der Übertragung über öffentliche Netze zu erleichtern.  

Der Fernzugriff auf DDI-Systeme über VPN wird mit branchenüblichen Authentifizierungs- und Verschlüsselungstechnologien gesichert. Alle Endpunkte und Systeme sind durch geeignete Sicherheitskontrollen geschützt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmensdaten zu gewährleisten. Nur DDI-verwaltete Geräte, die Sicherheits- und Compliance-Anforderungen erfüllen, können eine Remoteverbindung über VPN herstellen. 

Widerrufen des Zugriffs 

DDI setzt strenge Kontrollen durch, um sicherzustellen, dass der administrative Zugriff auf Systeme und Anwendungsplattformen auf Personen mit einem aktuellen und legitimen Geschäftsbedarf beschränkt ist. Der Zugriff wird widerrufen, wenn er aufgrund von Änderungen der beruflichen Verantwortlichkeiten oder der Beendigung des Arbeitsverhältnisses nicht mehr benötigt wird. 

Die Zugriffsrechte werden regelmäßig überprüft, um die Übereinstimmung mit den rollenbasierten Verantwortlichkeiten sicherzustellen und das Prinzip der geringsten Rechte zu wahren. Bei Bedarf werden Anpassungen vorgenommen, um organisatorischen oder personellen Veränderungen Rechnung zu tragen. 

Schulung zum Datenschutz und zur Sensibilisierung für Sicherheit 

Alle DDI-Mitarbeiter erhalten regelmäßige Schulungen und Best-Practice-Anleitungen zu Datenschutz, Sicherheit und Vertraulichkeit. Der Abschluss der Schulungen wird überwacht, um ein Höchstmaß an Compliance zu fördern. Regelmäßig werden auch simulierte Phishing-Angriffe durchgeführt, um den DDI-Mitarbeitern zu helfen, sich solcher Angriffe bewusster zu werden und angemessen darauf zu reagieren. 

Web-Filterung 

DDI verwaltet den Zugriff auf externe Webressourcen, um die Gefährdung durch bösartige Inhalte zu verringern und Unternehmenssysteme und -daten zu schützen. Der Zugriff auf bekannte oder mutmaßlich schädliche Websites ist eingeschränkt und die Verwendung nicht autorisierter Webressourcen ist verboten. 

Cookies 

DDI verwendet Cookies und ähnliche Technologien, um die Benutzererfahrung zu verbessern, die Systemfunktionalität zu unterstützen und die Bereitstellung von Inhalten und Diensten zu verbessern. Diese Technologien erleichtern die Navigation, personalisieren Inhalte, unterstützen Feedback-Mechanismen und ermöglichen Analysen und Marketingmaßnahmen. 

Cookies, die von DDI verwendet werden, speichern keine personenbezogenen Daten und werden in einer Weise implementiert, die den Best Practices für Datenschutz und Sicherheit entspricht. Bestimmte Cookies, die für den Betrieb von DDI-Systemen unerlässlich sind, sind erforderlich und können von den Benutzern nicht deaktiviert werden. 

Die vollständige Cookie-Richtlinie finden Sie unter https://www.ddiworld.com/privacy

Produktentwicklungsprozess- und Code-Management 

Entwicklungs-Release-Zyklus 

DDI folgt einer agilen Softwareentwicklungsmethodik, um kontinuierliche Verbesserungen und eine schnelle Reaktion auf Kundenbedürfnisse zu unterstützen. Dieser iterative Ansatz ermöglicht es dem Unternehmen, regelmäßig Verbesserungen, Updates und Korrekturen für seine Anwendungsplattformen bereitzustellen. 

Software-Releases werden auf wiederkehrender Basis geplant und ausgeführt, mit der Flexibilität, bei Bedarf dringende Updates außerhalb des Standard-Release-Zyklus bereitzustellen. Alle Versionen unterliegen entsprechenden Überprüfungs-, Test- und Genehmigungsprozessen, um die Qualität sicherzustellen und Unterbrechungen zu minimieren.  

Entwicklungsumgebungen 

DDI unterhält separate Umgebungen für Softwareentwicklung, -tests und -produktion, um die Integrität und Sicherheit seiner Systeme und Daten zu gewährleisten. Der in der Entwicklung befindliche Code ist von Produktionsumgebungen isoliert und interagiert nicht mit Livedaten. 

Alle Test- und Entwicklungsaktivitäten werden unter Verwendung von Nicht-Produktionsumgebungen und -daten durchgeführt, um den unbefugten Zugriff auf oder die Manipulation von Betriebssystemen und sensiblen Informationen zu verhindern. 

Codereview 

Der gesamte von DDI entwickelte Code wird vor der Veröffentlichung in Nicht-Produktionsumgebungen einem Peer-Review und Qualitätssicherungstests unterzogen. 

Um die Zuverlässigkeit und Sicherheit des Anwendungscodes zu gewährleisten, umfasst DDI sowohl manuelle als auch automatisierte Überprüfungsprozesse. Dazu gehören das Testen der Funktionalität und die Identifizierung bekannter Schwachstellen vor der Bereitstellung auf Produktionssystemen. 

Code-Verwaltung 

DDI unterhält strukturierte Kontrollen über den Lebenszyklus der Softwareentwicklung, um die Integrität, Rückverfolgbarkeit und Qualität des Anwendungscodes zu gewährleisten. Ein zentralisiertes Versionskontrollsystem wird verwendet, um den Quellcode zu verwalten und die Beiträge mehrerer Entwickler zu koordinieren, um Konflikte zu vermeiden und den Codeverlauf zu erhalten. 

Formale Änderungskontrollprozesse sind in allen Entwicklungs-, Qualitätssicherungs- und Implementierungsphasen vorhanden. Dazu gehören dokumentierte Änderungsanforderungen, die Überprüfung und Genehmigung durch bestimmte Anwendungsbesitzer sowie die kontrollierte Heraufstufung von Code zwischen Umgebungen. 

Alle Softwareänderungen werden einem mehrstufigen Testprozess unterzogen, um die Funktionalität und Sicherheit vor der Bereitstellung zu validieren. Die Tests werden in isolierten Umgebungen durchgeführt, um sicherzustellen, dass nur verifizierter Code in Produktionssysteme eingeführt wird. 

Globale Personaldienstleistungen (Personalpolitik) 

Vertrauliche Informationen 

Bei der Einstellung sind alle DDI-Mitarbeiter verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen, in der speziell auf die Bedenken und Risiken des Umgangs mit vertraulichen Informationen eingegangen wird. Jeder Mitarbeiter, der gegen diese Richtlinie verstoßen hat, unterliegt angemessenen Disziplinarmaßnahmen bis hin zur Kündigung oder allen anwendbaren rechtlichen Schritten. Darüber hinaus überprüfen und unterzeichnen die Mitarbeiter jährlich einen Verhaltens- und Ethikkodex. 

Richtlinie und Verfahren für die Zuverlässigkeitsüberprüfung 

DDI ist davon überzeugt, dass die Einstellung qualifizierter Mitarbeiter zur Besetzung von Positionen zum strategischen Gesamterfolg des Unternehmens beiträgt. Background-Checks sind ein wichtiger Bestandteil des Auswahlprozesses bei DDI. Diese Art von Informationen wird gesammelt, um erfolgreiche Kandidaten-Matches für die Stelle zu fördern und ein sicheres Arbeitsumfeld für aktuelle und zukünftige Mitarbeiter zu gewährleisten. Hintergrundüberprüfungen helfen DDI, zusätzliche antragstellerbezogene Informationen zu erhalten, die dazu beitragen, die allgemeine Beschäftigungsfähigkeit des Bewerbers zu bestimmen und den Schutz der aktuellen Personen, des Eigentums und der Informationen der Organisation zu gewährleisten. 

Die vollständige Richtlinie und das Verfahren zur Hintergrundüberprüfung von DDI können auf Anfrage zur Ansicht zur Verfügung gestellt werden. Um die Richtlinie anzufordern, besuchen Sie bitte https://trust.ddiworld.com/

Überprüfung der Anmeldeinformationen 

Die Überprüfungen vor der Einstellung von DDI sollen sicherstellen, dass allen Mitarbeitern die Abschlüsse und Zertifizierungen bestätigt werden, die sie vorgeben und/oder haben müssen. Alle potenziellen Mitarbeiter lassen ihre angegebenen Beschäftigungserfahrungen und Integritätsreferenzen überprüfen. 

SSN-Verifizierung 

Alle in den USA ansässigen Mitarbeiter sind verifizierte legale US-Arbeitnehmer, und Sozialversicherungsnummern oder Arbeitsgenehmigungen werden überprüft. 

Disziplinarverfahren 

Bei Nichteinhaltung von Richtlinien, Standards und Verfahren zur Informationssicherheit wird ein formelles Disziplinarverfahren eingerichtet und umgesetzt. 

Geschäftskontinuität 

Datenschutz- und Sicherheitsaspekte der Geschäftskontinuität werden verwaltet, um die Verfügbarkeit von Informationsressourcen zu unterstützen und die Anforderungen an das Kapazitätsmanagement zu erfüllen. Es werden Prozesse für die Informationssicherheit und die Kontinuität des Informationssicherheitsmanagements in widrigen Situationen implementiert. Es werden Anforderungen implementiert, um sicherzustellen, dass die Kontrollen zum Datenschutz und zur Kontinuität der Sicherheit in regelmäßigen Abständen überprüft werden, um ihre Gültigkeit und Wirksamkeit in widrigen Situationen zu bewerten. Administrative und technische Kontrollen werden in den Unternehmenseinrichtungen implementiert, um die Anforderungen an die Verfügbarkeit zu erfüllen. 

Reaktion auf Sicherheitsvorfälle 

DDI unterhält ein umfassendes Framework zur Erkennung und Reaktion auf Sicherheitsvorfälle, um eine rechtzeitige Identifizierung, Eindämmung und Lösung sicherheitsrelevanter Ereignisse zu gewährleisten. Dazu gehört der Einsatz geeigneter technischer und verfahrenstechnischer Maßnahmen, um sowohl computerbezogene als auch nicht-computerbezogene Vorfälle zu erkennen und darauf zu reagieren. 

Alle Sicherheitsvorfälle, die mit dem unbefugten Zugriff auf oder dem Verlust vertraulicher Informationen verbunden sind, unterliegen formellen Untersuchungs- und Reaktionsverfahren. DDI verpflichtet sich, betroffene oder potenziell betroffene Kunden innerhalb von 48 Stunden nach Entdeckung über bestätigte Sicherheitsvorfälle oder -verletzungen zu informieren. 

Sicherheitsbedenken oder -vorfälle können über bestimmte Kanäle gemeldet werden. Kunden können potenzielle Datenschutz- oder Sicherheitsvorfälle als Beschwerden über https://trust.ddiworld.com melden. 

Physische Sicherheit 

Physische Standorte müssen vor unbefugtem physischen Zugriff, Umweltbedrohungen, Beschädigungen und Unterbrechungen geschützt werden. Sicherheitsmechanismen zum Schutz des Perimeters werden implementiert, um das Risiko eines unbefugten Zugriffs zu verringern. Zugriffskontrollen werden implementiert, um den physischen Zugriff einzuschränken. Umweltschutzkontrollen werden implementiert, um sicherzustellen, dass physische Standorte vor äußeren und umweltbedingten Bedrohungen geschützt sind. Die Überwachung der physischen Sicherheit und umweltbezogener Vorfälle wird implementiert. Nutz- und Sicherheitsmechanismen werden entsprechend der Kritikalität des Standorts implementiert. Arbeitsbereichs- und Arbeitsplatzmaßnahmen werden implementiert, um sensible Informationen zu schützen. 

Durchsetzung und Compliance 

Regelmäßige Audits werden durchgeführt, um die Einhaltung dieser Richtlinie sicherzustellen. Bei Nichteinhaltung ist unverzüglich vorzugehen, und es werden Korrekturmaßnahmen ergriffen. Das Management ist dafür verantwortlich, sicherzustellen, dass die Mitarbeiter in ihrem Verantwortungsbereich die relevanten Richtlinien und Verfahren kennen und einhalten. 

Diese Richtlinie kann in regelmäßigen Abständen und ohne vorherige Ankündigung aktualisiert werden. DDI gibt am Anfang der Anweisung an, wann sie zuletzt überprüft wurde.