Compliance
DFIN demonstriert Compliance, indem es unseren Kunden eine Reihe von Berichten zur Verfügung stellt.

Berichterstattung über unsere Compliance
DFIN führt verschiedene Kontrollen durch, um die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu gewährleisten. Die Eckpfeiler der DFIN-Cybersicherheit stellen sicher, dass unsere Sicherheitskontrollen effektiv funktionieren und messen die Wirksamkeit von Governance-, Risiko- und Compliance-Programmen.

IT-Governance und -Risiko
Erfahren Sie mehr über IT-Governance und Risiko @DFIN.

Berichte und Dokumente
Erfahren Sie, wie DFIN die Einhaltung von Vorschriften im gesamten Unternehmen nachweist. Fordern Sie aktuelle Berichte und andere Artefakte an.
Übersicht
IT-Governance
IT-Risikomanagement
Anbieterrisikomanagement
IT-Governance und -Risiko
Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten.
Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen.
Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit).
DFIN IT-Governance
IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.
DFIN IT-Risikomanagement
IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.
DFIN Anbieterrisikomanagement
Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.
DFIN IT-Governance
Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten.
Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen.
Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit).
DFIN IT-Governance
DFIN IT Governance
IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.
DFIN IT-Risikomanagement
DFIN IT-Risikomanagement
IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.
DFIN Anbieterrisikomanagement
DFIN Vendor Risk Management
Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.
Übersicht
SOC 2 Typ II
Globale Investmentgesellschaften
Globale Kapitalmärkte
Neues ActiveDisclosure
eBrevia
VENUE SOC 2 + HITRUST
ISO 27001-Zertifizierung
ISO 9001-Zertifizierung
Gemeinsame Bewertung (SIG)
Cloud Security Alliance CAIQ
Brückenbriefe
Berichte und Dokumente
Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren.
DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen.
Globale Investmentgesellschaften
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
Globale Kapitalmärkte
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.
Neues ActiveDisclosure
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das neue ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.
Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
eBrevia
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von eBrevia durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. August bis zum 31. Januar erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats März erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Februar und dem 31. Juli belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
VENUE SOC 2 + HITRUST
Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 27001-Zertifizierung
DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 9001-Zertifizierung
DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Druck
- Herstellung
Fragebögen zur Sicherheitsüberprüfung
DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Venue
- ActiveDisclosure
- ARC Products
- eBrevia
- File16
- Druck und Zusammenstellung
CAIQ und STAR Registry der Cloud Security Alliance
Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- CAIQ für Unternehmen abgeschlossen
Brückenbrief für SOC 2-Bescheinigung
DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung:
An die zuständigen Stellen:
Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen:
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- GCM SOC 2-Bericht
- GIC SOC 2-Bericht
- Neues ActiveDisclosure SOC 2-Bericht
- VENUE SOC 2-Bericht
- eBrevia SOC 2-Bericht
Berichte und Dokumente
Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren.
DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen.
SOC 2 Typ II
Globale Investmentgesellschaften
Globale Investmentgesellschaften
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
Globale Kapitalmärkte
Globale Kapitalmärkte
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.
New ActiveDisclosure
Neues ActiveDisclosure
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das neue ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.
Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
eBrevia
eBrevia
DFIN’s third party auditor conducts an annual SOC 2 audit of eBrevia SOC 2 control framework. Our SOC 2 Type II audit runs for 6 months with the observation period of August 1st through January 31st. A SOC 2 type II report is then produced during the month of March and made available to clients thereafter. A bridge letter attesting that the effectiveness of our controls remains in place during the non-observation period of February 1st through July 31st.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
SOC 2 + HITRUST
VENUE SOC 2 + HITRUST
Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 27001-Zertifizierung
ISO 27001-Zertifizierung
DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an.
PRODUCTS & SERVICES COVERED
ISO 9001-Zertifizierung
ISO 9001-Zertifizierung
DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Druck
- Herstellung
Gemeinsame Bewertung (SIG)
Fragebögen zur Sicherheitsüberprüfung
DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.
PRODUCTS & SERVICES CO
- Venue
- ActiveDisclosure
- ARC Products
- eBrevia
- File16
- Druck und Zusammenstellung
Cloud Security Alliance CAIQ
CAIQ und STAR Registry der Cloud Security Alliance
Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- CAIQ für Unternehmen abgeschlossen
Brückenbriefe
Brückenbrief für SOC 2-Bescheinigung
DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung:
An die zuständigen Stellen:
Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen:
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- GCM SOC 2-Bericht
- GIC SOC 2-Bericht
- Neues ActiveDisclosure SOC 2-Bericht
- VENUE SOC 2-Bericht
- eBrevia SOC 2-Berich

IT-Governance und -Risiko
Erfahren Sie mehr über IT-Governance und Risiko @DFIN.
Übersicht
IT-Governance
IT-Risikomanagement
Anbieterrisikomanagement
IT-Governance und -Risiko
Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten.
Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen.
Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit).
DFIN IT-Governance
IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.
DFIN IT-Risikomanagement
IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.
DFIN Anbieterrisikomanagement
Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.
DFIN IT-Governance
Die IT-Governance von DFIN besteht aus Prozessen, mit denen wir unsere IT-Praktiken (Entwicklung, Infrastruktur, Cybersicherheit) mit unserer allgemeinen Geschäftsstrategie in Einklang bringen. Als wichtiger Teil unserer allgemeinen IT-Governance-Bemühungen sind wir in der Lage, Effizienz, Sicherheit und effektive Ressourcennutzung sowie die Einhaltung interner und externer Vorschriften zu gewährleisten.
Darüber hinaus stellt die IT-Governance von DFIN sicher, dass die Bedürfnisse unserer Stakeholder, einschließlich unserer Kunden, bewertet werden, um die Unternehmensziele zu bestimmen und die Richtung vorzugeben (bei der Entscheidungsfindung und der Festlegung von Prioritäten), um die Leistung und die Einhaltung der Vorschriften zu überwachen.
Das IT-Risikomanagementprogramm von DFIN wendet Risikomanagementmethoden an, um IT-bezogene Bedrohungen zu bewältigen. Unsere Bemühungen umfassen Verfahren, Richtlinien und Instrumente zur Ermittlung, Bewertung und Behebung potenzieller Bedrohungen und Schwachstellen in der IT-Landschaft von DFIN. Dies umfasst sowohl die interne Risikoanalyse als auch das Risiko von Drittlieferanten ( Lieferkettensicherheit).
DFIN IT-Governance
DFIN IT Governance
IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.
DFIN IT-Risikomanagement
DFIN IT-Risikomanagement
IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.
DFIN Anbieterrisikomanagement
DFIN Vendor Risk Management
Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.

Berichte und Dokumente
Erfahren Sie, wie DFIN die Einhaltung von Vorschriften im gesamten Unternehmen nachweist. Fordern Sie aktuelle Berichte und andere Artefakte an.
Übersicht
SOC 2 Typ II
Globale Investmentgesellschaften
Globale Kapitalmärkte
Neues ActiveDisclosure
eBrevia
VENUE SOC 2 + HITRUST
ISO 27001-Zertifizierung
ISO 9001-Zertifizierung
Gemeinsame Bewertung (SIG)
Cloud Security Alliance CAIQ
Brückenbriefe
Berichte und Dokumente
Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren.
DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen.
Globale Investmentgesellschaften
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
Globale Kapitalmärkte
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.
Neues ActiveDisclosure
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das neue ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.
Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
eBrevia
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von eBrevia durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. August bis zum 31. Januar erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats März erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Februar und dem 31. Juli belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
VENUE SOC 2 + HITRUST
Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 27001-Zertifizierung
DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 9001-Zertifizierung
DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Druck
- Herstellung
Fragebögen zur Sicherheitsüberprüfung
DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Venue
- ActiveDisclosure
- ARC Products
- eBrevia
- File16
- Druck und Zusammenstellung
CAIQ und STAR Registry der Cloud Security Alliance
Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- CAIQ für Unternehmen abgeschlossen
Brückenbrief für SOC 2-Bescheinigung
DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung:
An die zuständigen Stellen:
Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen:
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- GCM SOC 2-Bericht
- GIC SOC 2-Bericht
- Neues ActiveDisclosure SOC 2-Bericht
- VENUE SOC 2-Bericht
- eBrevia SOC 2-Bericht
Berichte und Dokumente
Das GRC-Team (Governance Risk and Compliance) der DFIN verwaltet die Compliance-Aktivitäten der gesamten Technologielandschaft von DFIN, um die Einhaltung von branchenspezifischen und behördlichen Vorschriften zu gewährleisten. Ein wesentlicher Teil der Aufgaben des GRC-Teams liegt in der Bewertung, der Festlegung von Kontrollrahmen und der anschließenden Bewertung und Prüfung von Kontrollmechanismen innerhalb dieser Rahmen. Des Weiteren bewertet und testet das GRC-Compliance-Team von DFIN anhand einer kontinuierlichen Bewertung unsere IT-Standards, Richtlinien und Verfahren.
DFIN ist sich der Tatsache bewusst, dass die Einhaltung von Vorschriften für unsere Kunden von entscheidender Bedeutung ist, weshalb wir verschiedene Berichte und Bewertungen zur Einsicht bereitstellen.
SOC 2 Typ II
Globale Investmentgesellschaften
Globale Investmentgesellschaften
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
Globale Kapitalmärkte
Globale Kapitalmärkte
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.
New ActiveDisclosure
Neues ActiveDisclosure
Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das neue ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.
Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
eBrevia
eBrevia
DFIN’s third party auditor conducts an annual SOC 2 audit of eBrevia SOC 2 control framework. Our SOC 2 Type II audit runs for 6 months with the observation period of August 1st through January 31st. A SOC 2 type II report is then produced during the month of March and made available to clients thereafter. A bridge letter attesting that the effectiveness of our controls remains in place during the non-observation period of February 1st through July 31st.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
SOC 2 + HITRUST
VENUE SOC 2 + HITRUST
Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
ISO 27001-Zertifizierung
ISO 27001-Zertifizierung
DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an.
PRODUCTS & SERVICES COVERED
ISO 9001-Zertifizierung
ISO 9001-Zertifizierung
DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- Druck
- Herstellung
Gemeinsame Bewertung (SIG)
Fragebögen zur Sicherheitsüberprüfung
DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.
PRODUCTS & SERVICES CO
- Venue
- ActiveDisclosure
- ARC Products
- eBrevia
- File16
- Druck und Zusammenstellung
Cloud Security Alliance CAIQ
CAIQ und STAR Registry der Cloud Security Alliance
Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- CAIQ für Unternehmen abgeschlossen
Brückenbriefe
Brückenbrief für SOC 2-Bescheinigung
DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung:
An die zuständigen Stellen:
Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen:
ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN
- GCM SOC 2-Bericht
- GIC SOC 2-Bericht
- Neues ActiveDisclosure SOC 2-Bericht
- VENUE SOC 2-Bericht
- eBrevia SOC 2-Berich


Wir können zusätzliche Informationen bereitstellen, einschließlich unseres SOC 2 Typ II-Berichts, sobald eine Geheimhaltungsvereinbarung unterzeichnet wurde
oder
+49 69 97 14 76 00 rufen Sie an

Unser CISO, Dannie Combs, erörtert die Einhaltung von Sicherheits- und Regulierungsvorschriften
DFIN spricht über Cybersicherheit in der Webinar-Reihe, die vom DFIN-Präsidenten von Global Capital Markets, Craig Clay, veranstaltet wird.
Blog lesen