公司的个人或业务相关数据需要特别保护。保证这些数据的安全,从而保护我们的客户、业务合作伙伴和员工,是通快的首要任务。因此,我们为数据保护、信息及 IT 安全制订了适当的组织及技术措施。
在通快,我们如何对待数据安全?
今天,保护个人数据具有极为重要的意义。我们通过数据保护管理系统满足这一要求。
为了确保信息的保密性、完整性和可用性,我们采取了全面的预防措施,并积极保护我们自己和我们的产品免受网络攻击。
您对数据保护有疑问,还是想要提供机密信息?请具名或匿名与我们联系。
我们如此实施数据保护
通快实施了数据保护管理系统 (DSM)。通过不同的措施、结构和流程来确保个人数据安全。由此,我们避免在处理个人数据方面触犯法律。我们的数据保护管理系统由彼此依托的六个模块组成。
我们的数据保护文化是合规文化中不可或缺的一部分,并写入通快行为准则。我们非常仔细地训练我们的员工认真地处理各种数据。
通过我们的数据保护计划,我们确保在通快实施和遵守数据保护。该计划规定了预防和限制数据保护违法行为的原则和基本措施。核心是通快数据保护指导原则。
我们的数据保护组织由大约 60 个联系人组成。他们确保所有员工都了解数据保护管理系统。同时,他们也是我们员工和公共咨询的联系人。
数据保护通信不仅能主动提高认识,而且可保证倾听效果,从而及早发现和避免数据保护风险。其中包括为管理人员和员工提供在线学习或现场培训。
在数据保护监控的帮助下,我们收集和评估所有与数据保护相关的数据。随后,迪琴根的中央数据保护团队根据结果得出改进数据保护管理系统的措施。
对于每个财政年度,中央数据保护团队都会与集团数据保护官协调设定目标,从而提高数据保护管理系统的有效性。中央数据保护团队每年将目标与结果进行一次比较,并得出新的目标。
我们的数据保护组织
我们如何应对数据保护风险或从根本上确保其不会发生?这是集团数据保护官 (KDSB) 携手迪琴根数据保护团队与数据保护网络共同关注的主题。通过这种方式,我们确保数据保护管理体系遍及所有业务领域和子公司,定期与当地负责人沟通并帮助设计解决方案。
董事会是通快集团数据保护的总负责人,并创造出遵守数据保护规定的企业文化。
在通快,集团数据保护官员执行法律规定的任务,以遵守数据保护条例。他与迪琴根的中央数据保护团队一起,监督数据保护法律和我们的数据保护准则是否得到遵守。他负责处理数据保护投诉,并与数据保护监管机构通信。他还开展交流和培训活动。此外,它还就所有数据保护问题向负责人员和专业部门提供咨询。
迪琴根的中央数据保护团队是公司法、诚信及风险共享部门的一部分,作为职能机构支持集团数据保护官处理所有与数据保护有关的案件。
为了管理数据保护问题,我们还依赖于在当地活跃的子公司和共享部门的当地联系人。他们支持各自的管理层执行数据保护要求。
我们的数据保护监控
通过数据保护监控,我们从通快的数据保护工作中收集可测量的数据和绩效指标。对于违反个人数据保护的情况,我们已经建立了举报流程。由此确保可对数据泄露和违规行为快速做出反应,并保证尽快恢复对个人数据的保护。
此外,中央数据保护团队还对子公司进行审计,以便定期检查它们的数据保护水平。
我们如何确保通快的信息和 IT 安全
通过 IT 和信息安全,我们希望避免通快、业务合作伙伴、客户和员工遭受损失。为此,我们实施适当的组织和技术措施。通过这种方式,我们保护各种信息以及我们的技术系统和产品免受网络攻击和由此造成的失灵。我们已经启动了 ISO27001 认证程序。
我们遵循明确的原则,例如须知、最小特权或设计安全。我们通过准则和流程始终如一地执行这些原则。
我们的信息安全管理系统 (ISMS) 源自国际标准,如 ISO 27001。我们还定期审查和更新我们的规则和流程。我们特别关注以下主题:
-
安全的软件开发和产品安全:使用通快产品和服务时的安全是我们的首要任务。因此,我们的软件开发有严格的准则。为了保护客户的机床和系统,我们识别安全漏洞、通知客户,并为他们提供必要的安全更新。所有最新的信息和更新都可以在此处一目了然地找到。
-
对供应商的明确要求:我们的供应商必须满足我们的 IT 和信息安全规定。我们通过合同及保密协议来确保这一点。通过这种方式,我们确保外部货物和服务符合我们的安全准则。
-
网络安全、数据安全和恢复过程:我们持续监控所有网络,并有针对性地管理访问。
-
防范恶意软件:我们通过广泛的措施来识别恶意软件并保护自己免受侵害。我们就员工对所有存储介质的处理做出规定。
-
访问系统:通过高安全标准和审批流程,我们保护我们所有的信息系统,防止非法访问。通过这种方式,我们实现了对密码和身份验证的高要求。
-
安全事件:我们对(潜在的)安全事件进行调查和处理,以避免潜在的安全风险。
我们的员工知道自己在处理信息和 IT 系统方面的责任。我们拥有由 80 多名信息安全协调员组成的组织良好的网络,为员工提供规则和指导原则,并通过独立的审计确保行为合规。
我们定期举办 IT 及信息安全方面的全面培训,例如安全软件开发。