Introducing Optimizely Opal
an all-new AI platform. See how it works
Skip to content
Optimizely Logo

Compliance

Um die Assets von Optimizely zu schützen, haben wir die notwendigen Schritte unternommen, um ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, SOC 2 Typ 1 und 2, PCI DSS v3.2.1 und TISAX zu erreichen. Dieser Prozess umfasste interne Audits, kritische Tests, Inspektionen, Bewertungen und Überprüfungen des Informationssicherheitsmanagementsystems von Optimizely. Die Zertifizierung durch einen unabhängigen Dritten bedeutet, dass Sie darauf vertrauen können, dass Optimizely über robuste und wirksame Sicherheits- und Datenschutzkontrollen zum Schutz Ihrer Daten verfügt.

Unser Compliance-Programm stellt sicher, dass Sie und Ihre Kunden Optimizely vertrauen können und von dritter Seite die Gewissheit erhalten, dass Ihre Daten durch effektive und robuste Kontrollen geschützt werden.

  • Optimizely arbeitet derzeit an der Umstellung auf ISO27001:2022 und geht davon aus, dass wir dies Interessenten/Kunden bis Ende des zweiten Quartals 2025 anbieten können.
  • Optimizely ist dabei, von PCI DSS v 3.2.1 auf v 4.0.1 umzusteigen, und erwartet, dies Interessenten/Kunden bis Ende Q1 2025 anbieten zu können.

Diese Zertifizierungen und Bestätigungsberichte werden von unabhängigen Prüfern durchgeführt und sind auf Anfrage erhältlich. Bestehende Kunden können den Zugang über ihren Customer Success Manager beantragen. Potenzielle Kunden wenden sich bitte an Ihren Vertriebsmitarbeiter, um Zugang zu erhalten.

Produkt-Zertifizierungen

Content Management System (CMS)

Aktuelle Liste der aktiven Zertifizierungen
  • ISO/IEC ISO27001:2013 - Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018: 2019 - Schutz von PII in öffentlichen Clouds
  • SOC 2 Typ 2-Attestierung
  • PCI DSS v 3.2.1 Bescheinigung zur Selbsteinschätzung (Self-Assessment)

Commerce Connect

Aktuelle Liste der aktiven Zertifizierungen
  • ISO/IEC ISO27001:2013 - Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018: 2019 - Schutz von PII in öffentlichen Clouds
  • SOC 2 Typ 2-Attestierung
  • PCI DSS v 3.2.1 Bescheinigung zur Selbsteinschätzung (Self-Assessment)

Web & Feature Experimentation Dienstleistungen

Aktuelle Liste der aktiven Zertifizierungen
  • ISO/IEC ISO27001:2013 - Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 - Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018: 2019 Schutz von PII in öffentlichen Clouds
  • SOC 2 Typ 2-Attestierung
  • PCI DSS v 3.2.1 QSA-geprüft

Kampagne

Aktuelle Liste der aktiven Zertifizierungen
  • ISO/IEC ISO27001:2013/2017 - Informationssicherheits-Managementsysteme (ISMS)
  • TISAX - Vertrauenswürdiger Austausch von Informationssicherheitsbewertungen
    • Dieser Standard bietet der europäischen Automobilindustrie einen einheitlichen, standardisierten Ansatz für Informationssicherheitssysteme.

Configured Commerce

Aktuelle Liste der aktiven Zertifizierungen
  • SOC 2 Typ 2-Zertifizierung
  • PCI DSS v 3.2.1 Selbsteinschätzungs-Zertifizierung

Optimizely Data Platform (ODP)

Aktuelle Liste der aktiven Zertifizierungen
  • SOC 2 Typ 1-Bescheinigung
    • SOC 2 Typ 2 Attestierung wird voraussichtlich bis Ende Q1 2025 erreicht werden

Content Marketing Platform (CMP)

Aktuelle Liste der aktiven Zertifizierungen
  • SOC 2 Typ 2-Zertifizierung

Analytik (ehemals Netspring)

Aktuelle Liste der aktiven Zertifizierungen
  • SOC 2 Typ 2-Zertifizierung

HIPAA

Der Health Information Portability and Accountability Act (HIPAA) ist eine der wichtigsten sektoralen Vorschriften zum Datenschutz in den Vereinigten Staaten (US). Das Ministerium für Gesundheit und Humangesundheit (HHS) hat eine Reihe von vorgeschriebenen nationalen Standards entwickelt, um die Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsdaten zu schützen. Bestimmte Unternehmen, so genannte "Covered Entities" und "Business Associates", müssen diese Vorschriften einhalten, um sicherzustellen, dass Gesundheitsdaten ohne Beeinträchtigung ihrer Sicherheit übermittelt werden.

Optimizely unterstützt die HIPAA Compliance als Geschäftspartner, indem es sich zu Folgendem verpflichtet:

  • Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Sicherheitsmaßnahmen zum Schutz der geschützten Gesundheitsdaten (Protected Health Information - PHI) eines Kunden
  • Unverzügliche Benachrichtigung der Kunden über etwaige Datenschutzverletzungen
  • Unterzeichnung von Business Associate Agreements (BAAs) mit Unternehmenskunden

Optimizely bietet jetzt Optimizely HIPAA-fähige Software Services an:

  • Content Management System (CMS) (PaaS & SaaS)
  • Web & Feature Experimentieren Dienstleistungen

Um unsere Optimizely Business Associate-Vereinbarung einzusehen, wenden Sie sich als aktueller Kunde an Ihren Customer Success Manager. Für potenzielle Kunden wenden Sie sich bitte an Ihren Vertriebsmitarbeiter.

Cyber-Risiko-Bewertungen

Allianz für Cloud-Sicherheit (CSA)

Die Cloud Security Alliance ist die weltweit führende Organisation, die sich für die Bewusstseinsbildung, die praktische Umsetzung und die Zertifizierung für die Zukunft der Cloud- und Cybersicherheit einsetzt. Die Initiativen der CSA helfen Organisationen bei der Bewertung von Cloud-Anbietern und der Verbesserung von Cloud-Sicherheitsstandards weltweit.

Optimizely bietet ein Level 1 Self-Assessment an, das unser Engagement für die Bereitstellung sicherer PaaS & SaaS Cloud-Services unterstreicht.

Optimizely hat seine CAIQ-Selbsteinschätzungen auf CAIQ 4.0 aktualisiert.

STAR-Register | CSA (cloudsecurityalliance.org)

HECVAT

Der Higher Education Information Security Council (HEISC) hat in Zusammenarbeit mit der Shared Assessments Working Group, EDUCAUSE, Internet2 und dem Research & Education Networks Information Sharing & Analysis Center(REN-ISAC) das Higher Education Cloud Vendor Assessment Toolkit(HECVAT) entwickelt, eine Selbsteinschätzung der Anforderungen an die Informationssicherheit und den Datenschutz im Hochschulbereich in den Vereinigten Staaten für Cloud-Service-Anbieter. Die Details der Bewertung helfen Hochschuleinrichtungen (Universitäten und Colleges) dabei, die Bewertung von Cloud-Diensten hinsichtlich der Sicherheits- und Datenschutzanforderungen zu validieren, und ermöglichen eine einheitliche Methodik für Hochschuleinrichtungen, die Cloud-Dienste nutzen möchten.

Optimizely hat eine HECVAT- und HECVAT-Lite-Selbsteinschätzung für seine zentralen Cloud-Produkte durchgeführt. Die Selbstbewertung zeigt, dass wir uns an den Industriestandards orientieren und die Sicherheit unserer Produkte und unserer Infrastruktur gewährleisten.

CyberGRX

Der Optimizely CyberGRX Bericht ist für alle Interessenten/Kunden kostenlos erhältlich.

Interessenten/Kunden können über den CyberGRX Global Risk Exchange Zugang zu der Tier 2 validierten CyberGRX Cyber-Risikobewertung beantragen .

FSQS/Hellios

FSQS-UK&I deckt die wichtigsten Bereiche des Drittparteirisikos in der Finanzdienstleistungsbranche ab, mit über 30 speziellen Risikobereichen, die in den Registrierungsprozess für Lieferanten integriert sind.

Optimizely wurde einer FSQS Stufe 3 Bewertung unterzogen.

Der FSQS/Hellios-Bewertungsbericht ist auf Anfrage erhältlich.

Sicherheit und Compliance

Wenn Sie Hilfe bei der Beantragung des Zugriffs auf Sicherheits- und Compliance-Dokumente benötigen, können bestehende Kunden den Zugriff über ihren Customer Success Manager beantragen. Für potenzielle Kunden wenden Sie sich bitte an Ihren Vertriebsmitarbeiter, um Zugang zu erhalten.

Telekommunikations- und Telemedien-Datenschutzgesetz (TTDSG/TKG)

Das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) regelt die datenschutzrechtlichen Aspekte der elektronischen Kommunikation und der Telemedien in Deutschland. Das Gesetz befasst sich speziell mit der Vertraulichkeit und Geheimhaltung digitaler Kommunikation und umfasst Elemente wie die Verwendung von Cookies und die Datenspeicherung.

Optimizely verfügt über einen Bericht zum Sicherheitskonzept, der unsere Compliance mit dem deutschen Telekommunikationsgesetz als IKT-Anbieter beschreibt und auf Anfrage erhältlich ist.

Penetrationstest-Berichte

Optimizely führt regelmäßig Penetrationstests mit Hilfe von CREST-akkreditierten Drittanbietern für Penetrationstests durch.

Eine Kopie des Berichts sowie die Problembehandlung sind auf Anfrage erhältlich.

Geschäftskontinuität und Disaster Recovery (BCDR)

Das Programm für Geschäftskontinuität und Disaster Recovery (BCDR) von Optimizely sorgt für die Aufrechterhaltung eines weltweit verfügbaren Geschäftsbetriebs und erleichtert die effiziente Wiederherstellung des Geschäftsbetriebs nach einer großflächigen Störung. Das BCDR-Programm von Optimizely trägt dazu bei, dass geschäftskritische und kundenorientierte Dienste kontinuierlich und ohne Serviceunterbrechung funktionieren.

Unsere BCDR-Programme umfassen Geschäftskontinuitätspläne, Business-Impact-Analysen und Disaster Recovery-Pläne, die in regelmäßigen Abständen getestet werden.

DR-Berichte für Kunden sind auf Anfrage erhältlich.

Compliance für die Infrastruktur

Nachdem die Plattformen eine strenge Bestätigung ihrer Prozesse und technischen Kontrollen durch Dritte erhalten haben, übernehmen wir ihre Kontrollen und implementieren unser eigenes Compliance-Framework auf ihren Tools.

Risikomanagement

Regelmäßige Risikobewertungen werden durchgeführt, wobei die wichtigsten Risiken identifiziert und Behandlungspläne erstellt werden. Die Risikobewertung, die Auswahl der Top-Risiken und die Pläne zur Risikobehandlung werden überprüft und der Fortschritt wird vom Security Governance Board verfolgt.

Robustes Sicherheits-Framework

Optimizely implementiert branchenführende Sicherheitsmaßnahmen, einschließlich fortschrittlicher Verschlüsselung, Multi-Faktor-Authentifizierung, regelmäßiger Schwachstellenbewertungen und Systeme zur Erkennung von Eindringlingen, um Kundendaten vor unbefugtem Zugriff, Verstößen und Cyber-Bedrohungen zu schützen.

Compliance mit globalen Standards

Optimizely hält sich an eine Vielzahl von Compliance-Standards, die sicherstellen, dass wir die höchsten Erwartungen an Datenschutz, Sicherheit und Governance erfüllen.

Kontinuierliche Überwachung und Audits

Optimizely führt eine kontinuierliche Überwachung unserer Systeme und Prozesse durch, um potenzielle Risiken zu erkennen, zu bewerten und abzumildern. Es werden regelmäßig interne und externe Audits durchgeführt, um die Compliance mit geltenden Gesetzen und Standards zu gewährleisten und die Wirksamkeit unserer Sicherheitsprotokolle zu überprüfen.

Andere Ressourcen

Cyber-Versicherung

Haftpflichtversicherungszertifikat mit Limits und Deckungssummen in Bezug auf die allgemeine und speziell die Cyber-Versicherung.

Service-Level-Vereinbarung

Ausführliche Informationen über die Service-Level-Vereinbarung von Optimizely finden Sie hier: Service-Level-Vereinbarung - Optimizely

Service-Beschreibungen

Produkt-Service-Beschreibungen