DFIN Sicherheitsübersicht

Identifizieren, schützen, erkennen, reagieren, wiederherstellen – Das NIST-Cybersicherheitsrahmenwerk ist das Rückgrat der DFIN-Sicherheit. DFIN ist sich der Bedeutung eines umfassenden und robusten Informationssicherheitsprogramms bewusst und engagiert sich für unser erstklassiges Informationssicherheitsprogramm, den Datenschutz und die allgemeine Wirksamkeit der Cybersicherheit.

Sprechen Sie mit einem Experten

Unsere Systeme, Prozesse und Experten nutzen zahlreiche Tools, um unsere Kundendaten zu sichern

  • SOC2 Typ II Audits
  • Unterstützung der sicheren Softwareentwicklung durch statische und dynamische Anwendungstests (SAST/DAST), Code-Reviews und Software-Release-Analysen
  • Branchenführende Perimeterkontrollen und Firewalls der nächsten Generation
  • Umfassende, kontinuierliche Schwachstellen-Scans werden für alle Anwendungen durchgeführt, um Cyber-Schwachstellen schnell zu erkennen und zu beseitigen.
  • Verpflichtung zur DSGVO und anderen Datenschutzbestimmungen
  • Umfangreiches Sicherheitsbewusstsein und Schulung der Mitarbeiter
  • AES 256-bit encryption is used to protect data at rest
  • AES 256-Bit-Verschlüsselung wird verwendet, um ruhende Daten zu schützen
  • AES 256-Bit-Verschlüsselung wird verwendet, um Daten während der Übertragung zu schützen
  • Sicherheitsüberwachung und Alarmierung rund um die Uhr, das ganze Jahr über
  • Fortschrittliche E-Mail- und Bedrohungspräventionstechnologien
  • Einsatz von Antiviren-, Anti-Malware- und fortschrittlichen Endpunktschutztechnologien der nächsten Generation

  • Jährliche Penetrationstests durch Dritte, bei denen die Remediation-Bemühungen für jedes Ergebnis unabhängig validiert werden

    Strenge Governance- und Compliance-Kontrollen

IT Governance, Risiko und Compliance

SOC 2 Typ II

  • SOC 2 Typ II ActiveDisclosure-Audit und -Bericht jährlich neu
  • SOC 2 Typ II Global Investment Companies (GIC)-Audit und -Bericht jährlich
  • SOC 2 Typ II Veranstaltungsort- + HiTrust-Audit und -Bericht jährlich
  • SOC 2 Typ II Global Capital Markets (GCM)-Audit und -Bericht jährlich

AICPA-Trust-Service-Prinzipien

Strenges Governance-Programm, das die AICPA-Trust-Service-Prinzipien der Sicherheit, Verfügbarkeit und Vertraulichkeit nutzt

ISO 27001 Zertifikat für das Unternehmen

DFIN unterhält die ISO 27001-Zertifizierung für das Unternehmen

NIST CSF

  • Umfassende IT-Risikomanagementprozesse
  • Dedizierte Lieferkettensicherheit und Risikomanagement für Dritte
  • IT-Governance über Richtlinien, Verfahren und Standards
  • IT GRC berichtet direkt an den Chief Information Security Officer

Anwendungssicherheit

Verschlüsselung

  • Die Datenübertragung wird während der Übertragung über TLS v1.2 verschlüsselt
  • Statische und dynamische Anwendungssicherheitstests
  • AES 256-Bit-Verschlüsselung wird verwendet, um Daten im Ruhezustand zu schützen
  • AES-256-Bit-Verschlüsselung wird zum Schutz von Datenbankdateien verwendet

Identitätszugriffsverwaltung

Vollständige Unterstützung von Multifaktor-Authentifizierung und Einmalanmeldungsintegration für Kunden

Azure Key Vault für die Schlüsselspeicherung

Internes Zero-Trust-System, Privileged-Access-Management

Intern implementierte Identity-Lifecycle-Automatisierung

Bedrohungsmanagement

Kontinuierliche Durchführung unter Nutzung modernster Bedrohungsmanagement-Tools

 
 

Penetrationstests

Jährliche Penetrationstests durch Dritte zur unabhängigen Überprüfung der Sicherheitslage der DFIN-Produkte

  • Umfassende Penetrationstests unter Einbeziehung unabhängiger Dritter für laufende und routinemäßige Netz- und Systemtests
  • Penetrationstests umfassen nach außen gerichtete Produkte und Netzwerkinfrastruktur
  • Remediation Validation durch unabhängige Dritte

Anwendungsentwicklung

Code-Bewertungen

Während des gesamten Entwicklungsprozesses mehrfach durchgeführt

Strenge QS

Es gibt ein Testverfahren, um mögliche Probleme frühzeitig im Entwicklungsprozess zu erkennen, einschließlich SAST- und DAST-Tests.

SDLC und Continuous Integration / Deployment

DFIN setzt auf moderne Software Development Life Cycle (SDLC) und Continuous Integration sowie Continuous Deployment (CI/CD) Best Practices, die auf einen Release-Promotion-Prozess mit mehreren Umgebungen (Integration, Qualitätssicherung, Staging und Produktion) ausgerichtet sind

Infrastruktur

Umfassende Netzwerksicherheit

Infrastruktur-Sicherheitskontrollen sind vorhanden (Firewalls, IDS & IPS, Protokollverwaltung, Endpunktsicherheit usw.).

Technologie-Überwachung

Regelmäßige Scans der Netzwerk- und Server-Schwachstellen

Regelmäßige Betriebssystem-Patches (Microsoft Sicherheits-Patches werden jeden Monat eingespielt

Regelmäßiger Backup-Zeitplan

In Microsoft Azure gehostet

Datenhosting vor Ort

Dannie Combs - Chief Information Security Officer 

Vom Schreibtisch des CISO​

Geführt von Dannie Combs

SVP, Chief Information Security Officer

Das Unternehmensicherheitsteam unterstützt die Bereiche Sicherheitsvorfall und -reaktion, Anwendungssicherheit, Netzwerksicherheit sowie Sicherheits-Governance, Risiko sowie Compliance und leistet weitere Unterstützung:

  • Der Einsatz von Sicherheitstools und Dienstprogrammen zum Scannen und Überwachen von DFIN-Assets
  • Sicherheitsreaktionsteam und -prozess zur Bewältigung potenzieller Schwachstellen oder Ereignisse
  • Sicherheitsüberwachung und Protokollierung
  • Richtlinienmanagement – umfassende Richtlinien, einschließlich Informationssicherheitsrichtlinien und jährliche Mitarbeiterschulungen zum Thema Sicherheitsbewusstsein
  • Reaktion auf Cybersicherheitsvorfälle
  • Häufige, laufende Mitarbeiterschulungsprogramme und Best Practices
Phone expert Phone expert

Wir können zusätzliche Informationen bereitstellen, einschließlich unseres SOC 2 Typ II-Berichts, sobald eine Geheimhaltungsvereinbarung unterzeichnet wurde

Sprechen Sie mit einem Experten

oder

rufen Sie uns an unter
+49 69 97 14 76 00

Contact an Expert

Start the Conversation