English

Contact

English

Legal

Technical and Organizational Measures - Germany

 

Technische und Organisatorische Massnahmen

Technical And Organisational Measures

KLDiscovery ergreift alle anerkannten und angemessenen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten, die KLDiscovery von Kunden erhält, verarbeitet, überträgt, weiterleitet, speichert, zur Verfügung stellt und/oder auf sonstige Weise verarbeitet oder auf die KLDiscovery zugreift („Informationssicherheitsprogramm“).

KLDiscovery shall take all prudent and recognised steps to ensure the security of the Personal Data it receives, processes, transfers, transmits, stores, delivers, and/or otherwise accesses from Clients (“Information Security Program”). 

Definitionen
„Ressource” bezeichnet alle Geräte von KLDiscovery, einschließlich, aber nicht beschränkt auf Laptops, PCs, Router, Server und andere Computersysteme, die personenbezogene Daten speichern, verarbeiten, übertragen, übermitteln, liefern oder auf andere Weise darauf zugreifen.

Definitions
“Resource” means all KLDiscovery devices, including but not limited to laptops, PCs, routers, servers, and other computer systems that store, process, transfer, transmit, deliver or otherwise access the Personal Data.

Informationssicherheitsprogramm
KLDiscovery unterhält ein umfassendes Informationssicherheitsprogramm, das administrative, technische und physische Sicherheitsvorkehrungen umfasst, die der Komplexität, Art und dem Umfang seiner Aktivitäten sowie der Sensibilität seiner Informationsressourcen angemessen sind. Diese Sicherheitsvorkehrungen umfassen die unten aufgeführten Elemente und sind so konzipiert, dass sie: (1) die Sicherheit und Vertraulichkeit personenbezogener Daten gewährleisten; (2) vor vorhersehbaren Bedrohungen oder Gefahren für die Sicherheit oder Integrität personenbezogener Daten schützen; (3) vor unbefugtem Zugriff auf oder unbefugter Nutzung von personenbezogenen Daten schützen, die zu erheblichen Schäden oder Unannehmlichkeiten für den Kunden führen könnten; und (4) dem Kunden die fortlaufende Wirksamkeit der Kontrollen gewährleisten

Information Security Program
KLDiscovery will maintain a comprehensive Information Security Program that contains administrative, technical, and physical safeguards appropriate to the complexity, nature, and scope of its activities, and the sensitivity of its information assets. Such safeguards will include the elements set forth below and will be reasonably designed to: (1) Achieve the security and confidentiality of Personal Data; (2) Protect against any anticipated threats or hazards to the security or integrity of Personal Data; (3) Protect against unauthorised access to or use of Personal Data that could result in substantial harm or inconvenience to Client; and (4) Provide assurances to Client of the ongoing effectiveness of controls.

Richtlinien Zur Informationssicherheit und Steuerung
Das Informationssicherheitsprogramm von KLDiscovery entspricht den in ISO 27001 und diesem Dokument zu den Sicherheitsanforderungen beschriebenen Praktiken. Im Rahmen der Verwaltung seines Informationssicherheitsprogramms nutzt KLDiscovery ein Forum der Geschäftsleitung, um alle neuen Richtlinien und Änderungen an bestehenden Richtlinien zu prüfen und zu genehmigen. KLDiscovery wird einen formellen Prozess zur Risikosteuerung anwenden, indem es Situationen identifiziert, genehmigt und verwaltet, in denen die Einhaltung seines Informationssicherheitsprogramms nicht gewährleistet ist.

Security Requirements
Information Security Policies and Governance
KLDiscovery’s Information Security Program will be consistent with the practices described in ISO 27001 and this Security Requirements Document. As part of the management of its Information Security Program, KLDiscovery will use a senior management forum to review and approve all new policies and changes to existing policies. A formal process will be used by KLDiscovery to manage risk by identifying, approving and managing those situations where compliance with its Information Security Program is not obtained.

Informationsverwaltung
KLDiscovery wird Informationsverantwortliche benennen, die für die unter ihrer Kontrolle stehenden Informationsressourcen, einschließlich personenbezogener Daten, verantwortlich sind. Spezifische Anforderungen für die Übertragung, Offenlegung, Speicherung und Vernichtung beziehen sich auf den gesamten Lebenszyklus personenbezogener Daten. KLDiscovery wird für jede Ressource einen Systemverantwortlichen benennen. Der Systembesitzer trägt die Gesamtverantwortung für die Einhaltung der Sicherheitskontrollen, einschließlich der Wartung der Geräte und des Patch-Levels, um die Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten zu gewährleisten.

Information Stewardship
KLDiscovery will designate information owners who are responsible for information assets under their control, including Personal Data. Specific requirements for transmission, disclosure, storage, and destruction will address the entire lifecycle of Personal Data. KLDiscovery will assign a systems owner for each Resource. The systems owner has the overall responsibility to ensure compliance with security controls including the maintenance of the equipment and patch level to support the confidentiality, availability and integrity of Personal Data.

Vertraulichkeit Und Integrität
KLDiscovery wird einen verwalteten Sicherheitsansatz verfolgen, um sicherzustellen, dass personenbezogene Daten während ihres gesamten Lebenszyklus geschützt sind, von der Erstellung über die Umwandlung und Nutzung bis hin zur Speicherung und Vernichtung, unabhängig vom Speichermedium. Je nach Klassifizierung der personenbezogenen Daten werden spezifische Kontrollen implementiert, um die Vertraulichkeit und Integrität der personenbezogenen Daten zu schützen. Kontrollkomponenten werden verwendet, um Anforderungen an die Zugriffskontrolle, Verschlüsselung, Kennzeichnung und Offenlegung für interne und externe Parteien, Versand und Handhabung sowie Vernichtung festzulegen.

Confidentiality and Integrity
KLDiscovery will utilise a managed approach to security to ensure that Personal Data is protected through the entire life cycle, from creation, transformation and use, storage and destruction regardless of the storage media. Specific controls will be implemented according to the classification of the Personal Data to protect the confidentiality and integrity of the Personal Data. Control components will be used to specify access control requirements, encryption, labelling and disclosure for both internal and external parties, shipping and handling, and destruction.

Schwachstellen-Management
Firewalls, Router, Server, PCs und alle anderen Ressourcen werden mit geeigneten sicherheitsspezifischen System-Patches so aktuell wie möglich gehalten. KLDiscovery führt regelmäßig Penetrationstests durch, die von unabhängigen Dritten durchgeführt werden, um die Sicherheitsvorkehrungen von KLDiscovery weiter zu bewerten. KLDiscovery führt regelmäßige Tests seiner Ressourcen durch, um bekannte Schwachstellen zu erkennen (Patch-Management, Port-Scanning, Virenscanning usw.). Alle wichtigen Technologien werden nach Best-Practice-Standards konfiguriert, um unnötige Dienste und andere Konfigurationsoptionen zu entfernen, die die Ressourcen unnötigen Risiken aussetzen können. KLDiscovery hält einen Zeitplan für die Behebung aller kritischen Schwachstellen ein und stellt sicher, dass Schwachstellen, die hoch oder kritisch sind, innerhalb eines angemessenen Zeitraums behoben werden.

Vulnerability Management
Firewalls, routers, servers, PC’s, and all other Resources will be kept as current as possible with appropriate security-specific system patches. KLDiscovery will perform regular penetration tests to be completed by independent third parties to further assess KLDiscovery’s security preparedness. KLDiscovery will perform regular tests of its Resources to detect any known vulnerabilities (patch management, port scanning, virus scanning, etc.). All major technologies will be configured to best practice standards to remove unnecessary services and other configuration options that can subject the Resources to unnecessary risk. KLDiscovery will maintain a schedule for remediation for all vulnerability criticalities and ensure that vulnerabilities that are high or critical in nature are addressed in a reasonable time frame.

Physische Sicherheit
Es wird eine Sicherheitsfunktion eingerichtet, um den physischen Zugang zu Einrichtungen, in denen personenbezogene Daten gespeichert sind oder auf die zugegriffen werden kann, zu gewähren, anzupassen und zu widerrufen.

Physical Security
A security function will exist to grant, adjust and revoke physical access to facilities where Personal Data resides or can be accessed.

Äußere physische Kontrollen
Das Äußere jeder KLDiscovery-Einrichtung wird physisch gesichert, um unbefugten Zutritt durch die Öffentlichkeit zu verhindern. Außerhalb der Einrichtung gibt es keine Hinweise darauf, dass dort personenbezogene Daten verarbeitet oder gespeichert werden. Außenfenster, Türen und alle anderen Zugänge werden mit Alarmanlagen ausgestattet, die bei unbefugtem Zutritt Alarm auslösen. Außentüren schließen automatisch und sind mit einem Alarm für unbefugtes Betreten ausgestattet.

Exterior Physical Controls
The exterior of each KLDiscovery facility will be physically secure to prevent the public from unauthorised entry. No signs outside the facility will show that Personal Data is processed or stored at the facility. Exterior doors will be alarmed to warn when unauthorised entry occurs. Exterior doors will close automatically. Where appropriate, perimeter fences/gates will be in place and secured.

Physische Kontrollen im Innenbereich
Das zugewiesene Personal von KLDiscovery wird mit einem individuell zugewiesenen Ausweis identifiziert. Alle Ausweissysteme verfügen über einen Protokollierungsmechanismus, der die Person, den Zeitstempel und die Tür oder den Bereich, zu dem Zugang gewährt wurde, identifiziert. Zu den physischen Sicherheitskontrollen im Innenbereich gehören auch Besuchermanagement, Clean-Desk-Praktiken, Brandmelde- und Löschanlagen, Verfahren zur Reaktion auf Vorfälle, kontrollierter Zugang, Sicherheitsbeleuchtung und andere Maßnahmen zum Schutz von Personal und Vermögenswerten.

Interior Physical Controls
Assigned KLDiscovery personnel will be identified with a uniquely assigned badge. All badging systems will have a logging mechanism that will identify the individual, timestamp and door or area accessed. Interior physical security controls also include visitor management, clean desk practices, fire detection and suppression systems, incident response procedures, controlled access, security lighting, and other measures designed to protect personnel and assets.

Vernichtung personenbezogener Daten
Alle personenbezogenen Daten werden von allen Medien, unabhängig davon, ob es sich um Papier, magnetische, optische oder andere Medien handelt, vor der Entsorgung dieser Medien vernichtet: (a) auf oder in der Nähe des Firmengeländes durch zugewiesene Mitarbeiter unter Verwendung handelsüblicher Aktenvernichter, Software oder anderer Mittel; oder (b) durch einen seriösen externen Aktenvernichtungsdienst.

Destruction of Personal Data
All Personal Data will be destroyed from any media, whether hard copy, magnetic, optical or any other form, before disposing of such media: (a) on or about the premises by assigned staff using commercially available shredding devices, software, or other means; or (b) by a reputable third-party shredding service.

Protokollierung und Überwachung
In Audit-Protokollen werden Zugriffe auf personenbezogene Daten, neue Benutzerzugänge, Versuche, die Sicherheitskonfiguration zu ändern, Systemstarts, Backups, Herunterfahren und ungültige Anmeldeversuche erfasst. Audit-Protokolle werden in einem geschützten Zustand aufbewahrt, regelmäßig automatisch oder manuell überprüft und mindestens 90 Tage lang aufbewahrt

Logging and Monitoring
Audit logs will capture access to Personal Data, new user additions, attempts to change security configuration, system start up, back up, shut down, and invalid login attempts. Audit logs will be retained in a protected state and will be reviewed regularly in an automated or manual fashion and retained for at least 90 days.

Eindringungserkennung und -prävention
KLDiscovery ergreift Sicherheitsmaßnahmen zum Schutz des Telekommunikationssystems von KLDiscovery und aller Computersysteme oder Netzwerkgeräte, die KLDiscovery zur Erbringung von Dienstleistungen für den Kunden nutzt, um das Risiko von Eindringungen, Hacking, Zugriff durch Dritte oder Offenlegung gegenüber Dritten zu verringern, indem es: (a) Schutz vor Eindringungen bietet; (b) die Computersysteme und Netzwerkgeräte sichert; und (c) Schutz vor Eindringungen in Betriebssysteme oder Software bietet. Es werden Prozesse und Verfahren für die Reaktion auf Sicherheitsverletzungen und ungewöhnliche oder verdächtige Ereignisse und Vorfälle eingerichtet, um weitere Schäden an Informationsressourcen zu begrenzen und die Identifizierung und strafrechtliche Verfolgung von Verstößen zu ermöglichen. KLDiscovery meldet dem Kunden tatsächliche Sicherheitsverletzungen oder Vorfälle, die Auswirkungen auf den Kunden haben.

Intrusion Detection and Prevention
KLDiscovery will use security measures to protect the KLDiscovery telecommunications system and any computer system or network device that KLDiscovery uses to provide services to Client to reduce the risk of infiltration, hacking, access penetration by or exposure to a third-party by: (a) protecting against intrusions; (b) securing the computer systems and network devices; and, (c) protecting against intrusions of operating systems or software. Processes and procedures will be established for responding to security violations and unusual or suspicious events and incidents to limit further damage to information assets and to permit identification and prosecution of violators. KLDiscovery will report actual security violations or incidents that impact Client to Client.

Malware-Abwehr
KLDiscovery wird die folgenden Dienste und Verfahren zur Erkennung/Überprüfung von Computerviren einsetzen: a) Vor dem Versand von Daten, Dateien oder anderen Materialien und/oder dem Zugriff darauf oder deren Übermittlung (einzeln oder zusammenfassend als „Datenversand” bezeichnet) wird eine handelsübliche Virenerkennung implementiert und aufrechterhalten. b) Bei Erkennung eines Computervirus oder anderer Malware, die den Kunden beeinträchtigt hat oder beeinträchtigen wird, benachrichtigt KLDiscovery den Kunden und stellt die Datenübermittlung unverzüglich ein und nimmt diese erst wieder auf, wenn der Computervirus oder die Malware zur Zufriedenheit des Kunden beseitigt oder eingedämmt wurde. c) KLDiscovery installiert und verwendet solche Computerviren-Erkennungs-/Scan-Programme auf allen Datenübermittlungsmechanismen sowie an allen anderen vom Kunden angegebenen Stellen. KLDiscovery hält alle Antivirensoftware auf dem neuesten Stand, indem es neue Definitionsdateien installiert, sobald diese vom Antiviren-Anbieter zur Verfügung gestellt werden.

Malware Defense
KLDiscovery will use the following computer malware detection/scanning services and procedures: a) prior to sending any data, files or other material and/or accessing or submitting the same (singularly or collectively “Data Sending”), implement and maintain commercially available computer virus detection; b) upon detecting a computer virus or other malware that has affected or will affect client, notify Client and immediately cease Data Sending and do not resume the same until the computer virus or malware has been eliminated or contained to the satisfaction of Client; and, c) install and use such computer virus detection/scanning on all Data Sending mechanisms as well as at any other points directed by Client. KLDiscovery will keep all anti-virus software up-to-date by installing new definition files when made available by the anti-virus supplier.

Aufgabentrennung
KLDiscovery unterhält Kontrollen, die eine angemessene Aufgabentrennung zwischen den Mitarbeitern von KLDiscovery gewährleisten sollen, einschließlich des Zugriffs auf Systeme und Netzwerke. Die Aufgaben werden so verteilt, dass eine Person keine Möglichkeit hat, ihre Fehler oder Unregelmäßigkeiten zu verbergen. Die Aufgabentrennung ist zwischen und/oder innerhalb der folgenden Funktionen aufrechtzuerhalten: Computerbetrieb, Netzwerkmanagement, Systemadministration, Entwicklung, Änderungsmanagement, Sicherheitsadministration und Familienmitglieder.

Segregation of Duties
KLDiscovery maintains controls designed to provide adequate segregation of duties among KLDiscovery personnel, including access to systems and networks. Duties are assigned in such a manner that a person will not have the opportunity to conceal their errors or irregularities. Segregation of duties shall be maintained among and/or within the following functions: computer operations, network management, system administration, development, change management, security administration and family members.

Verschlüsselung und Public-Key-Infrastruktur
Alle personenbezogenen Daten werden bei der Speicherung verschlüsselt, es sei denn, es werden vom Kunden genehmigte Ausgleichskontrollen implementiert. Auf Laptops werden keine personenbezogenen Daten gespeichert, es sei denn, der Kunde stimmt zu, dass eine solche Speicherung aus geschäftlichen Gründen erforderlich ist. Wenn eine Einigung erzielt wird, werden die personenbezogenen Daten auf Laptops verschlüsselt. Die Abteilung für Informationssicherheit von KLDiscovery genehmigt alle kryptografischen Geräte, Algorithmen, Schlüssellängen und Schlüsselverwaltungssysteme, um die Einhaltung von Industriestandards und die Interoperabilität sicherzustellen. KLDiscovery unterhält handelsübliche Schlüsselverwaltungssysteme, um Verschlüsselungsschlüssel vor unbefugter Nutzung oder Offenlegung zu schützen.

Encryption and Public Key Infrastructure
All Personal Data will be encrypted when in storage, unless Client-approved compensating controls are implemented. Laptop computers will not store Personal Data unless Client agrees there is a business need for such storage. If agreement is reached, Personal Data on laptops will be encrypted. KLDiscovery’s Information Security Office will approve all cryptographic devices, algorithms, key lengths, and key management systems to ensure adherence to industry standards and interoperability. KLDiscovery will maintain commercially available encryption key management systems to protect encryption keys against unauthorised use or disclosure.

Netzwerksicherheit
KLDiscovery bietet die folgenden Sicherheitsdienste für die Datenkommunikation: (a) Schutz der Vertraulichkeit und Integrität aller Daten, die über ein beliebiges Datennetzwerk übertragen werden; und (b) Implementierung und Aufrechterhaltung starker Verschlüsselungstechniken nach Industriestandard für alle Fälle, in denen Daten, die als personenbezogene Daten identifiziert wurden, über ein öffentliches Datennetzwerk übertragen werden. Eine Verschlüsselung mit mindestens 256 Bit wird bevorzugt. Die Internetverbindungen von KLDiscovery werden durch dedizierte, branchenweit anerkannte Firewalls geschützt, die gemäß den besten Praktiken der Branche konfiguriert und verwaltet werden. Es werden keine internen oder privaten IP-Adressen öffentlich zugänglich gemacht oder nativ ins Internet weitergeleitet. Der gesamte administrative Zugriff auf Firewalls und Server erfolgt über ein sicheres internes Netzwerk.

Network Security
KLDiscovery will provide the following data communication security services: (a) safeguard the confidentiality and integrity of all data being transmitted over any form of data network; and (b) implement and maintain strong industry standard encryption techniques for all cases in which data identified as Personal Data is transmitted over any public data network. A minimum of 256-bit key encryption is preferred. KLDiscovery’s Internet connections will be protected with dedicated, industry-recognised firewalls that are configured and managed to adhere to industry best practices. No internal or private Internet Protocol (IP) addresses will be publicly available or natively routed to the Internet. All administrative access to firewalls and servers will be through a secure internal network only.

Identifikation, Authentifizierung und Autorisierung
Jeder Nutzer einer Ressource erhält eine eindeutig zugewiesene Benutzer-ID, um individuelle Authentifizierung und Verantwortlichkeit zu ermöglichen. Jede Ressource authentifiziert den Nutzer, bevor sie jedem autorisierten Zugriff gewährt. Der für den Zugriff auf eine Ressource erforderliche Authentifizierungsgrad ist proportional zur Sensibilität der auf der Ressource gespeicherten Daten. Der Zugang zu privilegierten Konten wird nur auf diejenigen beschränkt, die die Ressource verwalten; Die individuelle Verantwortlichkeit wird aufrechterhalten. Alle Standardpasswörter (wie die von Hardware- oder Softwareherstellern) werden sofort nach Erhalt geändert. KLDiscovery wird folgende Zugangskontrolldienste und -verfahren nutzen und einhalten: (a) Maßnahmen umsetzen, um den elektronischen Zugang zu Ressourcen nur auf autorisiertes Personal zu beschränken; (b) sicherzustellen, dass alle KLDiscovery Mitarbeiter, die Material an Resources abrufen oder sie einreichen, eindeutig identifiziert und von der Ressource authentifiziert werden (KLDiscovery verwendet keine Form von generischer oder gemeinsamer Benutzerkennung, um auf Personal zuzugreifen Data); (c) das Prinzip des "Least Privileg" durchsetzen, nämlich dass autorisiertes Personal nur den Zugang zu Ressourcen hat, die für die Ausübung ihrer Arbeitsaufgaben in Bezug auf die Ressource erforderlich sind, und diese Rechte und Privilegien für die kürzestmögliche erforderliche Zeit besitzt; (d) den Zugriff auf alle personenbezogenen Daten, die auf Backup-Medien, in gedruckter Form oder in einem anderen Format gespeichert sind, nur auf diejenigen Mitarbeiter beschränkt, die diesen Zugriff benötigen, um ihre Aufgaben im Rahmen der Dienstleistungen für den Kunden auszuführen, und diese Daten an einem physisch sicheren Ort zu speichern; und (e) physische und logische Zugriffsrechte sofort nach Beendigung oder Übertragung der Person zu entziehen. Die Ressourcen von KLDiscovery speichern persönliche Daten getrennt und kontrolliert von den Daten anderer Kunden von KLDiscovery.

Identification, Authentication and Authorisation
Each user of any Resource will have a uniquely assigned user ID to enable individual authentication and accountability. Each Resource will authenticate the user prior to granting each authorised access. The level of authentication required for access to any Resource is proportionate to the sensitivity of the data housed on the Resource. Access to privileged accounts will be restricted to only those people who administer the Resource; individual accountability will be maintained. All default passwords (such as those from hardware or software vendors) will be changed immediately upon receipt. KLDiscovery will use and comply with the following access control services and procedures: (a) implement measures to restrict electronic access to Resources to only authorised personnel; (b) ensure that all KLDiscovery personnel who access or submit material to Resources are uniquely identified to and authenticated by the Resource (KLDiscovery will not use any form of generic or shared user identifier to access Personal Data); (c) enforce the principle of “least privilege,” namely, that authorised personnel have only the level of access to Resources required to perform their job functions in relation to the Resource and have such rights and privileges for the shortest length of time necessary; (d) restrict access to all Personal Data stored on backup media, in hardcopy form or in any other format to only those employees who require such access to accomplish their job functions in performance of services for Client and store such data in a physically secure location; and (e) remove physical and logical access rights immediately upon termination or transfer of the individual. KLDiscovery’s Resources will store Personal Data in a segregated and controlled manner from KLDiscovery’s other customers’ information.

Benutzerkennwörter und Konten
Benutzerkennwörter werden: (a) vertraulich behandelt und nicht weitergegeben, veröffentlicht oder auf andere Weise offengelegt; (b) bestehen aus mindestens acht (8) alphanumerischen Zeichen für Standardbenutzerkonten; (c) enthalten weder den Kontonamen noch die Konto-ID oder andere leicht zu erratende Werte; (d) die Wiederverwendung der letzten fünf Passwörter nicht zulassen; und (e) bei der Speicherung und Übertragung kodiert werden. Benutzerkonten werden nach fünf (5) aufeinanderfolgenden falschen Versuchen automatisch gesperrt.

User Passwords and Accounts
User passwords will: (a) remain confidential and will not be shared, posted, or otherwise divulged in any manner; (b) consist of a minimum of eight (8) alpha and numeric characters for standard user accounts; (c) not contain the account name or account ID or other easily guessed values; (d) not allow the previous five passwords to be reused; and (e) be hashed in storage and transmission. User accounts will automatically lockout after five (5) consecutive incorrect attempts.

Beziehungen zu Dritten
KLDiscovery führt Sicherheitsrisikobewertungen aller Drittanbieter durch, die Zugriff auf personenbezogene Daten haben. Der Zweck der Sicherheitsrisikobewertungen besteht darin, sicherzustellen, dass die Sicherheitsvorkehrungen zum Schutz der personenbezogenen Daten ausreichend sind. Darüber hinaus stellen die Verträge von KLDiscovery mit solchen Drittanbietern sicher, dass die Dienstleister Kontrollen aufrechterhalten, um zu gewährleisten, dass jede Person mit physischem oder logischem Zugriff auf personenbezogene Daten über Sicherheitsvorkehrungen verfügt, die denen in diesem Dokument mit Sicherheitsanforderungen entsprechen, um den Schutz der personenbezogenen Daten zu gewährleisten.

Third-party Relationships
KLDiscovery will conduct security risk assessments of any third-party service providers with access to Personal Data. The purpose of the security risk assessments will be to ensure that safeguards are sufficient to protect the Personal Data. Furthermore, KLDiscovery’s contracts with such third-party service providers will ensure that the service providers maintain controls to ensure that any individual with physical or logical access to Personal Data have safeguards similar to those set forth in this Security Requirement Document to ensure the protection of the Personal Data.

Autorisierung für Fernzugriffsverbindungen
Alle Fernzugriffsverbindungen zu internen Netzwerken und/oder Computersystemen von KLDiscovery erfordern eine Autorisierung und bieten eine genehmigte Methode zur Zugriffskontrolle am „Einstiegspunkt” zu den Computer- oder Kommunikationsressourcen von KLDiscovery durch Multi-Faktor-Authentifizierung. Für diesen Zugriff werden sichere Zugangskanäle verwendet, wie z. B. ein Virt.

Remote Access Connection Authorization
All remote access connections to KLDiscovery internal networks and/or computer systems will require authorization and will provide an approved means of access control at the “point of entry” to the KLDiscovery computing or communication resources through multi-factor authentication. Such access will use secure access channels, such as a Virtual Private Network (VPN). KLDiscovery networks that have access to the Personal Data will be logically isolated from any other network segments that allow wireless access.

Sichere Systementwicklung
Von KLDiscovery für den Kunden entwickelte Anwendungen folgen einer Methodik, die Folgendes ermöglicht: (i) Definition von Sicherheitsanforderungen als Teil der Anforderungsdefinitionsphase; (ii) Verwendung eines Designmodells, das bewährte Verfahren im Bereich Sicherheit berücksichtigt; (iii) Entwicklung von Code auf eine Weise, die Sicherheitslücken (wie Cross-Site-Scripting, SQL-Injection, Pufferüberläufe usw.) minimiert; (iv) das Testen des Codes durch statische und dynamische Bewertungen; und (v) die Bereitstellung der Anwendung in einer sicheren Produktionsumgebung.

Secure System Development
Applications developed by KLDiscovery for Client will follow a methodology that allows for: (i) defining security requirements as part of the requirements definition phase; (ii) using a design model that incorporates best practices in security; (iii) developing code in ways that minimise security vulnerabilities (such as cross-site scripting, SQL injection, buffer overflows, etc.); (iv) testing the code through static and dynamic assessments; and (v) deploying the application is a secure production environment.

Personalsicherheit
Alle Mitarbeiter von KLDiscovery müssen bei der Einstellung ein polizeiliches Führungszeugenis erbringen und eine allgemeine Hintergrundüberprüfung bestehen. KLDiscovery ist nicht verpflichtet, Personen zu überprüfen, wenn dies gesetzlich verboten ist.

Personnel Security
All KLDiscovery personnel must pass a criminal background check and general background investigation. KLDiscovery shall not be required to screen any individual where it is prohibited by law.

Schulung und Sensibilisierung
KLDiscovery verpflichtet alle Mitarbeiter von KLDiscovery, mindestens einmal jährlich an Schulungs- und Sensibilisierungsmaßnahmen teilzunehmen. Das Schulungssystem erfasst die Teilnahme und führt Tests durch, um sicherzustellen, dass die Inhalte verstanden wurden.

Training and Awareness
KLDiscovery shall require all KLDiscovery personnel to participate in training and awareness sessions at least annually. The training system will track attendance and provide testing to ensure the materials are understood.

Kontinuität und Notfallwiederherstellung
KLDiscovery verlangt, dass alle im Auftrag von Kunden gehosteten Anwendungen über einen formellen, dokumentierten, genehmigten und getesteten Notfallwiederherstellungsplan verfügen. Alle Kontinuitätspläne müssen der Geschäftsleitung mitgeteilt und von dieser genehmigt werden und mindestens einmal jährlich von einer internen oder externen Prüfstelle geprüft werden. Alle Kontinuitätspläne werden jährlich getestet, um ihre Wirksamkeit und Eignung zu überprüfen. Alle Aspekte der Tests werden dokumentiert, einschließlich der Gesamtergebnisse und der gewonnenen Erkenntnisse. Die Testergebnisse werden der Geschäftsleitung mitgeteilt.

Continuity and Disaster Recovery
KLDiscovery requires that all applications hosted on behalf of clients to have a formal, documented, approved, and tested disaster recovery plan. All continuity plans must be communicated and approved by formal management and audited at least annually by an internal or third-party auditing body. All continuity plans are tested annually to verify their effectiveness and suitability with all aspects of the testing being documented including overall results and lessons learned. Results of tests are communicated to senior management.