Compliance

Um die Informationswerte bei Optimizely zu schützen, haben wir die notwendigen Schritte unternommen, um die Zertifizierungen ISO 27001:2022, ISO 27017:2015, ISO 27018:2019, SOC 2 Type 2, PCI DSS v4.0.1 und TISAX zu erlangen. Dieser Prozess umfasste interne Audits, kritische Tests, Inspektionen, Bewertungen und Überprüfungen des Informationssicherheits-Managementsystems von Optimizely. Eine unabhängige Drittanbieter-Zertifizierung bedeutet, dass Sie darauf vertrauen können, dass Optimizely über robuste und wirksame Sicherheits- und Datenschutzkontrollen zum Schutz Ihrer Daten verfügt.

Unser Compliance-Programm stellt sicher, dass Sie und Ihre Kunden Optimizely vertrauen können und durch unabhängige Drittanbieter-Prüfungen die Gewissheit haben, dass wirksame und robuste Kontrollen Ihre Daten schützen.

Diese Zertifizierungen und Prüfberichte werden von unabhängigen Drittanbieter-Auditoren durchgeführt und sind auf Anfrage erhältlich. Bestehende Kunden können den Zugang über ihren Customer Success Manager anfordern. Interessenten wenden sich bitte an ihren Vertriebsmitarbeiter.

Produktzertifizierungen

Content Management System (CMS)

Aktuelle Liste der gültigen Zertifizierungen
  • ISO/IEC ISO27001:2022 – Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 – Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018:2019 – Schutz von PII in öffentlichen Clouds
  • SOC 2 Type 2 Attestierung

Commerce Connect

Aktuelle Liste der gültigen Zertifizierungen
  • ISO/IEC ISO27001:2022 – Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 – Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018:2019 – Schutz von PII in öffentlichen Clouds
  • SOC 2 Type 2 Attestierung
  • PCI DSS v 4.0.1 Self-Assessment-Attestierung

Web- & Feature Experimentation-Dienste

Aktuelle Liste der gültigen Zertifizierungen
  • ISO/IEC ISO27001:2022 – Informationssicherheits-Managementsysteme (ISMS)
  • ISO/IEC ISO27017:2015 – Informationssicherheitskontrollen für Cloud-Dienste
  • ISO/IEC 27018:2019 – Schutz von PII in öffentlichen Clouds
  • SOC 2 Type 2 Attestierung
  • PCI DSS v 4.0.1 QSA-geprüft

Campaign

Aktuelle Liste der gültigen Zertifizierungen
  • ISO/IEC ISO27001:2022 – Informationssicherheits-Managementsysteme (ISMS)
  • TISAX – Trusted Information Security Assessment Exchange
    • Dieser Standard bietet der europäischen Automobilindustrie einen einheitlichen, standardisierten Ansatz für Informationssicherheitssysteme.

Configured Commerce

Aktuelle Liste der gültigen Zertifizierungen
  • SOC 2 Type 2 Attestierung
  • PCI DSS v 4.0.1 Self-Assessment-Attestierung

Optimizely Data Platform (ODP)

Aktuelle Liste der gültigen Zertifizierungen
  • SOC 2 Type 2 Attestierung

Content Marketing Platform (CMP)

Aktuelle Liste der gültigen Zertifizierungen
  • SOC 2 Type 2 Attestierung

Analytics (ehemals Netspring)

Aktuelle Liste der gültigen Zertifizierungen
  • SOC 2 Type 2 Attestierung

HIPAA

Der Health Information Portability and Accountability Act (HIPAA) ist eine der wichtigsten sektorspezifischen Datenschutzvorschriften in den Vereinigten Staaten (USA). Der Minister für Health and Human Services (HHS) hat eine Reihe verbindlicher nationaler Standards entwickelt, die den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Gesundheitsdaten gewährleisten sollen. Bestimmte Unternehmen, sogenannte „Covered Entities" und „Business Associates", sind zur Einhaltung dieser Vorschriften verpflichtet, um sicherzustellen, dass Gesundheitsdaten ohne Beeinträchtigung ihrer Sicherheit übermittelt werden.

Optimizely unterstützt die HIPAA-Compliance als Business Associate durch folgende Verpflichtungen:

  • Implementierung und Aufrechterhaltung angemessener technischer und organisatorischer Sicherheitsmaßnahmen zum Schutz der Protected Health Information (PHI) unserer Kunden
  • Unverzügliche Benachrichtigung der Kunden bei Datenschutzverletzungen
  • Abschluss von Business Associate Agreements (BAAs) mit Unternehmenskunden

Optimizely bietet jetzt HIPAA-fähige Optimizely-Softwaredienste an:

  • Content Management System (CMS) (PaaS & SaaS)
  • Web- & Feature Experimentation-Dienste

Um unser Optimizely Business Associate Agreement einzusehen, wenden sich bestehende Kunden bitte an ihren Customer Success Manager. Interessenten wenden sich bitte an ihren Vertriebsmitarbeiter.

Cyber-Risikobewertungen

Cloud Security Alliance (CSA)

Die Cloud Security Alliance ist die weltweit führende Organisation, die sich für Bewusstseinsbildung, praktische Umsetzung und Zertifizierung im Bereich der Zukunft von Cloud- und Cybersicherheit einsetzt. Die Initiativen der CSA helfen Unternehmen, Cloud-Anbieter zu bewerten und Cloud-Sicherheitsstandards weltweit zu verbessern.

Optimizely stellt ein Level-1-Self-Assessment bereit, das unser Engagement für sichere PaaS- & SaaS-Cloud-Dienste unterstreicht.

Optimizely hat unsere CAIQ-Self-Assessments auf CAIQ 4.0 aktualisiert.

STAR Registry | CSA (cloudsecurityalliance.org)

HECVAT

Der Higher Education Information Security Council (HEISC) hat in Zusammenarbeit mit der Shared Assessments Working Group, EDUCAUSEInternet2 und dem Research & Education Networks Information Sharing & Analysis Center (REN-ISAC) das Higher Education Cloud Vendor Assessment Toolkit (HECVAT) entwickelt – ein Self-Assessment für Anforderungen an Informationssicherheit und Datenschutz im Hochschulbereich der Vereinigten Staaten für Cloud-Dienstleister. Die Details der Bewertung helfen Hochschuleinrichtungen (Universitäten und Colleges), zu überprüfen, ob Cloud-Dienste hinsichtlich Sicherheits- und Datenschutzanforderungen bewertet wurden, und ermöglichen eine einheitliche Methodik für Hochschuleinrichtungen, die Cloud-Dienste nutzen möchten.

Optimizely hat HECVAT- und HECVAT-Lite-Self-Assessments für unsere zentralen Cloud-Produkte abgeschlossen. Das Self-Assessment dokumentiert unsere Übereinstimmung mit Branchenstandards sowie die in unsere Produkte und Infrastruktur integrierte Sicherheit.

CyberGRX

Der Optimizely CyberGRX-Bericht steht allen Interessenten/Kunden kostenlos zur Verfügung.

Interessenten/Kunden können über die CyberGRX Global Risk Exchange Zugang zur validierten Tier-2-CyberGRX-Cyber-Risikobewertung anfordern.

FSQS/Hellios

FSQS-UK&I deckt die wichtigsten Bereiche des Drittanbieterrisikos in der Finanzdienstleistungsbranche ab, mit über 30 dedizierten Risikodomänen, die in den Lieferantenregistrierungsprozess integriert sind.

Optimizely wurde einer FSQS-Stage-3-Bewertung unterzogen.

Der FSQS/Hellios-Bewertungsbericht ist auf Anfrage erhältlich.

Sicherheit und Compliance

Für Unterstützung beim Zugang zu Sicherheits- und Compliance-Dokumenten können bestehende Kunden den Zugang über ihren Customer Success Manager anfordern. Interessenten wenden sich bitte an ihren Vertriebsmitarbeiter.

Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG/TKG)

Das deutsche Gesetz über den Datenschutz in der Telekommunikation und bei Telemedien, das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), regelt die Datenschutzaspekte der elektronischen Kommunikation und Telemedien in Deutschland. Das Gesetz befasst sich insbesondere mit der Vertraulichkeit und dem Schutz digitaler Kommunikation, einschließlich Aspekten wie Cookie-Nutzung und Datenspeicherung.

Optimizely verfügt über ein Sicherheitskonzept, das unsere Compliance mit dem deutschen Telekommunikationsgesetz als IKT-Anbieter beschreibt. Dieses ist auf Anfrage erhältlich.

Penetrationstest-Berichte

Optimizely führt regelmäßig Penetrationstests durch CREST-akkreditierte Drittanbieter für Penetrationstests durch.

Eine Kopie des Berichts sowie die Ergebnisübersicht sind auf Anfrage erhältlich.

Geschäftskontinuität und Disaster Recovery (BCDR)

Das Programm für Geschäftskontinuität und Disaster Recovery (BCDR) von Optimizely gewährleistet weltweit verfügbare Geschäftsabläufe und ermöglicht die effiziente Wiederherstellung des Geschäftsbetriebs bei großflächigen Störungen. Das BCDR-Programm von Optimizely stellt sicher, dass geschäftskritische und kundenorientierte Dienste kontinuierlich und ohne Unterbrechung betrieben werden.

Unsere BCDR-Programme umfassen Business-Continuity-Pläne, Business-Impact-Analysen und Disaster-Recovery-Pläne, die regelmäßig getestet werden.

Kundenorientierte DR-Berichte sind auf Anfrage erhältlich.

Infrastruktur-Compliance

Nachdem Plattformen eine strenge Drittanbieter-Überprüfung der Prozess- und technischen Kontrollen durchlaufen haben, übernehmen wir deren Kontrollen und implementieren unser eigenes Compliance-Framework auf Basis ihrer Tools.

Risikomanagement

Es werden regelmäßig Risikobewertungen durchgeführt, bei denen die größten Risiken identifiziert und Behandlungspläne erstellt werden. Die Risikobewertung, die Auswahl der wichtigsten Risiken und die Risikobehandlungspläne werden vom Security Governance Board überprüft und der Fortschritt wird nachverfolgt.

Robustes Sicherheitsframework

Optimizely implementiert branchenführende Sicherheitsmaßnahmen, darunter fortschrittliche Verschlüsselung, Multi-Faktor-Authentifizierung, regelmäßige Schwachstellenbewertungen und Intrusion-Detection-Systeme, um Kundendaten vor unbefugtem Zugriff, Datenschutzverletzungen und Cyberbedrohungen zu schützen.

Einhaltung globaler Standards

Optimizely hält eine Vielzahl von Compliance-Standards ein und stellt so sicher, dass wir höchste Erwartungen an Datenschutz, Sicherheit und Governance erfüllen. 

Kontinuierliche Überwachung und Auditierung

Optimizely führt eine kontinuierliche Überwachung unserer Systeme und Prozesse durch, um potenzielle Risiken zu erkennen, zu bewerten und zu minimieren. Regelmäßige interne und externe Audits werden durchgeführt, um die Einhaltung geltender Gesetze und Standards sicherzustellen und die Wirksamkeit unserer Sicherheitsprotokolle zu überprüfen.

Weitere Ressourcen

Cyberversicherung
  • Haftpflichtversicherungsnachweis mit Deckungssummen und Leistungen in Bezug auf allgemeine und insbesondere Cyberversicherung. 
Service-Level Agreement  
Dienstbeschreibungen