DIESER TEXT WURDE MASCHINELL ÜBERSETZT. ER DIENT AUSSCHLIESSLICH INFORMATIONSZWECKEN UND SPIEGELT DIE BEDEUTUNG ENGLISCHEN ORIGINALS NICHT UNBEDINGT GENAU WIDER. DIE BEDEUTUNG DER HIERIN ENTHALTENEN BEGRIFFE, BESTIMMUNGEN UND ZUSICHERUNGEN RICHTET SICH NACH DEN JEWEILIGEN DEFINITIONEN UND AUSLEGUNGEN IN DER ENGLISCHEN SPRACHE. BEI ABWEICHUNGEN ODER WIDERSPRÜCHEN ZWISCHEN DER ENGLISCHEN VERSION DIESES TEXTS UND ÜBERSETZUNGEN GILT DIE ENGLISCHE VERSION.

Gültig ab 16. Juni 2021

Dieser Nachtrag zur Informationssicherheit ("Nachtrag") umreißt die Sicherheitsanforderungen, die Cloudflare als Teil des Dienstes aufrechterhält ("Sicherheitsanforderungen") und wird in die Enterprise Subscription Terms of Service ("Vertrag") zwischen Cloudflare und dem Kunden aufgenommen. Großgeschriebene Begriffe, die in diesem Nachtrag ohne Definition verwendet werden, haben die Bedeutung, die ihnen in der Vereinbarung gegeben wird.

1. Allgemeines

1.1 Cloudflare wird (i) ein umfassendes schriftliches Informationssicherheitsprogramm implementieren und aufrechterhalten; (ii) ein solches Programm bei Bedarf regelmäßig oder bei einer wesentlichen Änderung in der Bereitstellung des Dienstes aktualisieren und überprüfen; und (iii) sicherstellen, dass ein solches Programm (x) mit den geltenden Gesetzen und den geltenden Industriestandards (einschließlich ISO/IEC 27001:2013, PCI DSS, SOC 2 Typ II) übereinstimmt, (y) angemessene administrative, logische, technische und physische Sicherheitsvorkehrungen enthält, die mit diesem Nachtrag übereinstimmen, und (z) angemessen gestaltet ist, um die folgenden Ziele zu erreichen:

(A) die Sicherheit sowie die Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten zu gewährleisten;

(B) zum Schutz vor Bedrohung oder Gefährdung der Sicherheit und Integrität der Kundendaten; und

(C) den unbefugten oder versehentlichen Zugriff, Erwerb, die Zerstörung, den Verlust, die Löschung, die Offenlegung, die Änderung oder die Verwendung von Kundendaten zu verhindern.

1.2 Die Bestimmungen dieses Nachtrags gelten im Falle eines Widerspruchs zwischen dem Vertrag (einschließlich aller anderen Anhänge, Anlagen oder Anhänge) und diesem Nachtrag.

2. Richtlinien, Sensibilisierung und Schulung

2.1 Cloudflare wird die Richtlinien zur Informationssicherheit mindestens einmal jährlich überprüfen, einschließlich, aber nicht beschränkt auf: Zugangs- und Authentifizierungsmanagement, Asset Management, Änderungsmanagement, Verschlüsselung, Reaktion auf Sicherheits- und Datenschutzvorfälle, Softwareentwicklungslebenszyklus und Risikomanagementpolitik für Dritte.

2.2 Cloudflare wird den Cloudflare-Mitarbeitern zum Zeitpunkt der Einstellung und danach jährlich Schulungen zum Thema Sicherheit anbieten. Die Schulungen werden regelmäßig aktualisiert, um relevante Informationen über Sicherheitsthemen, einschließlich der Verantwortlichkeiten für den Schutz von Daten und Systemen, sowie neue Bedrohungen und Trends einzubeziehen.

3. Zugangsverwaltung und Identifizierung; Authentifizierung

3.1 Cloudflare gestattet nur denjenigen Cloudflare-Mitarbeitern und Dritten, die gemäß dem Vertrag autorisiert sind (zusammenfassend "autorisierte Nutzer"), den Zugriff auf Kundendaten. Autorisiertes Cloudflare-Personal und autorisierte Dritte werden die Kundendaten des Kunden ausschließlich im Rahmen des Vertrags und dieses Nachtrags verwenden.

3.2 Cloudflare folgt den Industriestandards für die Authentifizierung und Autorisierung von Benutzern.

3.3 Autorisierte Benutzer verwenden keine gemeinsamen oder allgemeinen Identifikationsnachweise für den Zugriff auf Kundendaten.

3.4 Cloudflare verlangt von autorisierten Nutzern eine Zwei-Faktor-Authentifizierung für den Zugriff auf Systeme, in denen sich Kundendaten befinden.

3.5 Cloudflare unterhält ein zentrales Verzeichnis aller Identifizierungsdaten, die für den Zugriff auf das Cloudflare-Netzwerk verwendet werden, in dem sich die Kundendaten befinden.

3.6 Cloudflare wird den Zugang von autorisierten Nutzern, die den Zugang zu Kundendaten nicht mehr benötigen, widerrufen.

3.7 Cloudflare wird in regelmäßigen Abständen die Zugriffsrechte der autorisierten Nutzer überprüfen und bei Bedarf widerrufen.

3.8 Die Authentifizierung bei den Netzwerkressourcen, Plattformen, Geräten, Servern, Workstations, Apps und Geräten von Cloudflareist nicht mit Standardpasswörtern erlaubt.

3.9 Cloudflare stellt sicher, dass externe Netzwerkverbindungen zum Netzwerk von Cloudflare sicher sind.

3.10 Cloudflare ändert die Standard-Server-Passwörter, bevor das Gerät oder System in Betrieb genommen wird.

3.11 Arbeitsplätze, die über einen längeren Zeitraum inaktiv waren, werden automatisch gesperrt.

4. Sichere Datenverarbeitung

4.1 Cloudflare verschlüsselt die Kundendaten im Ruhezustand, bei der Übertragung und bei der Nutzung mit einer AES-Verschlüsselung von mindestens 128 Bit und einer Schlüssellänge von 1024 Bit.

4.2 Cloudflare wird eine vollständige Verschlüsselung aller ruhenden Kundendaten auf allen Systemen von Cloudflareanwenden und aufrechterhalten, die auf Kundendaten zugreifen, diese übertragen oder speichern.

4.3 Symmetrische Verschlüsselungsschlüssel und asymmetrische Private Schlüssel werden bei der Übertragung und Speicherung verschlüsselt, vor unbefugtem Zugriff geschützt und gesichert. Die Verwaltungs- und Rotationsverfahren für kryptografische Schlüssel werden dokumentiert. Der Zugang zu den Verschlüsselungsschlüsseln wird auf die Schlüsselverwahrer beschränkt. Cloudflare hält sich bei der Erstellung, Speicherung und Verwaltung kryptografischer Schlüssel, die zur Verschlüsselung von Kundendaten verwendet werden, an Branchenstandards.

4.4 Cloudflare wird sichere Datenentsorgungsverfahren beibehalten, einschließlich, aber nicht beschränkt auf die Verwendung von sicheren Löschbefehlen, Degaussing und "Crypto Shredding", soweit angemessen und in Übereinstimmung mit den Industriestandards.

4.5 Die Kundendaten werden logisch von denen anderer Cloudflare-Kunden getrennt.

5. Infrastruktur & Netzsicherheit

5.1 Cloudflare installiert, konfiguriert und pflegt die Perimeter- und Netzwerksicherheitskontrollen, um unbefugten Zugang zu den Kundendaten zu verhindern.

5.2 Cloudflare führt eine kontinuierliche Überwachung und Protokollierung von Sicherheitsereignissen durch, einschließlich versuchter und erfolgreicher Zugriffe, unbefugter Änderungen an Endpunkten, Netzwerkgeräten und Serversystemen, die Kundendaten enthalten, sowie anderer Indikatoren für eine Gefährdung. Alle Protokolle werden vor unbefugtem Zugriff oder Veränderung geschützt.

5.3 Cloudflare wird Sicherheits- und Härtungsstandards für Netzwerkgeräte implementieren und aufrechterhalten, die auf den besten Praktiken der Industrie basieren.

5.4 Cloudflare wird dokumentierte Änderungsmanagementverfahren befolgen.

6.App Sicherheit

Cloudflare befolgt im Lebenszyklus der Softwareentwicklung sichere Kodierungspraktiken, wie z. B. die vom Open Web App Security Project (OWASP) entwickelten Top 10 (zu finden unter https://www.owasp.org/), um sicherzustellen, dass kein schädlicher Code geliefert wird und die besten Praktiken befolgt werden. Zu den Codierungspraktiken gehören (i) getrennte Entwicklungs-, Test- und Produktionsumgebungen; (ii) regelmäßige Sicherheitscodeüberprüfungen; (iii) Scannen der gesamten Cloudflare Software und/oder App, die Kundendaten speichert, verarbeitet oder überträgt; und (iv) Verwendung von ausschließlich nicht-produktiven, verschleierten oder de-identifizierten Daten, die in nicht-produktiven Umgebungen (z. B. Entwicklung oder Test) verwendet werden.

7. Risikomanagement; Zusicherungen Dritter/Cloudflare

7.1 Cloudflare unterhält ein Risikomanagementprogramm für Dritte, das (i) die Aufrechterhaltung von Informationssicherheitsvereinbarungen umfasst, um sicherzustellen, dass Cloudflare's Dritte mit Zugang zu Kundendaten an Datensicherheitsanforderungen gebunden sind, die mindestens so restriktiv sind wie die in diesem Nachtrag dargelegten; und (ii) die Überwachung und Prüfung der Einhaltung der in diesem Nachtrag dargelegten Anforderungen durch Dritte mit Zugang zu Kundendaten.

7.2 Das Risikomanagement umfasst die Beseitigung aller festgestellten Mängel durch Cloudflare, die dem Risiko angemessen sind, und den Nachweis der Fertigstellung.

7.3 Cloudflare unterhält ein Risikobewertungsprogramm, das Rollen und Verantwortlichkeiten für die Durchführung der Risikobewertung und die Reaktion auf die Ergebnisse definiert. Cloudflare führt regelmäßige Risikobewertungen durch, um die Gestaltung der Kontrollen zu überprüfen, die den Geschäftsbetrieb und die Informationstechnologie schützen.

8. Schwachstellen & Patch Management

8.1 Cloudflare führt routinemäßige Netzwerk- und App-Scans auf Schwachstellen durch und behebt diese gemäß den Industriestandards (z.B. PCI DSS).

8.2 Mindestens einmal im Jahr beauftragt Cloudflare ein unabhängiges Sicherheitsunternehmen mit der Durchführung eines Penetrationstests für das Netzwerk und die Web App. Auf Anfrage wird Cloudflare eine Zusammenfassung der Ergebnisse der Penetrationstests zur Verfügung stellen.

8.3 Cloudflare wendet Sicherheits-Patches und System-Updates auf Cloudflare-verwaltete Software und App, Geräte und Betriebssysteme gemäß Industriestandards an (z.B. PCI DSS).

9. Business Kontinuität & Wiederherstellung im Katastrophenfall

Cloudflare wird ein dokumentiertes und einsatzbereites Programm für Geschäftskontinuität und Notfallwiederherstellung („Business Continuity and Disaster Recovery, „BC&DR“) unterhalten. Cloudflare wird die Pläne in seinen BC&DR-Programmen mindestens einmal jährlich üben und aktualisieren.

10. Benachrichtigung über Sicherheitsverletzungen

10.1 Cloudflare wird einen dokumentierten Tarif für Maßnahmen und Reaktionen auf Datenschutzverletzungen führen und jährlich aktualisieren.

10.2 Wenn Cloudflare eine Sicherheitsverletzung entdeckt oder darüber benachrichtigt wird, die zu einem unbefugten Zugriff, einer unbefugten Beschaffung, Offenlegung oder Nutzung von Kundendaten führt ("Datenverletzung"), wird Cloudflare unverzüglich auf eigene Kosten: (i) den Kunden unverzüglich über die Datenverletzung benachrichtigen; (ii) die Datenverletzung untersuchen; (iii) die Auswirkungen der Datenverletzung abmildern; und (iv) Bewertungen nach dem Vorfall durchführen und dem Kunden über die Ergebnisse dieser Bewertung(en) berichten.

11. Bericht & Audit

11.1 Mindestens einmal jährlich wird Cloudflare einen unabhängigen Prüfer beauftragen, um: (i) eine Compliance-Bewertung durchzuführen und eine vollständige Bescheinigung, Überprüfung oder einen Bericht gemäß (A) Service Organization Control (SOC 2 Typ II) oder (B) einer anderen ähnlichen, branchenweit anerkannten unabhängigen Compliance-Bewertung zu erstellen.

11.2 Auf Anfrage wird Cloudflare eine Kopie des letzten SOC 2 Typ II Berichts von Cloudflare zur Verfügung stellen.

11.3 Cloudflare wird mit dem Kunden bei allen angemessenen Untersuchungen einer möglichen betrügerischen oder unbefugten Nutzung von oder eines Zugriffs auf Kundendaten durch Mitarbeiter von Cloudflare oder Dritte zusammenarbeiten. Cloudflare erklärt sich bereit, entsprechende Feststellungen und die damit verbundenen Abhilfemaßnahmen mit dem Kunden zu erörtern.

Wenn Sie Fragen zu diesen Bedingungen oder anderen Dingen im Zusammenhang mit Cloudflare haben, zögern Sie bitte nicht, uns zu kontaktieren:

+49 89 2555 2276

Cloudflare GmbH
Rosental 7
80331 München
Germany