Trust Center

 

NIS2

Xelion und das Cybersicherheitsgesetz

Xelion gehört zur Kategorie der "bedeutenden" Unternehmen.Bereits im Jahr 2021 haben wir damit begonnen, Maßnahmen gegen Informationssicherheitsrisiken zu ergreifen, indem wir ein ISO 27001-zertifiziertes Informationssicherheitsmanagementsystem (ISMS) eingeführt haben. Zu den wichtigsten Komponenten des ISMS gehören die Durchführung von Risikobewertungen, die Überprüfung von Anbietern, kontinuierliche Sensibilisierungsschulungen, PEN-Tests, Schwachstellenmanagement und ein ausgereiftes Verfahren zur Protokollierung von und Reaktion auf Vorfälle. Diese Komponenten sind auch ein großer Teil der Grundlage des Cybersicherheitsgesetzes, das Xelion größtenteils bereits einhält. Nichtsdestotrotz arbeiten wir hart daran, den Cybersecurity Act vollständig zu erfüllen, lange bevor er Gesetz wird.

Sind Sie Kunde, Partner oder Lieferant und haben Sie Fragen oder Anmerkungen zu diesem Thema? Zögern Sie nicht, uns dies mitzuteilen, damit wir Ihnen helfen oder Ihnen weitere Informationen zur Verfügung stellen können.

 

Aufrechterhaltung des Geschäftsbetriebs

Auf alle erdenklichen Risiken vorbereitet sein

Die Kontinuität unseres Dienstes ist entscheidend. Wenn ein Kunde aufgrund eines technischen Problems keine Anrufe tätigen oder entgegennehmen kann, hat das erhebliche Folgen. Zusätzlich zu den technischen Risiken gibt es auch organisatorische Risiken. Unabhängig davon, ob es sich um technische oder strategische Risiken handelt, haben wir die Risiken identifiziert und Fahrpläne für den Fall erstellt, dass eines dieser Risiken Realität wird. Diese Risiken werden nicht nur auf dem Papier dokumentiert, sondern es werden auch Simulationen von denkbaren und undenkbaren Szenarien durchgeführt, um zu bestätigen, dass die Kontinuität gewährleistet ist.

 

„Awareness“

Keine Sicherheit ohne Risikobewusstsein

Unsere Awareness-Schulungen gehen weit über das bloße Sperren des PCs, das Vermeiden von USB-Sticks und die Verwendung starker Passwörter mit Multi-Faktor-Authentifizierung (MFA) hinaus. Wir "hacken" uns regelmäßig selbst, um zu zeigen, welche Risiken innerhalb unserer Organisation und unserer Produkte bestehen können. Zusätzlich zur Aufklärung über potenzielle Risiken nutzen wir ein E-Learning-Programm. Auf der Grundlage einer Lückenanalyse wissen wir genau, wo unser Wissen ausreichend ist und wo zusätzliche Aufmerksamkeit erforderlich ist.
Dieses E-Learning-Programm enthält Module, die für jede Abteilung interessant sind. Nehmen wir zum Beispiel die Erkennung von Phishing und Deepfakes für unsere Support-Abteilungen.

 

Erklärung zum Datenschutz

Tu, was du sagst, und sag, was du tust

Xelion verarbeitet eine Vielzahl von Daten über verschiedene Medien, wie unsere Website, mobile Apps und Desktop-Apps. In unserer Datenschutzerklärung erklären wir transparent, welche Daten wir verarbeiten und zu welchem Zweck dies geschieht.
Wenn neue Funktionen zu unseren Produkten hinzugefügt werden, aktualisieren wir unsere Datenschutzerklärung entsprechend, damit Sie genau wissen, welche datenschutzsensiblen Daten wir verarbeiten.

 

Authentifizierung

Wir schützen Ihre sensiblen Kommunikationsdaten

Xelion verwendet ein Management-Tool für die Verwaltung mehrerer Server und Mandanten. Dieses Tool ermöglicht den Zugriff auf die Umgebung Ihres Kunden oder Ihre eigene Umgebung. Zusätzlich zu einem starken Passwort ist eine Zwei-Faktor-Authentifizierung (2FA) erforderlich, um sich bei dem Management-Tool anzumelden. Wir registrieren genau, wer, wo und wann eine Anmeldung erfolgt ist. Unsere mobilen Anwendungen erfordern ebenfalls einen zweiten Faktor für eine sichere Anmeldung. Darüber hinaus bieten wir einen OpenID-Link für Microsoft Entra ID an, wenn Sie 2FA über Microsoft 365 einrichten möchten.

 

Passwortrichtlinie

Richtlinien sind gut, aber Maßnahmen sind besser

Bei Xelion gibt es eine strenge Passwortpolitik. Alle Mitarbeiter und Systeme müssen sich an diese Richtlinie halten. Wir erwarten auch von unseren Lieferanten, dass sie sich an unsere Richtlinien halten. Eine Richtlinie allein bietet jedoch keine Garantien. Daher setzen wir technische Maßnahmen ein, um die Verwendung unsicherer Passwörter zu verhindern.

 

Bug Bounty Programm

Wertschätzung für gefundene Schwachstellen

Auf der Grundlage von Responsible Disclosure haben wir ein kleines Bug Bounty-Programm. Dies ermöglicht ethischen Hackern, uns Schwachstellen zu melden. Je nach Gelegenheit und Auswirkung wird eine angemessene Belohnung gezahlt.

 

Zertifizierungen

NEN-EN-ISO/IEC 27001:2023 nl

Xelion verfügt über ein nach NEN und ISO 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). In unserem Statement of Applicability geben wir an, welche Risiken wir mit welchen Maßnahmen abmildern. Zu den wichtigen ISMS-Prozessen gehören:
- Vorfallsmanagement
- Risikomanagement
- Interne Audits
- Verwaltung von Vermögenswerten

 

Schwachstellenmanagement

Tägliche Überprüfung auf Sicherheitslücken

Wir scannen unsere wichtigsten Anlagen täglich auf Schwachstellen. Sobald Schwachstellen gefunden werden, werden wir sofort informiert und ergreifen die notwendigen Maßnahmen zur Risikominderung.

 

Phishing-Simulation

Erkennen von gefälschten E-Mails

Phishing ist nach wie vor eine der Hauptursachen für Datenschutzverletzungen. Trotz Maßnahmen wie Erkennung und Alarmierung bleibt Phishing eine Herausforderung für jedes Unternehmen. Aus diesem Grund führen wir regelmäßig Phishing-Simulationen durch, um die Mitarbeiter für die Gefahren zu sensibilisieren.

 

Secret Share

Verschlüsselte Informationsübertragung

Die Übermittlung sensibler Informationen, wie z. B. Zugangsdaten, sollte niemals unverschlüsselt erfolgen. Für solche Daten verwenden wir unser Secret Share Tool, bei dem die Daten eine Haltbarkeit zwischen 5 Minuten und 1 Woche haben. Nach einmaligem Lesen können die Daten vernichtet und mit einem zusätzlichen Passwort geschützt werden. Unser Secret-Share-Tool ist auch für Remote-Benutzer über secretshare.xelion.com verfügbar.

 

PEN-Prüfung

Digitales Hacken für Fortgeschrittene

Wir führen regelmäßig PEN-Tests durch, um Schwachstellen in Produkten oder Dienstleistungen zu ermitteln. Diese Tests bestätigen unsere "Security-by-default"- und "Privacy-by-default"-Methoden. Wir ermutigen unsere Kunden und Partner, auch untereinander PEN-Tests durchzuführen. Dies sollte jedoch in Absprache mit uns geschehen, damit wir bei Bedarf Hilfestellung leisten können.

 

DSGVO

Allgemeine Datenschutzverordnung

Xelion hält sich streng an die DSGVO. Wir informieren transparent über die Datenverarbeitung, deren Grundlagen und halten die Rechte der Betroffenen ein. Wir ergreifen technische und organisatorische Maßnahmen zur Risikobegrenzung, wie Risikoanalysen und Datenschutzschulungen für unsere Mitarbeiter.

 

Security Officer

Haben Sie Fragen oder Anmerkungen zu unseren technischen Maßnahmen, zum Datenschutz oder zu anderen sicherheitsrelevanten Themen? Nehmen Sie Kontakt mit uns auf!

E-Mail: securityofficer@xelion.com
Telefon / WhatsApp: +31 152 511 411