Qualität, Sicherheit, Datenschutz und Compliance | EcoVadis Skip to content

Qualität, Sicherheit, Datenschutz und Compliance

Main content

Die Aufgabe von EcoVadis besteht darin, „alle Unternehmen auf dem Weg in eine nachhaltige Welt zu begleiten.“ Dabei verfolgt EcoVadis vier Kernziele:

  1. Bereitstellung unabhängiger, vertrauenswürdiger und umsetzbarer Nachhaltigkeitsbewertungen und -einblicke durch eine hervorragende Methodik.
  2. Die größtmögliche Anzahl von Unternehmen in die Lage versetzen, ihre Geschäftspraktiken kontinuierlich zu verbessern und zur Schaffung einer regenerativen und gerechten Ökonomie beizutragen.
  3. Schaffung eines integrativen Lernumfelds für unsere Mitarbeiter*innen, das sinnvolle Arbeit bietet und künftige Generationen von Nachhaltigkeitsexpert*innen stärkt.
  4. Förderung des kollektiven Handelns innerhalb unseres Ökosystems, um den Übergang zu einer nachhaltigen Welt zu beschleunigen.

EcoVadis hat ein Qualitätsmanagementsystem (QMS) entwickelt, das nach ISO 9001 zertifiziert ist. Wir bemühen uns aktiv um eine ständige Verbesserung der Qualität. Dies tun wir mithilfe eines Prozessmanagementsystems, das es allen Mitarbeitenden ermöglicht, ihre Aufgaben in einem sicheren und anregenden Arbeitsumfeld korrekt zu erfüllen. Unterstützt wird es durch unsere maßgeschneiderte und selbst entwickelte IT-Plattform, die die Mitarbeiter*innen durch den gesamten Prozess führt. Wir bemühen uns ständig um eine kontinuierliche Verbesserung der Prozesse und lassen uns dabei von Fachgremien beraten, beispielsweise von unserem Methodenausschuss.

  • Schulungsprogramm für Mitarbeiter*innen
    • Q&IS-Schulungsprogramme für alle neuen Mitarbeitenden während der Einführungsphase mit Wissenstest und festgelegten Erfolgsquoten zur Überprüfung der Effektivität sowie obligatorische jährliche Auffrischungsschulungen für alle Mitarbeitenden mit anschließenden Wissenstests.
  • Korrektur- und Präventivmaßnahmen
    • Kontinuierliche Verbesserung mittels der Identifizierung von Verbesserungsbereichen, um Nichtkonformitäten oder ihr erneutes Auftreten zu verhindern. Ein Beispiel dafür ist die Verwendung des Qualitätstools zur Erkennung von Konformitätsabweichungen und zur Bereitstellung von Feedback im Rahmen des Bewertungsprozesses.
  • Störungsmanagement
    • Beschwerden seitens Kunden oder Lieferanten sowie interne Probleme werden über eine Plattform zur Verwaltung von Vorfällen gemeldet, aufgezeichnet und verwaltet. Alle Vorfälle werden regelmäßig von zuständiger Seite überprüft und innerhalb eines bestimmten Zeitrahmens behoben.
  • Internes Audit
    • Das interne Auditprogramm erstreckt sich über einen Zeitraum von drei Jahren, wobei die Informationssicherheit zweimal pro Jahr und alle internen Prozesse mindestens einmal pro Jahr einem Qualitätsaudit unterzogen werden. Die Auditergebnisse werden im Rahmen unseres halbjährlichen Management Reviews überprüft und besprochen.

EcoVadis bietet einen ganzheitlichen Dienst zur Nachhaltigkeitsbewertung von Unternehmen. Dieser wird über eine globale cloudbasierte SaaS-Plattform bereitgestellt, die in Microsoft Azure gehostet wird – einem der vertrauenswürdigsten Cloud-Hosting-Anbieter.

Wir sind bestrebt, ein Höchstmaß an Informationssicherheit zu gewährleisten und uns ständig zu verbessern, um die Daten aller Beteiligten in einem sich ständig wandelnden Umfeld von Bedrohungen der Informationssicherheit zu schützen. Aus diesem Grund hat EcoVadis ein Managementsystem für Informationssicherheit (Information Security Management System, ISMS) eingerichtet, das regelmäßig durch externe Audits auf Einhaltung der Norm ISO/IEC 27001 geprüft wird (Siehedas Zertifikat undErklärung zur Anwendbarkeit).

Unser ISMS ermöglicht es uns, die Informationssicherheit in unseren Geschäftsprozessen und Diensten systematisch zu betreiben und aufrechtzuerhalten und die notwendigen Sicherheitsmaßnahmen auf der Grundlage unserer Risikobewertung zu bestimmen und anzuwenden.

Unsere Richtlinien zur Informationssicherheit werden regelmäßig überprüft und aktualisiert, um sicherzustellen, dass der Inhalt aktuell und korrekt bleibt und mit den für uns geltenden bewährten Praktiken der Branche übereinstimmt.

Wir verfügen über ein engagiertes, internes Team, das für die Entwicklung, Aufrechterhaltung und Überwachung der Informationssicherheit zuständig ist. Innerhalb unserer Organisation werden weltweit Prioritäten festgelegt, um eine einheitliche, kohärente Vision für den Schutz unserer Vermögenswerte zu schaffen.

Wir bei EcoVadis sind uns bewusst, dass die Sensibilisierung für Bedrohungen der Informationssicherheit ein kontinuierlicher Prozess ist. Unsere Mitarbeiter*innen werden regelmäßig in bewährten IT- und Informationssicherheitspraktiken sowie in der Anpassung an die IT-Sicherheitsstandards von EcoVadis geschult und lernen, wie IT-Systeme sicher betrieben werden können.

Wir führen ein genaues und aktuelles Inventar der Vermögenswerte, die mit den erbrachten Diensten verbunden sind, und klassifizieren die Informationen im Hinblick auf rechtliche Anforderungen, Wert, Kritikalität und Empfindlichkeit gegenüber unbefugter Offenlegung oder Änderung.

Azure ist ein Multi-Tenant-Dienst. Es existiert eine logische Trennung, die Daten zwischen Kunden isoliert.

Zugriffsrechte und -privilegien für EcoVadis-Informationssysteme und Netzwerk-Domains müssen auf der Grundlage der spezifischen Anforderungen einer Benutzerfunktion zugewiesen werden (RBAC). Wir folgen den Grundsätzen „Need-to-know“ und „Least Privilege“.

Unsere Kund*innen verwalten ihren Zugang selbständig: Der Administrator der Kundenplattform kann nach Bedarf Benutzer anlegen und deaktivieren. Der Zugang zur Plattform erfolgt über einen Benutzernamen und ein Passwort. Wir bieten auch eine SSO-Authentifizierungsfunktion für anfordernde Unternehmen an. Für weitere Informationen können Sie sich an Ihren üblichen kommerziellen Ansprechpartner wenden.

Die Daten werden (im Ruhezustand und bei der Übertragung) mit branchenweit anerkannten Verschlüsselungsalgorithmen und -methoden verschlüsselt. Wir befolgen die branchenüblichen bewährten Praktiken, um Geheimnisse in unserer Umgebung sicher zu speichern und zu verwalten.

 

Unsere Plattformen werden in Microsoft Azure-Rechenzentren in der EU gehostet. Nach einem Modell der geteilten Verantwortung in der Cloud, fallen die physischen Sicherheitskontrollen in den Verantwortungsbereich von Microsoft. Weitere Informationen zu den Kontrollen finden Sie hier.

Wir gewährleisten, dass Änderungen an der Organisation, den Geschäftsprozessen, den Einrichtungen zur Informationsverarbeitung und den Systemen, die sich auf die Informationssicherheit auswirken, kontrolliert werden. Wir haben Überwachungs- und Erkennungstechnologien sowie Verfahren implementiert, um Malware-Schwachstellen oder andere sicherheitsrelevante Ereignisse innerhalb unserer Infrastruktur zu erkennen, zu verhindern und zu verwalten. Es werden bewährte Praktiken zur Sicherheitshärtung befolgt, z. B. CIS (Center for Internet Security) für Betriebssysteme sowie die Härtungsleitfäden von Microsoft Azure für Cloud-Dienste.

Der Netzzugang zu internen Diensten und Servern ist eingeschränkt und gesichert. Wir setzen eine Web Application Firewall ein (Detailssiehe hier) und nutzen Azure Front Door – einen modernen Cloud Content Delivery Network (CDN)-Dienst, der hohe Leistung, Skalierbarkeit und Sicherheit für die Nutzer bietet.

Wir verwenden Branchenstandards, um Sicherheitsvorkehrungen in unsere Systeme/in unseren Software Development Lifecycle (SDLC) einzubauen. Es wird sichergestellt, dass neue Entwicklungen vor der Inbetriebnahme ordnungsgemäße Test- und Validierungsverfahren durchlaufen. Entwicklungs-, Test- und Betriebsumgebungen sind voneinander getrennt.

Wir haben Informationssicherheitsanforderungen für Lieferanten festgelegt, die auf die Informationen der Organisation zugreifen, sie verarbeiten, speichern, kommunizieren oder IT-Infrastrukturkomponenten bereitstellen können. Wir führen auch Bewertungen der Cybersicherheit sowie der Datensicherheitsrisiken von Lieferanten durch, die Zugang zu unserem Netzwerk, unseren Daten oder anderen sensiblen Informationen haben.

Wir arbeiten ständig daran, unseren Kunden hochsichere Dienste zu bieten. Zwischenfälle stellen allerdings eine unvermeidbare Realität dar, die eines sorgfältigen Managements bedarf. Bei EcoVadis werden geeignete Maßnahmen ergriffen, um einen konsistenten und effektiven Ansatz für das Management von Informationssicherheitsvorfällen zu gewährleisten. Unser Verfahren für das Management von Sicherheitsvorfällen umfasst unter anderem Folgendes: Benachrichtigung der Kund*innen, Erhaltung schriftlicher Verfahren, die im Falle eines Sicherheitsvorfalls zu befolgen sind, sowie die Ergreifung aller angemessenen Maßnahmen zur Abmilderung der Folgen.

Wir sind bestrebt, dafür zu sorgen, dass die Einrichtungen zur Informationsverarbeitung mit ausreichender Redundanz implementiert werden, um die Anforderungen an die Verfügbarkeit zu erfüllen (siehe den Bericht über die Betriebsverfügbarkeitunserer Plattform, in dem die Leistung, die Verfügbarkeit und die tatsächliche Nutzererfahrung ständig überwacht werden).

Backups werden regelmäßig und in Übereinstimmung mit der festgelegten Backup-Richtlinie durchgeführt und getestet.

Um uns einen vollständigeren Überblick über unsere Compliance im Bereich der Informationssicherheit zu verschaffen, führen wir verschiedene Arten von Audits und technischen Überprüfungen durch:

– Infrastruktur-Überprüfungen

– Code-Überprüfungen (SAST: Static Application Security Testing, SCA: Software Composition Analysis)

– Penetrationstests für Webanwendungen (diese werden mindestens einmal pro Jahr von einem externen Unternehmen sowie in regelmäßigen Abständen von internen Ressourcen durchgeführt)

– Externes Posture-Management

– Interne Risikobewertungen

– Audits zur ISO 27001-Zertifizierung

 

Wir haben mehrere Standard-Fragebogen ausgefüllt. Das Ergebnis kann auf Wunsch zur Verfügung gestellt werden

  • Cybervadis
  • CyberGRX
  • SecurityScorecard:

  • Whistic

Microsoft Azure-Zertifizierungen sind über das Service Trust Portal verfügbar.

Open-Source-Bibliotheken oder -Komponenten im Zusammenhang mit einem der anwendbaren Dienste. Die EcoVadis-Lösung enthält manchmal Open-Source-Bibliotheken oder hängt von diesen ab. Um den Lizenzanforderungen von Open-Source-Bibliotheken sowie der Anerkennung des Lizenznehmers im Urheberpersönlichkeitsrecht zu entsprechen, finden Sie unten eine Liste von Open-Source-Software, die für die Erstellung unserer Produkte verwendet wird – bitte beachten Sie, dass alle Informationen hier „as is“ zur Verfügung gestellt werden und einer Änderung durch den Lizenznehmer unterliegen können:

 

Komponente/Projektname Lizenz
ActiveUp.Net LGPL 2.1 *
AjaxControlToolkit BSD 3
Bootstrap MIT
ClosedXML MIT
DocumentFormat.OpenXml MIT
Editor_plugin LGPL 2.0 *
EPPlus LGPL 2.1 *
Highcharts CC BY NC 3.0
ICSharpCode MIT
Ionic Zlib
jQuery.dataTables MIT
jQuery.easing MIT
jQuery.easy MIT
jQuery.form MIT
jQuery.linq MIT
jQuery.multiselect MIT
jQuery.perfect-scrollbar-with-mousewheel MIT
jQuery.scrollTo MIT
jQuery.slim MIT
jQuery.tipTip MIT
jQuery.validate.unobtrusive Apache 2.0
jQuery.validate MIT
jQuery MIT
Knockout MIT
LINQ Microsoft Public
Modernizr MIT
Newtonsoft MIT
PayPal .NET SDK SDK LICENSE
Ninject Apache 2.0
NLog BSD 3
NPOI Apache 2.0
Prototype MIT
wkhtmltoimage LGPL 3.0 *
wkhtmltopdf LGPL 3.0 *
wkhtmltox LGPL 3.0 *

* Die Anwendung ist dynamisch mit der LGPL-Lizenz verknüpft, so dass der proprietäre Code geschützt bleiben kann.

EcoVadis ist der Ansicht, dass die DSGVO ein wichtiger Schritt zur Stärkung und Harmonisierung des Datenschutzes für die personenbezogenen Daten der EU-Bürger*innen ist. Als Datenverantwortlicher für die bereitgestellten Rating-Dienste verpflichtet sich Ecovadis, die DSGVO und, soweit anwendbar, die internationalen Datenschutzbestimmungen einzuhalten und bewährte Praktiken einzuführen.

EcoVadis ist ISO 27001-zertifiziert, nutzt diese Normn als Rahmen und integriert Aspekte des Schutzes personenbezogener Daten in sein Managementsystem. Wir nutzen den ergänzenden ISO 27701-Rahmen, um die DSGVO-Anforderungen zu erfüllen. Unsere Datenschutzpraktiken und deren Einhaltung werden durch ein externes Audit bestätigt.

Für die Datenverarbeitung außerhalb der EU haben wir mit unseren Tochtergesellschaften Standardvertragsklauseln (SCC) abgeschlossen.

Wir wählen unsere Dienstleister (Auftragsverarbeiter) stets sorgfältig aus. Für eine Zusammenarbeit von Auftragsverarbeitern mit uns verlangen wir den Abschluss von Datenschutzvereinbarungen und Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCR) im Falle der Verarbeitung außerhalb des EWR-Raums. Wir sind stets bestrebt, Mitgliedschaften bei Anbietern zu wählen, deren Daten auf Servern in Europa gehostet werden. Wir verwenden die folgenden Auftragsverarbeiter, um unseren Dienst anzubieten:

 

Juristische Person Adresse Zweck Datenverarbeitung und Datenübermittlung Zusätzliche Sicherheitsinformationen
ZenDesk 1019 Market Street,
San Francisco, CA 94103 USA
Hilfe-Center https://www.zendesk.com/… https://www.zendesk.com/…
SFDC SAS SFDC France
3 Avenue Octave Gréard 75007 Paris
Frankreich
CRM und Kundenbetreuung https://www.salesforce.com/… https://trust.salesforce.com/
Microsoft France SAS Microsoft France SAS

37 Quai du Président Roosevelt, 92130 Issy-les-Moulineaux,

FRANKREICH

Hosting der Plattform zur Nachhaltigkeitsbewertung https://www.microsoft.com/… https://azure.microsoft.com/…/
Google Cloud France Google Cloud France

8 Rue de Londres, 75009 Paris,

Frankreich

Kundenkommunikation https://cloud.google.com/… https://cloud.google.com/…/
Selligent France SA 20 Place des Vins de France,75012 Paris FRANKREICH Kundenkommunikation https://www.selligent.com/… https://www.selligent.com/…
Docebo S.p.A. Limited Limited
6th floor, 48
Gracechurch
Street, London –
Vereinigtes Königreich
E-Learning-Plattform https://www.docebo.com/… https://www.docebo.com/…
Pendo.io Inc. 150 Fayetteville St
#140027601
Raleigh NC, USA
Plattform-Analytik und Kundenumfragen https://www.pendo.io/… https://www.pendo.io/…
Productboard Inc. 612 Howard
streetCA 94105
San Francisco CA,
USA
Produktmanagement und Kundenumfragen https://www.productboard.com/… https://www.productboard.com/…
Surveymonkey Inc 910 Park Pl, Suite 300, San Mateo, CA 94403, USA Kundenumfrage https://www.surveymonkey.com/… https://www.surveymonkey.com/…
Aircall SAS 11 Rue Saint
Georges, 75009
Paris, FRANKREICH
Aufzeichnung von Anrufen https://aircall.io/… https://aircall.io/…

 

Wir stützen uns auf die Empfehlungen zu zusätzlichen Maßnahmen, die von der französischen Datenschutzbehörde CNIL und dem Europäischen Datenschutzausschuss zu den Möglichkeiten der Übermittlung von Daten in die Vereinigten Staaten auf der Grundlage von SCCs (oder BCR) herausgegeben wurden.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

EcoVadis verpflichtet sich, alle für einen Betreiber von allgemeinen Online-Diensten geltenden Gesetze und Vorschriften (einschließlich, aber nicht Beschränkt auf die Gesetze in Frankreich und den Vereinigten Staaten) an seinen Betriebsstandorten einzuhalten.

Beschränkungen für das Reiseziel

Unter Berücksichtigung der allgemeinen Geschäftsrisiken sind Ecovadis-Produkte und -Dienstleistungen nicht für den Export, die Wiederausfuhr, den Transfer und/oder die Verwendung in den folgenden Ländern/Regionen verfügbar (Änderungen vorbehalten):

  • Regionen Krim, Donetsk und Luhansk
  • Kuba
  • Iran
  • Nordkorea
  • Syrien

Darüber hinaus unterliegen Transaktionen mit oder im Zusammenhang mit bestimmten Bestimmungsländern, die ein erhöhtes Exportkontroll- oder Sanktionsrisiko darstellen, besonderen Sorgfaltspflichten.

Einschränkungen für Endnutzer*innen

EcoVadis-Produkte und -Dienstleistungen sind nicht für juristische und natürliche Personen verfügbar, mit denen nach den anwendbaren Exportkontroll- und Sanktionsgesetzen keine Transaktionen durchgeführt werden dürfen, einschließlich derer, die auf den entsprechenden Listen der sanktionierten Parteien aufgeführt sind (z.B. Sanktionsliste der Europäischen Union, U.S. Specially Designated National (SDN)-Listen, OFAC, Sanktionen des Sicherheitsrates der Vereinten Nationen, lokale Listen der Länder, in denen EcoVadis vertreten ist).

Einschränkungen für die Endnutzung

Die EcoVadis-Dienste dürfen nicht für Zwecke verwendet werden, die nach den geltenden Ausfuhrgesetzen verboten sind, insbesondere nicht für die Entwicklung, Konstruktion, Herstellung oder Produktion von atomaren, chemischen oder biologischen Massenvernichtungswaffen.

Diese Webseite dient nur zu allgemeinen Informationszwecken und stellt keine Rechtsauskunft dar.

Haben Sie Fragen? Kontaktieren Sie uns!

Wenn Sie Fragen zur Informationssicherheit bei EcoVadis haben, wenden Sie sich bitte an Ihre/n Vertriebsvertreter/in oder besuchen Sie unser Hilfe-Center: support.ecovadis.com.

Neu: Die 8. Ausgabe des Business Sustainability Performance Index 
Jetzt ansehen 
Die Dekarbonisierung von Scope 3 beschleunigt sich! Sehen Sie sich die neuesten Strategien und Schlüsselzahlen an:
Jetzt ansehen