Zum Inhalt springen

Sicherheitszusatz

Dies ist der Sicherheitsnachtrag zum Hauptvertrag.

1.SICHERHEITSRICHTLINIE

  • Ripple Treasury wird eine umfassende Sicherheitsrichtlinie („Sicherheitsrichtlinie“) aufrechterhalten, die die unten dargelegten Anforderungen erfüllt. Ripple Treasury wird keine Änderungen an der Sicherheitsrichtlinie vornehmen, die die dem Kunden im Rahmen dieses Zusatzes gewährten Rechte oder Schutzmaßnahmen wesentlich einschränken oder reduzieren. Auf Anfrage des Kunden wird Ripple Treasury dem Kunden eine Zusammenfassung der jeweils aktuellen Sicherheitsrichtlinie zur Verfügung stellen.
  • Ripple Treasury wird die Sicherheitsrichtlinie mindestens jährlich überprüfen und diese bei Aktualisierung neu herausgeben, insbesondere nach Änderungen der geltenden Gesetze, technologischen Fortschritten oder wesentlichen Änderungen an der IT-Infrastruktur von Ripple Treasury.

2. STANDARDS.

Ripple Treasury wird branchenübliche Maßnahmen zur Sicherung und zum Schutz von Kundendaten einsetzen. Soweit zutreffend wird Ripple Treasury das jeweils aktuelle Society for Worldwide Interbank Financial Telecommunication (SWIFT) Provider Security Controls Framework anwenden und einhalten.

3. SCHULUNG UND SENSIBILISIERUNG.

  • Grundsätzlich wird Ripple Treasury ein geeignetes Schulungs- und Weiterbildungsprogramm einführen, um sicherzustellen, dass seine Mitarbeiterinnen und Mitarbeiter angemessen in Bezug auf ihre Pflichten hinsichtlich Vertraulichkeit, Datenschutz und Geheimhaltung geschult werden, einschließlich, aber nicht beschränkt auf, spezielle Anforderungen im Umgang mit Kundendaten.
  • Benutzer mit privilegiertem Zugriff. Zusätzlich zu seinen allgemeinen Schulungsverpflichtungen wird Ripple Treasury allen Mitarbeitern, denen privilegierter Zugriff (z. B. Root, DBA, Systemadministrator, Netzwerkadministrator, Superuser-Zugriff, Support usw.) auf Systeme gewährt wird, die Kundendaten verarbeiten oder speichern, spezifische Sicherheitsschulungen zur Verfügung stellen.

4.RISIKOBEWERTUNGEN.

  • Risikobewertung. Ripple Treasury wird mindestens einmal jährlich eine umfassende, vom Management geleitete Risikobewertung durchführen (entweder intern oder mit beauftragten, unabhängigen Ressourcen), die Kundendaten, Geschäftsressourcen (z. B. technische Infrastruktur) und die operativen Arbeitsabläufe von Ripple Treasury, die Bedrohungen dieser Elemente (sowohl interne als auch externe), die Wahrscheinlichkeit des Eintretens dieser Bedrohungen und die Auswirkungen auf die Organisation identifiziert, um ein angemessenes Niveau an Informationssicherheitsmaßnahmen zu bestimmen.
  • Risikominderung. Ripple Treasury wird branchenübliche Maßnahmen einsetzen, um alle im Rahmen der Risikobewertung identifizierten Risiken zu managen, zu kontrollieren und zu mindern, die zu unbefugtem Zugriff, Kopieren, Nutzung, Verarbeitung, Offenlegung, Änderung, Übertragung, Verlust oder Zerstörung von Kundendaten führen könnten, alles im Einklang mit der Sensibilität der Kundendaten sowie der Komplexität und dem Umfang der Aktivitäten von Ripple Treasury gemäß der Vereinbarung.

5.PRÜFUNG DER SICHERHEITSKONTROLLEN.5. PRÜFUNG DER SICHERHEITSKONTROLLEN.

  • Ripple Treasury wird einen unabhängigen Drittprüfer beauftragen, mindestens einmal jährlich eine Sicherheitsprüfung der Systeme von Ripple Treasury gemäß dem Statement on Standards for Attestation Engagements No. 18 nach den Standards des American Institute of Certified Public Accountants (des „AICPA“) durchzuführen, wobei ein SOC 2 Typ II Bericht erstellt wird. Auf Anfrage des Kunden wird Ripple Treasury dem Kunden eine Kopie dieses Berichts zur Verfügung stellen. Der Bericht ist vertrauliche Information von Ripple Treasury, und der Kunde wird die Vertraulichkeitspflichten übernehmen, die der Prüfer von ähnlich gelagerten Personen verlangt.
  • Bezüglich der Lieferanten von Ripple Treasury, die Hosting-Dienste bereitstellen, wird Ripple Treasury dem Kunden auf dessen unverzügliche Anfrage hin Sicherheitsaudits zur Verfügung stellen, die an den Systemen dieser Lieferanten durchgeführt wurden, soweit Ripple Treasury dies gemäß seiner Vereinbarung mit dem jeweiligen Lieferanten gestattet ist, vorausgesetzt, der Kunde übernimmt die Vertraulichkeitspflichten, die der/die Prüfer, der/die diese Berichte erstellt hat/haben, verlangt/verlangen.

6.ORGANISATORISCHE SICHERHEIT.6. ORGANISATORISCHE SICHERHEIT.

  • Verantwortung. Ripple Treasury wird die Verantwortung für das Informationssicherheitsmanagement ausschließlich entsprechend qualifiziertem und erfahrenem Personal übertragen.
  • Zugriff nach dem Need-to-Know-Prinzip. Ripple Treasury wird den Zugang zu Informationssystemen, die im Zusammenhang mit den gemäß der Vereinbarung erbrachten Dienstleistungen verwendet werden, und/oder zu Kundendaten auf Personal beschränken, das zuverlässig ist, über ausreichende technische Fachkenntnisse für die zugewiesene Rolle verfügt und seine Verpflichtungen sowie die Folgen einer Sicherheitsverletzung oder Nichteinhaltung der Vertraulichkeitsanforderungen kennt.
  • Vertraulichkeit und Personal von Ripple Treasury. Ripple Treasury wird sein Personal, das Zugang zu vertraulichen Informationen des Kunden hat, dazu anhalten, die Vertraulichkeit dieser vertraulichen Informationen im Einklang mit den Verpflichtungen von Ripple Treasury gemäß dem Hauptvertrag zu wahren.

7. ANLAGENVERWALTUNG.7. Anlagenverwaltung.

  • Datenkontrolle. Ripple Treasury wird weder selbst noch durch sein Personal Kundendaten auf einem Desktop-PC, Laptop, Server, tragbaren oder sonstigen Gerät an irgendeinem Ort kopieren, herunterladen, übertragen (an oder von) oder speichern, es sei denn, dies steht in direktem Zusammenhang mit der Erbringung der Dienstleistung gemäß der Vereinbarung.
  • Konfigurationsmanagement. Ripple Treasury wird eine Konfigurations-Baseline für die Informationssysteme der Ripple Treasury IT-Infrastruktur unter Verwendung geltender Informationssicherheitsstandards, Herstellerempfehlungen und Branchenpraktiken festlegen. Ripple Treasury wird eine geeignete Überwachung einrichten, um sicherzustellen, dass die Ripple Treasury IT-Infrastruktur während der gesamten Lebensdauer der Ripple Treasury IT-Infrastruktur gemäß der festgelegten Konfigurations-Baseline konfiguriert ist.
  • Änderungsmanagement. Die Implementierung von Änderungen und die Einführung neuer Systeme müssen durch umfassende, formelle Änderungskontrollverfahren kontrolliert, dokumentiert und durchgesetzt werden, einschließlich Dokumentation, Spezifikationen, Tests, Qualitätskontrolle, Wiederherstellung und gesteuerter Implementierung.
  • Schwachstellenmanagement. Ripple Treasury wird eine formelle Organisationsrichtlinie für ein Schwachstellenmanagementprogramm implementieren, das das Scannen nach Schwachstellen, den Bezug eines Schwachstellen-Benachrichtigungsdienstes, eine Methode zur Priorisierung der Schwachstellenbehebung basierend auf dem Risiko (wobei eine Komponente ein branchenübliches Bewertungssystem sein muss), festgelegte Behebungsfristen basierend auf der Risikobewertung sowie die Verfolgung und Berichterstattung über die Wirksamkeit des Behebungsprogramms erfordert.

8. VERANTWORTUNG FÜR LIEFERANTEN.

Ripple Treasury haftet gegenüber dem Kunden für jede Handlung oder Unterlassung eines Lieferanten oder sonstigen Beauftragten von Ripple Treasury, die, wenn sie von Ripple Treasury begangen oder unterlassen worden wäre, einen Verstoß von Ripple Treasury gegen diesen Zusatz darstellen würde.

9. GEOLOKALISIERUNG:

Wenn ein Auftragsplan einen bestimmten Standort für das Hosting von Kundendaten vorschreibt (z. B. eine Azure-Region oder eine ähnliche Spezifikation), wird Ripple Treasury die vom jeweiligen System gespeicherten und verarbeiteten Kundendaten an diesem Standort aufbewahren.

10. PHYSISCHE SICHERHEIT VON RÄUMLICHKEITEN.

  • Sicherung physischer Einrichtungen. Ripple Treasury wird die Hosting-Umgebung für das/die System(e) in einer physisch sicheren Umgebung aufrechterhalten oder aufrechterhalten lassen, die den Zugang auf autorisierte Personen beschränkt. Eine sichere Umgebung umfasst die Überwachung durch Sicherheitspersonal rund um die Uhr oder gleichwertige Mittel zur aktiven Überwachung der Sicherheitskontrollen für alle relevanten Standorte (einschließlich, aber nicht beschränkt auf Gebäude, Computereinrichtungen und Archivierungsanlagen).
  • Sichere physische Verarbeitungsstandorte. Ripple Treasury wird eine aktuelle Aufzeichnung aller Standorte führen, an denen es Kundendaten im Zusammenhang mit der Erbringung von Dienstleistungen speichert oder verarbeitet, sowie des Eigentümers des jeweiligen Datenstandorts. Ripple Treasury wird diese Aufzeichnung aktualisieren, um jede Übertragung oder Verlagerung wesentlicher Teile von Kundendaten widerzuspiegeln.

11. MEDIENHANDHABUNG.

  • Physische Sicherheit von Medien. Ripple Treasury wird branchenübliche Maßnahmen ergreifen, um den unbefugten Zugriff, das Kopieren, die Änderung oder die Entfernung von Medien, die Kundendaten enthalten, unabhängig vom Speicherort zu verhindern. Wechselmedien, auf denen Kundendaten von Ripple Treasury gespeichert werden (einschließlich, aber nicht beschränkt auf USB-Sticks, CDs und DVDs), müssen mit mindestens 256-Bit AES (oder gleichwertig) verschlüsselt werden.
  • Medienvernichtung. Ripple Treasury wird Wechselmedien und mobile Geräte (Beispiele hierfür sind Discs, USB-Laufwerke, DVDs, Sicherungsbänder, Drucker, Laptops oder Tablets usw.), die Kundendaten enthalten, sicher löschen oder vernichten, wenn sie nicht mehr verwendet werden, indem die Kundendaten auf solchen physischen Medien unkenntlich und mit technischen Mitteln nicht wiederherstellbar gemacht werden, bevor die Medien wiederverwendet werden, falls dies vom Kunden verlangt wird oder falls solche Medien oder mobilen Geräte nicht mehr verwendet werden sollen. Alle Sicherungsbänder, die aus irgendeinem Grund nicht vernichtet werden, müssen bis zu ihrer Vernichtung dem in diesem Zusatz beschriebenen Schutzniveau entsprechen.
  • Vernichtung von Papierdokumenten. Ripple Treasury wird alle Papierabfälle, die Kundendaten enthalten, quer schreddern und diese sicher und vertraulich entsorgen, um sicherzustellen, dass alle derartigen Papierabfälle unlesbar gemacht werden.

12. KOMMUNIKATIONS- UND BETRIEBSMANAGEMENT.

  • Penetrationstests. Ripple Treasury wird mindestens einmal jährlich einen unabhängigen Dritten (oder eine organisatorisch unabhängige Testfunktion) beauftragen, einen Penetrationstest der IT-Infrastruktur von Ripple Treasury durchzuführen. Ripple Treasury wird dem Kunden auf Anfrage eine zusammenfassende Übersicht der Testergebnisse zur Verfügung stellen.
  • Umfang des Penetrationstests. Der Umfang eines Penetrationstests muss den Perimeter der IT-Infrastruktur von Ripple Treasury und alle kritischen Systeme umfassen, die die Sicherheit der IT-Infrastruktur von Ripple Treasury beeinträchtigen könnten. Dies beinhaltet sowohl den externen Perimeter (öffentlich zugängliche Angriffsflächen) als auch den internen Perimeter der IT-Infrastruktur von Ripple Treasury (LAN-zu-LAN-Angriffsflächen). Die Tests müssen sowohl Bewertungen auf Anwendungs- als auch auf Netzwerkebene umfassen.
  • Datenverschlüsselung. Ripple Treasury wird Kundendaten, die sich im Besitz oder unter der Kontrolle von Ripple Treasury befinden, sowohl im Ruhezustand (wenn sie nicht aktiv verarbeitet werden) als auch während der Übertragung verschlüsseln. Für Übertragungsszenarien wird Ripple Treasury TLS mit einer Verschlüsselungsstärke von mindestens 256 Bit am Demarkationspunkt aktivieren. Ripple Treasury wird eine formelle organisatorische Verschlüsselungsrichtlinie implementieren und einhalten, die akzeptable Standards, Algorithmen, Schlüsselverwaltungspraktiken und Zertifikate abdeckt.
  • Verhinderung von Datenverlust. Ripple Treasury wird umfassende Kontrollen zur Verhinderung von Datenlecks implementieren, die darauf ausgelegt sind, die genannten Kundendaten, die ohne entsprechende Autorisierung den Kontrollbereich von Ripple Treasury verlassen, automatisch zu identifizieren, zu erkennen, zu überwachen, zu dokumentieren und entweder zu verhindern oder davor zu warnen.
  • Datenvernichtung. Sofern Ripple Treasury gemäß dem Master Agreement zur Vernichtung von Kundendaten berechtigt oder verpflichtet ist, wird Ripple Treasury diese Kundendaten löschen oder vernichten, sodass sie nicht wiederherstellbar sind.
  • Netzwerkverkehrsbeschränkungen. Ripple Treasury wird technische Kontrollen implementieren, die den Netzwerkverkehr, der Kundendaten betrifft, auf das für die Bereitstellung des Dienstes erforderliche Minimum beschränken (z. B. Portbeschränkungen, Firewall-Kontrollen usw.).
  • Drahtlose Netzwerke. Ripple Treasury wird sicherstellen, dass jede Nutzung des Wi-Fi-Organisationsnetzwerkverkehrs zur Übertragung von Kundendaten mittels WPA2 oder WPA3 mit der AES-Verschlüsselungsalgorithmusoption für nicht-broadcastfähige SSIDs und gegenseitiger Authentifizierung zwischen dem Server und den Endgeräten verschlüsselt wird; oder ähnliche oder bessere Maßnahmen.
  • Bösartiger Code. Ripple Treasury wird Kontrollen implementieren, um das Einschleusen oder Eindringen von bösartigem Code in Informationssysteme, die Kundendaten verarbeiten oder speichern, zu erkennen und Kontrollen implementieren und aufrechterhalten, die darauf ausgelegt sind, den unbefugten Zugriff, die Offenlegung oder den Verlust der Integrität von Kundendaten zu verhindern.
  • Internetkontrollen. Ripple Treasury wird Kontrollen implementieren, um den Zugriff von Mitarbeitern auf risikoreiche und unerwünschte Internetinhalte und risikoreichere Websites (wie internetbasierte E-Mail- oder Dateispeicherdienste) über die IT-Infrastruktur von Ripple Treasury zu identifizieren und zu blockieren.

13. ZUGRIFFSKONTROLLE.

  • Autorisierter Zugriff. Ripple Treasury wird eine logische Trennung aufrechterhalten, sodass der Zugriff auf die IT-Infrastruktur von Ripple Treasury, die Kundendaten hostet und/oder zur Bereitstellung von Diensten für den Kunden verwendet wird, jede zugriffsberechtigte Person eindeutig identifiziert und der Zugriff nur autorisiertem Personal nach dem Prinzip der geringsten Privilegien gewährt wird.
  • Bestandsaufnahme der Benutzerzugriffe. Ripple Treasury wird eine genaue und aktuelle Liste aller Ripple Treasury-Mitarbeiter führen, die Zugriff auf Kundendaten haben, und einen Prozess zur Verfügung stellen, um den Zugriff innerhalb von 24 Stunden nach Übertragung oder Beendigung umgehend zu deaktivieren. Darüber hinaus wird Ripple Treasury regelmäßig (mindestens jährlich) die Zugriffsrechte der Benutzer überprüfen, um sicherzustellen, dass das Prinzip der geringsten Privilegien gewahrt bleibt.
  • Zugriff nicht mehr erforderlich.

  * Bezüglich aller Ripple Treasury-Mitarbeiter, die keinen Zugriff auf Kundendaten mehr benötigen oder nicht mehr dazu berechtigt sind, wird Ripple Treasury, sofern der Benutzerzugriff vom Kunden verwaltet wird, den Kunden mindestens 24 Stunden vor dem Zeitpunkt informieren, zu dem dieser Zugriff nicht mehr benötigt oder autorisiert ist.

  * Ungeachtet des Vorstehenden wird Ripple Treasury, sofern der Benutzerzugriff von Ripple Treasury verwaltet wird, den Zugriff auf Kundensysteme und -räumlichkeiten für alle Ripple Treasury-Mitarbeiter, die entweder entfernt werden oder nicht mehr aktiv an einem Kundenauftrag beteiligt sind oder wenn diese Mitarbeiter nicht mehr Angestellte oder Lieferanten von

  • Verwaltung von Authentifizierungsdaten. Ripple Treasury wird Zugangsdaten an Benutzer auf eine Weise übermitteln, die vernünftigerweise darauf ausgelegt ist, den Empfang durch unbefugte Personen zu verhindern.
  • Protokollierung und Überwachung. Ripple Treasury wird alle Zugriffe auf die IT-Infrastruktur von Ripple Treasury protokollieren und überwachen, um Ergänzungen, Änderungen, Löschungen und Kopien von Kundendaten zu erfassen. Ripple Treasury wird Aufzeichnungen über System- oder entsprechende Zugriffsversuche, sowohl erfolgreiche als auch fehlgeschlagene, führen. Ripple Treasury wird Administrationsprotokolle für mindestens 60 Tage und Finanztransaktionsprotokolle für mindestens sechs Monate aufbewahren.
  • Multi-Faktor-Authentifizierung für Fernzugriff. Ripple Treasury wird bei Fernzugriffen auf die IT-Infrastruktur von Ripple Treasury eine Multi-Faktor-Authentifizierung und einen sicheren Tunnel verwenden.
  • Multi-Faktor-Authentifizierung für internetbasierte Anwendungen. Ripple Treasury wird für alle Nutzer von Anwendungen, die öffentlich über das Internet zugänglich sind, Finanzanweisungen/-transaktionen ermöglichen oder die Anzeige sensibler personenbezogener Daten erlauben, eine Multi-Faktor-Authentifizierung vorschreiben.
  • Administratorzugriff auf Endpunkte. Ripple Treasury wird den Administratorzugriff auf Endnutzergeräten, die von Ripple Treasury-Mitarbeitern verwendet werden, einschließlich der Möglichkeit zur Softwareinstallation, generell auf Personal und privilegierte Konten mit technischen Administratoraufgaben beschränken.

14. NUTZUNG VON LAPTOPS UND MOBILEN GERÄTEN.

  • Verschlüsselungsanforderungen. Ripple Treasury wird Daten auf allen Laptops oder Mobilgeräten, die Kundendaten enthalten, unter Verwendung eines branchenweit anerkannten Verschlüsselungsalgorithmus mit mindestens 256-Bit-AES-Verschlüsselung (oder gleichwertig) verschlüsseln.
  • Sichere Speicherung. Ripple Treasury wird verlangen, dass alle Laptops und Mobilgeräte, die auf Kundendaten zugreifen, sicher aufbewahrt werden, wenn sie sich nicht im unmittelbaren Besitz des Ripple Treasury Personals befinden. Im Falle eines verlorenen oder gestohlenen Ripple Treasury Laptops oder eines anderen Mobilgeräts, das unverschlüsselte oder leicht identifizierbare Kundendaten enthält, wird Ripple Treasury den Kunden unverzüglich darüber informieren.
  • Inaktivitäts-Timeout. Ripple Treasury wird Zugriffs- und Passwortkontrollen sowie Inaktivitäts-Timeouts von nicht länger als 30 Minuten auf allen Laptops, Desktops und Mobilgeräten einsetzen, die vom Ripple Treasury Personal für den Zugriff auf Kundendaten verwendet werden.
  • Laptops/Mobilgeräte. – Ripple Treasury wird technische Kontrollen implementieren, die den Zugriff auf Kundendaten auf Laptops oder Mobilgeräten untersagen, wenn die oben genannten Anforderungen nicht erfüllt werden können.

15. ERWERB, ENTWICKLUNG UND WARTUNG VON INFORMATIONSSYSTEMEN.

  • Code-Analyse. In Bezug auf Software, die Ripple Treasury zur Verwendung als Teil eines Systems entwickelt, wird Ripple Treasury statische Anwendungssicherheitstests (SAST) mit einem kommerziell anerkannten Tool und/oder Prozess durchführen, der darauf ausgelegt ist, technische Sicherheitslücken zu identifizieren und zu beheben. Zusätzlich wird Ripple Treasury seinen Code auf Designfehler (wie z. B. verbleibenden Debug-Code) untersuchen, die zur Umgehung implementierter Sicherheitskontrollen verwendet werden könnten, und/oder auf die Aufnahme von Code, der mit böswilliger Absicht verwendet werden könnte.
  • Sicherheit von Open-Source-Software. Ripple Treasury wird, soweit zutreffend, Kontrollen im Zusammenhang mit der Nutzung von Open-Source-Software innerhalb des Entwicklungslebenszyklus implementieren, um die Risiken solcher Software zu adressieren und zu mindern. Diese Kontrollen umfassen mindestens Bestimmungen für Open-Source-Software-Inventare und -Audits, Komponenten- und Zusammensetzungsanalysen, Sicherheit und Schwachstellen, Lizenzierung und Compliance sowie Softwarequalität.
  • Software-Patching. Ripple Treasury wird alle Computersoftware auf der IT-Infrastruktur von Ripple Treasury, die Kundendaten verarbeitet oder speichert, regelmäßig aktualisieren und patchen, wobei Patches für als „kritisch“ oder „hoch“ eingestufte Schwachstellen innerhalb von 30 Tagen nach Verfügbarkeit des Patches angewendet werden, es sei denn, es wurden andere vom Softwareherausgeber vorgeschlagene oder empfohlene Kontrollen angewendet, die die Schwachstelle mindern.

16. VORFALLS- UND KOMMUNIKATIONSMANAGEMENT.

  • Vorfallsmanagement/Meldung von Sicherheitsverletzungen. Ripple Treasury wird einen vom Management genehmigten Reaktionsplan für Vorfälle entwickeln und implementieren, der die Maßnahmen festlegt, die zu ergreifen sind, wenn Ripple Treasury oder einer ihrer Lieferanten vermutet oder feststellt, dass eine Person unbefugten Zugriff auf Kundendaten oder Systeme oder Anwendungen, die Kundendaten enthalten, erlangt hat (der „Reaktionsplan“). Der Reaktionsplan wird die folgenden Bestimmungen enthalten.

  * Eskalationsverfahren. Benachrichtigung von Führungskräften und angemessene Meldung an Aufsichts- und Strafverfolgungsbehörden.

  * Meldung von Vorfällen. Ripple Treasury wird dem Kunden unverzüglich alle Details mitteilen, die Ripple Treasury über die allgemeinen Umstände und das Ausmaß eines solchen unbefugten Zugriffs besitzt oder erhält, einschließlich, aber nicht beschränkt auf, die Kategorien der personenbezogenen Kundendaten und die Anzahl und/oder Identitäten der betroffenen Personen, sowie alle Schritte, die zur Sicherung der Kundendaten und zur Bewahrung von Informationen für notwendige Untersuchungen unternommen wurden.

  * Untersuchung und Prävention. Ripple Treasury wird angemessene Anstrengungen unternehmen, um den Kunden bei der Untersuchung oder Verhinderung des Wiederauftretens eines solchen Zugriffs zu unterstützen und wird: (A) mit dem Kunden bei dessen Bemühungen zusammenarbeiten, gesetzliche Mitteilungspflichten oder andere rechtliche Verpflichtungen einzuhalten, die für den Kunden oder seine Kunden aufgrund unbefugten Zugriffs oder unbefugter Nutzung gelten, und einstweiligen Rechtsschutz oder andere billigkeitsrechtliche Abhilfemaßnahmen zu beantragen, und (B) unverzüglich alle angemessenen Maßnahmen ergreifen, die erforderlich sind, um ein Wiederauftreten eines solchen unbefugten Zugriffs zu verhindern und Verluste daraus zu mindern. Darüber hinaus wird Ripple Treasury, falls Ripple Treasury dem Kunden einen Sicherheitsvorfall meldet und dieser Sicherheitsvorfall dazu führt, dass der Kunde einen technischen Supportfall auf der Stufe „kritisch“ eröffnet, die folgenden Maßnahmen ergreifen, sofern zwischen den Parteien nichts anderes vereinbart wurde:

    * Ripple Treasury wird einen oder mehrere Cloud-Support-Ingenieure, technische Account Manager oder ähnliches Personal (den „Incident Responder“) beauftragen, um sich mit dem Kunden abzustimmen, Details des Sicherheitsvorfalls zu überwachen, Kundenanliegen zu untersuchen und zu diagnostizieren und mit den Fachexperten von Ripple Treasury im Zusammenhang mit dem Sicherheitsvorfall zusammenzuarbeiten;

    * Ripple Treasury wird wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass der Incident Responder auf den technischen Supportfall des Kunden gemäß der SLA reagiert (oder diesen bestätigt); und

    * Bei Bedarf und Angemessenheit wird der Incident Responder eine direkte Interaktion zwischen dem Kunden und den Fachexperten von Ripple Treasury im Zusammenhang mit dem Sicherheitsvorfall arrangieren.

  * Schulung des Personals und Vertraulichkeit. Ripple Treasury wird sicherstellen, dass alle Mitarbeiter den Prozess und die Bedingungen vollständig verstehen, unter denen sie die entsprechende Reaktion auf Vorfälle einleiten müssen. Ripple Treasury wird die Vertraulichkeit in dem Maße wahren, wie es die Rahmenvereinbarung in Bezug auf den tatsächlichen oder vermuteten unbefugten Besitz, die Nutzung oder Kenntnis von Kundendaten oder jedes andere Versagen der Sicherheitsmaßnahmen von Ripple Treasury oder die Nichteinhaltung ihrer Sicherheitsrichtlinien oder -verfahren vorschreibt.

  * Jährliche Überprüfung/Aktualisierung. Ripple Treasury wird den Reaktionsplan mindestens einmal jährlich überprüfen, um wesentliche Änderungen an Systemen, Anwendungen oder Betriebsabläufen zu berücksichtigen, die vom Management genehmigt wurden. Ripple Treasury wird mindestens einmal jährlich eine Validierungsübung durchführen, um zu prüfen, ob die Annahmen des Reaktionsplans korrekt sind, und um die Fähigkeit von Ripple Treasury zu bestätigen, den Plan wie vorgesehen auszuführen.

DORA-Kunden. Soweit der Kunde ein „Finanzunternehmen“ ist, das der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 unterliegt (siehe auch https://eur-lex.europa.eu/eli/reg/2022/2554/oj) („DORA“)) und verpflichtet ist, Ripple Treasury die in DORA Art. 30 genannten Verpflichtungen aufzuerlegen, wird Ripple Treasury dem Kunden Unterstützung leisten, wenn ein „IKT-Vorfall“ eintritt, der sich auf die dem Kunden bereitgestellten Systeme bezieht. Ist ein solcher IKT-Vorfall unmittelbar durch eine Verletzung der Verpflichtungen von Ripple Treasury gemäß der Vereinbarung verursacht, erbringt Ripple Treasury diese Leistungen ohne zusätzliche Kosten, bis zur im Vertrag festgelegten Haftungsbeschränkung. Ist ein solcher IKT-Vorfall nicht unmittelbar durch eine Verletzung der Verpflichtungen von Ripple Treasury gemäß der Vereinbarung verursacht, erbringt Ripple Treasury diese Leistungen zu dem im Bestelldokument angegebenen Satz für professionelle Dienstleistungen oder, falls kein solcher Satz im Bestelldokument angegeben ist, zu den dann aktuellen (aber in jedem Fall wirtschaftlich angemessenen) Sätzen von Ripple Treasury.

Siehe Ripple Treasury


in Aktion

Nehmen Sie noch heute Kontakt mit unterstützenden Experten, umfassenden Lösungen und ungenutzten Möglichkeiten auf.

Eine Demo anfragen