Beschreibung der Technischen und Organisatorischen Maßnahmen

Beschreibung der Technischen und Organisatorischen Maßnahmen


Die englischsprachiche Version dieser Vereinbarung ist die verbindliche Version, die das Verständnis der Parteien wiederspiegelt. Sofern gesetzlich nicht anders vorgeschrieben, wird die Übersetzung der Vereinbarung nur als Hilfestellung zur Verfügung gestellt. Im Falle eines Konflikts zwischen der englischsprachigen Version dieser Vereinbarung und einer Übersetzung in eine andere Sprache, gilt die englische Sprachversion.

Letzte Änderung am 01. April 2024 / Frühere Versionen

Nuance unterhält durch die Umsetzung und Durchsetzung der folgenden Richtlinien geeignete technische und organisatorische Maßnahmen:

Sicherheitsorganisation, Risikoanalyse und Risikomanagement
Nuance verfügt über eine professionelle Informationssicherheitsorganisation, die von einem Chief Information Security Officer geleitet wird und für die Bereitstellung stabiler Informationssicherheitskontrollen für Nuance-Produkte und -Umgebungen sorgt. Nuance führt jährliche Bewertungen der Konformität seiner Sicherheitskontrollen mit aktuellen Zertifizierungen und branchenüblichen Kontrollen durch. Weitere und ausführlichere Informationen über die Sicherheitsorganisation, die Risikoanalyse und das Risikomanagement von Nuance finden Sie unter https://www.nuance.com/de-de/about-us/trust-center.html.

Clearing, Ausbildung und Sanktionen für Mitarbeiter
Alle Mitarbeiter von Nuance werden Background-Checks unterzogen, bevor der Zugriff auf vertrauliche Daten gestattet wird. Das gesamte Personal erhält regelmäßig Sicherheitsschulungen. Nuance hat Richt-linien und Verfahren eingeführt, um Mitarbeiter, die gegen die Sicherheitsrichtlinien und -verfahren von Nuance verstoßen, mit Sanktionen zu belegen.

Physische Kontrollen
Nuance-Datenzentren - Alle Einrichtungen von Nuance sind durch physische Sicherheitskontrollen geschützt, einschließlich der Kontrolle der Umgebung, elektronischer Zugangssysteme, Schlösser und Kameras. Nuance speichert alle Produktionsdaten in physisch sicheren Datenzentren, die auch zusätzliche Zugriffsbeschränkungen aufweisen einschließlich durch eingeschlossene, verriegelnde Regale sowie sekundäre Authentifizierung und sekundären Zugang. Die Infrastruktursysteme von Nuance wurden so konzipiert, dass einzelne Fehlerquellen eliminiert und die Auswirkungen antizipierter Umweltrisiken minimiert werden.

Cloud-Datenzentrum - Microsoft Azure läuft in Datenzentren, die von Microsoft verwaltet und betrieben werden. Diese geografisch verteilten Datenzentren entsprechen den wichtigsten Industriestandards, wie ISO/IEC 27001:2013 und NIST SP 800-53, für Sicherheit und Zuverlässigkeit. Die Datenzentren werden vom Betriebspersonal von Microsoft verwaltet und überwacht. Das Betriebspersonal verfügt über jahrelange Erfahrung in der Bereitstellung der weltweit größten Online-Dienste mit Rund-um-die-Uhr-Verfügbarkeit. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.

Für die Swiss Cloud: Die Hosting-Services laufen in Rechenzentren, die von Voicepoint verwaltet werden. Diese Rechenzentren entsprechen den wichtigsten Industriestandards wie ISO/IEC 27001:2013, NIST SP 800-53. Die Rechenzentren werden von Microsoft-Betriebsmitarbeitern gemanagt, überwacht und verwaltet. Das Betriebspersonal verfügt über jahrelange Erfahrung in der Bereitstellung der weltweit größten Online-Dienste mit 24 x 7-Kontinuität.

Zugang
Nuance hat alle Geräte, die personenbezogene Daten speichern, in Bereichen mit kontrolliertem Zugang untergebracht. Nuance gestattet nur Angestellten und vorübergehend Beschäftigten mit geschäftlichem Zweck den Zugang zu diesen kontrollierten Bereichen.

Zugangspunkte
Die nach außen gerichteten Webserver von Nuance und Zugangspunkte Dritter sind sicher konfiguriert, einschließlich etwa der Implementierung einer ordnungsgemäß konstruierten dedizierten Firewall, der Durchführung eines Virenchecks vor der Gewährung des Zugriffs auf das Netzwerk eines Drittanbieters sowie der Deaktivierung oder Entfernung von Routing-Prozessen zur Minimierung des Zugriffs.

Geschäftskontinuität, Wiederherstellung im Notfall
Nuance hat geeignete Pläne für die Geschäftskontinuität und die Notfallwiederherstellung implementiert und dokumentiert, um nach einem Störfall die Dienste zeitnah fortsetzen oder wieder aufnehmen zu können. Nuance testet und überwacht regelmäßig die Wirksamkeit ihrer Pläne zur Geschäftskontinuität und Notfallwiederherstellung.

Netzwerksicherheit
Nuance hat geeignete zusätzliche Maßnahmen zum Schutz personenbezogener Daten vor den spezifischen Risiken der Dienste ergriffen. Alle Daten werden bei der Übertragung über offene, öffentliche Netzwerke durch Verschlüsselung geschützt. Die Daten im Ruhezustand werden entweder durch Verschlüsselung oder durch kompensierende Sicherheitskontrollen geschützt, die Pseudonymisierung, segmentierte Netzwerke, eine mehrstufige Architektur, Firewalls mit Einbruchschutz und Anti-Malware-Schutz sowie eine Begrenzung des Port-Zugriffs umfassen. Personenbezogene Daten werden nur so lange aufbewahrt, wie es für gesetzliche Zwecke erforderlich ist, es sei denn, die Dienste erfordern etwas anderes.

Tragbare Geräte
Nuance speichert keine personenbezogenen Daten auf tragbaren Computergeräten oder Medien (einschließlich unter anderem Laptop-Computern, Wechselfestplatten, USB- oder Flash-Laufwerken, Personal Digital Assistants (PDAs) oder Mobiltelefonen, DVDs, CDs oder Computerbändern), es sei denn, sie werden mit mindestens 128 Bit oder einer höheren Bit-Verschlüsselung gemäß den aktuellen Best Practices der Branche verschlüsselt. Nuance-Endpunkte werden mit einer Standardkonfiguration bereitgestellt, die auf Organisationsebene implementiert wird.

Überwachung
Nuance ergreift geeignete Maßnahmen zur Überwachung der Sicherheit von personenbezogenen Daten und (gegebenenfalls) zur Identifizierung von Mustern verdächtiger Aktivitäten. Nuance entwickelt Anwendungen und Dienste, um die Speicherung sensibler Daten durch Nuance zu unterdrücken. Bei jeder identifizierten gehosteten Änderung überprüfen Sicherheits- und QA-Teams die Anforderungen an das Datenmapping, um sicherzustellen, dass die vorgesehenen Felder weiterhin unterdrückt werden. Nuance überwacht auch Sicherheitsprotokollierungsereignisse („security logging events“), die Anmeldeverletzungen oder -versuche einschließen. Zu den in den Protokollen gespeicherten Daten gehören unter anderem Zeitstempel, Hostname und Benutzername für die Nachvollziehbarkeit.

Ersuchen von betroffenen Personen
Nuance implementiert ein dokumentiertes Verfahren zur Unterstützung des Unternehmens bei der Beantwortung von Ersuchen betroffener Personen.

Anfragen von Behörden
Nuance wird personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, nicht an Vollzugsbehörden weitergeben oder ihnen Zugang zu diesen Daten gewähren, es sei denn, dass dies gesetzlich vorgeschrieben ist, und nur bei Zustellung einer rechtsverbindlichen Anfrage oder Anordnung einer Regierungsbehörde.

Sollte Nuance gezwungen sein, Daten des Unternehmens gegenüber Vollstreckungsbehörden offenzulegen oder ihnen Zugang zu diesen Daten zu gewähren, wird Nuance das Unternehmen unverzüglich benachrichtigen und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist.

Ausschließlich für die Nordic Cloud:

Daten werden in einem Rechenzentrum, das von TietoEvry betrieben wird, verarbeitet. Dafür gelten die folgenden TOMs:

Physische Kontrollen:
Risiko, das mit organisatorischen Räumlichkeiten verbunden ist. Einrichtungen, die Informationssysteme hosten, müssen über angemessene Sicherheitskontrollen verfügen, einschließlich, aber nicht beschränkt auf Zugangskontrollen, Sicherheitsbeauftragte und Kameras. Verwaltete Einrichtungen müssen angemessene Umweltschutzmaßnahmen implementieren, um die Verfügbarkeit sicherzustellen und vor Schäden zu schützen. Die physischen und ökologischen Schutzmaßnahmen werden regelmäßig bewertet, umgesetzt und aufrechterhalten.

Zugang
Möglichkeit, den Zugriff auf Assets basierend auf Geschäfts- und Sicherheitsanforderungen zu steuern. Nach Validierung des Abschlusses des Einstellungsüberprüfungsverfahrens wird für jeden Nutzer eine eindeutige Nutzerkennung erstellt. Passwortkontrollen sollten den Industriestandards entsprechen. Der privilegierte Zugang muss nach dem Prinzip "Need-to-know" vergeben werden und der Zugriff entspricht der Position und den Aufgaben des Benutzers. Der Zugriff auf Netzwerke und Netzwerkdienste sowie vertrauliche Informationen muss über die mehrstufige Authentifizierung erfolgen. Der Zugriff muss protokolliert und auf unbefugte Nutzung oder böswillige Absichten überwacht werden. Der Zugriff muss auf den Zugriff überprüft werden, der der Rolle und den Abschlüssen entspricht.

Netzwerksicherheit
Verwalten Sie die Leitung und den Support für die Informationssicherheit in Übereinstimmung mit den Geschäftsanforderungen und den relevanten Gesetzen und Vorschriften. Richtlinien für die Informationssicherheit genehmigt, veröffentlicht und kommuniziert. Richtlinienüberprüfungsprozess mit Annahme und Unterstützung des Managements.

Fähigkeit, den korrekten und sicheren Betrieb der Assets eines Unternehmens sicherzustellen.

  • Hardware, Betriebssystem, Datenbank und Anwendungen müssen vom Hersteller aktiv unterstützt werden und regelmäßige Sicherheitsupdates und -wartungen erhalten.
  • Informationssysteme müssen mit Antiviren- und Anti-Malware-Programmen mit automatischen Updates vor bösartigem Code geschützt sein.
  • Industriestandardprozesse für das Release-, Change-, Incident- und Problemmanagement sollten dokumentiert und implementiert werden.
  • Für Informationsbestände sollte die Prüfung aktiviert und mindestens 1 Jahr lang aufbewahrt werden. Überwachungsprotokolle sollten vor unbefugtem Zugriff geschützt und regelmäßig überwacht werden.

Compliance
Die Fähigkeit des Unternehmens, die Einhaltung regulatorischer, gesetzlicher, vertraglicher und sicherheitstechnischer Anforderungen zu gewährleisten.

  • Richtlinien und Verfahren pflegen, um die Einhaltung von Vorschriften und Standards durch Systeme sicherzustellen.
  • Einhaltung aller regulatorischen oder Sicherheitsstandards, sofern zutreffend (SOX, PCI-DSS, DSGVO usw.).
  • Durchführung regelmäßiger Überprüfungen und Audits von Informationsverarbeitungssystemen auf Einhaltung von Informationssicherheitsrichtlinien und -standards.

Asset Management
Die Fähigkeit der Sicherheitsinfrastruktur, Unternehmensressourcen zu schützen.

  • Ein Inventar der Vermögenswerte mit Informations- und Verarbeitungseinrichtungen ist zu identifizieren und zu führen. Das Eigentum sollte mit Regeln für die akzeptable Nutzung gekennzeichnet werden.
  • Informationen, die mit Richtlinien und Kontrollen klassifiziert sind, die angemessen auf das Risiko angewendet werden.
  • Die Entsorgung von Daten sollte auf sichere und geschützte Weise erfolgen, um sicherzustellen, dass diese Daten nicht wiederhergestellt werden können.

Entwicklung und Wartung von Informationssystemen
Möglichkeit, den Zugriff auf Assets basierend auf Geschäfts- und Sicherheitsanforderungen zu steuern.

  • Die Projektdokumentation für neue Informationssysteme oder wesentliche Verbesserungen muss Sicherheitsanforderungen und -kontrollen als Teil der funktionalen Anforderungen enthalten.
  • Der Entwickler schließt sichere Codetests als Teil des Software Development Life Cycle (SDLC) mit Überprüfung des Codes ein.
  • Die verarbeiteten Eingabedaten werden auf Richtigkeit und Sicherheit der Daten überprüft.
  • Sicherstellen der Authentizität der Nachrichten oder Transaktionsdaten durch digitale Signaturen und Schutz der Integrität der Daten durch die Verwendung von branchenüblicher Verschlüsselung.

Management von Informationssicherheitsvorfällen
Das Unternehmen sollte in der Lage sein, sich von einem Informationssicherheitsvorfall zu erholen.

  • Die Mitarbeiter melden Vorfälle und befolgen einen Vorfallmanagementprozess.
  • Der Incident-Management-Prozess umfasst die Identifizierung, Klassifizierung, Auswirkungsanalyse und einen Eskalationsprozess.
  • Die Möglichkeit, eine Obduktion durchzuführen, einschließlich der Nachverfolgung der Ursache mit Korrekturmaßnahmen, muss implementiert werden.

Description of technical and organizational measures

Last Modified April 1, 2024 / Previous Versions

Nuance maintains appropriate technical and organizational measures, through the implementation and enforcement of the following policies:

Security Organization, Risk Analysis and Risk Management
Nuance has a professional information security organization, headed by a Chief Information Security Officer, that works to provide robust information security controls for Nuance products and environments. Nuance performs annual assessments of the compliance of Nuance security controls with current certifications and industry standard controls. For further, and more explicit, details on the Security Organization, Risk Analysis, or Risk Management programs at Nuance, please refer to https://www.nuance.com/about-us/trust-center.html.

Workforce Clearing, Training and Sanctions
All Nuance personnel are subject to background checks before access to restricted data is permitted. All personnel receive regular security training. Nuance has adopted policies and procedures to apply workforce sanctions to employees who fail to comply with Nuance security policies and procedures.

Physical Controls
Nuance Data Centers - All Nuance facilities are protected by physical security controls including perimeter controls, electronic access systems, locks and cameras. Nuance stores all production data in physically secure data centers that also maintain additional access restrictions, including: caged, locking racks along with secondary authentication and access. Nuance’s infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks.

Cloud Data Center - Microsoft Azure runs in data centers managed and operated by Microsoft. These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2013 and NIST SP 800-53, for security and reliability. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity. For additional information, please refer to https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.

For Swiss Cloud: Hosting Services are running in data centers managed by Voicepoint. These data centers comply with key industry standards, such as ISO/IEC 27001:2013, NIST SP 800‑53. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity.

Access
Nuance has located all equipment that stores Personal Data in controlled access areas. Nuance will only allow employees and contingent workers with a business purpose to have access to such controlled areas.

Access Points
Nuance’s externally-facing web servers and third-party access points are configured securely, including (but not limited to) implementing a properly constructed dedicated firewall, requiring a virus check before granting access to any third-party network, and disabling or removing routing processes to minimize access.

Business Continuity, Disaster Recovery
Nuance has implemented and documented appropriate business continuity and disaster recovery plans to enable it to continue or resume providing Services in a timely manner after a disruptive event. Nuance regularly tests and monitors the effectiveness of its business continuity and disaster recovery plans.

Network Security
Nuance has implemented appropriate supplementary measures to protect Personal Data against the specific risks presented by the Services. All data is protected by encryption in transit over open, public networks. Data at rest is protected either by encryption or compensating security controls, which include pseudonymization, segmented networks, tiered architecture, firewalls with intrusion protection and anti-malware protections, and limiting of port access. Personal Data is only retained for the duration required for regulatory purposes, unless otherwise outlined by the Services.

Portable Devices
Nuance will not store Personal Data on any portable computer devices or media (including, without limitation, laptop computers, removable hard disks, USB or flash drives, personal digital assistants (PDAs) or mobile phones, DVDs, CDs or computer tapes) unless it is encrypted with a minimum of 128-bit, or such higher bit encryption in accordance with then current industry best practice. Nuance endpoints are provisioned with a default configuration, enforced at the organizational level.

Monitoring
Nuance takes appropriate steps to monitor the security of Personal Data and (if appropriate) to identify patterns of suspect activity. Nuance designs applications and services to suppress sensitive data being stored by Nuance. For every identified hosted change, security and QA teams review the data mapping requirements to validate the intended fields continue to be suppressed. Nuance also monitors security logging events which include log-on violations or attempts. Data retained from logs includes, but is not limited to, timestamp, hostname, and username for accountability.

Data Subject Requests
Nuance implements a documented process for assisting Company in responding to Data Subject Requests.

Governmental Requests
Nuance will not disclose or provide access to Personal Data being Processed under this DPA to law enforcement, unless required to by law, and only upon service of a legally‑binding request or order from a governmental authority.

If compelled to disclose or provide access to any Company Data to law enforcement, Nuance will promptly notify Company and provide a copy of the demand unless legally prohibited from doing so.

For Nordic Cloud only:

Data is hosted in a data center run by TietoEvry for which the following TOMs shall apply:

Physical Controls
Risk inherent to organizational premises. Facilities hosting information systems must have appropriate security controls including but not limited to access controls, security officers and cameras. Managed facilities must implement adequate environmental safeguards to ensure availability and protect against damage. The physical and environmental safeguards will be evaluated, implemented and maintained regularly.

Access
Ability to control access to assets based on business and security requirements. A unique user identifier shall be created for each worker upon validation of the completion of the employment screening process. Password controls should follow industry standards. Privileged access must be allocated on a “need to know” basis and the access is commensurate to the user’s position and duties. Access to networks and network services, and sensitive information must use multi‑factor authentication. Access must be logged and monitored for unauthorized usage or malicious intent. Access must be reviewed for access appropriate to role and terminations.

Network Security
Manage direction and support for information security in accordance with business requirements and relevant laws and regulations. Policies for information security approved, published and communicated. Policy review process with adoption and support of management.

Ability to ensure correct and secure operations of an organization’s assets.

  • Hardware, operating system, database and applications must be actively supported by the vendor and receive regular security updates and maintenance.
  • Information systems must have protection from malicious code with anti‑virus and anti‑malware with automatic updates.
  • Industry‑standard processes for Release, Change, Incident, and Problem management should be documented and implemented.
  • Information assets should have auditing enabled and retained for a minimum of 1 year. Auditing logs should be protected from unauthorized access and monitored on a regular basis.

Compliance
Organization’s ability to remain in compliance with regulatory, statutory, contractual, and security requirements.

  • Maintain policies and procedures to ensure compliance of systems with regulations and standards.
  • Compliance to any regulatory or security standards requirements where applicable (SOX, PCI‑DSS, GDPR, etc.).
  • Conduct periodic reviews and audits of information processing systems for compliance with information security policies and standards.

Asset Management
The ability of the security infrastructure to protect organizational assets.

  • An inventory of assets with information and processing facilities shall be identified and maintained. Ownership should be identified with rules of acceptable use.
  • Information classified with policies and controls applied appropriately to risk.
  • The disposal of data should be done in a secure, protected way to ensure the inability to recover that data.

Information Systems Development and Maintenance
Ability to control access to assets based on business and security requirements.

  • Project documentation for new information systems, or significant enhancements shall include security requirements and control as part of the functional requirements.
  • Developer will include secure code testing as part of the Software Development Life Cycle (SDLC) with review of code.
  • Input data processed shall be validated for correctness and security of data.
  • Ensure the authenticity of the messages or transactional data through digital signatures and protect the integrity of the data through the use of industry standard encryption.

Information Security Incident Management
The organization should have the ability to recover from an information security incident.

  • Employees will report incidents and follow an incident management process.
  • The incident management process shall include identification, classification, impact analysis and an escalation process.
  • The ability to perform post-mortem including follow‑up drive to root cause with corrective action must be implemented.