Die DSGVO ist eine Verordnung, die die Rechte einer Person in Bezug auf personenbezogene Daten und den Schutz der damit verbundenen Daten schützt. Sie ist am 25. Mai 2018 in Kraft getreten.
Als Unternehmen mit einer globalen Präsenz nimmt GTT die DSGVO sehr ernst und verfügt über strenge Sicherheitskontrollen, die mit der DSGVO übereinstimmen. Wir befolgen die Richtlinien der Verordnung selbst und sind auch an international anerkannten Sicherheitsmethoden, -rahmen und -standards ausgerichtet.
Nachfolgend haben wir für Sie einen vollständigen Abschnitt über Sicherheit und Compliance zusammengestellt.
Die meisten Standards und Rahmenbedingungen für Informationssicherheit konzentrieren sich auf Menschen, Prozesse und Technologien. Darüber hinaus verfügen dieselben Richtlinien über spezifische Kontrollen in Bezug auf die physische Sicherheit von Vermögenswerten, die zur Speicherung oder zum Zugriff auf Informationen verwendet werden. In den untenstehenden FAQs erfahren Sie mehr über die DSGVO und wie wir uns an die Vorgaben halten.
ISO 27001 ist eine international anerkannte Norm, die von den meisten Unternehmen und Sicherheitsexperten als Maßstab angesehen wird. Die Norm ISO 27001 enthält die wichtigsten Sicherheitskontrollen, die andere Normen als Grundlage verwenden. GTT ist nach ISO 27001: 2013 an mehreren Standorten zertifiziert, weitere Informationen finden Sie in der Zertifizierungsliste.
Die ISO 27001-Serie umfasst den gesamten Informationssicherheitsbereich. Alle Aspekte der Informationssicherheit rund um die Kernelemente Mensch, Prozess, Organisation und Technologie werden berücksichtigt. Darüber hinaus verfügt sie über spezielle Kontrollen für die physische Sicherheit, die sich auf den physischen Zugriff auf Vermögenswerte beziehen, auf denen Informationen gespeichert sind oder die für den Zugriff auf die Informationen selbst verwendet werden können.
Die Norm selbst konzentriert sich im Wesentlichen auf die Einführung eines Informationssicherheitsmanagementsystems (ISMS), das dazu beiträgt, dass ein Unternehmen seine Haltung zur Informationssicherheit versteht und sich ständig verbessert.
GTT arbeitet an der stetigen Verbesserung der Sicherheit bei allen Vorgaben der Informationssicherheit. Dazu gehört die kontinuierliche Identifizierung, Einstufung, Kontrolle und Behebung von Risiken. Der GTT-Ansatz basiert auf dem Edward Deming Lifecycle - Plan, Do, Check and Act (PDCA), der international anerkannt und von zahlreichen Standards und Frameworks verwendet wird.
GTT wird von unabhängigen, anerkannten Organisationen nach der ISO 27001 zertifiziert und regelmäßig auditiert, um sicherzustellen, dass die hohen geforderten Standards kontinuierlich eingehalten werden.
SOC steht für "Service Organisation Control". SOC1- und SOC2-Berichte über die Sicherheit von Dienstleistungen werden von unabhängigen Dritten (Wirtschaftsprüfern) auf der Grundlage eines festgelegten Kontrollrahmens erstellt.
Ein SOC1-Bericht untersucht die Kontrollen einer Dienstleistungsorganisation, die für die interne Kontrolle der Finanzberichterstattung eines Kundenunternehmens relevant sind. Er ist speziell auf die Bedürfnisse von Kunden ausgerichtet, die Sicherheit über die Effektivität der Kontrollen bei der Service-Organisation in Bezug auf die Finanzberichte des Kunden benötigen. Der Geltungsbereich von SOC 1 bei GTT umfasst Managed Hosting und VDC-Dienste.
Ein SOC 2-Auditbericht bietet detaillierte Informationen und Gewissheit über Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeitskontrollen, basierend auf der Einhaltung der TSC (Trust Services Criteria) des AICPA (American Institute of Certified Public Accountants). Der SOC 2-Umfang von GTT umfasst die SD-WAN- und SIP-Trunking-Dienste.
Der Payment Card Industry Data Security Standard (PCI DSS) ist ein Informationssicherheitsstandard, der vom PCI Security Standards Council festgelegt wird. Der Verband wurde von den großen Marken in diesem Bereich wie American Express, Discover, Visa, JCB und MasterCard gegründet. Ziel ist es, gemeinsame Standards zu entwickeln und zu pflegen, die die Datensicherheit der Karteninhaber fördern und die breite Anwendung einheitlicher Datensicherheitsmaßnahmen in der gesamten Branche erleichtern.
PCI DSS gilt für alle Unternehmen, die an der Zahlungskartenabwicklung beteiligt sind. Dazu gehören Händler, Firmen, die Daten verarbeiten, Akquisiteure, Emittenten und Dienstleister. PCI DSS gilt auch für alle anderen Unternehmen, die Karteninhaberdaten und/oder sensible Authentifizierungsdaten speichern, verarbeiten oder übertragen.
Wenn Sie die GTT PCI DSS Attestation of Compliance (AOC) und das Verantwortungsmodell anfordern möchten, wenden Sie sich bitte an Ihren Account Manager.
ISO 20000 ist eine globale Norm, die die Anforderungen an ein ITSM-System (Information Technology Service Management) beschreibt. Der Standard wurde entwickelt, um die im Rahmen der IT Infrastructure Library (ITIL) beschriebenen Best Practices abzubilden.
Dieser internationale IT Service Management (ITSM)-Standard ermöglicht es IT-Organisationen (intern, outgesourced oder extern) sicherzustellen, dass ihre ITSM-Prozesse sowohl auf die Bedürfnisse des Unternehmens als auch auf internationale Best Practices ausgerichtet sind.
ISO 20000 unterstützt Unternehmen beim Benchmarking, wie sie Managed Services bereitstellen, Service Levels messen und ihre Leistung bewerten. Es ist auf das Thema ITIL ausgerichtet und greift stark darauf zurück.
Q. Auf wen wirkt sich die DSGVO aus?
A. Die Allgemeine Datenschutzverordnung (GDPR) gilt nicht nur für Unternehmen mit Sitz in der EU, sondern auch für Unternehmen mit Sitz außerhalb der EU, wenn sie Waren oder Dienstleistungen für die betroffenen Personen anbieten oder deren Nutzungsverhalten anschauen und analysieren.
Q. Welche Strafen gibt es bei Nichteinhaltung?
A. Unternehmen können wegen Verletzung der DSGVO mit einer Geldstrafe von bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Mio. €, je nachdem, welcher Betrag höher ist, belegt werden. Dies ist die Höchststrafe, die für die schwerwiegendsten Verstöße verhängt werden kann. Es ist wichtig zu beachten, dass diese Regeln sowohl für die, die Daten kontrollieren als auch für die Unternehmen, die sie verarbeiten gelten. D.h. die DSGVO überträgt an die datenverarbeitenden Unternehmen unter bestimmten Umständen eine direkte Haftung. Zum Beispiel im Zusammenhang mit einer Verletzung der Datensicherheit und bei einer Mithaftung gegenüber den Betroffenen, wenn bei der Datenverarbeitung ein Verschulden nachzuweisen ist.
Q. Was sind personenbezogene Daten?
A. Alle Informationen über eine Person, die dazu verwendet werden können, diese Person direkt oder indirekt zu identifizieren. Es kann sich um einen Namen, ein Foto, eine E-Mail-Adresse, Bankdaten, Beiträge auf Social-Media-Websites, medizinische Informationen oder eine IP-Adresse des Computers handeln.
Q. Ist GTT DSGVO zertifiziert?
A. Kein Unternehmen kann DSGVO-zertifiziert sein. DSGVO ist kein Zertifizierungssystem, keine Norm oder Rahmen, nach dem eine Organisation zertifizieren kann. DSGVO ist eine Verordnung, die von den Unternehmen eingehalten werden muss, wenn sie in ihrem Geltungsbereich liegt.
Q. Wie entspricht GTT der DSGVO?
A. Unsere Kunden entscheiden sich für eine Zusammenarbeit mit uns, denn eine wesentliche Säule für den Erfolg unseres Unternehmens ist unser Datenschutzkonzept. Es gewährleistet die Einhaltung der geltenden Datenschutzgesetze und fördert den sicheren Umgang mit Daten. Bei GTT halten wir uns an die ePrivacy-Richtlinie (der Privacy and Electronic Communications EC Directive) Regulations 2003, auch bekannt als PECR nach englischem Recht). Weil wir kontinuierlich in den Schutz der Kundendaten investiert haben, sind unsere Produkte und Dienstleistungen entweder bereits DSGVO-konform oder auf dem richtigen Weg, um seit Mai 2018 konform zu sein. GTT nutzt die neusten Verfahren, um die Daten, die wir im Namen unserer Kunden speichern, zu schützen. Wir setzen detaillierte Richtlinien, Verfahren und Prozesse, die nach den strengsten branchenüblichen Datensicherheitsstandards zertifiziert sind, um. Dadurch können unsere Kunden uneingeschränkt auf konforme, länderübergreifende, abgegrenzte und sichere Lösungen setzen.
GTT ist auch auf mehrere bekannte Zertifizierungssysteme wie ISO 27001 und PCI-DSS ausgerichtet. GTT verpflichtet sich zur Einhaltung dieser Standards und wendet stabile technische, physische und Cyber-Sicherheitskontrollen an.
Q. Wie führt GTT wichtige technische Aspekte der DSGVO durch, wie z.B. "Privacy by Design" oder Data Privacy Impact Assessments (DPIA)?
A. GTT führt Datenschutzfolgenabschätzungen in allen Aspekten seines Geschäfts durch, sowohl intern als auch für Produkte, die von unseren Kunden verwendet werden. GTT wendet Privacy by Design über Governance-Prozesse wie Architekturboards an und ist ein wichtiger Meilenstein zu Beginn eines jeden Projekts.
Q. Kann meine Lösung oder mein Service von GTT auf die Einhaltung der DSGVO-Vorschriften in meinem Unternehmen zugeschnitten werden?
A. Ja, GTT kann jeden maßgeschneiderten Service auf die Anforderungen unserer Kunden und die Erfüllung von DSGVO zuschneiden. Wir verfügen über mehrere Cybersicherheitsangebote, die unseren Kunden unterstützen, ein hohes Maß an Cybersicherheitsreife und damit auch die Einhaltung von DSGVO zu erreichen.
