ComplianceDFIN demonstriert Compliance, indem es unseren Kunden eine Reihe von Berichten zur Verfügung stellt.Berichterstattung über unsere ComplianceDFIN führt verschiedene Kontrollen durch, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu gewährleisten. Die Eckpfeiler der DFIN-Cybersicherheit stellen sicher, dass unsere Sicherheitskontrollen effektiv funktionieren und messen die Wirksamkeit von Governance-, Risiko- und Compliance-Programmen. IT-Governance und -RisikoErfahren Sie mehr über IT-Governance und Risiko @DFIN.Berichte und DokumenteErfahren Sie, wie DFIN die Einhaltung von Vorschriften im gesamten Unternehmen nachweist. Fordern Sie aktuelle Berichte und andere Artefakte an.ÜbersichtIT-GovernanceIT-RisikomanagementAnbieterrisikomanagementIT-Governance und -Risiko Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten. Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen. Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit). DFIN IT-Governance IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt. DFIN IT-Risikomanagement IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt. DFIN Anbieterrisikomanagement Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben. DFIN IT-Governance Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten. Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen. Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit). DFIN IT-GovernanceDFIN IT Governance IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt. DFIN IT-RisikomanagementDFIN IT-Risikomanagement IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt. DFIN AnbieterrisikomanagementDFIN Vendor Risk Management Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben. ÜbersichtSOC 2 Typ IIGlobale InvestmentgesellschaftenGlobale KapitalmärkteNeues ActiveDisclosureeBreviaVENUE SOC 2 + HITRUSTISO 27001-ZertifizierungISO 9001-ZertifizierungGemeinsame Bewertung (SIG)Cloud Security Alliance CAIQBrückenbriefeBerichte und Dokumente Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren. DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen. Globale Investmentgesellschaften Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENARC SuiteARC ProDruck- und KompositionsdiensteAndere Lösungen Der GIC SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGlobale Kapitalmärkte Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernNeues ActiveDisclosure Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENNeues AD Der ActiveDisclosure-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anforderneBrevia Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von eBrevia durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. August bis zum 31. Januar erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats März erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Februar und dem 31. Juli belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENeBrevia Der eBrevia-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernVENUE SOC 2 + HITRUST Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Der VENUE SOC 2 + HITRUST-Bericht ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 27001-Zertifizierung DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Die ISO 27001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 9001-Zertifizierung DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENDruckHerstellung Die ISO 9001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernFragebögen zur Sicherheitsüberprüfung DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenueActiveDisclosureARC ProductseBreviaFile16Druck und Zusammenstellung SIGs, CAIQs und DDQs werden bestehenden Kunden zugänglich gemacht und erfordern eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernCAIQ und STAR Registry der Cloud Security Alliance Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENCAIQ für Unternehmen abgeschlossen Der CAIQ kann bestehenden und künftigen Kunden zugänglich gemacht werden und erfordert eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernBrückenbrief für SOC 2-Bescheinigung DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung: An die zuständigen Stellen: Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen: Die Beschreibung der Kontrollen im SOC 2-Auditbericht der DFIN vom 15. Dezember 2021 gibt im Wesentlichen die Aspekte unserer Kontrollen wieder, die für die internen Kontrollsysteme einer Nutzerorganisation von Bedeutung sein können.Die im SOC 2 Typ II-Bericht enthaltenen Kontrollen erfüllen die festgelegten Kontrollziele.Sämtliche in diesem Bericht enthaltenen Kontrollen waren vom 1. Januar 2021 bis zum 30. April 2021 in Kraft und bleiben auch vom 1. November 2021 bis zum Datum dieses Schreibens bestehen.Während des Berichtszeitraums sind keine rechtswidrigen Handlungen, Betrug oder nicht berichtigte Fehler aufgetreten, die sich auf das Management oder die Mitarbeiter, die für das SOC 2-Audit relevant sind, ausgewirkt haben könnten.Es wurden alle Vorfälle offengelegt, die nach unserer Kenntnis nicht ausreichend wirksam waren, um die festgelegten Kontrollziele zu erreichen.Zwischen dem 1. November 2021 und dem Datum des vorliegenden Schreibens sind keine wesentlichen Änderungen an diesen Kontrollen erfolgt.ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENGCM SOC 2-BerichtGIC SOC 2-BerichtNeues ActiveDisclosure SOC 2-BerichtVENUE SOC 2-BerichteBrevia SOC 2-Bericht Die Brückenbriefe sind für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernBerichte und Dokumente Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren. DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen. SOC 2 Typ IIGlobale InvestmentgesellschaftenGlobale Investmentgesellschaften Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENARC SuiteARC ProDruck- und KompositionsdiensteAndere Lösungen Der GIC SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGlobale KapitalmärkteGlobale Kapitalmärkte Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernActiveDisclosureNeues ActiveDisclosure Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENNeues AD Der ActiveDisclosure-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anforderneBreviaeBrevia DFIN’s third party auditor conducts an annual SOC 2 audit of eBrevia SOC 2 control framework. Our SOC 2 Type II audit runs for 6 months with the observation period of August 1st through January 31st. A SOC 2 type II report is then produced during the month of March and made available to clients thereafter. A bridge letter attesting that the effectiveness of our controls remains in place during the non-observation period of February 1st through July 31st. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENeBrevia Der eBrevia-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernSOC 2 + HITRUSTVENUE SOC 2 + HITRUST Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Der VENUE SOC 2 + HITRUST-Bericht ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 27001-ZertifizierungISO 27001-Zertifizierung DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an. PRODUCTS & SERVICES COVEREDVenue Die ISO 27001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 9001-ZertifizierungISO 9001-Zertifizierung DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENDruckHerstellung Die ISO 9001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGemeinsame Bewertung (SIG)Fragebögen zur Sicherheitsüberprüfung DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen. PRODUCTS & SERVICES COVenueActiveDisclosureARC ProductseBreviaFile16Druck und Zusammenstellung SIGs, CAIQs und DDQs werden bestehenden Kunden zugänglich gemacht und erfordern eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernCloud Security Alliance CAIQCAIQ und STAR Registry der Cloud Security Alliance Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENCAIQ für Unternehmen abgeschlossen Der CAIQ kann bestehenden und künftigen Kunden zugänglich gemacht werden und erfordert eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernBrückenbriefeBrückenbrief für SOC 2-Bescheinigung DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung: An die zuständigen Stellen: Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen: Die Beschreibung der Kontrollen im SOC 2-Auditbericht der DFIN vom 15. Dezember 2021 gibt im Wesentlichen die Aspekte unserer Kontrollen wieder, die für die internen Kontrollsysteme einer Nutzerorganisation von Bedeutung sein können.Die im SOC 2 Typ II-Bericht enthaltenen Kontrollen erfüllen die festgelegten Kontrollziele.Sämtliche in diesem Bericht enthaltenen Kontrollen waren vom 1. Januar 2021 bis zum 30. April 2021 in Kraft und bleiben auch vom 1. November 2021 bis zum Datum dieses Schreibens bestehen.Während des Berichtszeitraums sind keine rechtswidrigen Handlungen, Betrug oder nicht berichtigte Fehler aufgetreten, die sich auf das Management oder die Mitarbeiter, die für das SOC 2-Audit relevant sind, ausgewirkt haben könnten.Es wurden alle Vorfälle offengelegt, die nach unserer Kenntnis nicht ausreichend wirksam waren, um die festgelegten Kontrollziele zu erreichen.Zwischen dem 1. November 2021 und dem Datum des vorliegenden Schreibens sind keine wesentlichen Änderungen an diesen Kontrollen erfolgt.ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENGCM SOC 2-BerichtGIC SOC 2-BerichtNeues ActiveDisclosure SOC 2-BerichtVENUE SOC 2-BerichteBrevia SOC 2-Berich Die Brückenbriefe sind für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernIT-Governance und -RisikoErfahren Sie mehr über IT-Governance und Risiko @DFIN.ÜbersichtIT-GovernanceIT-RisikomanagementAnbieterrisikomanagementIT-Governance und -Risiko Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten. Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen. Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit). DFIN IT-Governance IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt. DFIN IT-Risikomanagement IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt. DFIN Anbieterrisikomanagement Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben. DFIN IT-Governance Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten. Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen. Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit). DFIN IT-GovernanceDFIN IT Governance IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt. DFIN IT-RisikomanagementDFIN IT-Risikomanagement IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt. DFIN AnbieterrisikomanagementDFIN Vendor Risk Management Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben. Berichte und DokumenteErfahren Sie, wie DFIN die Einhaltung von Vorschriften im gesamten Unternehmen nachweist. Fordern Sie aktuelle Berichte und andere Artefakte an.ÜbersichtSOC 2 Typ IIGlobale InvestmentgesellschaftenGlobale KapitalmärkteNeues ActiveDisclosureeBreviaVENUE SOC 2 + HITRUSTISO 27001-ZertifizierungISO 9001-ZertifizierungGemeinsame Bewertung (SIG)Cloud Security Alliance CAIQBrückenbriefeBerichte und Dokumente Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren. DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen. Globale Investmentgesellschaften Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENARC SuiteARC ProDruck- und KompositionsdiensteAndere Lösungen Der GIC SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGlobale Kapitalmärkte Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernNeues ActiveDisclosure Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENNeues AD Der ActiveDisclosure-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anforderneBrevia Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von eBrevia durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. August bis zum 31. Januar erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats März erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Februar und dem 31. Juli belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENeBrevia Der eBrevia-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernVENUE SOC 2 + HITRUST Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Der VENUE SOC 2 + HITRUST-Bericht ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 27001-Zertifizierung DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Die ISO 27001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 9001-Zertifizierung DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENDruckHerstellung Die ISO 9001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernFragebögen zur Sicherheitsüberprüfung DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenueActiveDisclosureARC ProductseBreviaFile16Druck und Zusammenstellung SIGs, CAIQs und DDQs werden bestehenden Kunden zugänglich gemacht und erfordern eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernCAIQ und STAR Registry der Cloud Security Alliance Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENCAIQ für Unternehmen abgeschlossen Der CAIQ kann bestehenden und künftigen Kunden zugänglich gemacht werden und erfordert eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernBrückenbrief für SOC 2-Bescheinigung DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung: An die zuständigen Stellen: Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen: Die Beschreibung der Kontrollen im SOC 2-Auditbericht der DFIN vom 15. Dezember 2021 gibt im Wesentlichen die Aspekte unserer Kontrollen wieder, die für die internen Kontrollsysteme einer Nutzerorganisation von Bedeutung sein können.Die im SOC 2 Typ II-Bericht enthaltenen Kontrollen erfüllen die festgelegten Kontrollziele.Sämtliche in diesem Bericht enthaltenen Kontrollen waren vom 1. Januar 2021 bis zum 30. April 2021 in Kraft und bleiben auch vom 1. November 2021 bis zum Datum dieses Schreibens bestehen.Während des Berichtszeitraums sind keine rechtswidrigen Handlungen, Betrug oder nicht berichtigte Fehler aufgetreten, die sich auf das Management oder die Mitarbeiter, die für das SOC 2-Audit relevant sind, ausgewirkt haben könnten.Es wurden alle Vorfälle offengelegt, die nach unserer Kenntnis nicht ausreichend wirksam waren, um die festgelegten Kontrollziele zu erreichen.Zwischen dem 1. November 2021 und dem Datum des vorliegenden Schreibens sind keine wesentlichen Änderungen an diesen Kontrollen erfolgt.ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENGCM SOC 2-BerichtGIC SOC 2-BerichtNeues ActiveDisclosure SOC 2-BerichtVENUE SOC 2-BerichteBrevia SOC 2-Bericht Die Brückenbriefe sind für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernBerichte und Dokumente Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren. DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen. SOC 2 Typ IIGlobale InvestmentgesellschaftenGlobale Investmentgesellschaften Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENARC SuiteARC ProDruck- und KompositionsdiensteAndere Lösungen Der GIC SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGlobale KapitalmärkteGlobale Kapitalmärkte Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernActiveDisclosureNeues ActiveDisclosure Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENNeues AD Der ActiveDisclosure-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anforderneBreviaeBrevia DFIN’s third party auditor conducts an annual SOC 2 audit of eBrevia SOC 2 control framework. Our SOC 2 Type II audit runs for 6 months with the observation period of August 1st through January 31st. A SOC 2 type II report is then produced during the month of March and made available to clients thereafter. A bridge letter attesting that the effectiveness of our controls remains in place during the non-observation period of February 1st through July 31st. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENeBrevia Der eBrevia-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernSOC 2 + HITRUSTVENUE SOC 2 + HITRUST Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENVenue Der VENUE SOC 2 + HITRUST-Bericht ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 27001-ZertifizierungISO 27001-Zertifizierung DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an. PRODUCTS & SERVICES COVEREDVenue Die ISO 27001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernISO 9001-ZertifizierungISO 9001-Zertifizierung DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENDruckHerstellung Die ISO 9001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordernGemeinsame Bewertung (SIG)Fragebögen zur Sicherheitsüberprüfung DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen. PRODUCTS & SERVICES COVenueActiveDisclosureARC ProductseBreviaFile16Druck und Zusammenstellung SIGs, CAIQs und DDQs werden bestehenden Kunden zugänglich gemacht und erfordern eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernCloud Security Alliance CAIQCAIQ und STAR Registry der Cloud Security Alliance Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert. ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENCAIQ für Unternehmen abgeschlossen Der CAIQ kann bestehenden und künftigen Kunden zugänglich gemacht werden und erfordert eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann. Bericht anfordernBrückenbriefeBrückenbrief für SOC 2-Bescheinigung DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung: An die zuständigen Stellen: Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen: Die Beschreibung der Kontrollen im SOC 2-Auditbericht der DFIN vom 15. Dezember 2021 gibt im Wesentlichen die Aspekte unserer Kontrollen wieder, die für die internen Kontrollsysteme einer Nutzerorganisation von Bedeutung sein können.Die im SOC 2 Typ II-Bericht enthaltenen Kontrollen erfüllen die festgelegten Kontrollziele.Sämtliche in diesem Bericht enthaltenen Kontrollen waren vom 1. Januar 2021 bis zum 30. April 2021 in Kraft und bleiben auch vom 1. November 2021 bis zum Datum dieses Schreibens bestehen.Während des Berichtszeitraums sind keine rechtswidrigen Handlungen, Betrug oder nicht berichtigte Fehler aufgetreten, die sich auf das Management oder die Mitarbeiter, die für das SOC 2-Audit relevant sind, ausgewirkt haben könnten.Es wurden alle Vorfälle offengelegt, die nach unserer Kenntnis nicht ausreichend wirksam waren, um die festgelegten Kontrollziele zu erreichen.Zwischen dem 1. November 2021 und dem Datum des vorliegenden Schreibens sind keine wesentlichen Änderungen an diesen Kontrollen erfolgt.ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGENGCM SOC 2-BerichtGIC SOC 2-BerichtNeues ActiveDisclosure SOC 2-BerichtVENUE SOC 2-BerichteBrevia SOC 2-Berich Die Brückenbriefe sind für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar. Bericht anfordern Wir können zusätzliche Informationen bereitstellen, einschließlich unseres SOC 2 Typ II-Berichts, sobald eine Geheimhaltungsvereinbarung unterzeichnet wurdeSprechen Sie mit einem Experten oder +49 69 97 14 76 00 rufen Sie an Unser CISO, Dannie Combs, erörtert die Einhaltung von Sicherheits- und Regulierungsvorschriften DFIN spricht über Cybersicherheit in der Webinar-Reihe, die vom DFIN-Präsidenten von Global Capital Markets, Craig Clay, veranstaltet wird. Blog lesen