Vertrauen ist unser Fundament

ISO/IEC 27001-Zertifizierung

Die PTV Group ist nach dem international anerkannten Standard ISO/IEC 27001:2022 zertifiziert. Damit unterstreichen wir unser Engagement für den Aufbau, die Implementierung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines leistungsstarken Informationssicherheits-Managementsystems (ISMS). Diese Zertifizierung gibt unseren Kundinnen und Kunden die Sicherheit, dass wir Informationssicherheitsrisiken proaktiv managen und bewährte Verfahren zum Schutz sensibler Daten und Geschäftsprozesse einhalten.

ESG (Environmental, Social, and Governance) 

Wir integrieren ESG-Grundsätze in unser Rahmenwerk der Unternehmensführung und stellen sicher, dass unsere Sicherheits- und Datenschutzpraktiken mit unseren umfassenderen Verpflichtungen zu ethischem Geschäftsgebaren, Nachhaltigkeit und sozialer Verantwortung im Einklang stehen.

Prüfberichte unabhängiger Dritter

Die PTV Group beauftragt unabhängige Sicherheitsexperten mit der Durchführung regelmäßiger Penetrationstests und Sicherheitsbewertungen. Zusammenfassungen dieser externen Prüfergebnisse werden unseren Kundinnen und Kunden zur Verfügung gestellt, um unser fortwährendes Engagement für die Identifizierung und Behebung von Schwachstellen in unseren Produkten und unserer Infrastruktur zu demonstrieren.

Auftragsverarbeitungsvertrag

Um unsere Kundinnen und Kunden bei der Erfüllung ihrer Datenschutzpflichten zu unterstützen, bietet die PTV Group für alle relevanten Produkte und Dienstleistungen einen Auftragsverarbeitungsvertrag (AVV) an. Dieser AVV ist ein fester Bestandteil unserer Standardvertragsbedingungen.

Ort der Datenverarbeitung

Für Kundinnen und Kunden im Europäischen Wirtschaftsraum (EWR) werden die Verkehrsmodelle unserer Cloud-Dienste innerhalb der Europäischen Union gehostet. Für Kundinnen und Kunden mit Sitz in den Vereinigten Staaten werden die Verkehrsmodelle innerhalb der USA gehostet. Weitere Informationen finden Sie in unserer Datenschutzerklärung für Cloud-Dienste.

Technische und organisatorische Maßnahmen

Die PTV Group stellt Allgemeine Technische und Organisatorische Maßnahmen (TOM) gemäß Artikel 32 DSGVO bereit.

Datenschutz durch Design und standardmäßiger Datenschutz

Wir integrieren Datenschutzaspekte in jede Phase der Produktentwicklung und unserer Geschäftsprozesse. Standardkonfigurationen setzen den Datenschutz in den Vordergrund, indem sie die Datenerhebung minimieren und den Nutzenden klare, leicht zugängliche Datenschutzkontrollen bieten.

Datenschutz-Grundverordnung (DSGVO)

Die PTV Group erfüllt vollständig die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Wir agieren als verantwortungsbewusster Auftragsverarbeiter und Verantwortlicher und stellen sicher, dass personenbezogene Daten rechtmäßig, transparent und sicher verarbeitet werden. Unsere Datenschutzpraktiken umfassen Datenminimierung, das Management von Nutzereinwilligungen sowie umfassende technische und organisatorische Schutzmaßnahmen.

Verhaltenskodex

Die PTV Group verfügt über einen strikten Verhaltenskodex, der das ethische Verhalten sowie die Einhaltung von Gesetzen und Vorschriften durch alle Mitarbeitenden, Auftragnehmer und Partner regelt. Dieser Kodex fördert eine Kultur von Integrität und Verantwortungsbewusstsein.

Whistleblower-Richtlinie

Die PTV Group hält strenge ethische Standards ein, um Transparenz, Verantwortlichkeit und die Einhaltung aller geltenden Gesetze zu gewährleisten. Gesetzesverstöße und unsachgemäßer Umgang mit Whistleblower-Meldungen werden nicht toleriert.

Geschäftspartnerinnen und -partner können potenzielle Verstöße anonym über den Speaking Up-Dienst unter https://ptvgroup.share-a-hint.com melden, der anonymes Reporting und Kommunikation ermöglicht.

Lieferanten- und Drittanbieter-Risikomanagement

Wir betreiben ein strenges Programm zum Management von Risiken durch Drittanbieter, um sicherzustellen, dass Lieferanten und Partner unsere Sicherheits-, Datenschutz- und Compliance-Standards erfüllen und Risiken entlang unserer Lieferkette minimiert werden.

Datenklassifizierung und -verarbeitung

Wir setzen ein umfassendes Rahmenwerk zur Datenklassifizierung ein, um Informationen nach ihrer Sensibilität und ihrem geschäftlichen Einfluss zu identifizieren und zu verwalten. Alle Daten werden kategorisiert (z. B. öffentlich, intern, vertraulich) und mit geeigneten Kontrollen behandelt, um ihren Schutz über den gesamten Lebenszyklus sicherzustellen.

Sichere Datensicherung und Datenwiederherstellung

Wir führen verschlüsselte Backups kritischer Daten, die an geografisch verteilten Standorten gespeichert werden. Regelmäßige Tests der Sicherungs- und Wiederherstellungsverfahren gewährleisten die Verfügbarkeit und Integrität der Daten im Falle eines versehentlichen Verlusts oder einer Katastrophe.

Verschlüsselung während der Übertragung (TLS 1.2/1.3, HTTPS)

Daten, die zwischen Systemen, Nutzenden und unseren Diensten übertragen werden, sind durch starke Verschlüsselungsprotokolle wie TLS 1.2/1.3 und HTTPS geschützt. Dies gewährleistet die Vertraulichkeit und Integrität der Informationen während der Übertragung über Netzwerke.

Datenisolation

Daten verschiedener Kundinnen und Kunden oder Geschäftseinheiten werden in unseren Systemen logisch voneinander getrennt. Diese Isolation verhindert unbefugten Zugriff und stellt sicher, dass die Daten jedes Kunden privat und sicher bleiben.

Verschlüsselung im Ruhezustand (AES-256, Festplattenverschlüsselung)

Alle sensiblen Daten werden im Ruhezustand mit branchenüblichen Algorithmen wie AES-256 verschlüsselt. Eine Verschlüsselung auf Festplattenebene wird in unserer gesamten Infrastruktur angewendet, um sicherzustellen, dass gespeicherte Informationen vor unbefugtem Zugriff geschützt bleiben.

Sichere Schlüsselverwaltung und -rotation

Verschlüsselungsschlüssel werden über dedizierte Key-Management-Systeme verwaltet, mit strikten Zugriffskontrollen und regelmäßigen Rotationsrichtlinien. Die Schlüssel werden sicher gespeichert, und ihr Lebenszyklus wird nach bewährten Verfahren gesteuert, um Risiken zu minimieren.

Richtlinien zur Datenaufbewahrung und -löschung

Klare Richtlinien zur Datenaufbewahrung legen fest, wie lange Informationen gespeichert werden und wann sie sicher gelöscht werden. Automatisierte Prozesse gewährleisten die fristgerechte Entfernung von Daten, die nicht mehr benötigt werden, unter Einhaltung gesetzlicher und vertraglicher Vorgaben.

Sicherheitsführung

Unser Sicherheitsführungs-Rahmenwerk legt klare Rollen, Verantwortlichkeiten und Aufsicht für die Informationssicherheit fest. Ein dediziertes Team überwacht die Entwicklung von Richtlinien, das Risikomanagement und Compliance-Aktivitäten, um die Ausrichtung an den organisatorischen Zielen sicherzustellen.

Schulungen zur Sicherheitsbewusstsein für Mitarbeitende

Alle Mitarbeitenden erhalten verpflichtende Schulungen zum Sicherheitsbewusstsein, die auf ihre jeweiligen Rollen zugeschnitten sind. Die Schulungen behandeln Themen wie Phishing, Social Engineering und sicheren Umgang mit Daten und befähigen das Personal, Sicherheitsrisiken zu erkennen und angemessen darauf zu reagieren.

Sicherheitsrichtlinien und -verfahren

Ein umfassendes Set an Sicherheitsrichtlinien und -verfahren leitet alle Aspekte unserer Geschäftstätigkeit. Diese Dokumente werden regelmäßig überprüft und aktualisiert, um auf sich wandelnde Bedrohungen, regulatorische Anforderungen und bewährte Branchenpraktiken zu reagieren.

Sicherheitsrisikobewertungen

Regelmäßige Risikobewertungen werden durchgeführt, um potenzielle Bedrohungen für unsere Informationswerte zu identifizieren und zu bewerten. Die Ergebnisse dienen der Umsetzung gezielter Kontrollen und der kontinuierlichen Verbesserung unserer Sicherheitslage.

Sicherheitskultur

Wir fördern eine starke Sicherheitskultur durch kontinuierliche Schulungen, Engagement der Führungsebene und die Einbindung der Mitarbeitenden. Sicherheit ist in unsere täglichen Abläufe integriert und unterstützt ein proaktives Risikomanagement sowie verantwortungsbewusstes Verhalten auf allen Ebenen.

Sicherheitsvorfallmanagement

Wir unterhalten einen robusten Prozess zum Management von Sicherheitsvorfällen, um Sicherheitsereignisse zu erkennen, darauf zu reagieren und sich davon zu erholen. Vorfälle werden gründlich untersucht, und die gewonnenen Erkenntnisse werden genutzt, um unsere Abwehrmaßnahmen zu stärken und Wiederholungen zu verhindern.

Management der Geschäftskontinuität

Unser Programm zum Management der Geschäftskontinuität stellt sicher, dass kritische Abläufe während und nach störenden Ereignissen fortgeführt werden können. Die Pläne werden regelmäßig getestet und aktualisiert und umfassen Notfallwiederherstellung, Krisenkommunikation und Ressourcensicherung.

Sicherer Softwareentwicklungszyklus (SDLC)

Sicherheit ist während des gesamten SDLC verankert, von der ersten Konzeption über die Bereitstellung bis hin zur Wartung. Wir wenden sichere Programmierstandards an, führen regelmäßige Überprüfungen durch und integrieren Sicherheitstests in jede Entwicklungsphase.

Code-Review und statische Codeanalyse

Alle Codes werden einer gründlichen Überprüfung und statischen Analyse unterzogen, um Schwachstellen zu identifizieren und die Einhaltung von Sicherheitsstandards sicherzustellen. Automatisierte Tools und Peer-Reviews unterstützen die Aufrechterhaltung der Codequalität und reduzieren Risiken.

Penetrationstests

Regelmäßige Penetrationstests werden von unabhängigen Experten durchgeführt, um Schwachstellen in unseren Anwendungen und unserer Infrastruktur zu identifizieren und zu beheben. Die Ergebnisse werden priorisiert und zeitnah behoben, um eine starke Sicherheitslage aufrechtzuerhalten.

Patch- und Schwachstellenmanagement

Kritische Systeme werden regelmäßig mit Sicherheitsupdates versehen, um aufkommende Bedrohungen zu beheben. Unser Patch-Management-Prozess stellt sicher, dass Schwachstellen schnell identifiziert und behoben werden, um die Anfälligkeit für potenzielle Angriffe zu minimieren.

SAFe-Methodik für die Softwareentwicklung

Wir nutzen das Scaled Agile Framework (SAFe), um Entwicklungs-Teams und -Prozesse mit den Sicherheitszielen in Einklang zu bringen. Dieser Ansatz stellt sicher, dass Sicherheitsanforderungen frühzeitig und konsequent in allen Projekten berücksichtigt werden.

Bedrohungsmodellierung

Die Bedrohungsmodellierung wird bereits in der Entwurfsphase durchgeführt, um potenzielle Angriffsvektoren vorherzusehen und wirksame Gegenmaßnahmen zu implementieren. Dieser proaktive Ansatz unterstützt den Aufbau robuster Systeme von Grund auf.

Schwachstellenmanagement und Behebung

Wir betreiben ein kontinuierliches Schwachstellenmanagement-Programm, das automatisierte Scans und manuelle Bewertungen kombiniert. Identifizierte Probleme werden nachverfolgt, priorisiert und entsprechend ihres Risikos behoben, um eine zeitnahe Minderung sicherzustellen.

Hohe Verfügbarkeit und Redundanz

Unsere Infrastruktur ist auf hohe Verfügbarkeit ausgelegt und nutzt redundante Systeme sowie Failover-Mechanismen, um Ausfallzeiten zu minimieren. Kontinuierliches Monitoring und automatisierte Wiederherstellungsprozesse stellen sicher, dass unsere Dienste auch bei unerwarteten Ereignissen zugänglich und zuverlässig bleiben.

Systemhärtung und Basis-Konfiguration

Wir wenden strenge Maßnahmen zur Systemhärtung auf alle Infrastrukturkomponenten an, entfernen unnötige Dienste und setzen sichere Basis-Konfigurationen um. Regelmäßige Überprüfungen und automatisierte Compliance-Prüfungen stellen sicher, dass die Systeme gegen aufkommende Bedrohungen widerstandsfähig bleiben und den bewährten Branchenpraktiken entsprechen.

Endpunktschutz und Antivirus

Alle Endgeräte sind durch fortschrittliche Sicherheitslösungen geschützt, einschließlich Antivirus, Anti-Malware und Endpoint Detection & Response (EDR)-Tools. Regelmäßige Updates und Echtzeitüberwachung unterstützen dabei, Bedrohungen für Nutzergeräte und Server zu verhindern, zu erkennen und darauf zu reagieren.

Backup- und Notfallwiederherstellungsplanung

Robuste Backup-Strategien schützen kritische Daten, wobei verschlüsselte Backups an geografisch verteilten Standorten gespeichert werden. Unsere Notfallwiederherstellungspläne werden regelmäßig getestet, um eine schnelle Wiederherstellung von Diensten und die Integrität der Daten im Falle von Systemausfällen oder Katastrophen sicherzustellen.

Sicherheitsrichtlinien und -verfahren

Ein umfassendes Set an Sicherheitsrichtlinien und -verfahren steuert alle Aspekte unserer Geschäftstätigkeit. Diese Dokumente werden regelmäßig überprüft und aktualisiert, um Änderungen in der Bedrohungslage, regulatorischen Anforderungen und organisatorischen Prioritäten Rechnung zu tragen.

Richtlinie zum Umgang mit Sicherheitsvorfällen

Eine formelle Richtlinie zum Umgang mit Sicherheitsvorfällen legt die Verfahren für die Erkennung, Meldung und Reaktion auf Sicherheitsvorfälle fest. Die Richtlinie gewährleistet eine koordinierte und effektive Reaktion, um Auswirkungen zu minimieren und die kontinuierliche Verbesserung zu unterstützen.

Prinzip der minimalen Berechtigungen

Der Zugriff auf Systeme und Daten wird strikt nach dem „Need-to-know“-Prinzip gewährt. Das Prinzip der minimalen Berechtigungen wird für alle Rollen und Umgebungen durchgesetzt, um die potenziellen Auswirkungen kompromittierter Konten oder interner Bedrohungen zu minimieren.

Richtlinie zur akzeptablen Nutzung

Unsere Richtlinie zur akzeptablen Nutzung beschreibt die zulässige und unzulässige Verwendung von Unternehmensressourcen. Sie stellt sicher, dass alle Nutzenden ihre Verantwortlichkeiten sowie die Konsequenzen bei Verstößen gegen die Richtlinie verstehen.

Whistleblower-Richtlinie

Wir fördern eine Kultur von Transparenz und Verantwortlichkeit durch unsere Whistleblower-Richtlinie, die sichere und vertrauliche Kanäle für die Meldung unethischer oder illegaler Aktivitäten bietet – ohne Angst vor Repressalien.

Passwortrichtlinien und -verwaltung

Wir setzen strenge Passwortrichtlinien durch, einschließlich Anforderungen an die Komplexität, regelmäßiger Rotation und sicherer Speicherung. Passwortverwaltungs-Tools und Multi-Faktor-Authentifizierung werden eingesetzt, um die Kontosicherheit weiter zu erhöhen und das Risiko unbefugten Zugriffs zu reduzieren.

Regelmäßige Zugriffsüberprüfungen

Es werden regelmäßig Zugriffsüberprüfungen durchgeführt, um sicherzustellen, dass Berechtigungen weiterhin der jeweiligen Rolle der Nutzenden entsprechen. Unnötige oder übermäßige Rechte werden umgehend entzogen, um eine kontinuierliche Übereinstimmung mit Sicherheits- und Compliance-Anforderungen zu gewährleisten.

Identitätslebenszyklusmanagement

Wir setzen strenge Kontrollen über den gesamten Identitätslebenszyklus ein, von der Aufnahme bis zur Abmeldung. Automatisierte Prozesse gewährleisten die rechtzeitige Bereitstellung und Entziehung von Zugriffsrechten, wodurch das Risiko verwaister Konten und unbefugten Zugriffs minimiert wird.

Trennung von Aufgabenbereichen

Kritische Funktionen werden auf verschiedene Personen oder Teams verteilt, um Interessenkonflikte zu vermeiden und das Risiko von Betrug oder Fehlern zu reduzieren. Die Trennung von Aufgabenbereichen wird durch technische Kontrollen und regelmäßige Prüfungen sichergestellt.