Compliance

DFIN IT-Governance

IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.

DFIN IT-Risikomanagement

IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.

DFIN Anbieterrisikomanagement

Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.

Globale Investmentgesellschaften

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember bis 31. Mai. April belegt, bleibt ebenfalls in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Arc Suite
• ArcPro
• Druck- und Kompositionsdienste
• Andere Lösungen

Der GIC SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

Globale Kapitalmärkte

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember bis 31. Mai. April belegt, bleibt in Kraft.

Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

ActiveDisclosure

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.

Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• ActiveDisclosure

Der ActiveDisclosure-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

VENUE SOC 2 + HITRUST

Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember bis 31. Mai. April belegt, bleibt in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Venue

The VENUE SOC 2 + HITRUST report is available to current clients and prospective clients under a signed non-disclosure agreement.

ISO 27001-Zertifizierung

DFIN hat im Jahr 2022 ISO 27001 für das Unternehmen erhalten

Die ISO 27001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

ISO 9001-Zertifizierung

DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Druck
• Herstellung

Die ISO 9001-Zertifizierung ist für bestehende Kunden und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

Fragebögen zur Sicherheitsüberprüfung

DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Venue
• ActiveDisclosure
• Arc Suite
• Section 16, Form 144, Schedule 13D & 13G
• Druck und Zusammenstellung

SIGs, CAIQs und DDQs werden bestehenden Kunden zugänglich gemacht und erfordern eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann.

CAIQ und STAR Registry der Cloud Security Alliance

Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• CAIQ für Unternehmen abgeschlossen

Der CAIQ kann bestehenden und künftigen Kunden zugänglich gemacht werden und erfordert eine unterzeichnete Vertraulichkeitsvereinbarung oder eine Vertraulichkeitsklausel in einem bestehenden Dienstleistungsrahmenvertrag, bevor die Anfrage erfüllt werden kann.

Brückenbrief für SOC 2-Bescheinigung

DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN 
 

• GCM SOC 2-Bericht
• GIC SOC 2-Bericht
• ActiveDisclosure SOC 2-Bericht
• Venue SOC 2-Bericht

Die Brückenbriefe sind für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.