Compliance

DFIN IT-Governance

IT-Governance ist definiert als der Prozess, der den effektiven und effizienten Einsatz von IT gewährleistet, damit eine Organisation ihre Ziele durch die Festlegung von Protokollen wie Richtlinien und Standards erreichen kann. Das IT-Governance-Team von DFIN erleichtert diesen Prozess, indem es dafür sorgt, dass diese Protokolle existieren, formalisiert und genehmigt werden. Das Team verfolgt die Dokumente während des gesamten Prozesses und fördert das Bewusstsein, indem es sie dem Unternehmen leicht zugänglich macht. Unsere Kunden profitieren von diesem gut organisierten IT-Governance-Team, weil es für Konsistenz, Organisation, Vorhersehbarkeit und Ordnung sorgt.

DFIN IT-Risikomanagement

IT-Risikomanagement ist eine Kontrollmethode zur Erkennung, Bewertung, Überprüfung, Berichterstattung und Nachverfolgung von IT-Ereignissen, die sich nachteilig auf die Organisation auswirken könnten. Das IT-Risikomanagement-Team von DFIN hat ein kontinuierliches Risikobewertungsprogramm entwickelt und implementiert, das die Risiken einbezieht, die in verschiedenen Unterstützungssystemen wie internen und externen Audits/Compliance-Tests, Sicherheitsüberprüfungen, Kunden- und Lieferantenrisikomanagement und Ausnahmen von der IT-Governance ermittelt und bewertet werden. Kunden von DFIN profitieren von diesen Bemühungen, da sie sicherstellen, dass die IT-Sicherheit von DFIN auf einem akzeptablen niedrigen Risikoniveau liegt.

DFIN Anbieterrisikomanagement

Bei der Bewertung von Partnerschaften achtet DFIN ständig darauf, das Risiko über alle Bedrohungsvektoren hinweg zu verringern. Unser Anbieterrisikomanagementprogramm, das als Lieferkettensicherheit bezeichnet wird, bewertet die Brauchbarkeit aller potenziellen DFIN-Lieferanten. Der gut definierte Prozess von DFIN kategorisiert Lieferanten und bewertet ihr inhärentes Risiko. Ein Anbieter kann erst dann aufgenommen werden, wenn ein Lieferant kategorisiert, risikobewertet und zugelassen wurde. Neben neuen Lieferanten werden bestehende Lieferanten jährlich neu bewertet und einer umfassenden Sicherheitsüberprüfung unterzogen. Ein Teil dieses Prozesses ist die vollständige Behebung von Problemen, um ein zugelassener DFIN-Lieferant zu werden oder zu bleiben.

Globale Investmentgesellschaften

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GIC durch. Unsere SOC 2 Typ II-Prüfung dauert 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein sogenannter Bridge Letter, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt ebenfalls in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• ARC Suite
• ARC Pro
• Druck- und Kompositionsdienste
• Andere Lösungen

Globale Kapitalmärkte

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von GCM durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.

Der GCM SOC 2 Typ II-Bericht ist für bestehende und potenzielle Kunden im Rahmen einer unterzeichneten Vertraulichkeitsvereinbarung verfügbar.

Neues ActiveDisclosure

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens für das neue ActiveDisclosure von GCM durch. Als Teil unseres SOC 2-Audits führen wir auch einige SOC 1-Prüfungen durch, um zusätzliche Sicherheit bezüglich der Finanzberichterstattung zu gewährleisten.

Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Juni bis zum 30. November erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Dezember und dem 31. Mai belegt, bleibt in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Neues AD

eBrevia

Der externe Auditor der DFIN führt jährlich ein SOC 2-Audit des SOC 2-Kontrollrahmens von eBrevia durch. Unser SOC 2 Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. August bis zum 31. Januar erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats März erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. Februar und dem 31. Juli belegt, bleibt in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• eBrevia

VENUE SOC 2 + HITRUST

Der externe Auditor der DFIN führt jährlich ein SOC 2 + HITRUST von Venues SOC 2-Kontrollrahmen durch. Unser SOC 2 + HITRUST Typ II-Audit läuft über 6 Monate, wobei der Beobachtungszeitraum sich vom 1. Mai bis zum 31. Oktober erstreckt. Ein SOC 2 Typ II-Bericht wird im Laufe des Monats Dezember erstellt und anschließend den Kunden zur Verfügung gestellt. Ein Brückenbrief, der die Wirksamkeit unserer Kontrollen während des nicht beobachteten Zeitraums zwischen dem 1. November und dem 30. April belegt, bleibt in Kraft.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Venue

ISO 27001-Zertifizierung

DFIN hat im Jahr 2022 die ISO 27001-Zertifizierung für VENUE erhalten und strebt für das Jahr 2023 eine Unternehmenszertifizierung nach ISO 27001 an.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Venue

ISO 9001-Zertifizierung

DFIN hat die ISO 9001-Zertifizierung für seine Produktionsanlagen erhalten. Diese Einrichtungen umfassen Druck- und Kompositionsarbeiten, die im Inland erbracht werden.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Druck
• Herstellung

Fragebögen zur Sicherheitsüberprüfung

DFIN erstellt jedes Jahr mehrere Fragebögen vom Typ „SIG“ für Kunden, um diese bei der Sicherheitsüberprüfung und/oder den Audits ihres Lieferantenrisikomanagements zu unterstützen.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• Venue
• ActiveDisclosure
• ARC Products
• eBrevia
• File16
• Druck und Zusammenstellung

CAIQ und STAR Registry der Cloud Security Alliance

Als Teil der Cloud Security Alliance (CSA) Security, Trust, Assurance, und Registry (STAR) hat DFIN den CAIQ v3.1 der CSA abgeschlossen (v.4 steht noch aus). Der CAIQ bietet eine branchenweit anerkannte Möglichkeit, Cloud-Sicherheitskontrollen für IaaS-, PaaS- und SaaS-Dienste zu dokumentieren und vermittelt die Einhaltung der CSA Cloud Controls Matrix. Dadurch können unsere Kunden die allgemeine Cloud-Sicherheitslage von DFIN besser beurteilen. DFIN ist derzeit nicht bei STAR registriert.

ABGEDECKTE PRODUKTE UND DIENSTLEISTUNGEN

• CAIQ für Unternehmen abgeschlossen

Brückenbrief für SOC 2-Bescheinigung

DFIN stellt für alle unsere SOC 2-Berichte Brückenbriefe zur Verfügung. Der Brückenbrief besagt, dass unsere Kontrollen eingerichtet sind und sich während des nicht beobachteten Zeitraums unseres SOC 2-Audits auch nicht verändert haben. Nachstehend finden Sie eine Beispielsdarstellung:

An die zuständigen Stellen:
Mit diesem Schreiben bestätigen wir nach bestem Wissen und Gewissen folgende Zusicherungen:

• Die Beschreibung der Kontrollen im SOC 2-Auditbericht der DFIN vom 15. Dezember 2021 gibt im Wesentlichen die Aspekte unserer Kontrollen wieder, die für die internen Kontrollsysteme einer Nutzerorganisation von Bedeutung sein können.
• Die im SOC 2 Typ II-Bericht enthaltenen Kontrollen erfüllen die festgelegten Kontrollziele.
• Sämtliche in diesem Bericht enthaltenen Kontrollen waren vom 1. Januar 2021 bis zum 30. April 2021 in Kraft und bleiben auch vom 1. November 2021 bis zum Datum dieses Schreibens bestehen.
• Während des Berichtszeitraums sind keine rechtswidrigen Handlungen, Betrug oder nicht berichtigte Fehler aufgetreten, die sich auf das Management oder die Mitarbeiter, die für das SOC 2-Audit relevant sind, ausgewirkt haben könnten.
• Es wurden alle Vorfälle offengelegt, die nach unserer Kenntnis nicht ausreichend wirksam waren, um die festgelegten Kontrollziele zu erreichen.
• Zwischen dem 1. November 2021 und dem Datum des vorliegenden Schreibens sind keine wesentlichen Änderungen an diesen Kontrollen erfolgt.

• GCM SOC 2-Bericht
• GIC SOC 2-Bericht
• Neues ActiveDisclosure SOC 2-Bericht
• VENUE SOC 2-Bericht
• eBrevia SOC 2-Bericht