Ruby Logic Poland sp. z o.o. (nachfolgend: Organisation) ist in der Softwareentwicklung tätig und entwickelt, betreibt, wartet sowie erbringt SaaS-Dienstleistungen. Der Schutz von Informationen - sowohl eigener Informationen als auch der von Kunden und Partnern anvertrauten Informationen - ist eine der zentralen Verpflichtungen der Organisation.

Diese Richtlinie (nachfolgend: Richtlinie) ist eine öffentliche Beschreibung der Grundsätze der Informationssicherheit innerhalb des Informationssicherheitsmanagementsystems (ISMS). Das Dokument basiert auf der internen Richtlinie ISMS-PO-01 und wird mit deren aktueller Version konsistent gehalten.

Ziel dieser Richtlinie ist es, den Rahmen für den Schutz von Informationen festzulegen und zu bestätigen, dass die Organisation:

1. die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützt,
2. rechtliche, regulatorische und vertragliche Anforderungen an die Informationssicherheit erfüllt,
3. einen risikobasierten Ansatz sowie Mechanismen zur kontinuierlichen Verbesserung anwendet,
4. die Geschäftskontinuität zentraler Dienstleistungen sicherstellt,
5. Sicherheitsanforderungen an Personen kommuniziert, die im Namen der Organisation handeln.

Die Richtlinie gilt für Informationen, Systeme und Prozesse im Zusammenhang mit den SaaS-Aktivitäten der Organisation, insbesondere für:

• Informationen, die in beliebiger Form verarbeitet werden,
• IT-Systeme und -Infrastruktur,
• externe Dienste zur Unterstützung der Bereitstellung von SaaS-Dienstleistungen,
• Geschäfts- und Betriebsprozesse zur Unterstützung des ISMS.

Die Richtlinie gilt für Mitarbeitende, Auftragnehmende, Subunternehmende sowie Lieferanten und Partner im Umfang der vertraglichen Vereinbarungen und erteilten Berechtigungen.

Die oberste Leitung der Ruby Logic Poland sp. z o.o. erklärt ihr volles Engagement für den Schutz von Informationen und verpflichtet sich zu:

1. Bereitstellung der Ressourcen, die zur Einführung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung des ISMS erforderlich sind.
2. Integration der Anforderungen der Informationssicherheit in die Geschäfts- und Betriebsprozesse der Organisation.
3. Anwendung eines risikobasierten Ansatzes bei Entscheidungen.
4. Sicherstellung der Einhaltung rechtlicher, regulatorischer und vertraglicher Anforderungen.
5. Benennung, Kommunikation und Unterstützung von Rollen mit Verantwortung für Informationssicherheit.
6. Regelmäßiger Überprüfung der Wirksamkeit des ISMS und der Zielerreichung im Bereich Informationssicherheit.
7. Übernahme der Verantwortung für die Wirksamkeit des ISMS.

Das ISMS der Organisation wird unter anderem in Übereinstimmung mit folgenden Vorgaben betrieben:

• ISO/IEC 27001:2022 (PN-EN ISO/IEC 27001:2023-08),
• ISO/IEC 27002:2022,
• DSGVO/GDPR sowie einschlägigen nationalen Vorschriften,
• vertraglichen Verpflichtungen (einschließlich NDA, SLA und Auftragsverarbeitungsverträgen).

Die Organisation legt Ziele der Informationssicherheit in folgenden Bereichen fest und überwacht sie:

• Vertraulichkeit,
• Integrität,
• Verfügbarkeit,
• ISMS-Konformität und -Wirksamkeit.

Diese Ziele sind messbar und werden regelmäßig berichtet sowie im Management-Review bewertet.

Die Organisation verfolgt einen mehrschichtigen, dem Risiko angemessenen Ansatz, einschließlich:

• Klassifizierung von Informationen und angemessenem Umgang mit Daten,
• Zugriffskontrolle auf Basis der Prinzipien need-to-know und least privilege,
• kryptografischem Schutz von Daten bei der Übertragung und im Ruhezustand,
• sicherem Software-Lebenszyklus,
• Schutz von Infrastruktur, Netzwerken und Betriebsumgebungen,
• physischer und organisatorischer Sicherheit an Orten der Informationsverarbeitung.

Die Organisation führt einen zyklischen Risikomanagementprozess durch, der Risikoidentifikation, -analyse, -behandlung und -überwachung umfasst. Restrisiken werden gemäß den festgelegten Kriterien akzeptiert; wesentliche Risiken erfordern eine Entscheidung des Vorstands.

Die Organisation unterhält einen Prozess zur Meldung, Klassifizierung und Bearbeitung von Informationssicherheitsvorfällen, einschließlich:

• der Verpflichtung zur unverzüglichen Meldung von Ereignissen und Verdachtsfällen,
• Ursachenanalyse und Umsetzung von Korrekturmaßnahmen,
• Erfüllung von Meldepflichten im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten.

Die Organisation erhält die Fähigkeit aufrecht, Dienstleistungen auch unter Störungsbedingungen sicher bereitzustellen, unter anderem durch:

• Überwachung der Verfügbarkeit von Dienstleistungen,
• Aufrechterhaltung von Redundanzen zentraler Infrastrukturelemente für kritische Services,
• Pflege und Tests von Sicherungskopien,
• Einsatz von Lösungen zur Unterstützung der operativen Resilienz,
• regelmäßige Tests ausgewählter Szenarien der Geschäftskontinuität.

Die Organisation:

• verlangt angemessene Vertraulichkeitsverpflichtungen und die Einhaltung von Sicherheitsgrundsätzen von Personen, die in ihrem Namen handeln,
• führt Schulungen zur Informationssicherheit durch,
• verwaltet Berechtigungen und deren Entzug nach Wegfall des geschäftlichen Bedarfs,
• bewertet Lieferantenrisiken und überwacht die Sicherheit der Zusammenarbeit mit externen Parteien.

Die Organisation schützt personenbezogene Daten und Rechte des geistigen Eigentums gemäß den geltenden Rechtsvorschriften, insbesondere der Verordnung (EU) 2016/679 (DSGVO/GDPR), vertraglichen Verpflichtungen sowie den ISMS-Grundsätzen.

Für die Wirksamkeit des ISMS ist der Vorstand verantwortlich, unterstützt durch benannte organisatorische Rollen. Alle Personen, die im Namen der Organisation handeln, sind zur Einhaltung dieser Richtlinie verpflichtet. Verstöße gegen Sicherheitsgrundsätze können organisatorische, vertragliche und in begründeten Fällen auch rechtliche Konsequenzen nach sich ziehen.

Die Richtlinie wird an Personen kommuniziert, die im Namen der Organisation handeln. Wesentliche Änderungen werden veröffentlicht und über die geltenden Kommunikationskanäle weitergegeben.

Für Anliegen zur Informationssicherheit kontaktieren Sie uns bitte über das Kontaktformular unter https://rubylogic.eu/de/kontakt