Beschreibung der Technischen und Organisatorischen Maßnahmen

Beschreibung der Technischen und Organisatorischen Maßnahmen


Die englischsprachiche Version dieser Vereinbarung ist die verbindliche Version, die das Verständnis der Parteien wiederspiegelt. Sofern gesetzlich nicht anders vorgeschrieben, wird die Übersetzung der Vereinbarung nur als Hilfestellung zur Verfügung gestellt. Im Falle eines Konflikts zwischen der englischsprachigen Version dieser Vereinbarung und einer Übersetzung in eine andere Sprache, gilt die englische Sprachversion.

Letzte Änderung am 01. August 2023 / Frühere Versionen

Nuance unterhält durch die Umsetzung und Durchsetzung der folgenden Richtlinien geeignete technische und organisatorische Maßnahmen:

Sicherheitsorganisation, Risikoanalyse und Risikomanagement

Nuance verfügt über eine professionelle Informationssicherheitsorganisation, die von einem Chief Information Security Officer geleitet wird und für die Bereitstellung stabiler Informationssicherheitskontrollen für Nuance-Produkte und -Umgebungen sorgt. Nuance führt jährliche Bewertungen der Konformität seiner Sicherheitskontrollen mit aktuellen Zertifizierungen und branchenüblichen Kontrollen durch. Weitere und ausführlichere Informationen über die Sicherheitsorganisation, die Risikoanalyse und das Risikomanagement von Nuance finden Sie unter https://www.nuance.com/about-us/trust-center.html(Neues Fenster öffnen).

Clearing, Ausbildung und Sanktionen für Mitarbeiter

Alle Mitarbeiter von Nuance werden Background-Checks unterzogen, bevor der Zugriff auf vertrauliche Daten gestattet wird. Das gesamte Personal erhält regelmäßig Sicherheitsschulungen. Nuance hat Richt-linien und Verfahren eingeführt, um Mitarbeiter, die gegen die Sicherheitsrichtlinien und -verfahren von Nuance verstoßen, mit Sanktionen zu belegen.

Physische Kontrollen

Nuance-Datenzentren - Alle Einrichtungen von Nuance sind durch physische Sicherheitskontrollen geschützt, einschließlich der Kontrolle der Umgebung, elektronischer Zugangssysteme, Schlösser und Kameras. Nuance speichert alle Produktionsdaten in physisch sicheren Datenzentren, die auch zusätzliche Zugriffsbeschränkungen aufweisen einschließlich durch eingeschlossene, verriegelnde Regale sowie sekundäre Authentifizierung und sekundären Zugang. Die Infrastruktursysteme von Nuance wurden so konzipiert, dass einzelne Fehlerquellen eliminiert und die Auswirkungen antizipierter Umweltrisiken minimiert werden.

Cloud-Datenzentrum - Microsoft Azure läuft in Datenzentren, die von Microsoft verwaltet und betrieben werden. Diese geografisch verteilten Datenzentren entsprechen den wichtigsten Industriestandards, wie ISO/IEC 27001:2013 und NIST SP 800-53, für Sicherheit und Zuverlässigkeit. Die Datenzentren werden vom Betriebspersonal von Microsoft verwaltet und überwacht. Das Betriebspersonal verfügt über jahrelange Erfahrung in der Bereitstellung der weltweit größten Online-Dienste mit Rund-um-die-Uhr-Verfügbarkeit. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.(Neues Fenster öffnen)

Zugang

Nuance hat alle Geräte, die personenbezogene Daten speichern, in Bereichen mit kontrolliertem Zugang untergebracht. Nuance gestattet nur Angestellten und vorübergehend Beschäftigten mit geschäftlichem Zweck den Zugang zu diesen kontrollierten Bereichen.

Zugangspunkte

Die nach außen gerichteten Webserver von Nuance und Zugangspunkte Dritter sind sicher konfiguriert, einschließlich etwa der Implementierung einer ordnungsgemäß konstruierten dedizierten Firewall, der Durchführung eines Virenchecks vor der Gewährung des Zugriffs auf das Netzwerk eines Drittanbieters sowie der Deaktivierung oder Entfernung von Routing-Prozessen zur Minimierung des Zugriffs.

Geschäftskontinuität, Wiederherstellung im Notfall

Nuance hat geeignete Pläne für die Geschäftskontinuität und die Notfallwiederherstellung implementiert und dokumentiert, um nach einem Störfall die Dienste zeitnah fortsetzen oder wieder aufnehmen zu können. Nuance testet und überwacht regelmäßig die Wirksamkeit ihrer Pläne zur Geschäftskontinuität und Notfallwiederherstellung.

Netzwerksicherheit

Nuance hat geeignete zusätzliche Maßnahmen zum Schutz personenbezogener Daten vor den spezifischen Risiken der Dienste ergriffen. Alle Daten werden bei der Übertragung über offene, öffentliche Netzwerke durch Verschlüsselung geschützt. Die Daten im Ruhezustand werden entweder durch Verschlüsselung oder durch kompensierende Sicherheitskontrollen geschützt, die Pseudonymisierung, segmentierte Netzwerke, eine mehrstufige Architektur, Firewalls mit Einbruchschutz und Anti-Malware-Schutz sowie eine Begrenzung des Port-Zugriffs umfassen. Personenbezogene Daten werden nur so lange aufbewahrt, wie es für gesetzliche Zwecke erforderlich ist, es sei denn, die Dienste erfordern etwas anderes.

Tragbare Geräte

Nuance speichert keine personenbezogenen Daten auf tragbaren Computergeräten oder Medien (einschließlich unter anderem Laptop-Computern, Wechselfestplatten, USB- oder Flash-Laufwerken, Personal Digital Assistants (PDAs) oder Mobiltelefonen, DVDs, CDs oder Computerbändern), es sei denn, sie werden mit mindestens 128 Bit oder einer höheren Bit-Verschlüsselung gemäß den aktuellen Best Practices der Branche verschlüsselt. Nuance-Endpunkte werden mit einer Standardkonfiguration bereitgestellt, die auf Organisationsebene implementiert wird.

Überwachung

Nuance ergreift geeignete Maßnahmen zur Überwachung der Sicherheit von personenbezogenen Daten und (gegebenenfalls) zur Identifizierung von Mustern verdächtiger Aktivitäten. Nuance entwickelt Anwendungen und Dienste, um die Speicherung sensibler Daten durch Nuance zu unterdrücken. Bei jeder identifizierten gehosteten Änderung überprüfen Sicherheits- und QA-Teams die Anforderungen an das Datenmapping, um sicherzustellen, dass die vorgesehenen Felder weiterhin unterdrückt werden. Nuance überwacht auch Sicherheitsprotokollierungsereignisse („security logging events“), die Anmeldeverletzungen oder -versuche einschließen. Zu den in den Protokollen gespeicherten Daten gehören unter anderem Zeitstempel, Hostname und Benutzername für die Nachvollziehbarkeit.

Ersuchen von betroffenen Personen

Nuance implementiert ein dokumentiertes Verfahren zur Unterstützung des Unternehmens bei der Beantwortung von Ersuchen betroffener Personen.

Anfragen von Behörden

Nuance wird personenbezogene Daten, die im Rahmen dieser AVV verarbeitet werden, nicht an Vollzugsbehörden weitergeben oder ihnen Zugang zu diesen Daten gewähren, es sei denn, dass dies gesetzlich vorgeschrieben ist, und nur bei Zustellung einer rechtsverbindlichen Anfrage oder Anordnung einer Regierungsbehörde.

Sollte Nuance gezwungen sein, Daten des Unternehmens gegenüber Vollstreckungsbehörden offenzulegen oder ihnen Zugang zu diesen Daten zu gewähren, wird Nuance das Unternehmen unverzüglich benachrichtigen und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist.

 

Description of technical and organizational measures

Last Modified August 1, 2023 / Previous Versions

Nuance maintains appropriate technical and organizational measures, through the implementation and enforcement of the following policies:

Security Organization, Risk Analysis and Risk Management
Nuance has a professional information security organization, headed by a Chief Information Security Officer, that works to provide robust information security controls for Nuance products and environments. Nuance performs annual assessments of the compliance of Nuance security controls with current certifications and industry standard controls. For further, and more explicit, details on the Security Organization, Risk Analysis, or Risk Management programs at Nuance, please refer to https://www.nuance.com/about-us/trust-center.html.

Workforce Clearing, Training and Sanctions
All Nuance personnel are subject to background checks before access to restricted data is permitted. All personnel receive regular security training. Nuance has adopted policies and procedures to apply workforce sanctions to employees who fail to comply with Nuance security policies and procedures.

Physical Controls
Nuance Data Centers - All Nuance facilities are protected by physical security controls including perimeter controls, electronic access systems, locks and cameras. Nuance stores all production data in physically secure data centers that also maintain additional access restrictions, including: caged, locking racks along with secondary authentication and access. Nuance’s infrastructure systems have been designed to eliminate single points of failure and minimize the impact of anticipated environmental risks.

Cloud Data Center - Microsoft Azure runs in data centers managed and operated by Microsoft. These geographically dispersed data centers comply with key industry standards, such as ISO/IEC 27001:2013 and NIST SP 800-53, for security and reliability. The data centers are managed, monitored, and administered by Microsoft operations staff. The operations staff has years of experience in delivering the world’s largest online services with 24 x 7 continuity. For additional information, please refer to https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility.

Access
Nuance has located all equipment that stores Personal Data in controlled access areas. Nuance will only allow employees and contingent workers with a business purpose to have access to such controlled areas.

Access Points
Nuance’s externally-facing web servers and third-party access points are configured securely, including (but not limited to) implementing a properly constructed dedicated firewall, requiring a virus check before granting access to any third-party network, and disabling or removing routing processes to minimize access.

Business Continuity, Disaster Recovery
Nuance has implemented and documented appropriate business continuity and disaster recovery plans to enable it to continue or resume providing Services in a timely manner after a disruptive event. Nuance regularly tests and monitors the effectiveness of its business continuity and disaster recovery plans.

Network Security
Nuance has implemented appropriate supplementary measures to protect Personal Data against the specific risks presented by the Services. All data is protected by encryption in transit over open, public networks. Data at rest is protected either by encryption or compensating security controls, which include pseudonymization, segmented networks, tiered architecture, firewalls with intrusion protection and anti-malware protections, and limiting of port access. Personal Data is only retained for the duration required for regulatory purposes, unless otherwise outlined by the Services.

Portable Devices
Nuance will not store Personal Data on any portable computer devices or media (including, without limitation, laptop computers, removable hard disks, USB or flash drives, personal digital assistants (PDAs) or mobile phones, DVDs, CDs or computer tapes) unless it is encrypted with a minimum of 128-bit, or such higher bit encryption in accordance with then current industry best practice. Nuance endpoints are provisioned with a default configuration, enforced at the organizational level.

Monitoring
Nuance takes appropriate steps to monitor the security of Personal Data and (if appropriate) to identify patterns of suspect activity. Nuance designs applications and services to suppress sensitive data being stored by Nuance. For every identified hosted change, security and QA teams review the data mapping requirements to validate the intended fields continue to be suppressed. Nuance also monitors security logging events which include log-on violations or attempts. Data retained from logs includes, but is not limited to, timestamp, hostname, and username for accountability.

Data Subject Requests
Nuance implements a documented process for assisting Company in responding to Data Subject Requests.

Governmental Requests
Nuance will not disclose or provide access to Personal Data being Processed under this DPA to law enforcement, unless required to by law, and only upon service of a legally‑binding request or order from a governmental authority.

If compelled to disclose or provide access to any Company Data to law enforcement, Nuance will promptly notify Company and provide a copy of the demand unless legally prohibited from doing so.