Datensicherheit

Einleitung

Zweck

Die Sicherheit der Daten ist uns wichtig. Diese Datenschutzinformationen sollen möglichst viele Fragen zur Sicherheit, Zuverlässigkeit und Verfügbarkeit der Anwendungen und Datenverarbeitungssysteme von DDI beantworten. Dieses Dokument beschreibt den Datenfluss für DDI-Technologie-basierte Lösungen und befasst sich mit den Sicherheitsmaßnahmen, die wir ergriffen haben, um jeden Teil des Prozesses zu schützen.

DDI: Wer wir sind, was wir tun

Development Dimensions International (DDI), ein globales Personalberatungsunternehmen, wurde im Jahr 1970 gegründet und hilft Unternehmen, die Lücke zwischen den heutigen Talentfähigkeiten und dem zukünftigen Talentbedarf zu schließen. Die Expertise von DDI umfasst die Konzeption und Implementierung von Auswahlsystemen sowie die Identifizierung und Entwicklung von Talenten an vorderster Front bis zur Geschäftsleitung. Weitere Informationen zu DDI finden Sie unter http://www.ddiworld.com.

DDIs Ansatz zur Datensicherheit

Die heutige Talentmanagement-Umgebung erfordert die Verarbeitung elektronischer Datensätze. Die Anwendungsfunktionalität hängt von der Speicherung und Übertragung von Informationen über DDI-Netzwerke und das Internet ab. Angemessene Sicherheit ist unerlässlich und vollständig in die Anwendungsfunktionalität und -prozesse integriert. DDI unterhält ein konsistentes Sicherheitsframework mit angemessenen Datenschutzstandards, innerhalb dessen Systemanwendungen und Benutzergruppen Informationen in verschiedenen Geschäftskontexten nutzen. DDI verfolgt einen mehrschichtigen Ansatz für die Informationssicherheit, der sich auf den Schutz von Benutzerdaten (einschließlich Kandidaten-, Teilnehmer-, Teilnehmer-, Administrator- und Kundeninformationen) und die Verhinderung vor unbefugtem Zugriff, Änderung oder Zerstörung bezieht. Unsere Richtlinien und Prozesse sind darauf ausgerichtet:

• Etablierung des DDI-Ansatzes für die Informationssicherheit
• Definieren Sie Mechanismen zum Schutz von Daten und zur Verhinderung von Missbrauch
• Schulung der DDI-Mitarbeiter über die Bedeutung eines sicheren Datenmanagements und das Erkennen potenzieller Sicherheitsbedrohungen
• Bereitstellen eines Kommunikationskanals für externe Anfragen zu dieser Richtlinie und den zugehörigen Systemen

DDI verpflichtet sich, unsere Geschäfte in einer Weise zu führen, die Vertrauen fördert, was die ordnungsgemäße Verwendung und Verwaltung personenbezogener Daten einschließt, die uns von unseren Kollegen, Kunden und Lieferanten zur Verfügung gestellt werden.

Sicherheits-Governance

Um die Datenintegrität zu gewährleisten, verfügt DDI über Ressourcen, Richtlinien und Prozesse, die dem Datenschutz gewidmet sind, einschließlich eines Data Security and Compliance Office und eines Data Protection Officer, die routinemäßig globale Standards überwachen. 

Der Datenschutzbeauftragte (DSB) von DDI legt die Vision und Strategie für das Sicherheits- und Compliance-Programm des Unternehmens fest und setzt diese durch, mit dem Ziel der globalen Konsistenz, um sicherzustellen, dass Risiken angemessen gemanagt und Ziele erreicht werden.

Sicherheit in Partnerschaft

Die Sicherheit und Vertraulichkeit der Daten unserer Kunden liegt in der gemeinsamen Verantwortung von DDI und unseren Kunden. DDI bietet eine sichere Plattform, auf der Kunden auf ihre Daten zugreifen und diese nutzen können. Darüber hinaus bietet DDI Tools, Dienstleistungen, Support und Ressourcen, die es unseren Kunden ermöglichen, die Sicherheit ihrer Daten während des gesamten Lebenszyklus des Auftrags zu gewährleisten. Weitere Informationen finden Sie in der Datenschutzerklärung von DDI.

Die Kunden sind während und nach ihrer Zusammenarbeit mit DDI gemeinsam für die Sicherheit ihrer Daten verantwortlich. Kunden müssen verstehen, welche Daten in DDI-Systemen gesammelt und gespeichert werden, und die entsprechende Richtlinie für die gemeinsame Nutzung von Daten definieren, um sicherzustellen, dass Daten nur an diejenigen weitergegeben werden, die zum Zugriff berechtigt sind. Die Richtlinie für die gemeinsame Nutzung von Daten sollte auf Risiko- und Compliance-Anforderungen abgestimmt sein, die mit der Bedeutung und Klassifizierung dieser Daten korrelieren.

Die Rolle von DDI als Datenverarbeiter

DDI-Kunden agieren als "Datenverantwortlicher" gemäß den Standardvertragsklauseln der Europäischen Union (EU). DDI fungiert als "Datenverarbeiter" gemäß den EU-Standardvertragsklauseln und der Datenschutz-Grundverordnung (DSGVO). Weitere Informationen finden Sie in der Datenschutzerklärung von DDI.

Datenschutzbestimmungen

DDI hat seinen Hauptsitz in den Vereinigten Staaten, bedient Kunden weltweit und hat Mechanismen eingesetzt, um sicherzustellen, dass Datenübertragungen aus der EU in die USA den von den EU-Datenschutzbestimmungen geforderten rechtlichen Schutz bieten, einschließlich der Selbstzertifizierung mit dem EU-US Data Privacy Framework (DPF), EU-Standardvertragsklauseln und der Zustimmung der Endnutzer. Die Zertifizierung von DDI im Rahmen des DPF kann unter https://www.dataprivacyframework.gov/ eingesehen werden. DDI achtet auf die Einhaltung aller geltenden Datensicherheits- und Datenschutzbestimmungen.  Weitere Informationen finden Sie in der Datenschutzerklärung von DDI auf DDIWorld.com.  Wenn Sie Fragen zur regulatorischen Anwendbarkeit haben, wenden Sie sich an DataProtectionOfficer@ddiworld.com.  

Drittanbieter

DDI nutzt Drittanbieter für die Bereitstellung unserer Dienste für Sie, wie in unseren Vereinbarungen beschrieben. Alle Drittanbieter sind verpflichtet, die Datenverarbeitungs-, Schutz- und Sicherheitsstandards von DDI einzuhalten.

Eine Liste unserer aktuellen Unterauftragsverarbeiter finden Sie unter https://www.ddiworld.com/thirdpartyproviders

Datenklassifizierung

DDI klassifiziert personenbezogene Daten, die wir erheben und verarbeiten, in vier Kategorien, die jeweils spezifische Maßnahmen zur Gewährleistung der Sicherheit erfordern. Die gesammelten Daten werden regelmäßig überprüft und nach Verwendung, Sensibilität und Bedeutung klassifiziert. 

Technische und organisatorische Maßnahmen

Viele unserer wichtigsten technischen und organisatorischen Maßnahmen (TOMs), Datensicherheit und -integrität, sind unten aufgeführt. Weitere Details zu diesen und anderen Steuerelementen werden weiter unten in diesem Dokument ausführlich beschrieben.

Infrastruktur-Kontrollen

Hosting-Umgebung

DDI-Dienste werden auf Microsoft Azure (https://azure.microsoft.com gehostet. In Microsoft-Rechenzentren werden die physischen Ressourcen und die Infrastruktur, die für die Bereitstellung von Cloudlösungen verwendet werden, sicher untergebracht. Microsoft besitzt, betreibt und wartet alle seine physischen Rechenzentren. Alle Dienste werden in redundanten Azure-Rechenzentren in den USA gehostet.

Microsoft Azure-Clouddienste arbeiten mit einem Cloud-Kontroll-Framework, das die Kontrollen an mehreren regulatorischen Standards ausrichtet. Microsoft entwirft und erstellt Clouddienste mithilfe eines gemeinsamen Satzes von Steuerelementen, wodurch die Einhaltung einer Reihe von Vorschriften nicht nur für heute, sondern auch für morgen optimiert wird. Microsoft beauftragt unabhängige Prüfer mit der Durchführung eingehender Prüfungen der Implementierung und Wirksamkeit dieser Kontrollen.

Microsoft Azure ist nach ISO/IEC 27001 und ISO/IEC 27017 zertifiziert. Auditberichte, einschließlich SOC 1 und SOC 2, sind unter https://servicetrust.microsoft.com verfügbar .

Die Cloud-Aufsichtsprozesse, -tools und -technologien von DDI, um die organisierte Aufsicht, Kontrolle, Verwaltung und Wartung von Cloud-Computing-Infrastruktur, -Diensten und -Ressourcen zu gewährleisten. Diese Prozesse, Tools und Technologien befinden sich im Besitz des Director of Global Technology Services and Information Security in Partnerschaft mit dem Director of DevOps.  Die Aufsichtstools decken sowohl infrastrukturelle als auch produktbasierte Setups ab. Die Überwachung ermöglicht es DDI-Administratoren, Kontrolle, Transparenz und Skalierbarkeit zu fördern und sich gleichzeitig schnell an Änderungen in der Cloud-Landschaft anzupassen.  Beispiele für die kritischen Vorgänge sind: - Installation, Änderung und Löschung von virtualisierten Geräten wie Servern, Netzwerken und Speicher; - Kündigungsverfahren für die Nutzung von Cloud-Diensten; - Sicherung und Wiederherstellung. 

DDI unterhält einen detaillierten Disaster Recovery-Plan für die Wiederherstellung des Geschäftsdienstes im Falle eines groß angelegten Systemausfalls. Dieser Plan wird aktualisiert, wenn Änderungen an der Systeminfrastruktur oder der Konfiguration der Produktionswebfarm vorgenommen werden, und wird jährlich getestet.

Anwendbare Zertifizierungen/Normen

SSAE-18-KARTON

DDI speichert Daten nur in Rechenzentren, die unvoreingenommene, positive jährliche SAS 70 Typ II-Audits erhalten haben. Beachten Sie, dass SAS 70 durch das Statement on Standards for Attestation Engagements (SSAE) Nr. 18 ersetzt wurde und unsere Rechenzentren nach diesem Standard zertifiziert sind.

ISO 27001 / ISO 27701 

DDI verwendet nur Rechenzentren, die ihre Einhaltung durch regelmäßige Bewertungen und jährliche Zertifizierungen nachgewiesen haben.   

DDI verfügt über eine eigene ISO27001-Zertifizierung und wird jährlich auditiert. DDI verfügt auch über eine eigene ISO27701-Zertifizierung, die jährlich geprüft wird. 

SOC 1/ SOC 2

DDI hat am 30. September 2023 ein Type1 SOC 2-Audit® für die Pinpoint-Plattform abgeschlossen.

DDI hostet alle Dienste in Rechenzentren, die auf SOC1 und SOC2 geprüft wurden.

Server-Härtung

Die Server von DDI bieten eine Vielzahl von Diensten sowohl für interne als auch für externe Benutzer, und einige Server speichern oder verarbeiten Informationen, die als sensibel oder vertraulich angesehen werden können. Angesichts der Tatsache, dass Server Ziel von Angriffen sein können, ist es wichtig, dass DDI-Server angemessen gesichert sind. Der Prozess von DDI zur Verbesserung der Serversicherheit umfasst die folgenden Maßnahmen:

• Das Deaktivieren oder Entfernen unnötiger Dienste, Anwendungen und Netzwerkprotokolle.
• Die Deaktivierung nicht benötigter Benutzerkonten und die Umbenennung von Standardkonten.
• Kennwortanforderungen, die so konfiguriert sind, dass sie der DDI-Kennwortrichtlinie entsprechen (siehe Anhang I).
• Aktivierung von Server-Logging und Audit-Trails.
• Installation von Antiviren-/Anti-Malware-Software mit aktuellen Definitionsdateien.
• Konfiguriert mit aktuellen Sicherheitspatches.

Aus Sicherheitsgründen können wir nicht alle Details unserer Serversicherheitskontrollen zur Verfügung stellen.

Patch-Verwaltung

Patches mit hoher Auswirkung sind Patches, die vor einem Sicherheitsrisiko schützen, das unser Netzwerk am oder vor dem Datum des Patches erheblich beeinträchtigen kann. Das IT-Team von DDI verteilt diese Patches sofort an alle Geräte, nachdem der Patch auf unseren Testplattformen getestet wurde. Die Verteilung erfolgt spätestens 24 Stunden nach der Identifizierung.

Patches mit mittlerer oder geringer Auswirkung sind definiert als Patches, die vor einem zukünftigen Sicherheitsrisiko schützen. DDI verteilt diese Patches an alle Geräte, nachdem der Patch auf unseren Testplattformen getestet und mit einer Kontrollgruppe von Benutzern getestet wurde. Die Verteilung erfolgt spätestens 2 Wochen nach Abschluss der Tests.

Sicherungs-, Aufbewahrungs- und Archivierungsverfahren

Die Daten werden jede Nacht inkrementell gesichert, um sicherzustellen, dass alle Anwendungen und Clientdaten erhalten bleiben und im Falle eines Datenverlusts oder eines katastrophalen Ereignisses wiederhergestellt werden können. Hot-Backups werden direkt in den Cloud-Speicher mit schnellem Zugriff erstellt und in den Cloud-Speicher der Archivebene übertragen. Tägliche Backups werden mit AES-256-Verschlüsselung zwei Wochen lang im Hot Storage gespeichert. Wöchentliche Vollsicherungen werden einen Monat lang im Archivspeicher gespeichert. Monatliche vollständige Sicherungen werden ein Jahr lang auf der Archivebene gespeichert. Jährliche vollständige Backups werden fünf Jahre lang in der Archivebene gespeichert. Der gesamte Speicher auf Archivebene ist AES-256-verschlüsselt.

Alle Backup-Daten werden in einer Zero-Trust-Cloud gespeichert, die von der Commvault-Cloud bereitgestellt wird. Die Rotation der Backups in den Archivtierspeicher erfolgt automatisch durch die Commvault-Software.

Wenn eine Systemwiederherstellung erforderlich ist, rufen DDI-Systemingenieure die Datei, die Daten oder den Systemstatus von einem Online-Backup-System ab. In diesem Fall kann die System- oder Datenbankwiederherstellung innerhalb weniger Minuten oder möglicherweise mehrerer Stunden abgeschlossen werden. DDI-Systemingenieure stellen die Datei, die Daten oder den Systemstatus sofort wieder her.

Backup-Zeitpläne und Datenaufbewahrung

· DB-Server-Backups: 1 Tage Protokollsicherungen alle 15 Minuten (im Hot-Tier-Cloud-Speicher) Inkrementelle Backups, die 3 Tage lang gespeichert werden (im Hot-Tier-Cloud-Speicher)

· Dateiserver und Produktions-VMs: 14 Tage lang im Cloud-Speicher der heißen Ebene aufbewahrt

· Office 365/Sharepoint Online: Gelöschte Elemente, die 5 Jahre lang im Cloudspeicher aufbewahrt werden

· Wöchentliche Kopie: 1 Monate lang im Archiv-Cloud-Speicher aufbewahrt

· Monatliche Kopie: 1 Jahre lang im Archiv-Cloud-Speicher aufbewahrt

· Jährliche Kopie: 5 Jahre lang im Archiv-Cloud-Speicher aufbewahrt

Rückgewinnung, Recycling und Entsorgung von Vermögenswerten

Hardware-Recycling-/Entsorgungsverfahren

1. Wenn die Hardware das Ende ihres Lebenszyklus erreicht hat, wird sie in einem verschlossenen Asset-Raum gelagert und zur Entsorgung aufbewahrt.
2. Ausgemusterte Geräte werden über einen R2-zertifizierten Recyclinganbieter recycelt
3. DDI erhält einen detaillierten Vernichtungsbericht über die Vermögenswerte, die zu Aufzeichnungszwecken recycelt wurden.

Verfahren zur Entsorgung von Festplatten

1. Alle Festplatten, Bandmedien, optischen Laufwerke usw. werden aus der Hardware entfernt und für eine sichere Massenvernichtung zu einem späteren Zeitpunkt aufbewahrt.
2. Für die sichere Datenvernichtung hat DDI die Dienste von Recyclinganbietern in Anspruch genommen, die Low-Level-, vom Verteidigungsministerium genehmigte 7-Pass-Wipe (DoD 5220.22-M(ECE)) einsetzen.
3. Dieser Prozess ist konform mit HIPPA, FACTA, GLB und nicht klassifiziertem Regierungsmaterial
4. Nicht funktionsfähige Festplatten werden entmagnetisiert.
5. Alle Daten werden gemäß der NIST-Sonderveröffentlichung 800-88 bereinigt
6. DDI erhält und bewahrt ein Vernichtungszertifikat zur Aufbewahrung von Aufzeichnungen auf.

Netzwerksicherheit

Bedrohungsinformationen 

DDI hat ein Sicherheitsteam aus funktionsübergreifenden Mitarbeitern eingerichtet, die sich auf Infrastruktur- und Anwendungssicherheit spezialisiert haben, um die Sicherheitslage kontinuierlich zu verbessern. In Zusammenarbeit mit dem Privacy, Security, and Compliance Office (PSCO) von DDI sammelt, analysiert, verbreitet und reagiert das Sicherheitsteam auf Informationen über aufkommende und potenzielle Bedrohungen für die Sicherheit des Unternehmens und seiner Daten.  

 Das Sicherheitsteam von DDI scannt und berücksichtigt proaktiv Bedrohungsinformationen aus verschiedenen internen und externen Quellen und über die folgenden Ebenen hinweg: 

• Strategisch: Allgemeine Informationen über die sich verändernde Bedrohungslandschaft. 
• Taktisch: Informationen über Methoden, Tools und Technologien von Angreifern. 
• Operationell: Details zu bestimmten Angriffen, einschließlich technischer Indikatoren. 

 Das Sicherheitsteam trifft sich wöchentlich, um Warnungen von Überwachungssystemen von Drittanbietern in Bezug auf potenzielle und neu auftretende Bedrohungen zu überprüfen und zu sichten und diese Informationen je nach Umfang, Dringlichkeit und Auswirkungen an die entsprechenden Ebenen des Unternehmens weiterzugeben. Die Ergebnisse des Triage-Prozesses werden verwendet, um die zu behandelnden Aktionspunkte zu bestimmen, die im DevOps-System erfasst werden. Der Leiter des Sicherheitsteams informiert das Executive Leadership Team (ELT) von DDI über alle unmittelbaren oder aktiven Bedrohungen, die direkte oder potenzielle Auswirkungen auf das Geschäft haben, und gibt einen Überblick über alle thematischen oder wesentlichen Bedrohungen, gegebenenfalls unverzüglich oder regelmäßig vierteljährlich. 

Netzwerk-Infrastruktur

Die Dienste von DDI werden in einer Cloud-Instanz gehostet, wobei Dienste verwendet werden, die zuverlässige und skalierbare Beschleunigungsfunktionen für unsere Anwendung bieten. Alle eingehenden Anfragen werden einem Lastenausgleich unterzogen und von einem sicheren Modul mit der Möglichkeit des Cachings überprüft. Die gesamte Infrastruktur befindet sich sicher in Containern, die durch eingehende und ausgehende Firewalls geschützt sind. Der gesamte Datenverkehr wird überprüft und protokolliert. Starke Authentifizierungsmethoden werden angewendet, um alle Ressourcen zu schützen.

Firewalls (Firewalls)

Application Layer Firewalls werden mit allen Assets/Infrastrukturen zum Schutz bereitgestellt. Alle Firewalls untersuchen den ein- und ausgehenden Datenverkehr und protokollieren dabei alle Sitzungen. Alle Firewalls bieten SSL-Entschlüsselung, IDPS und Theat Intelligence.

Intrusion Detection und Monitoring

DDI verwendet eine umfassende Reihe von Tools, die eine kontinuierliche Echtzeitüberwachung jeder Komponente ermöglichen, um

Funktionen. DDI beschäftigt ein Managed-Services-Sicherheitsunternehmen für Sicherheitsüberwachung, Firewall-Management und Intrusion-Detection-Systeme (Systeme zur Erkennung potenzieller Bedrohungen in Echtzeit) und Reaktionsprozesse.

DDI setzt sowohl hostbasierte als auch netzwerkbasierte Erkennungssysteme ein, die auf einer 24x7-Basis überwacht und darauf reagiert werden. DDI IT wird bei Erkennung von Anomalien sofort per Mobiltelefon benachrichtigt. Wöchentliche Berichte werden DDI zur Überprüfung zur Verfügung gestellt. Penetrationstests werden vierteljährlich durchgeführt.

Malware- und Virenschutz

DDI verwendet mehrere Überwachungsprodukte, um Netzwerke, Server, Datenbanken und Websites zu überwachen. Alle Anwendungs- und Systemereignisprotokolle werden ebenfalls überwacht. Die Überwachungsumgebung ist so konfiguriert, dass automatisch Warnungen an die entsprechenden Mitarbeiter gesendet werden, die 24x7 auf Abruf sind. Es gibt spezifische Eskalationspfade zu den entsprechenden DDI-Systemingenieuren und DBAs, um das Problem so schnell wie möglich zu lösen.

Darüber hinaus führen DDI-Netzwerküberwachungssysteme regelmäßig vollständige Scans aller aktiven Knoten im Netzwerk durch, um sicherzustellen, dass diese Knoten ordnungsgemäß konfiguriert sind und die aktuellste(n) Version(en) des Antiviren- und anderen sicherheitsrelevanten Codes (z. B. Hotfixes, Service Packs usw.) ausführen.

Alle entsprechenden Systeme – PCs, Server, Gateways, Systeme etc. – sind durch die Antiviren- und "Zero-Day-Protection"-Software Microsoft Defender geschützt, die zentral verwaltet und aktualisiert wird.

Alle Gateways sind durch Antivirensoftware geschützt, die zentral verwaltet und aktualisiert wird, und die E-Mail- und Browsing-Infrastruktur verwendet Inhaltsscan- und heuristische Scantechniken, um sicherzustellen, dass die Daten virenfrei sind.

Sichere Datenübertragung und Verschlüsselung

DDI verwendet SSL/TLS 1.2 für den sicheren Zugriff auf HTTPS-Anwendungsdaten. Die SSL-Technologie wird standardmäßig für alle DDI-Anwendungen bereitgestellt. Alle Passwörter und API-Schlüssel werden sicher in verschlüsselten Schlüsseltresoren gespeichert.

Alle Dateien (unabhängig von der Vertraulichkeit) bleiben verschlüsselt, wenn sie von einem DDI-Laptop auf ein externes Speichergerät kopiert werden. Wenn das externe Gerät nicht verschlüsselt ist, verschlüsselt die Enterprise Encryption Software von DDI das externe Gerät automatisch und schützt es mit einem Kennwort.

E-Mail gilt nicht als sichere Form der Kommunikation, DDI bietet jedoch die Möglichkeit, einzelne Nachrichten auf ausdrückliche Anfrage zu verschlüsseln.

Anwendungssicherheit

Datenfluss

Bei der Verwendung von DDI-Anwendungen fließen Daten in der Regel zwischen drei wichtigen Parteien: Endbenutzern, Kundenmitarbeitern/-kandidaten und DDI.

Wenn ein Endbenutzer auf eine DDI-Anwendung zugreift, werden die von ihm bereitgestellten Informationen über sichere verschlüsselte Methoden (TLS) übermittelt. Webdaten werden dem Endbenutzer in Form von Test-/Bewertungsfragen, Umfragen, Grafiken und anderen Inhalten bereitgestellt, die in der DDI-Anwendung enthalten sind. Die Daten werden von den Anwendungsservern verarbeitet und zur Speicherung an Datenbankserver übermittelt. Web-/Anwendungs- und Datenbankserver befinden sich in separaten logischen und physischen Netzwerken, die durch Firewalls geschützt sind.

DDI verwendet SSL/TLS 1.2 für den sicheren Zugriff auf HTTPS-Anwendungsdaten. Die TLS-Verschlüsselung ist standardmäßig für alle DDI-Anwendungen vorgesehen. Alle Backup-Daten werden in einer Zero-Trust-Cloud gespeichert, die auf allen Ebenen AES-256-Verschlüsselung verwendet. Die Verschlüsselung wird für Kennwörter verwendet, die in Anwendungsdatenbanken gespeichert sind. Alle Daten (unabhängig von der Vertraulichkeit) bleiben bei der Übertragung und im Ruhezustand verschlüsselt.

Rollenbasierte Sicherheit

Anwendungen verwenden ein rollenbasiertes Sicherheitsmodell, um Zugriffsrechte zu bestimmen. Kundendaten werden logisch nach Standort-, Dokument-, Benutzer- und anderen Kriterien getrennt. Systemänderungen werden durch den Change-Management-Prozess gesteuert (siehe spätere Abschnitte), der sich mit Qualitätssicherung, Tests, Dokumentation, Änderungsplanung und anderen IT-Betriebs-"Best Practices" befasst.

Kontoverwaltung und -zugriff

Die gesamte Verwaltung der Infrastrukturkomponenten und das Kontomanagement werden streng von DDI kontrolliert. Benutzerkonten werden automatisch gesperrt/deaktiviert, wenn sie sich nicht korrekt anmelden. Server- und Dienstkonten müssen über sichere Kennwörter verfügen, die alphanumerische, numerische,

und Sonderzeichen. DDI verwendet eine globale Remote-VPN-Lösung, die Authentifizierung und Verschlüsselung auf Industriestandardniveau umfasst.

Der Zugriff auf alle Daten (unabhängig von der Klassifizierung) erfolgt über ein "Least Rights Necessary"-Sicherheitsmodell, d. h. für Personen mit einem legitimen Geschäftsbedarf wie DDI und autorisierte Client-Endbenutzer, einschließlich Teilnehmer, Administratoren sowie verschiedene DDI- und Client-Support-Teams. Endbenutzern werden Berechtigungen für den Zugriff mit den geringsten Rechten gewährt, damit sie ihre Arbeit effektiv und effizient erledigen können. Die gesamte Verwaltung und Kontoführung wird streng von DDI kontrolliert. Benutzerkonten müssen über sichere Kennwörter und passwortgeschützte Bildschirmschoner verfügen. Der Kontozugriff wird nach übermäßigen Anmeldefehlern oder Beendigung des Arbeitsverhältnisses automatisch deaktiviert.

Direkter Datenbankzugriff

Nur sehr ausgewählte Mitglieder des Entwicklungsteams von DDI haben Zugriff auf Datenbankebene. Dieser Zugriff wird für die Erstellung von Offsite-Backups und die Durchführung von Datenwiederherstellungen verwendet. Dies alles geschieht, ohne Daten anzuzeigen.  Weitere Informationen finden Sie in Anhang II.

Im Rahmen des PIM-Prozesses (Privileged Identity Management) von DDI verwendet DDI die Tools Azure AD Entitlement Management und Azure Identity Governance für die Verwaltung und Überwachung privilegierter Konten und deren Zugriff auf vertrauliche Informationen.  Um diesen Prozess zu unterstützen, müssen alle Datenbankzugriffsanträge formell begründet und genehmigt werden.  Im Falle einer Genehmigung wird der Zugriff nur für einen begrenzten Zeitraum gewährt.

Zugriff auf Anwendungen

Anwendungen verwenden ein rollenbasiertes Sicherheitsmodell, um Zugriffsrechte zu bestimmen. Kundendaten werden logisch nach Standort-, Dokument-, Benutzer- und anderen Kriterien getrennt. Systemänderungen werden durch einen Best-Practice-Change-Management-Prozess gesteuert.

Zugriff auf Anwendungsdaten

Endbenutzer Teilnehmer sind entweder Kunden oder DDI-Mitarbeiter, die im Rahmen einer Online-Diagnose oder einer Lernaktivität (z. B. einer Bewertung, eines Tests, einer Umfrage oder einer Lernreise) personenbezogene Daten in ein DDI-Anwendungssystem eingeben.  Endbenutzer Administratoren sind Systemendbenutzer, die Konten und Workflow-Prozesse innerhalb eines DDI-Anwendungssystems verwalten. Administratoren können entweder Kundenmitarbeiter oder DDI-Mitarbeiter sein, die personenbezogene Daten im Namen von Kunden oder Antragstellern eingeben und sie durch verschiedene Prozessphasen führen können. Beispiele hierfür sind Personalchefs, Personalentwicklungsexperten und andere Rollen im Personalwesen.

Wenn ein Benutzer technischen Support vom Produktsupport-Team von DDI anfordert, kann er einem Supportmitarbeiter vorübergehenden Zugriff auf das Konto gewähren. Das Supportteam muss möglicherweise die Daten eines einzelnen Benutzers im Rahmen der Lösung von Supportvorfällen anzeigen. Der Zugriff auf das Konto ist auf den Umfang der Anfrage- und Fehlerbehebungs-/Problemlösungsprozesse beschränkt, die erforderlich sind, um dem Endbenutzer angemessene Unterstützung zu bieten.

Anwendungs-Penetrationstests

DDI beauftragt ein Managed-Services-Sicherheitsunternehmen, um auf "dynamische Schwachstellen" wie Logikfehler, unveröffentlichte Exploits und andere Risiken zu testen, die für die Anwendungsumgebung spezifisch sind, und testet auch auf bekannte und veröffentlichte oder "statische Schwachstellen".

Die vierteljährlich durchgeführten Application Penetration Assessments (APAs) umfassen Anwendungsscans, gefolgt von intensiven manuellen Tests, um Anwendungsschwachstellen zu identifizieren. Die Berichterstattung ist vollständig angepasst und enthält sowohl positive als auch negative Ergebnisse.

Überprüfung der Ergebnisse

· Detaillierter Bericht, der vom Sicherheitsanbieter eines Drittanbieters erhalten wurde.

· Die Ergebnisse wurden vom Datenschutzbeauftragten, dem Direktor für Infrastruktur und Cybersicherheit und dem Direktor für Produktentwicklung überprüft.

Befunde Risikoanalyse

· Bei kritischen und hohen Bewertungen wird im Service-Management-System ein Problem-Ticket erstellt und zur sofortigen Aktion zugewiesen.

· Bei mittleren und niedrigen Bewertungen werden Einträge dem Bewerbungsbacklog hinzugefügt und gegenüber anderen Entwicklungsarbeiten priorisiert.

· Alle Ergebnisse und Priorisierungsdetails werden bei der Risikoanalysesitzung des DDI Data Security Office ausgetauscht und überprüft. Wenn der Schweregrad eines Ergebnisses als geändert angesehen wird, wird diese Entscheidung dokumentiert und mit Anwendungsentwicklungspartnern geteilt.

Klassifizierung von Schwachstellen

Schwachstellen werden anhand der CVSS-Skala gemäß der CVSS v3.0-Spezifikation (https://www.first.org/cvss/specification-document) klassifiziert und können mit dem CVSS-Rechner (https://www.first.org/cvss/calculator/3.0) pro Schwachstelle berechnet werden.

Die Behebung der Sicherheitsanfälligkeit muss so schnell wie möglich abgeschlossen werden, sobald sie anhand der folgenden Tabelle identifiziert wurde:

DDI-Associate-Richtlinien

DDI verwendet strenge Prozesse und Kontrollen über den Zugriff und die Berechtigungen für alle Infrastrukturkomponenten, Netzwerke, Firewalls, Server, Datenbanken usw. Dies wird innerhalb der Global Technology Group streng kontrolliert, die die letzte Autorität über alle administrativen Benutzerzugriffe, Systemüberwachung/-benachrichtigungen sowie Betriebssystem-, Sicherheits- und Anwendungsupdates hat. Regelmäßige Scheinbetrügereien werden auch durchgeführt, um den DDI-Mitarbeitern zu helfen, sensibilisiert zu werden und angemessen auf solche Angriffe zu reagieren.

Sperren des Bildschirms

Alle Computer sind so konfiguriert, dass sie über einen kennwortfähigen Bildschirmschoner verfügen. Die DDI-Richtlinie für die Bildschirmsperre beträgt 15 Minuten. Nach 15 Minuten Inaktivität wird der Bildschirmschoner aufgerufen. Der Benutzer muss dann sein Kennwort erneut eingeben, um Zugriff auf den Computer zu erhalten.

Kennwörter

Passwörter sind ein wichtiger Aspekt der Computersicherheit. Ein schlecht gewähltes Passwort kann zu unbefugtem Zugriff und/oder unbefugter Nutzung der Ressourcen von DDI führen. Die vollständige Passwortrichtlinie von DDI finden Sie in Anhang I.

Widerrufen des Zugriffs

Sobald der administrative Zugriff auf DDI-Systeme und Anwendungsplattformen für die Aufgaben nicht mehr erforderlich ist, wird er entzogen. Dazu gehören sowohl die Beendigung des Arbeitsverhältnisses als auch der Wechsel von Rollen oder Verantwortlichkeiten im Unternehmen.

Dieser Prozess ist innerhalb von 24 Stunden nach einem Rollenwechsel oder im Falle einer unfreiwilligen Beendigung des Arbeitsverhältnisses sofort abgeschlossen. Darüber hinaus überprüfen wir regelmäßig, welche Mitarbeiter über diese Berechtigungen verfügen, und nehmen bei Bedarf Änderungen vor.

Schulung zum Datenschutz und zur Sensibilisierung für Sicherheit

Alle DDI-Mitarbeiter erhalten regelmäßige Schulungen und Best-Practice-Anleitungen zu Datenschutz, Sicherheit und Vertraulichkeit. Der Abschluss der Schulungen wird überwacht, um ein Höchstmaß an Compliance zu fördern.  Regelmäßige Scheinbetrügereien werden auch durchgeführt, um den DDI-Mitarbeitern zu helfen, sensibilisiert zu werden und angemessen auf solche Angriffe zu reagieren. 

Web-Filterung  

DDI verwaltet den Zugriff auf externe Websites, um die Gefährdung durch bösartige Inhalte zu reduzieren, einschließlich der Einschränkung des Zugriffs auf bekannte oder vermutet schädliche Websites und des Verbots der Verwendung nicht autorisierter Webressourcen. Die Mitarbeiter absolvieren obligatorische Schulungen, die ihnen helfen, solche Websites zu identifizieren und zu vermeiden. Ausnahmen von diesen Einschränkungen werden auf Ad-hoc-Basis überprüft und müssen vom Sicherheitsteam von DDI genehmigt werden. Mitarbeiter können bei Bedarf Sicherheitsfragen oder -bedenken an das Privacy, Security, and Compliance Office (PSCO) von DDI richten oder potenzielle Sicherheitsvorfälle über unseren formellen Prozess zur Meldung und Reaktion auf Vorfälle melden.  

Cookies

Cookies sind Datendateien, die beim Besuch einer Website an den Computer eines Benutzers gesendet und in einer Datei im Webbrowser des Benutzers gespeichert werden. DDI verwendet Cookies und ähnliche Technologien (zusammenfassend als "Cookies" bezeichnet), um die Navigation und die Fähigkeit der Benutzer, Feedback zu geben, zu unterstützen, das Interesse der Benutzer an unseren Produkten und Lösungen zu analysieren, die Personalisierung von Inhalten und unsere Werbe- und Marketingmaßnahmen zu unterstützen und Inhalte von Dritten bereitzustellen. 

Alle Autorisierungs-Cookies sind Session-Cookies, die ablaufen, nachdem der Benutzer seinen Browser geschlossen oder seine Sitzung beendet hat. Einige Analyse- und Systemfunktionalitäts-Cookies können bis zu 24 Stunden nach ihrer Erstellung gespeichert werden. Die meisten unserer Cookies sind verschlüsselt, mit einigen kleinen Ausnahmen wie "Sprache". Wir speichern keine personenbezogenen Daten in Cookies.  Benutzer können keine Cookies ablehnen, die für das Funktionieren des Systems unbedingt erforderlich sind.

In Anhang II finden Sie alle Einzelheiten zur Cookie-Richtlinie von DDI

Produktentwicklungsprozess- und Code-Management

Entwicklungs-Release-Zyklus

DDI verwendet ein agiles Entwicklungsmodell. Agile ist ein iterativer Ansatz für die Softwareentwicklung und bietet eine sehr flexible Fähigkeit, die es DDI ermöglicht, schnell auf die Bedürfnisse unserer Kunden zu reagieren. Wir haben einen geplanten neuen Code-Release-Zyklus – in der Regel einen wöchentlichen Zyklus.

Das bedeutet, dass DDI etwa jede Woche neue Funktionen und Upgrades veröffentlicht. Es gibt uns auch häufige Zeitfenster für die Veröffentlichung von Korrekturen für Funktionen, die nicht wie gewünscht funktionieren. Außerhalb dieses Zyklus können wir "Notfall"-Freigaben vornehmen, wenn es die Dringlichkeit erfordert.

Entwicklungsumgebungen

DDI verwendet separate Anwendungsinstanzen zum Testen von aktualisiertem Code und verfügt über separate Instanzen für frühen Kandidatencode und Release Candidate-Software. Dies schützt davor, dass Daten jemals von Code kontrolliert oder abgerufen werden, der sich noch in der Entwicklung befindet. Der gesamte Entwicklungscode wird für "Dummy-Datenbanken" ausgeführt.

Codereview

Programmierer arbeiten einzeln oder in Teams, um neuen Code zu entwickeln. Wenn sich das Ende eines jeden Zyklus nähert, wird der Code in einer von der Produktionsumgebung getrennten QA-Umgebung einem Peer-Review unterzogen und getestet. Diese Testphase ermöglicht es uns, die meisten Fehler zu beseitigen, bevor sie überhaupt in die Produktion eingeführt werden. Der Code wird auch programmgesteuert auf bekannte Sicherheitsrisiken überprüft.

Code-Verwaltung

Git wird verwendet, um den Softwareentwicklungsprozess zu verwalten und dient als Quellcode-Repository. Das Tool und die zugehörigen Prozesse stellen sicher, dass keine Änderungen überschrieben werden, weil mehrere Entwickler Änderungen am selben Modul vornehmen. Änderungskontrollprozesse gibt es auf vielen verschiedenen Ebenen innerhalb der Anwendungsentwicklung, Qualitätssicherung und Implementierung, darunter:

• Dokumentation und Besitz von Änderungsanforderungen, einschließlich Überprüfung, Genehmigung und Dokumentation aller Änderungen durch den Anwendungsbesitzer
• Ein abgegrenzter Genehmigungsprozess für die Heraufstufung von Code von Entwicklungs- zu Produktionsumgebungen
• Softwaretests und Qualitätssicherung sind ein mehrphasiger Prozess (Unit-Test, gefolgt von Systemtest, gefolgt von Benutzerakzeptanztest). Entwicklung und Unit-Tests werden von Softwareentwicklern auf separaten Entwicklungssystemen durchgeführt, bevor sie für System- und Benutzerakzeptanztests auf den separaten QA-Systemen freigegeben werden

Globale Personaldienstleistungen (Personalpolitik)

Vertrauliche Informationen

Bei der Einstellung sind alle DDI-Mitarbeiter verpflichtet, eine Vertraulichkeitsvereinbarung zu unterzeichnen, in der speziell auf die Bedenken und Risiken des Umgangs mit vertraulichen Informationen eingegangen wird. Jeder Mitarbeiter, der gegen diese Richtlinie verstoßen hat, unterliegt der sofortigen Kündigung oder allen anwendbaren rechtlichen Schritten. Darüber hinaus unterzeichnen die Mitarbeiter jährlich einen Verhaltens- und Ethikkodex.

Richtlinie und Verfahren für die Zuverlässigkeitsüberprüfung

DDI ist davon überzeugt, dass die Einstellung qualifizierter Mitarbeiter zur Besetzung von Positionen zum strategischen Gesamterfolg des Unternehmens beiträgt. Background-Checks sind ein wichtiger Bestandteil des Auswahlprozesses bei DDI. Diese Art von Informationen wird gesammelt, um erfolgreiche Kandidatenübereinstimmungen für die Stelle sowie ein sicheres Arbeitsumfeld für aktuelle und zukünftige Mitarbeiter zu fördern. Hintergrundüberprüfungen helfen DDI, zusätzliche bewerberbezogene Informationen zu erhalten, die dazu beitragen, die allgemeine Beschäftigungsfähigkeit des Bewerbers zu bestimmen und den Schutz der aktuellen Personen, des Eigentums und der Informationen der Organisation zu gewährleisten.

Die vollständige Richtlinie für Hintergrundüberprüfungen von DDI kann auf Anfrage zur Ansicht zur Verfügung gestellt werden. Um die Richtlinie anzufordern, besuchen Sie bitte https://trust.ddiworld.com/.

Überprüfung der Anmeldeinformationen

Die Überprüfungen vor der Einstellung von DDI sollen sicherstellen, dass allen Mitarbeitern die Abschlüsse und Zertifizierungen bestätigt werden, die sie vorgeben und/oder haben müssen. Alle potenziellen Mitarbeiter lassen ihre angegebenen Beschäftigungserfahrungen und Integritätsreferenzen überprüfen.

SSN-Verifizierung

Alle in den USA ansässigen Mitarbeiter sind verifizierte legale US-Arbeitnehmer, und Sozialversicherungsnummern oder Arbeitsgenehmigungen werden überprüft.

Reaktion auf Sicherheitsvorfälle

DDI setzt einen umfassenden Plan zur Erkennung und Reaktion auf Sicherheitsvorfälle durch, der Intrusion Detection, Scans und andere Methoden umfasst, die als effektiv und angemessen erachtet werden. Während computerbezogene Vorfälle am häufigsten vorkommen, können auch nicht-computerbezogene Vorfälle über die Incident-Hotline oder durch Kontaktaufnahme mit dem DSB oder dem Unternehmensberater von DDI gemeldet werden.

Der Zweck der Richtlinie zur Reaktion auf Sicherheitsvorfälle und zur Benachrichtigung besteht darin, den technischen und leitenden Mitarbeitern von DDI allgemeine Leitlinien an die Hand zu geben, um eine schnelle und effiziente Wiederherstellung nach physischen oder logischen Sicherheitsvorfällen zu ermöglichen, einschließlich der Meldung, Reaktion auf und Verwaltung des unbefugten Zugriffs auf und/oder des Verlusts vertraulicher Informationen. DDI meldet alle Sicherheitsvorfälle innerhalb von 48 Stunden nach Entdeckung einer Sicherheitsverletzung an betroffene oder potenziell betroffene Kunden.

Im Falle einer Sicherheitsverletzung oder eines vermuteten Sicherheitsverstoßes müssen die folgenden Maßnahmen ergriffen werden.

1. Unverzügliche Benachrichtigung folgender DDI-Mitarbeiter:
   • Datenschutzbeauftragter
   • DDI General Counsel
   • Datenschutz- und Sicherheitsbüro
2. Ordnungsgemäße Identifizierung und Dokumentation von Vorfällen (muss Folgendes enthalten):
   • Beschreibung des betreffenden Vorfalls
   • Uhrzeit und Datum, an dem das Ereignis aufgetreten ist und erkannt wurde
   • Die Person, die es gemeldet hat, und an die es gemeldet wurde
   • Beschreibung der personenbezogenen Daten, die möglicherweise kompromittiert wurden
3. Maßnahmen zur Eindämmung von Vorfällen.
4. Aktivitäten oder Prozesse zur Beseitigung von Vorfällen.
5. Wiederherstellung und Überprüfung von Vorfällen.

Anhang I - DDI-Kennwortrichtlinie

Überblick

Passwörter sind ein wichtiger Aspekt der Computersicherheit. Ein schlecht gewähltes Passwort kann zu unbefugtem Zugriff und/oder unbefugter Nutzung der Ressourcen von DDI führen. Alle Benutzer, einschließlich Auftragnehmer und Anbieter mit Zugriff auf DDI-Systeme, sind dafür verantwortlich, die entsprechenden Schritte zu unternehmen, wie unten beschrieben, um ihre Kennwörter auszuwählen und zu sichern.

Zweck

Der Zweck dieser Richtlinie besteht darin, einen Standard für die Erstellung sicherer Kennwörter, den Schutz dieser Kennwörter, die Häufigkeit von Kennwortänderungen und die Sperrrichtlinie für ungültige Versuche festzulegen.

Umfang

Der Geltungsbereich dieser Richtlinie umfasst alle Mitarbeiter, die ein Konto (oder eine Form des Zugriffs, die ein Passwort unterstützt oder erfordert) auf einem System haben oder dafür verantwortlich sind, das sich in einer DDI-Einrichtung befindet, Zugriff auf das DDI-Netzwerk hat oder nicht-öffentliche DDI-Informationen speichert.

Politik

• Alle Passwörter auf System-/Serverebene (z. B. root, Windows-Administrator, Anwendungsverwaltungskonten usw.) und Passwörter auf Benutzerebene (z. B. E-Mail, Web, Desktop-Computer usw.)  werden in Übereinstimmung mit den aktuellen NIST-Richtlinien (SP 800-63B) für Passwort-Lebenszyklen verwaltet.  
• Alle Passwörter auf System-/Server- und Benutzerebene müssen den unten beschriebenen Richtlinien entsprechen.
• Die Multi-Faktor-Authentifizierung von Microsoft ist für alle mobilen Geräte erforderlich.

Richtlinien / Normen

Für Kennwörter auf System-/Server- und Benutzerebene gelten die folgenden Anforderungen:

• Mindestens acht (8) alphanumerische Zeichen enthalten.
• Sie müssen mindestens drei der vier folgenden Zeichenklassen enthalten:
  • Kleinbuchstaben
  • Zeichen in Großbuchstaben
  • Zahlen
  • Sonderzeichen/Symbole
• Kennwörter dürfen nicht den Benutzernamen oder Teile des vollständigen Namens des Benutzers enthalten, z. B. den Vornamen

Die folgenden Kennworttypen sollten vermieden werden:

• Namen von Familie, Haustieren, Freunden, etc.
• Geburtstage und andere persönliche Informationen wie Adressen und Telefonnummern.
• Wort- oder Zahlenmuster wie aaabbb, qwerty, 12345678, 123321 usw.
• Jedem der oben genannten Punkte wird eine Ziffer vorangestellt oder gefolgt (z. B. secret1, 1secret)

Standards für den Passwortschutz

• Verwenden Sie für DDI-Konten immer andere Kennwörter als für andere Nicht-DDI-Zugriffe (z. B. persönliches ISP-Konto, nicht geschäftliche E-Mails, Vorteile usw.).
• Verwenden Sie nach Möglichkeit immer unterschiedliche Passwörter für verschiedene DDI-Zugriffsanforderungen. Wählen Sie z. B. ein Kennwort für Systeme aus, die Verzeichnisdienste (Active Directory) für die Authentifizierung verwenden, und ein anderes für den lokal authentifizierten Zugriff.
• Geben Sie DDI-Kennwörter nicht an Dritte weiter, auch nicht an Verwaltungsassistenten oder Sekretärinnen. Alle Passwörter sind als sensible, vertrauliche DDI-Informationen zu behandeln.
• Passwörter sollten niemals unverschlüsselt aufgeschrieben oder online gespeichert werden.
• Geben Sie kein Passwort in E-Mails, Chats oder anderen elektronischen Kommunikationsmitteln preis.
• Wenn jemand ein Passwort verlangt, verweisen Sie ihn auf dieses Dokument und verweisen Sie ihn an die Abteilung für Informationssicherheit.
• Lehnen Sie die Verwendung der Funktion "Passwort merken" von Anwendungen immer ab.

Wenn der Verdacht besteht, dass ein Konto oder ein Passwort kompromittiert wurde, melden Sie den Vorfall an DataProtectionOfficer@ddiworld.com

Standards für Passwortverlauf, Alter und Sperrung

• Passwort-Verlauf
  • Das Passwort darf nicht mit den letzten 15 verwendeten Passwörtern übereinstimmen
• Der Schwellenwert für die Kontosperrung entspricht 6 ungültigen Versuchen für Konten auf System-/Server- und Benutzerebene.
• Lockout-Zähler wird nach 30 Minuten zurückgesetzt

Anhang II - Cookie-Richtlinie von DDI

DDI verwendet auf seiner Website die folgenden Arten von Cookies:

• Online-Kundendienst-Chat-Cookies: DDI verwendet einen Kunden-Chat-Dienst eines Drittanbieters, der Benutzerinformationen im Auftrag von DDI sammeln und speichern kann. Der Anbieter verwendet Cookies, um Profilinformationen (die von Einzelpersonen an DDI übermittelt werden) mit den Betreibern der Chat-Sitzung zu verknüpfen.
• Suchmaschinen-Cookies: DDI verwendet einen Drittanbieter für Unternehmensdienstleistungen, der Besuche auf der Website von DDI mit Klicks von seinen gesponserten Pay-per-Click-Anzeigen verknüpft, die auf externen Suchmaschinen-Websites platziert sind. Wenn ein Nutzer auf eine der Pay-per-Click-Anzeigen von DDI klickt, wird ein Cookie auf dem Computer des Nutzers abgelegt. Wenn der Nutzer dann auf eine der von DDI vorgesehenen Conversion-Seiten gelangt, wird das Cookie mit der Webseite von DDI verbunden.
• Lokale Speicherung - HTML 5/Flash-Cookies: DDI arbeitet mit Dritten zusammen, um bestimmte Funktionen auf seiner Website bereitzustellen oder Werbung auf der Grundlage der Web-Browsing-Aktivitäten der Benutzer anzuzeigen. Die Drittanbieter verwenden HTML 5, um Informationen zu sammeln und zu speichern.
• Werbung: DDI verwendet ein Werbenetzwerk eines Drittanbieters, um Anzeigen auf seiner Website anzuzeigen und seine Werbung auf anderen Websites zu verwalten. Der Drittanbieter von DDI kann Cookies verwenden, um Informationen über die Aktivitäten der Benutzer auf der Website von DDI und anderen Websites zu sammeln, um maßgeschneiderte Werbung basierend auf den Browsing-Aktivitäten und Interessen der Benutzer bereitzustellen. DDI verwendet die folgenden Drittanbieter für Cookies:
  • Marketo: Wird für das Tracking von Kampagnenwerbung verwendet.
  • Terminus: Wird für kontobasiertes Marketing-Tracking und Zielgruppen-Targeting verwendet.
  • Google Ads: Wird für das Retargeting-Werbe-Tracking verwendet.
  • LinkedIn: Wird für das Tracking persönlicher Werbung verwendet.
  • DemandBase: Wird für kontobasiertes Marketing-Tracking und Zielgruppen-Targeting verwendet.
  • CrazyEgg: Wird für die Verfolgung und Optimierung der Website-Performance verwendet.
  • Facebook: Wird für soziale Werbung verwendet.
  • Twitter: Wird für Social-Media-Werbung verwendet.

Um die Verwendung dieser Informationen für die Schaltung interessenbezogener Werbung zu deaktivieren, klicken Sie hier (oder, wenn Sie sich in der Europäischen Union befinden, klicken Sie  hier).

DDI-Cookie-Richtlinie - Produkte

Die Cookie-Richtlinie von DDI gilt für alle DDI-Produkte ("Produkte").  Cookies sind Datendateien, die beim Besuch der Produktwebsite an den Computer eines Benutzers gesendet und in einer Datei im Webbrowser des Benutzers gespeichert werden. DDI verwendet Cookies und ähnliche Technologien (zusammenfassend als "Cookies" bezeichnet), um die Navigation und die Fähigkeit der Benutzer, Feedback zu geben, zu unterstützen, das Interesse der Benutzer an unseren Produkten und Lösungen zu analysieren, die Personalisierung von Inhalten und unsere Werbe- und Marketingmaßnahmen zu unterstützen und Inhalte von Dritten bereitzustellen. 

Alle Autorisierungs-Cookies sind Session-Cookies, die ablaufen, nachdem der Benutzer seinen Browser geschlossen oder seine Sitzung beendet hat. Einige Analyse- und Systemfunktionalitäts-Cookies können bis zu 24 Stunden nach ihrer Erstellung gespeichert werden. Die meisten unserer Cookies sind verschlüsselt, mit einigen kleinen Ausnahmen wie "Sprache". Wir speichern keine personenbezogenen Daten in Cookies.

Die Produkte sammeln nur notwendige Cookies. Benutzer können Cookies bei der Nutzung von Produkten nicht deaktivieren.

Weitere Ressourcen:

Erfahren Sie mehr über die Einhaltung der Datenschutzvorschriften von DDI
Lesen Sie unsere Datenschutzerklärung
DSGVO-Verordnung
Senden Sie eine Datenanfrage
Besuchen Sie diese Seite, um die Art von Marketing-E-Mails auszuwählen, die Sie von uns erhalten oder abbestellen möchten.