Infos zum Start & Grundlagen
EinleitungOrganisation, Kanäle und MixesPosts, Karten & Content TypenRollen für NutzendeCommunity FunktionenMobile Apps & Web AppFunktions-& LeistungsbeschreibungTech StackSupportDatenschutz
Grundlage Datenschutzkonzept(e)NutzungsauswertungVerwaltung Zugangsdaten der NutzendenPersonenbezogene Daten und DatenkategorienInhalte in App und WebAuftragsdatenverarbeiterTOMsInformationssicherheit
Informationssicherheit bei tchopSicherheitsrichtlinie ISO27001 ZertifikatSicherer ZugangSchwachstellenanalyseRisikoanalyseKommunikationsmatrixApp Customization & Deployment
Bereitstellung AppsMobile App Deployment & Vertrieb
App CustomizationApp UpdatesSSO via SAMLSSO via Open ID ConnectAnalytics & Reporting
Grundlagen KPIsAnalytics DashboardProjektsteuerung
Arbeitspakete & TimelineEnablementLaunch & OnboardingBetriebsratBeispiele & VorlagenSonstiges
Feature RoadmapLanguages
EnglishInformationssicherheitsrichtlinie
Zweck und Geltungsbereich
tchop versteht sich als innovativer Dienstleister für die Entwicklung, die Bereitstellung und den Betrieb kundenspezifischer Software im Bereich Content und Kommunikation. Wir sind gegliedert in Verwaltung, Marketing & Vertrieb sowie Software-Entwicklung. Letztere ist auch für den Betrieb unserer IT verantwortlich.
Unser Unternehmensstandort ist Berlin. Wir arbeiten für Kunden auf der ganzen Welt, verstehen uns dabei als europäisches Unternehmen, welches größten Wert auf Informationssicherheit und Privatsphäre legt. Die stetige Optimierung und Verbesserung unserer Sicherheitsstandards hat für uns oberste Priorität.
Geltungs-/Anwendungsbereich
Unsere Kunden vertrauen uns Ihre Daten an und erwarten eine solide IT-Sicherheit sowie entsprechende Prozesse. Wir als tchop wissen um die Gefahr von Sicherheitsmängeln für unseren Unternehmenserfolg. Die vorliegende Informationssicherheitsrichtlinie adressiert diese Erfordernisse im Hinblick auf die Sicherheit der Informationsverarbeitung innerhalb unseres Unternehmens. Sie gilt somit für das gesamte Unternehmen.
Die Leitlinien und Anforderungen dieses Dokuments werden genau wie unser gesamtes ISMS kontinuierlich verbessert, um eine intakte Informationssicherheit zu gewährleisten. Von Zeit zu Zeit, aktualisiert tchop.io daher dieses Dokument.
Ziele unserer Informationssicherheitsrichtlinie
Das Vertrauen unserer Kunden und letztlich unser Geschäftserfolg beruhen darauf, dass wir:
1. Die Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Kunden wahren, 2. die gesetzlichen Vorgaben und nicht zuletzt die Datenschutzgesetze einhalten, 3. unsere Geschäftsgeheimnisse schützen, 4. integre Software sicher ausliefern und verwalten.
Vor diesem Hintergrund ist der Geschäftserfolg unseres Unternehmens unmittelbar davon abhängig, dass wir bestehende und zukünftige Risiken frühzeitig erkennen, durch geeignete Maßnahmen vermeiden bzw. mindern und verbleibende Risiken geeignet behandeln. Zu den Risiken zählen vor allem die unvollständige bzw. nicht korrekte Einhaltung von gesetzlichen Vorgaben, die unbefugte und ggf. unbemerkte Weitergabe von Betriebsgeheimnissen, die Verletzung von Vorgaben unserer Kunden aufgrund von Systemausfall, Datenverlust und am schwerwiegendsten der Preisgabe der von uns verwalteten Kundendaten.
Bedeutung der Sicherheit
Vor dem Hintergrund dieser Anforderungen muss Informationssicherheit ein integraler Bestandteil unserer Unternehmenskultur sein.
Jeder Mitarbeiter / jede Mitarbeiterin muss sich der Notwendigkeit der Informationssicherheit bewusst sein und die grundsätzlichen Auswirkungen von Risiken auf den Geschäftserfolg kennen.
Grundsätzliche Regelungen:
- Die Leitung hat Rounak Maheshwari zum Informationssicherheitsbeauftragten ernannt. Ihm wurde damit die Aufgabe übertragen, einheitliche Vorgaben für den Sicherheitsprozess zu erstellen, für ausreichende Sensibilisierung aller Mitarbeiter zu sorgen, sowie die Einhaltung der Sicherheitsrichtlinien angemessen zu überprüfen bzw. überprüfen zu lassen.
- Im Rahmen dieser Verantwortung haben wir eine Aufstellung unserer Assets (Daten, Systeme und Prozesse) angefertigt, eine Risikoanalyse und -bewertung durchgeführt und werden diese in regelmäßigen Abständen sowie nach gravierenden Änderungen aktualisieren.
- Nach Maßgabe dieser Leitlinie ist zunächst jede Organisationseinheit unseres Unternehmens für die Sicherheit der eigenen Daten und deren Verarbeitung verantwortlich ("Informationseigner", engl. “Asset Owner”).
- Zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen sind auf der Basis der Risikoeinschätzungen geeignete Maßnahmen in einem Sicherheitskonzept darzustellen und geeignet umzusetzen.
- Die Mitarbeiter/innen unseres Unternehmens erhalten bei Bedarf für den jeweiligen Arbeitsplatz spezielle Sicherheitsregeln, die insbesondere eine Meldepflicht bei Sicherheitsvorkommnissen beinhalten.
- Vor dem Hintergrund der oben genannten Sicherheitsziele sind angemessene Nachweise über die Einhaltung aller Sicherheitsmaßnahmen zu erbringen und zu archivieren.
- Die die Informationssicherheit betreffenden Unterlagen, Berichte, etc. sind einem geordneten Dokumentenmanagement zu unterwerfen, in dem die Erstellung, Freigabe, Verteilung, Archivierung geregelt sind.
- Dem Informationssicherheitsbeauftragten wird aufgegeben, der Leitung jährlich Berichte über die Sicherheitslage des Unternehmens zuzuleiten.
Kommunikation
Bitte kontaktieren Sie uns jederzeit mittels E-Mail an sicherheit@tchop.io wenn Sie Fragen zur tchop.io Informationssicherheitsrichtlinie haben.
Verpflichtungen
Als Management werden wir die Sicherheitsorganisation und den Sicherheitsprozess aktiv unterstützen. Unser Unternehmen wird sich nach dem Standard ISO 27001:2017 organisieren und die Management Elemente dieses Standards realisieren. Diese umfassen die Durchführung von regelmäßigen internen Audits, eine geeignete Dokumentenlenkung, die Managementbewertung und die Anwendung des Modells der kontinuierlichen Verbesserung (PDCA).
Jeder Mitarbeiter / jede Mitarbeiterin ist verpflichtet, die allgemeinen sowie die für den jeweiligen Arbeitsplatz geltenden Sicherheitsrichtlinien zu beachten und einzuhalten. Die vorliegende Sicherheitsleitlinie ist grundsätzlich nur unternehmensintern zu halten.
Bei Bedarf wird die Leitung darüber befinden, ob sie an Dritte (z. B. Kunden, Vertragspartner, Lieferanten) weitergegeben werden kann.
Diese Version (1.4) der Sicherheitsrichtlinie tritt am 15.2.2024 in Kraft.