Trust Center

NIS2

Xelion und das Cybersicherheitsgesetz

Xelion gehört zur Kategorie der "bedeutenden" Unternehmen. Bereits im Jahr 2021 haben wir damit begonnen, Maßnahmen gegen Informationssicherheitsrisiken zu ergreifen, indem wir ein ISO 27001-zertifiziertes Informationssicherheitsmanagementsystem (ISMS) eingeführt haben. Zu den wichtigsten Komponenten des ISMS gehören die Durchführung von Risikobewertungen, die Überprüfung von Anbietern, kontinuierliche Sensibilisierungsschulungen, PEN-Tests, Schwachstellenmanagement und ein ausgereiftes Verfahren zur Protokollierung von und Reaktion auf Vorfälle. Diese Komponenten sind auch ein großer Teil der Grundlage des Cybersicherheitsgesetzes, das Xelion größtenteils bereits einhält. Nichtsdestotrotz arbeiten wir hart daran, den Cybersecurity Act vollständig zu erfüllen, lange bevor er Gesetz wird.

Sind Sie Kunde, Partner oder Lieferant und haben Sie Fragen oder Anmerkungen zu diesem Thema? Zögern Sie nicht, uns dies mitzuteilen, damit wir Ihnen helfen oder Ihnen weitere Informationen zur Verfügung stellen können.

Aufrechterhaltung des Geschäftsbetriebs

Auf alle erdenklichen Risiken vorbereitet sein

Die Kontinuität unseres Dienstes ist entscheidend. Wenn ein Kunde aufgrund eines technischen Problems keine Anrufe tätigen oder entgegennehmen kann, hat das erhebliche Folgen. Zusätzlich zu den technischen Risiken gibt es auch organisatorische Risiken. Unabhängig davon, ob es sich um technische oder strategische Risiken handelt, haben wir die Risiken identifiziert und Fahrpläne für den Fall erstellt, dass eines dieser Risiken Realität wird. Diese Risiken werden nicht nur auf dem Papier dokumentiert, sondern es werden auch Simulationen von denkbaren und undenkbaren Szenarien durchgeführt, um zu bestätigen, dass die Kontinuität gewährleistet ist.

„Awareness“

Keine Sicherheit ohne Risikobewusstsein

Unsere Awareness-Schulungen gehen weit über das bloße Sperren des PCs, das Vermeiden von USB-Sticks und die Verwendung starker Passwörter mit Multi-Faktor-Authentifizierung (MFA) hinaus. Wir "hacken" uns regelmäßig selbst, um zu zeigen, welche Risiken innerhalb unserer Organisation und unserer Produkte bestehen können. Zusätzlich zur Aufklärung über potenzielle Risiken nutzen wir ein E-Learning-Programm. Auf der Grundlage einer Lückenanalyse wissen wir genau, wo unser Wissen ausreichend ist und wo zusätzliche Aufmerksamkeit erforderlich ist.
Dieses E-Learning-Programm enthält Module, die für jede Abteilung interessant sind. Nehmen wir zum Beispiel die Erkennung von Phishing und Deepfakes für unsere Support-Abteilungen.

Erklärung zum Datenschutz

Tu, was du sagst, und sag, was du tust

Xelion verarbeitet eine Vielzahl von Daten über verschiedene Medien, wie unsere Website, mobile Apps und Desktop-Apps. In unserer Datenschutzerklärung erklären wir transparent, welche Daten wir verarbeiten und zu welchem Zweck dies geschieht.
Wenn neue Funktionen zu unseren Produkten hinzugefügt werden, aktualisieren wir unsere Datenschutzerklärung entsprechend, damit Sie genau wissen, welche datenschutzsensiblen Daten wir verarbeiten.

Nutzung unserer Software

Neben unserer Datenschutzerklärung gelten auch die Nutzungsbedingungen, wenn Sie die Xelion-Software und die dazugehörigen Dienste verwenden. Darin wird unter anderem beschrieben, unter welchen Bedingungen unsere Software genutzt werden darf und welche Rechte und Pflichten für Nutzer gelten.
Die vollständigen Nutzungs- und Lizenzbedingungen sind in der Xelion End User Licence Agreement (EULA) enthalten, in der die Nutzung unserer Software und Dienste näher erläutert wird.

Authentifizierung

Wir schützen Ihre sensiblen Kommunikationsdaten

Xelion verwendet ein Management-Tool für die Verwaltung mehrerer Server und Mandanten. Dieses Tool ermöglicht den Zugriff auf die Umgebung Ihres Kunden oder Ihre eigene Umgebung. Zusätzlich zu einem starken Passwort ist eine Zwei-Faktor-Authentifizierung (2FA) erforderlich, um sich bei dem Management-Tool anzumelden. Wir registrieren genau, wer, wo und wann eine Anmeldung erfolgt ist. Unsere mobilen Anwendungen erfordern ebenfalls einen zweiten Faktor für eine sichere Anmeldung. Darüber hinaus bieten wir einen OpenID-Link für Microsoft Entra ID an, wenn Sie 2FA über Microsoft 365 einrichten möchten.

Passwortrichtlinie

Richtlinien sind gut, aber Maßnahmen sind besser

Bei Xelion gibt es eine strenge Passwortpolitik. Alle Mitarbeiter und Systeme müssen sich an diese Richtlinie halten. Wir erwarten auch von unseren Lieferanten, dass sie sich an unsere Richtlinien halten. Eine Richtlinie allein bietet jedoch keine Garantien. Daher setzen wir technische Maßnahmen ein, um die Verwendung unsicherer Passwörter zu verhindern.

Bug Bounty Programm

Wertschätzung für gefundene Schwachstellen

Auf der Grundlage von Responsible Disclosure haben wir ein kleines Bug Bounty-Programm. Dies ermöglicht ethischen Hackern, uns Schwachstellen zu melden. Je nach Gelegenheit und Auswirkung wird eine angemessene Belohnung gezahlt.

Zertifizierungen

NEN-EN-ISO/IEC 27001:2023 nl

Xelion verfügt über ein nach NEN und ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). In unserem Statement of Applicability geben wir an, welche Risiken wir mit welchen Maßnahmen abmildern.

Zu den wichtigen ISMS-Prozessen gehören:
- Vorfallsmanagement
- Risikomanagement
- Interne Audits
- Verwaltung von Vermögenswerten

Schwachstellenmanagement

Tägliche Überprüfung auf Sicherheitslücken

Wir scannen unsere wichtigsten Anlagen täglich auf Schwachstellen. Sobald Schwachstellen gefunden werden, werden wir sofort informiert und ergreifen die notwendigen Maßnahmen zur Risikominderung.

Phishing-Simulation

Erkennen von gefälschten E-Mails

Phishing ist nach wie vor eine der Hauptursachen für Datenschutzverletzungen. Trotz Maßnahmen wie Erkennung und Alarmierung bleibt Phishing eine Herausforderung für jedes Unternehmen. Aus diesem Grund führen wir regelmäßig Phishing-Simulationen durch, um die Mitarbeiter für die Gefahren zu sensibilisieren.

Secret Share

Verschlüsselte Informationsübertragung

Die Übermittlung sensibler Informationen, wie z. B. Zugangsdaten, sollte niemals unverschlüsselt erfolgen. Für solche Daten verwenden wir unser Secret Share Tool, bei dem die Daten eine Haltbarkeit zwischen 5 Minuten und 1 Woche haben. Nach einmaligem Lesen können die Daten vernichtet und mit einem zusätzlichen Passwort geschützt werden. Unser Secret-Share-Tool ist auch für Remote-Benutzer über secretshare.xelion.com verfügbar.

PEN-Prüfung

Digitales Hacken für Fortgeschrittene

Wir führen regelmäßig PEN-Tests durch, um Schwachstellen in Produkten oder Dienstleistungen zu ermitteln. Diese Tests bestätigen unsere "Security-by-default"- und "Privacy-by-default"-Methoden. Wir ermutigen unsere Kunden und Partner, auch untereinander PEN-Tests durchzuführen. Dies sollte jedoch in Absprache mit uns geschehen, damit wir bei Bedarf Hilfestellung leisten können.

DSGVO

Allgemeine Datenschutzverordnung

Xelion hält sich streng an die DSGVO. Wir informieren transparent über die Datenverarbeitung, deren Grundlagen und halten die Rechte der Betroffenen ein. Wir ergreifen technische und organisatorische Maßnahmen zur Risikobegrenzung, wie Risikoanalysen und Datenschutzschulungen für unsere Mitarbeiter.

KI und Datenverarbeitung

Innerhalb der Xelion-Plattform können optionale Funktionen genutzt werden, die mit künstlicher Intelligenz (KI) arbeiten. Diese Funktionen werden ausschließlich auf Anweisung des Wiederverkäufers und im Rahmen der in der geltenden Datenverarbeitungsvereinbarung festgelegten Vereinbarungen ausgeführt.

Anwendung von KI innerhalb von Xelion

KI wird zur Analyse und Strukturierung der Kommunikation eingesetzt. Dazu gehören unter anderem:

Transkription

Anrufaufzeichnungen werden über den Prozessor Bumicom in Text umgewandelt. Die Verarbeitung erfolgt auf Grundlage der Anrufaufzeichnung. Nach der Verarbeitung wird die Transkription in der Xelion-Umgebung gespeichert.

Analyse von Transkriptionen

Transkriptionen können über Ipster automatisch analysiert werden. Die Analyse folgt einer festgelegten Methodik, bei der jede Transkription auf der Grundlage einheitlicher Kriterien und vordefinierter Analysekategorien auf die gleiche Weise verarbeitet, bewertet und strukturiert wird. Der Prozess hängt nicht von der individuellen Interpretation pro Gespräch oder pro Benutzer ab. Die Analyse ist zudem anonymisiert und dient dazu, den Inhalt von Gesprächen zu strukturieren und Einblicke zu gewinnen.

KI-Assistenten

KI-Assistenten können Gespräche über SIP führen, wenn sie im System als Benutzer konfiguriert sind. Im Rahmen dieses Prozesses wird die Telefonnummer des Anrufers verarbeitet, um die Interaktion zu ermöglichen. Sämtliche oben genannten Verarbeitungsvorgänge finden innerhalb der EU statt.

Welche Daten werden verarbeitet?

Je nach aktivierter Funktionalität können folgende Daten verarbeitet werden:

Audioaufzeichnungen
Anruf-Metadaten
Transkriptionen
Telefonnummern der Anrufer
Konfigurationseinstellungen und Textanweisungen innerhalb des Portals

Über die vom Wiederverkäufer aktivierten Funktionen hinaus werden keine weiteren personenbezogenen Daten verarbeitet.

Verwendung von Daten für Schulungszwecke

Die über die Xelion-Plattform verarbeiteten personenbezogenen Daten werden nicht zum Trainieren oder Verbessern allgemeiner KI-Modelle von Xelion oder Dritten verwendet, es sei denn, dies wurde ausdrücklich schriftlich vereinbart.

Wird KI-Technologie von einem Drittanbieter verwendet, wird vertraglich festgelegt, dass die Daten ausschließlich für die Erbringung der vereinbarten Dienstleistung verwendet werden.

Aufbewahrungsfristen

Die AI-Ausgabe, einschließlich Transkriptionen und Analysedaten, wird in der Xelion-Umgebung gespeichert. Die Aufbewahrungsfrist beträgt derzeit ein Jahr. In einer zukünftigen Version wird diese Frist konfigurierbar sein. Xelion wendet keine unterschiedlichen oder zusätzlichen Aufbewahrungsfristen für die AI-Verarbeitung an.

Automatisierte Entscheidungsfindung

Die KI-Funktionen innerhalb von Xelion haben unterstützenden Charakter. Es werden keine vollständig automatisierten Entscheidungen mit rechtlichen Auswirkungen oder ähnlich bedeutenden Konsequenzen für Einzelpersonen ohne menschliches Eingreifen getroffen.

Sicherheit

Die KI-Verarbeitung unterliegt denselben technischen und organisatorischen Sicherheitsmaßnahmen wie der Rest der Plattform. Dazu gehören unter anderem die Verschlüsselung der Daten während der Übertragung, Zugriffskontrolle, Protokollierung und Überwachung.

Internationale Datenübermittlungen

Die KI-Verarbeitung findet innerhalb der EU statt. Sollten in Zukunft Unterauftragsverarbeiter außerhalb des Europäischen Wirtschaftsraums eingesetzt werden, wird dies in der Übersicht über Unterauftragsverarbeiter aufgeführt und es werden geeignete Schutzmaßnahmen gemäß der DSGVO getroffen.

Datentrennung

Daten werden nicht zwischen Kunden ausgetauscht. Die Verarbeitung erfolgt innerhalb der isolierten Umgebung des jeweiligen Wiederverkäufers oder Endkunden.

Verantwortung

Der Wiederverkäufer bleibt als Datenverantwortlicher dafür zuständig, die betroffenen Personen über die Verwendung von KI innerhalb seiner Dienste zu informieren. Xelion stellt auf Anfrage zusätzliche Informationen zur Verfügung, um Wiederverkäufer bei der Erfüllung ihrer Transparenzpflichten zu unterstützen.

Unterauftragsverarbeiter

Xelion nutzt sorgfältig ausgewählte Unterauftragsverarbeiter, um seine Dienstleistungen zu erbringen. Mit jedem Unterauftragsverarbeiter wurde eine Datenverarbeitungsvereinbarung geschlossen, die den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht. Wie in der Datenverarbeitungsvereinbarung beschrieben, die Xelion mit seinen Wiederverkäufern abschließt, werden Unterauftragsverarbeiter zur Unterstützung der Erbringung von Dienstleistungen beauftragt. Es werden zwei Kategorien unterschieden:

Standard-Unterauftragsverarbeiter

Parteien, die zum Kern der Xelion-Lösung gehören.

Name des Unterauftragsverarbeiters	Standort	Zweck der Verarbeitung	Datenverarbeitungsvereinbarung
CM.com	Niederlande	Hosting und Speicherung von Anwendungsdaten	Ja
ReadSpeaker	Niederlande	Erzeugung von Text-zu-Sprache-Audio	Ja
Bumicom	Niederlande	Transkription und Audioanalyse	Ja

Optionale Unterauftragsverarbeiter

Parteien, die für zusätzliche optionale Funktionen, Add-ons oder Erweiterungen verwendet werden.

Name des Unterauftragsverarbeiters	Standort	Zweck der Verarbeitung	Datenverarbeitungsvereinbarung
Plainwise	Niederlande	Integration mit Warteschlangenoptimierungssoftware	Ja
Microspace	Niederlande	Integration mit einer Plattform für moderne Kundenkommunikation	Ja
Kollie	Niederlande	Automatische Verarbeitung und Analyse von Telefongesprächen für die KI-Bot-Dienste von Xelion	Ja
Ipster	Niederlande	Automatische Bearbeitung und Analyse von Telefongesprächen, einschließlich der Verarbeitung von Daten für KI-Überwachungszwecke für die KI-Bot-Dienste von Xelion	Ausstehend
COTU	Vereinigtes Königreich	Automatische Verarbeitung und Analyse von Gesprächen für den AI-Bot-Dienst von Xelion	Ausstehend

Anforderungen an Unterauftragsverarbeiter

Xelion wendet bei der Auswahl und Beauftragung von Unterauftragsverarbeitern klare Anforderungen an. Diese Anforderungen stehen im Einklang mit der Datenschutz-Grundverordnung (DSGVO) und den für unsere Dienste geltenden Sicherheitsstandards, einschließlich der relevanten ISO-Normen.

Konkret bedeutet dies:

Mit jedem Unterauftragsverarbeiter wird ein Auftragsverarbeitungsvertrag abgeschlossen.
Unterauftragsverarbeiter ergreifen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
Unterauftragsverarbeiter handeln ausschließlich auf Anweisung und zum Nutzen von Xelion und seinen Kunden.
Unterauftragsverarbeiter werden regelmäßig auf die Einhaltung von Datenschutz- und Sicherheitsvereinbarungen überprüft.

Security Officer

Für die Meldung von Vorfällen sind wir rund um die Uhr über die in unserer security.txt file angegebenen Kontaktdaten erreichbar.

Haben Sie Fragen oder Anmerkungen zu unseren technischen Maßnahmen, zum Datenschutz oder zu anderen sicherheitsrelevanten Themen? Dann wenden Sie sich bitte an uns.

E-Mail: securityofficer@xelion.com
Telefon / WhatsApp: +31 152 511 411