« Zu Riverside Grundlagen: Übersicht
Riverside wird angemessene Informationssicherheitskontrollen implementieren und aufrechterhalten, um unbefugten Zugriff auf oder die Nutzung von personenbezogenen Daten des Kunden zu schützen. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, wird Riverside die folgenden Informationssicherheitskontrollen (gemeinsam die „Informationssicherheitskontrollen“) implementieren und aufrechterhalten:
a. die die Vertraulichkeit, Integrität und Authentizität personenbezogener Daten schützen, sodass sie nur für den spezifischen Zweck verarbeitet, verwendet, aufbewahrt und offengelegt werden, für den diese Informationen Riverside offengelegt wurden und nur in Übereinstimmung mit dem DPA;
b. ein Branchenstandard-Programm für Informationssicherheit, wie ISO 27001:27002 in Verbindung mit SSAE16 Typ 2-Berichterstattung, das den aktuellen relevanten regulatorischen Standards entspricht und darauf ausgelegt ist, ein geeignetes, nachhaltiges und auditiertes Informationssicherheitsprogramm sicherzustellen und nachzuweisen;
c. Zugangssteuerungen auf Informationssystemen, einschließlich der Steuerelemente zur Authentifizierung, Genehmigung, Entziehung und Überprüfung des Zugriffs, die sicherstellen, dass nur die autorisierten Beauftragten, Direktoren, Mitarbeiter, Berater, Anwälte, Buchhalter, Agenten und unabhängigen Subunternehmer (und deren Mitarbeiter) sowie andere Vertreter oder Dritte, die ein berechtigtes Interesse haben, auf solche personenbezogenen Daten zugreifen dürfen, um die Verpflichtungen von Riverside nach geltendem Recht zu erfüllen;
d. starken Branchenstandard und angemessene Verschlüsselung personenbezogener Daten wie TLS 1,2/1.3 und mindestens AES-256-Bit sowie „Encryption Key Management“ für die Verschlüsselung, sowohl während der Übertragung als auch im Ruhezustand;
e. effektive Überwachungssysteme, qualifiziertes Personal und Verfahren zur Erkennung und Reaktion auf tatsächliche und versuchte Angriffe auf oder Eindringversuche in Informationssysteme;
f. Reaktionsprogramme, die die Maßnahmen festlegen, die zu ergreifen sind, wenn Riverside unbefugten Zugriff auf Informationssysteme oder physische Standorte, die personenbezogene Daten enthalten, feststellt;
g. Branchenstandard-Backup-Kontrollen und -maßnahmen zum Schutz vor Zerstörung, Verlust oder Beschädigung personenbezogener Daten aufgrund eines Verstoßes gegen die Integrität, Authentizität oder potenzielle Umweltrisiken, wie Brand- und Wasserschäden; und
h. regelmäßige Prüfungen der wesentlichen Kontrollen, Systeme und Verfahren dieser Informationssicherheitskontrollen.