Jitterbit-Sicherheitsmaßnahmen

Gültig ab 8. Dezember 2022

Zuletzt aktualisiert: 20. Februar 2026

Die wichtigsten Sicherheitsmaßnahmen, die Jitterbit zum Schutz von Kundendaten umsetzt, sind in diesem Anhang zu Jitterbit-Sicherheitsmaßnahmen beschrieben:

Übersicht

Dieses Dokument zu den Sicherheitsmaßnahmen von Jitterbit (die „Sicherheitsmaßnahmen“) beschreibt die administrativen, technischen und physischen Sicherheitsvorkehrungen, die Jitterbit zum Schutz von Kundendaten vor unberechtigtem Zugriff, Offenlegung, Veränderung oder Zerstörung getroffen hat.

Diese Sicherheitsmaßnahmen unterstützen Jitterbit bei der Erfüllung seiner Verpflichtungen gemäß den geltenden rechtlichen, regulatorischen und vertraglichen Anforderungen, einschließlich, aber nicht beschränkt auf SOC 1, SOC 2, ISO 27001, ISO 27017, ISO 27018, ISO 42001, HIPAA, DSGVO, CCPA und NZISM.

Dieses Dokument ist Bestandteil des umfassenderen Sicherheits- und Datenschutzkonzepts von Jitterbit und wird in den entsprechenden Kundenvereinbarungen, einschließlich Datenverarbeitungsvereinbarungen (DPAs) und Vereinbarungen mit Geschäftspartnern (BAAs), referenziert. Im Falle eines Widerspruchs zwischen diesen Sicherheitsmaßnahmen und einer Kundenvereinbarung ist die Kundenvereinbarung hinsichtlich ihres Gegenstands maßgebend.

Großgeschriebene Begriffe, die hier nicht definiert sind, haben die im jeweiligen Vertrag oder in der jeweiligen Dokumentation festgelegte Bedeutung.

Privacy by Design und Privacy by Default

Datenschutz durch Design
Jitterbit berücksichtigt Datenschutzaspekte während des gesamten Lebenszyklus seiner Produkte und Dienstleistungen, einschließlich interner Projekte, Softwareentwicklung, Infrastrukturdesign und IT-Betrieb.

Standardmäßiger Datenschutz
Die Produkte und Dienstleistungen von Jitterbit sind standardmäßig mit datenschutzfreundlichen Einstellungen konfiguriert. Personenbezogene Daten werden nur in dem Umfang erhoben, verarbeitet und gespeichert, wie es für die Erbringung der Dienstleistung, die Erfüllung vertraglicher Verpflichtungen und die Einhaltung gesetzlicher und behördlicher Vorgaben erforderlich ist.

1. Zugriff und Verwaltung von Kundendaten

1.1 Kunden steuern den Zugriff auf ihre Jitterbit-Konten über Benutzeridentitäten, rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung.

1.2 Mitarbeiter von Jitterbit greifen nur dann auf unverschlüsselte Kundendaten zu, wenn sie vom Kunden ausdrücklich dazu für Support-, Fehlerbehebungs- oder Betriebszwecke autorisiert wurden.

1.3 Jitterbit verarbeitet Kundendaten ausschließlich auf Anweisung des Kunden, soweit dies zur Bereitstellung, Wartung und Unterstützung der Jitterbit-Anwendung gemäß der geltenden Vereinbarung erforderlich ist.

1.4 Die von der Jitterbit-Anwendung generierten Metadaten der Client-Anwendung und des Projekts werden nur in der geografischen Region gehostet, aus der sie stammen (NA, EMEA oder APAC), sofern vertraglich nichts anderes vereinbart wurde.

1.5 Jitterbit unterhält dokumentierte Datenflussdiagramme, die beschreiben, wie Kundendaten durch die Jitterbit-Anwendung fließen, und stellt diese Diagramme auf begründete Anfrage zur Verfügung.

2. Logische Trennung von Kundendaten

Jitterbit gewährleistet die logische Trennung von Kundendaten durch mehrschichtige technische Kontrollen, darunter:

  • Segmentierte Datenbankarchitekturen mit separaten Schemata
  • Vertrauenswürdige und authentifizierte Dienst-zu-Dienst-Verbindungen
  • Verschlüsselung sensibler Daten
  • Logische Filterschichten zwischen Mandanten und gemeinsam genutzten Ressourcen
  • Zugriffskontrollmechanismen zur Einschränkung des Datenzugriffs basierend auf Identität und Rolle

 

3. Zugriffsmanagement für die Anwendungsinfrastruktur

3.1 Der Zugriff auf die Systeme und die Infrastruktur, die die Jitterbit-Anwendung unterstützen, ist auf autorisiertes Personal beschränkt, basierend auf den Aufgaben und dem Prinzip der minimalen Berechtigungen.

3.2 Der Zugriff auf System- und Anwendungsprotokolle ist ausschließlich autorisiertem Personal für Zwecke der Betriebsunterstützung, Fehlerbehebung und Sicherheitsüberwachung vorbehalten.

3.3 Für den administrativen Zugriff sind eindeutige Benutzeranmeldeinformationen, eine starke Authentifizierung und eine Multi-Faktor-Authentifizierung über sichere Verbindungen erforderlich.

3.4 Die Passwortstandards für Server und Infrastruktur erfüllen oder übertreffen die anerkannten Branchenanforderungen.

3.5 Die Zugriffsrechte werden bei Beendigung des Arbeitsverhältnisses oder Rollenwechsel umgehend widerrufen oder angepasst.

3.6 Der Benutzerzugriff auf die Produktionsinfrastruktur wird regelmäßig überprüft.

3.7 Zugriffsversuche und administrative Aktionen werden protokolliert und überwacht.

3.8 Der Netzwerkzugriff wird durch die Verwendung von Sicherheitsgruppenkonfigurationen mit der Einstellung „Standardmäßig verweigern“ eingeschränkt.

3.9 Firewalls und Netzwerksegmentierungskontrollen werden eingesetzt, um den ein- und ausgehenden Datenverkehr einzuschränken.

3.10 Zur Erkennung verdächtiger oder anomaler Aktivitäten werden Intrusion-Detection- und Monitoring-Tools eingesetzt.

4. Risikomanagement

4.1 Jitterbit unterhält ein formelles Risikomanagementprogramm, das auf anerkannten Rahmenwerken wie dem NIST basiert.

4.2 Technische und nicht-technische Risikobewertungen werden das ganze Jahr über durchgeführt, einschließlich automatisierter Scans, interner Überprüfungen sowie Bewertungen und Penetrationstests durch Dritte.

4.3 Die Ergebnisse der Bewertung werden von der Sicherheits- und Datenschutzleitung geprüft und im Rahmen festgelegter Abhilfemaßnahmen nachverfolgt.

4.4 Die identifizierten Risiken werden priorisiert und mithilfe risikobasierter Sanierungsstrategien angegangen.

4.5 Es werden Bedrohungsinformationsquellen überwacht, um neu auftretende Bedrohungen und Schwachstellen zu identifizieren.

5. Schwachstellen-Scanning und Penetrationstests

5.1 Auf Systemen, die die Jitterbit-Anwendung unterstützen, werden regelmäßig automatisierte Schwachstellenscans durchgeführt.

5.2 Die erkannten Schwachstellen werden anhand ihrer Schwere, Ausnutzbarkeit und geschäftlichen Auswirkungen bewertet.

5.3 Schwachstellen, die definierte Risikoschwellenwerte erreichen, werden für die Behebung priorisiert.

5.4 Unabhängige Penetrationstests durch Dritte werden mindestens einmal jährlich durchgeführt.

5.5 Interne Sicherheitstests und Code-Reviews werden regelmäßig durchgeführt.

5.6 Zu den sicheren Entwicklungspraktiken gehören Abhängigkeitsmanagement, statische und dynamische Tests sowie die Nachverfolgung von Fehlerbehebungen.

6. Fernzugriff und Endpunktsicherheit

6.1 Für den administrativen Zugriff auf Cloud-Umgebungen sind sichere Verbindungen und eine starke Authentifizierung erforderlich.

6.2 Kundendaten werden nicht auf lokalen Geräten von Mitarbeitern gespeichert, es sei denn, dies ist ausdrücklich erforderlich und durch geeignete Sicherheitsvorkehrungen geschützt.

6.3 Endpunktschutz, Gerätehärtung und Überwachungsmechanismen werden auf von Jitterbit verwalteten Geräten durchgesetzt.

7. Anwendungsort und Datenspeicherung

7.1 Kundendaten werden in festgelegten Jitterbit-Anwendungsregionen (USA, EU, APAC) gespeichert.

7.2 Produktionsumgebungen sind so konzipiert, dass eine unautorisierte regionsübergreifende Replikation verhindert wird.

7.3 Bei Konfigurationen zur Notfallwiederherstellung werden die Anforderungen an den Datenspeicherort berücksichtigt, sofern vertraglich nichts anderes vereinbart wurde.

8. Systemereignisprotokollierung und -überwachung

8.1 Überwachungstools erfassen Infrastruktur-, Anwendungs- und Sicherheitsereignisse.

8.2 Die Protokolle werden zentral gespeichert, vor Manipulation geschützt und der Zugriff ist kontrolliert.

8.3 Die Aufbewahrungsfristen für Protokolle werden auf der Grundlage der Systemkritikalität, regulatorischer Anforderungen und betrieblicher Erfordernisse festgelegt.

9. Systemadministration, Malware-Prävention und Patch-Management

9.1 Die Systeme werden gemäß den Best Practices der Branche gehärtet.

9.2 Betriebssysteme und Anwendungen werden regelmäßig mit Patches versehen.

9.3 Es werden Maßnahmen zur Erkennung und Verhinderung von Schadsoftware eingesetzt und gewartet.

9.4 Schwachstellen mit hohem Risiko werden gemäß festgelegten Zeitvorgaben priorisiert behoben.

10. Sicherheitsschulungen und Personalkontrollen

10.1 Alle Mitarbeiter erhalten bei ihrer Einstellung und mindestens einmal jährlich eine Schulung zu Sicherheit und Datenschutz.

10.2 Die Mitarbeiter bestätigen, dass sie für die Meldung von vermuteten Sicherheitsvorfällen verantwortlich sind.

10.3 Es werden regelmäßig Sensibilisierungsmaßnahmen, einschließlich Phishing-Simulationen, durchgeführt.

10.4 Hintergrundüberprüfungen werden durchgeführt, sofern dies rechtlich zulässig ist.

10.5 Dritte, die Zugriff auf Kundendaten haben, sind vertraglich verpflichtet, die Sicherheitsstandards von Jitterbit einzuhalten.

11. Physische Sicherheit

11.1 Die Jitterbit-Anwendung wird von Cloud-Service-Anbietern gehostet, die physische Sicherheitskontrollen und unabhängige Zertifizierungen aufrechterhalten.

11.2 Jitterbit prüft die relevanten Prüfberichte von Drittanbietern jährlich.

12. Benachrichtigung über eine Sicherheitsverletzung

12.1 Eine Sicherheitsverletzung umfasst den unbefugten Zugriff auf oder die Offenlegung von Kundendaten oder den unbefugten Zugriff auf Systeme, die Kundendaten verarbeiten.

12.2 Jitterbit benachrichtigt betroffene Kunden unverzüglich gemäß den vertraglichen und regulatorischen Bestimmungen.

12.3 Die Benachrichtigungen enthalten relevante Details zum Vorfall und zu den Gegenmaßnahmen.

12.4 Jitterbit untersucht, isoliert und mindert Sicherheitsvorfälle mithilfe etablierter Incident-Response-Verfahren.

13. Notfallwiederherstellung und Geschäftskontinuität

13.1 Jitterbit unterhält dokumentierte Notfallwiederherstellungs- und Geschäftskontinuitätspläne.

13.2 Die Fähigkeiten zur Notfallwiederherstellung werden regelmäßig getestet.

13.3 Der Kunde ist gegebenenfalls selbst dafür verantwortlich, seine eigenen Backup- und regionsübergreifenden Strategien zu konfigurieren.

14. Einhaltung und Gewährleistung der Sicherheit

Jitterbit führt unabhängige Bewertungen und Zertifizierungen durch, die Folgendes umfassen können:

  • SOC-1- und SOC-2-Berichte
  • ISO 27001-Zertifizierung (einschließlich der Anhänge ISO 27017 und ISO 27018)
  • ISO Zertifizierung 42001
  • HIPAA-Konformität für Geschäftspartner
  • DSGVO-, CCPA-, LGPD- und NZISM-Konformitätsprogramme
  • Unabhängige Penetrationstests und Schwachstellenanalysen

15. Bereitstellung von Cloud- und lokalen Agenten

15.1 Jitterbit Cloud ist mit standardmäßig aktivierten starken Sicherheitskontrollen ausgestattet.

15.2 Die Bereitstellungsoptionen für lokale Agenten ermöglichen es Kunden, sensible Daten in ihren eigenen Umgebungen zu verarbeiten.

16. Datenverschlüsselung

16.1 Ruhende Kundendaten werden mit Hilfe von branchenüblichen AES-Verschlüsselungsalgorithmen verschlüsselt.

16.2 Kundendaten werden während der Übertragung durch sichere Kommunikationsprotokolle wie TLS geschützt.

17. Sicherheitskontrollen mit künstlicher Intelligenz

17.1 Jitterbit wendet zusätzliche Sicherheitsvorkehrungen für KI-fähige Funktionen und Systeme an.

17.2 KI-Modelle, Konfigurationen und Datensätze unterliegen einer Zugriffskontrolle und sind vor unbefugter Änderung oder Extraktion geschützt.

17.3 KI-bezogene Daten werden gemäß den Datenschutzstandards von Jitterbit klassifiziert und verarbeitet.

17.4 KI-Systeme werden auf Sicherheits-, Integritäts- und Betriebsanomalien überwacht.

17.5 Die Governance-Praktiken für KI orientieren sich an neuen Standards, einschließlich ISO 42001, und betonen die menschliche Aufsicht, die Rechenschaftspflicht und den verantwortungsvollen Umgang mit KI.

17.6 KI-Systeme verwenden keine Kundendaten zum Trainieren der LLM-Modelle.

17.7 KI-Agenten und autonome Arbeitsabläufe
Jitterbit-KI-Agenten und autonome Workflows arbeiten innerhalb definierter Richtlinien, um sicheres, nachvollziehbares und verantwortungsvolles Verhalten zu gewährleisten. Kunden bleiben Datenverantwortliche und können weiterhin ihre eigenen großen Sprachmodelle (LLMs) oder bevorzugte KI-Anbieter über das Jitterbit-Konnektivitätsframework nutzen. KI-Agenten unterliegen strengen Identitäts-, Authentifizierungs- und Autorisierungskontrollen, wobei ihre Berechtigungen auf die minimal erforderlichen Aktionen beschränkt sind. Sämtliche Agentenaktivitäten werden protokolliert, überwacht und sind nachvollziehbar. KI-Agenten ist der Zugriff auf, die Verarbeitung oder die Exfiltration von Kundendaten über explizit autorisierte Anwendungsfälle hinaus untersagt. Automatisierte Aktionen von KI-Agenten sind mit menschlicher Aufsicht, gegebenenfalls Genehmigungsprüfungen und Ausfallsicherungsmechanismen ausgestattet, um unbeabsichtigte oder schädliche Folgen zu verhindern. KI-Agenten werden kontinuierlich auf Sicherheit, Datenintegrität und die Einhaltung der Jitterbit-Standards für KI-Governance, Datenschutz und Risikomanagement geprüft.

18. Modell der geteilten Verantwortung

Sicherheit ist eine gemeinsame Verantwortung von Jitterbit und seinen Kunden. Jitterbit implementiert zwar robuste Sicherheitskontrollen auf der Plattform, die Kunden sind jedoch für Folgendes verantwortlich:

  • Verwaltung von Benutzerzugriffen und Anmeldeinformationen
  • Konfiguration von Sicherheitsfunktionen in ihren Konten
  • Verwaltung eigener Datensicherungs- und Wiederherstellungsstrategien

Habe Fragen? Wir sind hier um zu helfen.

Kontakt