Effective April 15, 2026
Sicherheitsbestimmungen
BEGRIFFSBESTIMMUNGEN
“NIST” bezeichnet das National Institute for Standards and Technology.
"Sicherheitsvorfall" bedeutet, dass Hyland eine tatsächliche Offenlegung von unverschlüsselten Kundendaten gegenüber einer nicht autorisierten Person oder Einrichtung feststellt, die die Sicherheit, Vertraulichkeit oder Integrität der Kundendaten gefährdet.
1. Hyland unterhält und verwaltet ein umfassendes schriftliches Sicherheitsprogramm, welches entwickelt wurde zum Schutz: (a) der Sicherheit und Integrität der Kundendaten, (b) vor Bedrohungen und Gefahren, die sich negativ auf die Kundendaten auswirken können, und (c) vor unbefugtem Zugriff auf die Kundendaten, dient. Ein solches Programm umfasst Folgendes:
1.1. Risikomanagement.
1.1.1 Durchführung einer jährlichen Risikoprüfung um Bedrohungen und Schwachstellen in den administrativen, physischen, rechtlichen, regulatorischen und technischen Sicherheitsvorkehrungen zu identifizieren, die zum Schutz des Produkts eingesetzt werden.
1.1.2 Aufrechterhaltung eines dokumentierten Risikobehebungsprozesses, um die Verantwortung für identifizierte Risiken zuzuweisen, Behebungspläne und Zeitrahmen festzulegen und eine regelmäßige Überwachung des Fortschritts zu gewährleisten.
1.2. Informationssicherheitsprogramm.
1.2.1 Aufrechterhaltung eines dokumentierten, umfassenden Informationssicherheitsprogramms, welches Richtlinien und Verfahren, die auf Industriestandards basieren (wie z. B. ISO 27001/27002 oder andere gleichwertige Standards), enthält. Ein solches Informationssicherheitsprogramm muss, gegebenenfalls, Folgendes umfassen: (a) angemessene physische Sicherheit und Cybersicherheit an den Orten, an denen Kundendaten verarbeitet und/oder gespeichert werden; und (b) angemessene Vorsichtsmaßnahmen in Bezug auf die Beschäftigung von Hyland-Mitarbeitern.
1.2.2 Diese Richtlinien werden jährlich überprüft und aktualisiert.
1.3 Organisation der Informationssicherheit. Zuweisung von Sicherheitsverantwortlichkeiten an geeignete Einzelpersonen oder Gruppen, um den Schutz des Produkts und der damit verbundenen Assets zu erleichtern.
1.4. Sicherheit im Personalwesen.
1.4.1 Alle Hyland-Mitarbeiter werden während des Einstellungsprozesses einer umfassenden Prüfung unterzogen.
1.4.2 Es werden Hintergrundüberprüfungen und Referenzvalidierungen durchgeführt, um festzustellen, ob die Qualifikationen des Kandidaten für die vorgeschlagene Position geeignet sind.
1.4.3 Vorbehaltlich jeglicher Einschränkungen, die durch geltendes Recht auferlegt werden und abhängig von der jeweiligen Jurisdiktion, umfassen diese Hintergrundüberprüfungen gegebenenfalls eine strafrechtliche Hintergrundüberprüfung, eine Überprüfung der vorhergehenden Beschäftigungen und der Ausbildung, soweit zutreffend.
1.4.4 Sicherstellung, dass alle Hyland-Mitarbeiter einer Vertraulichkeits- und Geheimhaltungsverpflichtung unterliegen, bevor der Zugriff auf das Produkt oder die Kundendaten gewährt wird.
1.4.5 Sicherstellung, dass zuständige Hyland-Mitarbeiter eine Sicherheitsschulung erhalten, welche diesen Mitarbeitern Kenntnisse zur Informationssicherheit vermittelt, um die Sicherheit, Verfügbarkeit und Vertraulichkeit der Kundendaten zu gewährleisten
1.4.6 Nach dem Ausscheiden eines Hyland-Mitarbeiters oder einem Rollenwechsel stellt Hyland sicher, dass der Zugriff eines Hyland-Mitarbeiters auf das Produkt zeitnah widerrufen wird und alle anwendbaren Hyland-Assets, sowohl Informationen als auch physische Assets, zurückgegeben werden.
1.5. Asset Management.
1.5.1 Sicherstellung, dass die Kundendaten verschlüsselt und an einem sicheren Ort gespeichert werden, der strengen physischen Zugangskontrollen unterliegt.
1.5.2 Aufrechterhaltung von Richtlinien und Verfahren zur Verwaltung von Assets und Informationen. Dies umfasst Eigentumsrechte an Assets, eine Bestandsaufnahme von Assets, Klassifizierungsrichtlinien und Handhabungsstandards für Hyland-Assets.
1.5.3 Hinweis: Das Produkt wird in der Amazon Web Services (AWS) Cloud gehostet, wo Sicherheit und Compliance in der geteilten Verantwortung von AWS und Hyland liegen. AWS ist für den Schutz der Infrastruktur verantwortlich, auf der alle in der AWS Cloud angebotenen Dienste laufen. Diese Infrastruktur besteht aus der Hardware, Software, dem Netzwerk und den Einrichtungen, die die AWS-Cloud-Services ausführen. AWS betreibt, verwaltet und kontrolliert die Komponenten vom Host-Betriebssystem und der Virtualisierungsebene bis hin zur physischen Sicherheit der Einrichtungen, in denen der Service betrieben wird, einschließlich der Handhabung und Außerbetriebnahme von Medien. Die AWS Device Management Controls sind unter folgendem Link abrufbar: https://aws.amazon.com/compliance/data-center/controls/#Device_Management.
1.6. Zugriffskontrollen.
1.6.1 Aufrechterhaltung einer Zugriffsrichtlinie und entsprechender Verfahren. Die Zugriffsverfahren definieren den Antrags-, Genehmigungs- und Zugriffsbereitstellungsprozess für Hyland-Mitarbeiter. Der Zugriffsprozess schränkt den Zugriff von Hyland-Benutzern (lokal und remote) auf der Grundlage der Position des Hyland-Benutzers ein (rollen-/profilbasiert, angemessener Zugriff) für Anwendungen und Datenbanken.
1.6.2 Dokumentieren von Verfahren für: (a) rechtzeitiges Onboarding und Offboarding von Hyland-Benutzern; und (b) Schwellenwerte für Inaktivität von Hyland-Benutzern, der zur Sperrung und Entfernung von Konten führt.
1.6.3 Beschränkung des Zugriffs von Hyland auf Kundendaten auf seine Mitarbeiter, die als Voraussetzung für die Erbringung der Dienstleistungen im Rahmen dieser Vereinbarung durch Hyland auf Kundendaten zugreifen müssen. Für diese Hyland-Mitarbeiter wendet Hyland das Prinzip des "geringsten Privilegs" und das Konzept des "minimal Notwendigen" an. Hyland verlangt sichere Passwörter, die einer gewissen Komplexität unterliegen und regelmäßig gewechselt werden müssen, sowie die Verwendung von Multi-Faktor-Authentifizierung.
1.6.4 Sicherstellung, dass Zugangskontrollen für den Zugriff auf Kundendaten durch Hyland vorhanden sind. Hinweis: Der Kunde kontrolliert den Zugriff der Nutzer, die Berechtigungen der Nutzer und die Aufbewahrung der Kundendaten im dem Kunden zur Verfügung gestellten Umfang.
1.7. Systemgrenzen.
1.7.1 Hinweis: Hyland ist nicht verantwortlich für Systemkomponenten, die sich nicht innerhalb des Produkts befinden, einschließlich Netzwerkgeräte, Netzwerkverbindungen, Workstations, Server und Software, die im Besitz des Kunden oder Dritter sind und von diesen betrieben werden.
1.7.2 Hinweis: Die innerhalb des Produkts ausgeführten Prozesse beschränken sich auf diejenigen, die von einem Hyland-Mitarbeiter (oder einem von Hyland autorisierten Dritten) ausgeführt werden, oder auf Prozesse, die in ihrer Gesamtheit innerhalb der etablierten Systemgrenzen von Hyland ausgeführt werden.
1.7.3 Hinweis: Bestimmte Geschäftsprozesse können diese Grenzen überschreiten, d.h. eine oder mehrere Aufgaben werden außerhalb der von Hyland festgelegten Systemgrenzen für das Produkt ausgeführt, eine oder mehrere Aufgaben werden von Personen ausgeführt, die keine Hyland-Mitarbeiter (oder autorisierte Dritte) sind, oder einer oder mehrere Aufgaben werden auf der Grundlage schriftlicher Anfragen des Kunden ausgeführt. In einem solchen Fall wird Hyland Unterstützung für solche Prozesse leisten, soweit sie innerhalb der von Hyland festgelegten Systemgrenzen auftreten. Hyland ist jedoch nicht dafür verantwortlich, Unterstützung für solche Prozesse zu leisten, sofern sie außerhalb dieser festgelegten Systemgrenzen auftreten. Beispiele für Geschäftsprozesse, die diese Grenzen überschreiten, sind unter anderem Konfigurationsänderungen des Produkts, Verarbeitungen, die innerhalb des Produkts stattfinden, Benutzerautorisierung und Dateiübertragungen.
1.8. Verschlüsselung.
1.8.1 Sicherstellung, dass Kundendaten nur in einem unterstützten verschlüsselten Format wie TLS oder einer anderen gleichwertigen Methode in das Produkt hochgeladen werden.
1.8.2 Verschlüsselung von Kundendaten im Ruhezustand und bei der Übertragung über öffentliche Netze.
1.8.3 Hinweis: Wenn die Verwendung der Verschlüsselungsfunktionalität vom Kunden kontrolliert oder geändert werden kann und der Kunde die Verwendung der Verschlüsselungsfunktionalität ändern oder deaktivieren möchte, geschieht dies beim Kunden auf eigenes Risiko.
1.9. Betriebssicherheit.
1.9.1 Aufrechterhaltung von Change Management Kontrollen, um sicherzustellen, dass von Hyland vorgenommene Änderungen an den Produktionssystemen vor der Implementierung ordnungsgemäß autorisiert und überprüft werden. Hinweis: Der Kunde ist dafür verantwortlich, alle Konfigurationsänderungen, Authentifizierungsänderungen und Upgrades, die vom Kunden oder von Hyland implementiert werden, zu testen. In Fällen, in denen der Kunde eine Änderung durch Hyland beauftragt, muss eine schriftliche Anfrage, die die Änderung beschreibt, von den vom Kunden benannten Customer Security Administrators („CSAs“) als Support Case eingereicht oder in einer separaten Vereinbarung dargelegt werden.
1.9.2 Vornahme geplanter Konfigurationsänderungen, die voraussichtlich den Zugang des Kunden zum Produkt während eines geplanten Wartungsfensters beeinträchtigen. Hinweis: Hyland kann während der normalen Geschäftszeiten Konfigurationsänderungen vornehmen, die voraussichtlich keine Auswirkungen auf den Kunden haben werden.
1.9.3 Verwendung von Technologien, die so konfiguriert sind, dass sie den gängigen Industriestandards entsprechen, um die Kundendaten innerhalb des Produkts vor Virusinfektionen oder ähnlichen Malicious Payloads zu schützen.
1.9.4 Implementierung von Disaster Recovery- und Business Continuity-Verfahren in Übereinstimmung mit dem vom Kunden erworbenen Service Level.
1.9.5 Aufbewahrung der Sicherheitsprotokolle für ein Jahr.
1.9.6 Aufrechterhaltung von Systemhärtungsanforderungen und Konfigurationsstandards für Komponenten, die im Produkt eingesetzt werden.
1.9.7 Regelmäßige Durchführung von Schwachstellen-Scans und rechtzeitige Behebung von Schwachstellen. Für den Fall, dass ein Sicherheits-Patch das Produkt wesentlich beeinträchtigen würde, wird Hyland angemessene Anstrengungen unternehmen, um kompensierende Maßnahmen zu implementieren, bis ein Sicherheits-Patch verfügbar ist, der das Produkt nicht wesentlich beeinträchtigt. Auf schriftliche Anfrage des Kunden stellt Hyland einen zusammenfassenden Bericht über die jüngste externe Schwachstellenprüfung zur Verfügung.
1.9.8 Durchführung von externe Penetrationstests gegen eine Instanz des Produkts (mindestens einmal jährlich), die für die von den Kunden im Allgemeinen verwendete Konfiguration repräsentativ ist, und Übermittlung einer Zusammenfassung des letzten Penetrationstests auf Anfrage des Kunden.
1.9.9 Der Kunde ist berechtigt, jährlich (aber nicht öfter als einmal innerhalb eines 12-Monats-Zeitraums) einen Penetrationstest gegen eine von Hyland eingerichtete Produkt-Website durchzuführen, die für Penetrationstests autorisiert ist. Dies setzt voraus, dass: (1) der Kunde im Voraus ein Formular zur Genehmigung von Penetrationstests einreicht; (2) Hyland und der Kunde sich vor der Durchführung solcher Tests über den Zeitpunkt, den Umfang und Gebühren einigen; (3) solche Tests auf Kosten des Kunden durchgeführt werden; und (4) wenn der Kunde einen Dritten mit der Durchführung solcher Tests beauftragt, muss der Dritte zuerst von Hyland genehmigt werden und eine Geheimhaltungsvereinbarung direkt mit Hyland abschließen (nach Maßgaben der Bestimmungen zur Einschränkung von Auftragnehmern wie in der Vereinbarung enthalten). Hinweis: Jegliche Tests, die ohne gegenseitige Vereinbarung in Bezug auf Zeitpunkt, Umfang und Kriterien durchgeführt werden, können als feindlicher Angriff betrachtet werden, der automatisierte und manuelle Reaktionen auslösen kann, einschließlich der Meldung der Aktivität an lokale und übergeordnete Behörden sowie der sofortigen Aussetzung des Zugriffs des Kunden auf das Produkt oder dessen Nutzung. Der Kunde ist nicht berechtigt, die Ergebnisse solcher Penetrationstests ohne die vorherige schriftliche Genehmigung von Hyland zu verteilen oder zu veröffentlichen.
1.9.10 Aufrechterhaltung einer rund um die Uhr besetzten Sicherheitszentrale (24/7).
1.10. Beziehungen zu Lieferanten. Aufrechterhaltung eines Lieferantenmanagementprogramms für kritische Lieferanten und jährliche Bewertung der kritischen Lieferanten.
1.11. Reaktion auf Sicherheitsvorfälle.
1.11.1 Anwendung von Standards für die Reaktion auf Sicherheitsvorfälle, die auf anwendbaren Industriestandards wie ISO 27001 und NISTberuhen, um die Informationssicherheitskomponenten der Produktumgebung aufrechtzuerhalten.
1.11.2 Die Reaktionen auf solche Sicherheitsvorfälle folgen der von Hyland dokumentierten Reaktionssequenz auf Sicherheitsvorfälle. Diese Sequenz umfasst die Auslösephase des Sicherheitsvorfälle, die Bewertungsphase, die Eskalationsphase, die Reaktionsphase, die Wiederherstellungsphase, die Deeskalationsphase und die Überprüfungsphase nach dem Sicherheitsvorfälle.
1.11.3 Wenn Hyland festgestellt hat, dass die Instanz des Produkts des Kunden durch einen Sicherheitsvorfall negativ beeinflusst wurde, ist eine Zusammenfassung der Ursachenanalyse vorzulegen. Eine solche Mitteilung wird nicht unangemessen verzögert, sondern erfolgt, nachdem erste Abhilfemaßnahmen ergriffen wurden, um die Sicherheitsbedrohung einzudämmen oder das Produkt zu stabilisieren.
1.11.4 Die Ursachenanalyse umfasst die Dauer des Ereignisses, die Lösung, die technische Zusammenfassung, ausstehende Probleme und Folgemaßnahmen, einschließlich der Schritte, die der Kunde unternehmen muss, um weitere Probleme zu vermeiden. Produkt-Informationen einschließlich Datenelementen, die zusätzliche Vertraulichkeits- und Sicherheitsmaßnahmen erfordern (einschließlich derjenigen anderer Kunden, die von dem Sicherheitsvorfälle betroffen sind), werden nicht öffentlich bekannt gegeben. Wenn der Kunde zusätzliche Details zu einem Vorfall benötigt, muss eine Anfrage an das zuständige Hyland Cloud-Supportteam gestellt werden, die einzelfallabhängig bewertet wird, um die Vertraulichkeit und Sicherheit der angeforderten Informationen zu schützen.
1.11.5 Benachrichtigung des Kunden über einen Sicherheitsvorfall innerhalb von 48 Stunden.
1.12. Informationssicherheitsaspekte des Business Continuity Managements.
1.12.1 Aufrechterhaltung eines Business Continuity- und Disaster Recovery-Plans.
1.12.2 Jährliche Überprüfung und Testen des Business Continuity- und Disaster Recovery-Plans.
1.13. Audits und Prüfungen.
1.13.1 Überwachung der Einhaltung des Informationssicherheitsprogramms. Dies beinhaltet regelmäßige interne Überprüfungen. Die Ergebnisse werden mit dem Hyland-Management geteilt und Abweichungen werden bis zur Behebung verfolgt.
1.13.2 Aufrechterhaltung eines regelmäßigen externen Prüfungsprogramms. Abgeschlossene Attestierungen, werden dem Kunden auf schriftliche Anfrage zur Verfügung gestellt.
1.13.3 Der Kunde ist berechtigt, jährlich (jedoch nicht öfter als einmal innerhalb eines Zeitraums von 12 Monaten) Audits (einschließlich Bewertungen, Fragebögen, geführte Überprüfungen oder anderer Anfragen zur Validierung der Sicherheitskontrollen von Hyland; jeweils eine "Sicherheitsanfrage") der Hyland-Tätigkeiten durchzuführen, die an der laufenden Bereitstellung und Unterstützung des Produkts beteiligt sind. Dies setzt voraus, dass:
(a) die Sicherheitsanfrage sich mit folgenden Informationen nicht überscheidet oder andernfalls von dieselben oder ähnlichen Informationen oder denselben Umfang nicht abdeckt, wie z.B.: (1) Kontrollen, die bereits in einem von Hyland durchgeführten externen Audit oder einer Bewertung vorgesehen sind, wie z. B. ein SOC-2-Bericht, ISO 27001 oder ein ähnliches Audit oder eine ähnliche Bewertung, die dem Kunden auf Anfrage zur Verfügung gestellt wird; oder (2) Inhalte, die von Hyland bereits durch einen ausgefüllten SIG-, CAIQ- oder ähnlichen Fragebogen, der dem Kunden auf Anfrage zur Verfügung gestellt wurde;
(b) Hyland und der Kunde den Zeitpunkt, den Umfang, die Gebühren (falls zutreffend) und die Kriterien einer solchen Sicherheitsanfrage einvernehmlich vereinbaren;
(c) Dokumentation, die vertraulich oder zugangsbeschränkt ist (wie z. B. interne Richtlinien, Praktiken und Verfahren von Hyland, einschließlich der vom Kunden angeforderten Dokumentation, die aufgrund von physischen Einschränkungen oder Richtlinienbeschränkungen nicht aus den Räumlichkeiten von Hyland entfernt werden kann), wird nicht zur externen Ansicht zur Verfügung gestellt oder aus den Räumlichkeiten von Hyland entfernt; derartige Überprüfungen müssen (nach Hyland’s Wahl) vor Ort in der Unternehmenszentrale von Hyland in Ohio oder über eine sichere Bildschirmfreigabe durchgeführt werden, die von Hyland so eingerichtet werden kann, dass jede Art von Kopieren oder Screenshots verboten ist;
(d) Hyland keinen Zugang zu internen Systemen oder Geräten gewährt, die zum Hosten oder Unterstützen der Hyland-Angebote verwendet werden; und
(e) sofern der Kunde einen Dritten mit der Durchführung einer solchen Sicherheitsanfrage beauftragen möchte, (1) muss Hyland den Einsatz dieses Dritten im Voraus schriftlich genehmigen; (2) muss der Kunde diesen Dritten dazu veranlassen, (A) eine Geheimhaltungsvereinbarung mit Hyland abzuschließen (nach Maßgaben der Bestimmungen zur Einschränkung von Auftragnehmern wie in der Vereinbarung enthalten) und (B) sich zur Einhaltung der Sicherheitsstandards von Hyland zu verpflichten; und (3) die Verwaltung der Zusammenarbeit mit diesem Dritten obliegt dem Kunden. Der Kunde muss insbesondere sicherstellen, dass dem Dritten der zwischen Hyland und dem Kunden vereinbarte Umfang der Sicherheitsanfrage und die Nutzung des Produkts durch den Kunden bekannt sind.
Bei Bedarf wird Hyland in der Unternehmenszentrale von Hyland in Ohio private und angemessene Unterkünfte für Datenanalysen und Besprechungen bereitstellen. Hyland und der Kunde können nach angemessener Ankündigung einvernehmlich vereinbaren, die erforderlichen Mitarbeiter oder Auftragnehmer für persönliche oder telefonische Interviews während einer solchen Sicherheitsanfrage auf Kosten des Kunden zur Verfügung zu stellen. Dem Kunden ist es untersagt, die Ergebnisse dieser Sicherheitsanfrage ohne vorherige schriftliche Genehmigung von Hyland an Dritte weiterzugeben oder zu veröffentlichen. Ungeachtet gegenteiliger Bestimmungen in dieser Vereinbarung verpflichtet nichts in dieser Vereinbarung (einschließlich dieses Abschnitts) Hyland oder eines seiner verbundenen Unternehmen zur Offenlegung von Informationen, die unter das Anwaltsgeheimnis fallen.
2. Maßgebliche Sprache. Hyland kann andere Versionen dieses Dokuments in anderen Sprachen an dieser Online-Location zur Verfügung stellen. Diese englischsprachige Version dieses Dokuments hat Vorrang vor allen anderen Versionen dieses Dokuments, die an dieser Online-Location in einer anderen Sprache verfügbar sind, wenn das Vertragsdokument in englischer Sprache verfasst ist. Wenn das Vertragsdokument in einer anderen Sprache als Englisch verfasst ist (eine solche Sprache wird als „andere Sprache“ bezeichnet), dieses Dokument jedoch nicht an dieser Online-Location in der anderen Sprache verfügbar sind, hat diese englischsprachige Version Vorrang vor allen anderen Versionen dieses Dokuments, die an dieser Online-Location in einer anderen Sprache verfügbar sind.
Die aktuellste Version dieses Dokuments ist diejenige, die ab 12:00 Uhr EST (Eastern Standard Time) des Datums, das auf der Online-Version angegeben ist, veröffentlicht ist.