Das Unternehmen verlangt, dass beim Zugriff auf Produktionsdatenspeicher autorisierte sichere Authentifizierungsmechanismen, wie z. B. ein eindeutiger SSH-Schlüssel, verwendet werden.

Das Unternehmen beschränkt den privilegierten Zugriff auf Verschlüsselungsschlüssel auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Das Unternehmen verlangt, dass sich Systeme und Anwendungen über eindeutige Benutzernamen und Passwörter oder autorisierte Secure Socket Shell (SSH)-Schlüssel authentifizieren.

Das Unternehmen beschränkt den privilegierten Zugriff auf die Firewall auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Das Unternehmen verlangt für die Authentifizierung im "Produktionsnetzwerk" die Verwendung eindeutiger Benutzernamen und Passwörter oder autorisierter Secure Socket Shell (SSH)-Schlüssel.

Der Fernzugriff auf die Produktionssysteme des Unternehmens ist nur autorisierten Mitarbeitern mit einer gültigen Multi-Faktor-Authentifizierungsmethode (MFA) möglich.

Der Fernzugriff auf die Produktionssysteme des Unternehmens ist nur autorisierten Mitarbeitern über eine genehmigte, verschlüsselte Verbindung möglich.

Das Unternehmen überprüft seine Firewall-Regelsätze mindestens einmal jährlich. Erforderliche Änderungen werden bis zu ihrer vollständigen Umsetzung verfolgt.

Die Standards des Unternehmens zur Härtung des Netzwerks und der Systeme sind auf der Grundlage bewährter Verfahren der Branche dokumentiert und werden mindestens jährlich überprüft.

Der Systemzugriff ist nur autorisierten Personen gestattet.

Die Zugangskontrollrichtlinie des Unternehmens dokumentiert die Anforderungen für die folgenden Zugangskontrollfunktionen:

• Hinzufügen neuer Benutzer;
• Benutzer ändern; und/oder
• Zugriff eines bestehenden Benutzers entfernen.

Das Unternehmen beschränkt den privilegierten Zugriff auf Datenbanken auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Das Unternehmen beschränkt den privilegierten Zugriff auf das Betriebssystem auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Das Unternehmen beschränkt den privilegierten Zugriff auf das Produktionsnetzwerk auf autorisierte Benutzer mit einem geschäftlichen Bedarf.

Das Unternehmen nutzt ein Intrusion-Detection-System, um das Unternehmensnetzwerk kontinuierlich zu überwachen und potenzielle Sicherheitslücken frühzeitig zu erkennen.

Das Unternehmen nutzt ein Log-Management-Tool, um Ereignisse zu identifizieren, die sich potenziell auf die Fähigkeit des Unternehmens auswirken könnten, seine Sicherheitsziele zu erreichen.

Ein Infrastrukturüberwachungstool wird eingesetzt, um Systeme, Infrastruktur und Leistung zu überwachen und generiert Warnmeldungen, wenn bestimmte vordefinierte Schwellenwerte erreicht werden.

Das Netzwerk des Unternehmens ist segmentiert, um unbefugten Zugriff auf Kundendaten zu verhindern.

Das Unternehmen verwendet Firewalls und konfiguriert diese, um unberechtigten Zugriff zu verhindern.

Das Unternehmen verfügt über eine Infrastruktur, die den Dienst unterstützt und die im Rahmen der routinemäßigen Wartung sowie aufgrund identifizierter Schwachstellen regelmäßig mit Patches versehen wird, um sicherzustellen, dass die Server, die den Dienst unterstützen, gegen Sicherheitsbedrohungen geschützt sind.

Das Unternehmen verlangt, dass Passwörter für die betroffenen Systemkomponenten gemäß den Unternehmensrichtlinien konfiguriert werden.

Das Unternehmen lässt elektronische Datenträger, die vertrauliche Informationen enthalten, gemäß bewährten Verfahren löschen oder vernichten, und für jedes vernichtete Gerät wird eine Vernichtungsbescheinigung ausgestellt.

Das Unternehmen führt ein formelles Inventar der Produktionsanlagen.

Das Unternehmen verschlüsselt tragbare und austauschbare Speichermedien bei der Verwendung.

Das Unternehmen setzt Anti-Malware-Technologie in Umgebungen ein, die häufig anfällig für böswillige Angriffe sind, und konfiguriert diese so, dass sie regelmäßig aktualisiert, protokolliert und auf allen relevanten Systemen installiert wird.

Das Unternehmen führt Hintergrundüberprüfungen bei neuen Mitarbeitern durch.

Das Unternehmen verlangt, dass die Verträge mit den Auftragnehmern einen Verhaltenskodex oder einen Verweis auf den Verhaltenskodex des Unternehmens enthalten.

Das Unternehmen verpflichtet seine Mitarbeiter, bei Einstellung einen Verhaltenskodex anzuerkennen. Mitarbeiter, die gegen den Verhaltenskodex verstoßen, werden gemäß der Disziplinarrichtlinie disziplinarisch belangt.

Das Unternehmen verlangt von den Auftragnehmern, dass sie bei Vertragsabschluss eine Vertraulichkeitsvereinbarung unterzeichnen.

Das Unternehmen verlangt von seinen Mitarbeitern, dass sie bei der Einstellung eine Vertraulichkeitsvereinbarung unterzeichnen.

Die Unternehmensleiter sind verpflichtet, mindestens einmal jährlich Leistungsbeurteilungen ihrer direkten Mitarbeiter durchzuführen.

Das Unternehmen verfügt über ein Mobile Device Management (MDM)-System zur zentralen Verwaltung der mobilen Geräte, die den Dienst unterstützen.

Das Unternehmen verlangt von Besuchern, sich anzumelden, einen Besucherausweis zu tragen und von einem autorisierten Mitarbeiter begleitet zu werden, wenn sie das Rechenzentrum oder gesicherte Bereiche betreten.

Das Unternehmen verpflichtet seine Mitarbeiter, innerhalb von dreißig Tagen nach Einstellung und danach mindestens jährlich eine Schulung zum Thema Sicherheitsbewusstsein zu absolvieren.

Die Datenspeicher des Unternehmens, in denen sensible Kundendaten gespeichert sind, werden im Ruhezustand verschlüsselt.

Das Unternehmen führt mindestens jährlich Selbstbewertungen seiner Kontrollsysteme durch, um sicherzustellen, dass diese vorhanden sind und effektiv funktionieren. Auf Grundlage der Ergebnisse werden Korrekturmaßnahmen ergriffen. Sofern das Unternehmen für einen festgestellten Mangel eine Service-Level-Vereinbarung (SLA) vereinbart hat, wird die Korrekturmaßnahme innerhalb dieser SLA abgeschlossen.

Die Penetrationstests des Unternehmens werden mindestens jährlich durchgeführt. Ein Maßnahmenplan wird entwickelt und Änderungen werden gemäß den Service-Level-Agreements (SLAs) implementiert, um Schwachstellen zu beheben.

Das Unternehmen verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten bei der Übertragung über öffentliche Netzwerke zu verschlüsseln.

Die formellen Richtlinien des Unternehmens legen die Anforderungen für die folgenden Funktionen im Zusammenhang mit IT / Engineering fest:

• Schwachstellenmanagement;
• Systemüberwachung.

Das Unternehmen führt mindestens einmal jährlich Zugriffsüberprüfungen für die relevanten Systemkomponenten durch, um sicherzustellen, dass der Zugriff angemessen eingeschränkt ist. Erforderliche Änderungen werden bis zu ihrer Fertigstellung verfolgt.

Die Sicherheits- und Datenschutzvorfälle des Unternehmens werden von der Geschäftsleitung gemäß den Richtlinien und Verfahren des Unternehmens zur Reaktion auf Sicherheitsvorfälle protokolliert, verfolgt, behoben und den betroffenen oder relevanten Parteien mitgeteilt.

Mindestens jährlich werden hostbasierte Schwachstellenscans auf allen externen Systemen durchgeführt. Kritische und hochgradige Schwachstellen werden bis zu ihrer Behebung verfolgt.

Das Unternehmen verfügt über Geschäftskontinuitäts- und Notfallwiederherstellungspläne, die Kommunikationspläne zur Aufrechterhaltung der Informationssicherheit im Falle der Nichtverfügbarkeit von Schlüsselpersonal enthalten.

Das Unternehmen verfügt über einen dokumentierten Business Continuity/Disaster Recovery (BC/DR)-Plan und testet diesen mindestens einmal jährlich.

Das Unternehmen unterhält eine Cybersicherheitsversicherung, um die finanziellen Auswirkungen von Betriebsunterbrechungen abzumildern.

Das Unternehmen verfügt über ein Konfigurationsmanagementverfahren, um sicherzustellen, dass die Systemkonfigurationen in der gesamten Umgebung einheitlich bereitgestellt werden.

Das Unternehmen beschränkt den Zugriff auf die Übertragung von Änderungen in die Produktionsumgebung auf autorisiertes Personal.

Das Unternehmen verfügt über eine formale Methodik für den Systementwicklungslebenszyklus (SDLC), die die Entwicklung, den Erwerb, die Implementierung, die Änderungen (einschließlich Notfalländerungen) und die Wartung von Informationssystemen und den damit verbundenen Technologieanforderungen regelt.

Vervollständigen Sie eine Beschreibung Ihres Systems für Abschnitt III des Prüfberichts.

Das Unternehmen hat eine formalisierte Hinweisgeberrichtlinie eingeführt und einen anonymen Kommunikationskanal eingerichtet, über den Benutzer potenzielle Probleme oder Betrugsverdacht melden können.

Der Verwaltungsrat des Unternehmens oder ein zuständiger Unterausschuss wird mindestens einmal jährlich von der Geschäftsleitung über den Stand der Cybersicherheits- und Datenschutzrisiken des Unternehmens informiert. Der Verwaltungsrat gibt der Geschäftsleitung bei Bedarf Feedback und Anweisungen.

Der Verwaltungsrat des Unternehmens verfügt über eine schriftliche Satzung, in der seine Aufsichtsverantwortung für die interne Kontrolle festgelegt ist.

Die Vorstandsmitglieder des Unternehmens verfügen über ausreichende Expertise, um die Fähigkeit des Managements zur Konzeption, Implementierung und zum Betrieb von Informationssicherheitsmaßnahmen zu überwachen. Der Vorstand zieht bei Bedarf externe Experten und Berater für Informationssicherheit hinzu.

Der Verwaltungsrat des Unternehmens tagt mindestens einmal jährlich und führt ein formelles Protokoll. Dem Verwaltungsrat gehören Mitglieder an, die unabhängig vom Unternehmen sind.

Die Datensicherungsrichtlinie des Unternehmens dokumentiert die Anforderungen an die Sicherung und Wiederherstellung von Kundendaten.

Das Unternehmen benachrichtigt seine Kunden über wichtige Systemänderungen, die sich auf deren Verarbeitung auswirken könnten.

Das Management des Unternehmens hat klar definierte Rollen und Verantwortlichkeiten für die Überwachung der Konzeption und Implementierung von Informationssicherheitskontrollen festgelegt.

Das Unternehmen führt ein Organigramm, das die Organisationsstruktur und die Berichtswege beschreibt.

Die Rollen und Verantwortlichkeiten für die Konzeption, Entwicklung, Implementierung, den Betrieb, die Wartung und die Überwachung von Informationssicherheitskontrollen werden formell in Stellenbeschreibungen und/oder der Richtlinie zu Rollen und Verantwortlichkeiten festgelegt.

Die Informationssicherheitsrichtlinien und -verfahren des Unternehmens werden dokumentiert und mindestens jährlich überprüft.

Das Unternehmen verfügt über ein externes Supportsystem, das es den Benutzern ermöglicht, Systeminformationen über Ausfälle, Vorfälle, Bedenken und andere Beschwerden an die zuständigen Mitarbeiter zu melden.

Das Unternehmen teilt Systemänderungen autorisierten internen Benutzern mit.

Das Unternehmen stellt sicher, dass der Benutzerzugriff auf die relevanten Systemkomponenten auf der jeweiligen Berufsrolle und Funktion basiert oder dass vor der Bereitstellung des Zugriffs ein dokumentiertes Zugriffsantragsformular und die Genehmigung durch den Vorgesetzten erforderlich sind.

Das Unternehmen testet seinen Notfallplan mindestens einmal jährlich.

Das Unternehmen verfügt über Richtlinien und Verfahren zur Reaktion auf Sicherheits- und Datenschutzvorfälle, die dokumentiert und den autorisierten Benutzern mitgeteilt werden.

Das Unternehmen überprüft den Zugang zu den Rechenzentren mindestens einmal jährlich.

Die Sicherheitszusagen des Unternehmens werden den Kunden in Rahmenverträgen (Master Service Agreements, MSA) oder Nutzungsbedingungen (Terms of Service, TOS) mitgeteilt.

Das Unternehmen stellt seinen Kunden Richtlinien und technische Supportressourcen für den Systembetrieb zur Verfügung.

Das Unternehmen stellt internen und externen Nutzern eine Beschreibung seiner Produkte und Dienstleistungen zur Verfügung.

Das Unternehmen legt seine Ziele fest, um die Identifizierung und Bewertung der mit den Zielen verbundenen Risiken zu ermöglichen.

Die Risikobewertungen des Unternehmens werden mindestens jährlich durchgeführt. Im Rahmen dieses Prozesses werden Bedrohungen und Veränderungen (umweltbedingter, regulatorischer und technologischer Art) für die Serviceverpflichtungen identifiziert und die Risiken formell bewertet. Die Risikobewertung umfasst auch die Betrachtung des Betrugspotenzials und dessen Auswirkungen auf die Zielerreichung.

Das Unternehmen verfügt über ein dokumentiertes Risikomanagementprogramm, das unter anderem Leitlinien zur Identifizierung potenzieller Bedrohungen, zur Bewertung der Bedeutung der mit den identifizierten Bedrohungen verbundenen Risiken sowie zu Minderungsstrategien für diese Risiken umfasst.

Das Unternehmen hat schriftliche Verträge mit Lieferanten und verbundenen Dritten abgeschlossen. Diese Verträge beinhalten Vertraulichkeits- und Datenschutzverpflichtungen, die für das jeweilige Unternehmen gelten.

Das Unternehmen verfügt über ein Lieferantenmanagementprogramm. Bestandteile dieses Programms sind:

• kritischer Lagerbestand von Drittanbietern;
• Sicherheits- und Datenschutzanforderungen des Anbieters; und
• Überprüfung kritischer Drittanbieter mindestens jährlich.

Das Unternehmen verfügt über formale Aufbewahrungs- und Vernichtungsverfahren, um die sichere Aufbewahrung und Vernichtung von Unternehmens- und Kundendaten zu gewährleisten.

Das Unternehmen löscht oder entfernt Kundendaten, die vertrauliche Informationen enthalten, aus der Anwendungsumgebung gemäß bewährten Verfahren, wenn Kunden den Dienst verlassen.

Das Unternehmen verfügt über eine Datenklassifizierungsrichtlinie, um sicherzustellen, dass vertrauliche Daten ordnungsgemäß gesichert und nur autorisierten Mitarbeitern zugänglich gemacht werden.

Bei Polestar Analytics ist es unsere Mission, Organisationen zu befähigen, das volle Potenzial künstlicher Intelligenz durch verantwortungsvolle und innovative KI-Lösungen auszuschöpfen – basierend auf Transparenz, Verantwortlichkeit und Vertrauen. Wir sind überzeugt, dass das transformative Potenzial künstlicher Intelligenz stets Menschen, Organisationen und der Gesellschaft auf ethische und verantwortungsvolle Weise dienen sollte.

Unser Ansatz für die Entwicklung und den Einsatz von KI basiert auf ethischer Verantwortung und kontinuierlicher Überwachung, geleitet von unseren Prinzipien für verantwortungsvolle KI. Diese Prinzipien sind in unseren gesamten KI-Lebenszyklus integriert – vom Modelldesign und -training bis hin zu Einsatz und Überwachung – und erstrecken sich auf unsere internen Abläufe und Governance-Strukturen.

Wir setzen uns für eine nutzerzentrierte KI ein, die Anwender informiert, ihnen Kontrolle gibt und ihnen Vertrauen in ihre KI-gestützten Entscheidungen vermittelt. Jede unserer KI-Lösungen ist so konzipiert, dass sie erklärbar und nachvollziehbar ist. So stellen wir sicher, dass alle Beteiligten verstehen, wie KI-gestützte Erkenntnisse generiert werden und Empfehlungen vor dem Handeln überprüfen können.

Polestar Analytics wahrt höchste Standards in Bezug auf KI-Integrität, Datenschutz und Respekt gegenüber Interessengruppen – und schafft so einen Mehrwert für das Unternehmen bei gleichzeitigem Engagement für verantwortungsvolle KI-Innovationen.

Fairness

• KI-Systeme sollten fair entwickelt und eingesetzt werden, um Inklusion und Freiheit von unzulässiger Verzerrung zu gewährleisten. Dies erfordert die Verwendung repräsentativer Datensätze, regelmäßige Analysen auf Verzerrungen und die Implementierung von Schutzmaßnahmen, um Diskriminierung während des gesamten KI-Lebenszyklus zu verhindern.

Transparenz

• KI-Systeme sollten transparent funktionieren und nachvollziehbar machen, wann und wie KI Entscheidungsprozesse beeinflusst. Dazu gehört die Bereitstellung klarer Erläuterungen zum Zweck, zur zugrunde liegenden Logik, zu den Grenzen und zu den potenziellen Auswirkungen auf Nutzer und Stakeholder jedes Systems.

Rechenschaftspflicht

• KI-Systeme erfordern eine verantwortungsvolle Steuerung mit kontinuierlicher menschlicher Aufsicht über ihren gesamten Lebenszyklus. Klare Verantwortlichkeiten und Zuständigkeiten müssen in jeder Phase – von der Datenerfassung und Modellentwicklung bis hin zur Implementierung und dem laufenden Management – festgelegt werden.

Genauigkeit und Zuverlässigkeit

• KI-Systeme müssen ihren Zweck stets mit zuverlässigen und präzisen Ergebnissen erfüllen. Dazu gehört die Validierung der Leistung anhand hochwertiger Daten, die regelmäßige Überprüfung der Ergebnisse und die Behebung von Fehlern oder Abweichungen, um Vertrauen und Effektivität langfristig zu gewährleisten.

Datenschutz

• KI-Systeme müssen personenbezogene Daten rechtmäßig und im Einklang mit den Erwartungen der Nutzer verarbeiten. Sie müssen Kontrollmechanismen beinhalten, die sicherstellen, dass die Datennutzung autorisiert, zweckgebunden und während des gesamten Lebenszyklus angemessen geschützt ist.

Sicherheit

• KI-Systeme sollten robust sein, auf Angriffe getestet und so konzipiert, dass sie Modellmanipulation, Datenvergiftung und anderen neuartigen Angriffsmethoden widerstehen. Strenge Sicherheitsmaßnahmen sind entscheidend für die Aufrechterhaltung der Systemintegrität und die Verhinderung von Missbrauch.

Anpassungsfähigkeit

• KI-Systeme müssen angesichts sich wandelnder Datenmuster, Umweltveränderungen und sich ändernder Nutzeranforderungen robust bleiben. Modelle müssen so konzipiert sein, dass sie effizient aktualisiert, neu trainiert und feinabgestimmt werden können, um ihre Leistungsfähigkeit aufrechtzuerhalten und neu auftretende Risiken effektiv zu managen.

Kontrolle & Wahl

• KI-Systeme sollten Nutzern die Kontrolle über ihre Interaktionen ermöglichen und klare Optionen zur Nutzung KI-gestützter Funktionen bieten. Dies fördert einen reflektierten Umgang mit den von ihnen beigesteuerten Inhalten und Daten.