Sicherheit bei Adyen
Wir verpflichten uns, Ihre persönlichen Daten zu schützen und haben geeignete Maßnahmen zum wirksamen Schutz dieser Daten ergriffen. Um zu verhindern, dass unbefugte Personen oder Dritte auf Ihre Daten zugreifen können, haben wir diverse technische und organisatorische Maßnahmen ergriffen, um die Daten, die wir von Ihnen verarbeiten, zu sichern und zu schützen. Dazu gehören:
1. Sicherheitsprogramm, -Richtlinien und -Personal:
Wir unterhalten ein Informationssicherheitsprogramm, um Risiken zu erkennen und angemessene Kontrollen durchzuführen. Dieses Programm wird regelmäßig überprüft, um seine Wirksamkeit und Präzision auch weiterhin zu gewährleisten. Wir haben ein Vollzeit-Team für Informationssicherheit, das für die Überwachung, die Aufrechterhaltung und die kontinuierliche Verbesserung unserer Sicherheit zuständig ist. Wir verfügen über geeignete und wirksame Richtlinien und Verfahren zur Informationssicherheit, die für die Einhaltung der einschlägigen Vorschriften unerlässlich sind.
2. Audits und Zertifizierungen:
Wir unterziehen unabhängige Überprüfung unserer Sicherheits- und Compliance-Kontrollen, um gesetzliche und strategische Ziele zu erreichen. Die aktuellen Informationssicherheits-Prüfungen durch unabhängige Dritte bei Adyen umfassen:
a. Den Payment Card Industry Data - Sicherheitsstandard (PCI-DSS)
PCI-DSS umfasst eine Reihe von Richtlinien und bewährten Verfahren für die Informationssicherheit sowie Best-Practice-Verfahren, die einen „Mindestsicherheitsstandard“ für den Schutz der Zahlungskartendaten unserer Kunden festlegen. Adyen unterzieht sich mindestens einmal im Jahr einem Audit durch eine Drittpartei, um unser Produkt und unsere Zahlungsplattform nach dem PCI-DSS zu zertifizieren.
b. Systeme und Organisationskontrollen 2 (SOC 2) Typ 2
SOC 2 ist ein Bericht, der auf den bestehenden Trust Services Criteria (TSC) des Auditing Standards Board of the „American Institute of Certified Public Accountants‘ (AICPA) basiert. Zweck dieses Berichts ist es, die Informationssysteme von Adyen in Bezug auf Sicherheit, Verfügbarkeit, Vertraulichkeit und Datenschutz zu bewerten. Adyen unterzieht sich mindestens einmal jährlich einer Prüfung durch einen Dritten, um über die Eignung des Designs und die operative Wirksamkeit unserer Kontrollen zu berichten.
3. Zugriffskontrolle und Privilegien Management:
Wir beschränken den administrativen Zugriff auf unsere Produktionssysteme auf zugelassenes Personal. Bei der Einstellung erhalten unsere zugelassenen Mitarbeiter eindeutige IDs und Berechtigungsnachweise. Bei Beendigung des Arbeitsverhältnisses von genehmigten Mitarbeitern oder bei Verdacht auf Kompromittierung solcher Berechtigungsnachweise wird der administrative Zugang entzogen. Die Zugriffsrechte und -stufen richten sich nach der Funktion und Rolle unserer Mitarbeiter und basieren auf den Sicherheitskonzepten des „least-privilege“ und „need-to-know“, um sicherzustellen, dass die Zugriffsrechte mit den festgelegten Verantwortlichkeiten übereinstimmen.
4. Datenverschlüsselung:
Wir verschlüsseln Daten, und bei der Übertragung mit unseren Benutzerschnittstellen oder APIs (mittels TLS oder ähnlichen Technologien) über das Internet.
5.Sicherheitsüberwachung und Reaktion auf Vorfälle (Incident Response):
Wir haben einen Prozess für das Management von Sicherheitsvorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigen können. Dieser Prozess beinhaltet definierte Reaktionszeiten für Adyen zur Benachrichtigung der relevanten Parteien. Dieser Prozess spezifiziert Handlungsabläufe sowie Verfahren zur Benachrichtigung, Eskalation, Schadensbegrenzung und Dokumentation. Das Incident-Response-Programm umfasst 24×7 zentralisierte Überwachungssysteme und Bereitschaftspersonal, um auf Sicherheitsvorfälle zu reagieren.
6. Physische Sicherheit:
An unseren physischen Standorten, wie beispielsweise Datenzentren, gibt es Kontrollen, die den unbefugten physischen Zugang verhindern. Dazu gehören: Sicherheitskontrollpunkte, Authentifizierung mit Ausweis (oder biometrisch), obligatorische Besucheranmeldung und Videoüberwachung.
7. Netzwerkmanagement und Sicherheit:
Wir halten eine dem Industriestandard entsprechende und sichere Netzwerkarchitektur aufrecht, die durch eine ausreichende Bandbreite und eine redundante Netzwerkinfrastruktur unterstützt wird, um die Auswirkungen des Ausfalls einzelner Komponenten abzumildern. Unser Sicherheitsteam verwendet Industriestandardprogramme, um bekannte und nicht autorisierte Netzwerkaktivitäten abzuwehren, überwacht die Listen der Sicherheitshinweise auf Schwachstellen und führt regelmäßig externe Schwachstellenscans und Audits durch.
8. Sicherheit in unserem Entwicklungsprozess:
Unsere Produkte und unsere Zahlungsplattform sind unter Berücksichtigung der von der Industrie definierten Sicherheits- und Datenschutzpraktiken konzeptualisiert und entwickelt worden. Wir haben einen dokumentierten Produktentwicklungszyklus, bekannt als Secure Software Development Lifecycle (SSDLC), mit formalen Entwicklungsprinzipien.