Pega Trust Center

Informationsmaterial

Digitale Sicherheitsrichtlinien

Veracode-Erklärung

Zusammenfassungen vom Penetration Test

Zusammenfassung des Geschäftskontinuitätsplans

Testergebnisse zur Disaster Recovery

Zuletzt aktualisiert

02.12.2023

Nicht zutreffend

03.08.2023

31.03.2023

29.12.2023

Bewertungsumfang

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS, GCP

Pega Cloud AWS

APRA

Australien hat wie andere Länder umfassende Cybersecurity und Regulierungen implementiert, um gegen die wachsenden Herausforderungen bezüglich Hacking, Betrug und staatliche Angriffe anzugehen. Genau wie bei anderen Regeln müssen qualifizierte Unternehmen diese Regulierungen prüfen, dass sie dem Gesetz entpsrechen und um zu sehen, wie sie in realistischen Situationen eingesetzt werden. Das Information Security Registered Assessors Program ist ein einzigartiges Compliance-Programm, das die Fähigkeit privater und öffentlicher Organisationen bescheinigt, die Anforderungen an die Cybersicherheit zu erfüllen.

CSA STAR

Das STAR-Register (Security, Trust, Assurance, and Risk) ist ein öffentlich zugängliches Register, das die Sicherheits- und Datenschutzkontrollen gängiger Cloud-Computing-Angebote dokumentiert.

STAR umfasst die in der Cloud Controls Matrix (CCM) dargelegten Schlüsselprinzipien der Transparenz, der strengen Prüfung und der Harmonisierung von Standards. Durch die Veröffentlichung im Register können Unternehmen ihren aktuellen und potenziellen Kunden ihre Sicherheits- und Konformitätslage zeigen, einschließlich der Vorschriften, Standards und Rahmenwerke, die sie einhalten. Dadurch wird die Komplexität verringert und es müssen nicht mehr mehrere Kundenfragebögen ausgefüllt werden.

Cyber Essentials

Cyber Essentials ist ein von der britischen Regierung und der Industrie unterstütztes Zertifizierungssystem, das im Vereinigten Königreich eingeführt wurde, um Unternehmen dabei zu helfen, ihre operative Sicherheit gegen gängige Cyberangriffe nachzuweisen.

Cyber Essentials Plus

Cyber Essentials Plus ist ein von der britischen Regierung und der Industrie unterstütztes Zertifizierungssystem, das im Vereinigten Königreich eingeführt wurde, um Unternehmen dabei zu helfen, ihre operative Sicherheit gegen gängige Cyberangriffe nachzuweisen. Es baut auf der Cyber Essentials-Zertifizierung auf, indem es eine unabhängige Überprüfung der technischen Kontrollen beinhaltet.

Cybervadis

Cybervadis is a platform for cybersecurity ratings designed to assess the cyber risk associated with a company’s third-party suppliers. At Pegasystems, a global technology company, Cybervadis is employed to evaluate the cybersecurity posture of our suppliers and partners. Through the assessment of cyber risk associated with our suppliers, Pegasystems can make well-informed decisions concerning the security and resilience of our supply chain.

Cybervadis offers a comprehensive risk assessment based on various factors, including data security, infrastructure security, and regulatory compliance. Pegasystems utilizes these ratings to identify potential vulnerabilities within the supply chain and to take effective measures to mitigate associated risks.

Ultimately, by leveraging Cybervadis, Pegasystems is positioned to enhance our security posture, strengthen risk management processes, and ensure the security and integrity of our operations.

ENS

Das Esquema Nacional de Seguridad (ENS) ist das spanische nationale Sicherheits-Framework. Dabei handelt es sich um eine Reihe von Sicherheitsanforderungen und -richtlinien, die für alle Organisationen verbindlich sind, die im Auftrag der spanischen Regierung mit sensiblen Informationen umgehen. Das ENS basiert auf den Grundsätzen der Vertraulichkeit, Integrität, Verfügbarkeit und Verantwortlichkeit. Es soll sensible Informationen vor unbefugtem Zugriff, Veränderung oder Offenlegung schützen und sicherstellen, dass sie nur für autorisierte Zwecke verwendet werden können.

Informationsmaterial

Certificado ENS Pegasystems Limited

Zuletzt aktualisiert

24.11.2023

Bewertungsumfang

Pega Cloud AWS & GCP

Produkte

Pega-Plattform
Pega Customer Service Case Management Edition*
Pega Customer Service Enterprise Edition*
Pega Customer Decision Hub
Pega Sales Automation
Pega Cloud SFTP Service
Predictive Diagnostic Cloud

*Bewertungsstatus gültig, wenn VoiceAI, digitales Messaging/Web-Messaging und Co-Browse nicht verwendet werden

FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen standardisierten Ansatz für Sicherheitsautorisierungen für Cloud-Service-Angebote.

HDS Frankreich

Die Zertifizierung „Hébergeurs de Données de Santé“ (HDS) ist für Einrichtungen wie Cloud-Service-Anbieter erforderlich, die personenbezogene Gesundheitsdaten hosten, die den französischen Gesetzen unterliegen und für die Erbringung von Präventions-, Diagnose- und anderen Gesundheitsdiensten erhoben werden. Die HDS-Verordnung wurde von der ASIP SANTÉ erlassen, die im Rahmen des französischen Gesundheitsministeriums für die Förderung elektronisch basierter Gesundheitslösungen in Frankreich zuständig ist.

HITRUST

Das HITRUST CSF wurde in Zusammenarbeit mit Datenschutzexperten entwickelt und fasst die relevanten Vorschriften und Standards in einem einzigen übergreifenden Rahmenwerk für Sicherheit und Datenschutz zusammen. Die risikobasierte 2-Jahres-Bewertung (r2) von HITRUST ist eine weltweit anerkannte High-Level-Validierung, die zeigt, dass eine Organisation Cyber-Risiken erfolgreich verwaltet, indem sie die von der Branche definierten und akzeptierten Anforderungen an die Informationssicherheit erfüllt und übertrifft. Die HITRUST r2 Validated Assessment Certification gilt aufgrund der umfassenden Kontrollanforderungen, der Tiefe der Qualitätsprüfung und der Konsistenz der Aufsicht als der Goldstandard für Datenschutzgarantien.

IL4

Die Defense Information Systems Agency (DISA) hat den Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG) veröffentlicht, der das Sicherheitsmodell und die Anforderungen für die Nutzung von Cloud Computing durch das Verteidigungsministerium sowie die Sicherheitskontrollen und -anforderungen für die Nutzung von cloudbasierten Lösungen beschreibt. IL4-Informationen umfassen kontrollierte, nicht klassifizierte Informationen (CUI), nicht-CUI-Informationen, nicht-kritische Missionsinformationen und nicht-nationale Sicherheitssysteme.

IRAP

Das Infosec Registered Assessors Program (IRAP) gewährleistet, dass Unternehmen Zugang zu hochwertigen Sicherheitsbewertungsdiensten haben.

ISO 22301

Die von der Internationalen Organisation für Normung herausgegebene ISO 22301 soll Unternehmen dabei helfen, unerwartete und störende Zwischenfälle zu verhindern, sich darauf vorzubereiten, darauf zu reagieren und sich davon zu erholen. Zu diesem Zweck bietet die Norm einen praktischen Rahmen für die Einrichtung und Verwaltung eines wirksamen Systems zum Management der Betriebskontinuität. Die ISO-Norm 22301 zielt darauf ab, ein Unternehmen vor einer Vielzahl von potenziellen Bedrohungen und Störungen zu schützen.

Dieser Standard kann für Ihr Unternehmen geeignet sein, wenn Sie Stakeholdern nachweisen müssen, dass Ihr Unternehmen in der Lage ist, Betriebsunterbrechungen schnell zu überwinden, um kontinuierliche und effektive Dienstleistungen zu erbringen.

ISO 27001

Weithin bekannt ist die Zertifizierung ISO/IEC 27001, die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) enthält, obwohl es mehr als ein Dutzend Normen in der ISO/IEC 27000-Familie gibt. Mit ihrer Hilfe können Unternehmen jeglicher Art die Sicherheit von Vermögenswerten wie Finanzdaten, geistiges Eigentum, Mitarbeiterdaten oder von Dritten anvertraute Informationen verwalten.

ISO 27017

ISO 27017 ist eine internationale Norm, die Leitlinien für die Kontrolle der Informationssicherheit bei Cloud-Diensten enthält. Diese Kontrollen ergänzen die Vorgaben von ISO 27002 und sind in der ISO 27001-Zertifizierung von Pega Cloud enthalten. Sie hilft bei der Bewältigung von Cloud-Sicherheitsherausforderungen, indem sie zu effektiven Maßnahmen wie Verantwortlichkeiten der Anbieter, Informationsaustausch, Personalsicherheit und Compliance berät.

ISO 27018

ISO 27018 ist eine Norm, die Leitlinien für den Schutz personenbezogener Daten in der Cloud enthält. Diese Richtlinien ergänzen die Vorgaben von ISO 27002 und sind in der ISO 27001-Zertifizierung von Pega Cloud enthalten.

PCI/DSS

Der Payment Card Industry Data Security Standard (PCI DSS) umfasst eine Reihe von Sicherheitsstandards, die gewährleisten sollen, dass ALLE Unternehmen, die Kreditkartendaten annehmen, verarbeiten, speichern oder übertragen, eine sichere Umgebung anbieten.

SOC 1

Die SOC-Berichte (Service Organization Controls) des American Institute of Certified Public Accountants (AICPA) geben Gewissheit über das Kontrollumfeld in Bezug auf die Abfrage, Speicherung, Verarbeitung und Übertragung von Daten. Die Berichte umfassen allgemeine IT-Kontrollen und Kontrollen der Verfügbarkeit, Vertraulichkeit und Sicherheit von Kundendaten. Die SOC 1-Berichte befassen sich in erster Linie mit der Prüfung von Kontrollen, die für die Finanzberichterstattung von Kunden relevant sind.

SOC 2, Typ 2

Die SOC-Berichte (Service Organization Controls) des American Institute of Certified Public Accountants (AICPA) geben Gewissheit über das Kontrollumfeld in Bezug auf die Abfrage, Speicherung, Verarbeitung und Übertragung von Daten. Die Berichte umfassen allgemeine IT-Kontrollen und Kontrollen der Verfügbarkeit, Vertraulichkeit und Sicherheit von Kundendaten. Die SOC-2-Berichte umfassen Kontrollen in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit von Kundendaten.

TISAX

TISAX ist ein Bewertungs- und Austauschmechanismus für die Informationssicherheit von Unternehmen und ermöglicht die Anerkennung von Bewertungsergebnissen unter den Teilnehmern.

Wenn Sie sensible Informationen Ihrer Kunden verarbeiten oder die Informationssicherheit Ihrer eigenen Lieferanten bewerten wollen, können Sie mit TISAX den Aufwand reduzieren.

Kalifornisches Gesetz über den Schutz der Privatsphäre von Verbrauchern/Kalifornisches Gesetz über die Rechte der Privatsphäre

Der California Consumer Privacy Act (CCPA) wurde am 28. Juni 2018 in Kraft gesetzt. Der CCPA soll sicherstellen, dass die kalifornischen Verbraucher über ein gewisses Maß an Datenschutzrechten verfügen. Die Einhaltung der geltenden Gesetze liegt in der gemeinsamen Verantwortung. Pega bietet relevante Sicherheitskontrollen, Anleitungen und Funktionen, mit denen unsere Kunden die Gesetze einhalten können. Pega ist so konzipiert, dass die Kunden ihre eigene Strategie zur Einhaltung der geltenden Gesetze konfigurieren können.

Am 3. November 2020 wurde der California Privacy Rights Act („CPRA“) verabschiedet. Mit dem CPRA wird der CCPA verbessert und ein zusätzlicher Schutz der Privatsphäre für Verbraucher eingeführt. Die meisten Bestimmungen des CPRA werden am 1. Januar 2023 in Kraft treten, mit einer Rückschau bis Januar 2022.

FDA

Lebensmittel- und Arzneimittelbehörde CFR Titel 21. Die Einhaltung der geltenden Gesetze liegt in der gemeinsamen Verantwortung. Pega bietet relevante Sicherheitskontrollen, Anleitungen und Funktionen, mit denen unsere Kunden die Gesetze einhalten können. Pega ist so konzipiert, dass die Kunden ihre eigene Strategie zur Einhaltung der geltenden Gesetze konfigurieren können.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des EU-Rechts über den Datenschutz und den Schutz der Privatsphäre in der Europäischen Union und dem Europäischen Wirtschaftsraum. Die DSGVO ist ein wichtiger Bestandteil des EU-Datenschutzrechts und der Menschenrechtsvorschriften, insbesondere von Artikel 8 der Charta der Grundrechte der Europäischen Union. Die Einhaltung der geltenden Gesetze liegt in der gemeinsamen Verantwortung. Pega bietet relevante Sicherheitskontrollen, Anleitungen und Funktionen, mit denen unsere Kunden die Gesetze einhalten können. Pega ist so konzipiert, dass die Kunden ihre eigene Strategie zur Einhaltung der geltenden Gesetze konfigurieren können.

HIPAA

Der Health Insurance Portability and Accountability Act (HIPAA) von 1996 ist ein Bundesgesetz, das die Schaffung nationaler Standards zum Schutz sensibler Gesundheitsdaten von Patienten vor der Weitergabe ohne deren Zustimmung oder Wissen vorschreibt. Das US Department of Health and Human Services (HHS) hat die HIPAA Privacy Rule erlassen, um die Anforderungen des HIPAA umzusetzen. Die HIPAA-Sicherheitsregel schützt eine Teilmenge der Informationen, die unter die Datenschutzregel fallen. Die Einhaltung der geltenden Gesetze liegt in der gemeinsamen Verantwortung. Pega bietet relevante Sicherheitskontrollen, Anleitungen und Funktionen, mit denen unsere Kunden die Gesetze einhalten können. Pega ist so konzipiert, dass die Kunden ihre eigene Strategie zur Einhaltung der geltenden Gesetze konfigurieren können.

Data Privacy Framework

Das EU-U.S. Data Privacy Framework (UK Extension to the EU-U.S. DPF) und das Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF) wurden zur Förderung des transatlantischen Handels vom U.S. Department of Commerce sowie der Europäischen Kommission, der britischen Regierung und der Schweizerischen Bundesverwaltung entwickelt, um Unternehmen in den USA zuverlässige Mechanismen für die Übermittlung personenbezogener Daten aus der Europäischen Union/dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich (und Gibraltar) und der Schweiz in die Vereinigten Staaten zu bieten und gleichzeitig einen Datenschutz zu gewährleisten, der mit dem Recht der EU, des Vereinigten Königreichs und der Schweiz vereinbar ist.
 
Das Datum des Inkrafttretens des EU-U.S. DPF-Grundsätze, einschließlich der ergänzenden Grundsätze und des Anhangs I der Grundsätze, ist der 10. Juli 2023, das Datum des Inkrafttretens der Angemessenheitsbeschlusses der Europäischen Kommission für das EU-U.S. DPF. Der Angemessenheitsbeschluss ermöglicht die Übermittlung personenbezogener Daten aus der EU an die teilnehmenden Organisationen im Einklang mit dem EU-Recht.

Mit Wirkung vom 17. Juli 2023 können berechtigte Organisationen in den Vereinigten Staaten, die ihre Konformität gemäß der Erweiterung des Vereinigten Königreichs auf die EU-US-DSGVO selbst zertifizieren möchten, dies tun; personenbezogene Daten können jedoch nicht aus dem Vereinigten Königreich und Gibraltar unter Berufung auf die Erweiterung des Vereinigten Königreichs auf die EU-US-DSGVO vor dem Datum empfangen werden, an dem die Angemessenheitsvorschriften zur Umsetzung der Datenbrücke für die Erweiterung des Vereinigten Königreichs auf die EU-US-DSGVO in Kraft treten. Die Datenbrücke wird die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich und Gibraltar an die teilnehmenden Organisationen im Einklang mit dem britischen Recht ermöglichen.

Wenn Sie mehr über das Data Privacy Framework-Programm erfahren möchten und darüber, wie wir das Data Privacy Framework einhalten, besuchen Sie bitte unsere Seite für Datenschutz und Sicherheit. Mehr zu unserer Data Privacy Framework-Erklärung und -Teilnahme finden Sie hier: https://www.dataprivacyframework.gov/s/