Merrill Corporation

Datenschutz

Bietet DatasiteOne IRM (Information Rights Management) für erhöhte Dokumentensicherheit?

Ja, die integrierte IRM-Technologie ermöglicht es Projektadministratoren, den Zugriff auf heruntergeladene Dokumente (Microsoft-Office- und PDF-Dateien) für bestimmte Rollen zu sperren. Andere Dateitypen werden als PDF mit Wasserzeichen heruntergeladen, wenn die Wasserzeichen-Funktion für das Projekt aktiviert ist.

Kann ich einen Projekt-Haftungsausschluss hinzufügen?

Ja. DatasiteOne-Projektadministratoren können entweder den Standard-Projekt-Disclaimer verwenden oder den Disclaimer an spezifische Projektanforderungen anpassen. Je nach Einstellung wird er "Beim ersten Login" oder "Bei jeder Anmeldung" angezeigt.

Wie kann ich die Sicherheit aller vertraulichen Dokumente innerhalb von Merrill DatasiteOne gewährleisten?

Als mandantenfähige Cloud-Anwendung verwendet Merrill DatasiteOne die neuesten Best Practices für die Cloud-Sicherheit.

  • Benutzerinformationen, Anwendungsdaten und Protokolle werden separat gespeichert und gepflegt.
  • Passwörter werden mit kryptographischen Hash-Algorithmen verarbeitet.
  • Kundendaten werden im Ruhezustand mit AES 256-Bit verschlüsselt und nach einem vordefinierten Zeitplan gesichert.
  • In-Transit-Daten werden über das Transport Socket Layer (TLS) 1.2-Protokoll abgesichert.
  • Ereignisse werden in Echtzeit erfasst, analysiert und umgesetzt.
  • Auf Kundenakten kann nur auf Anfrage zugegriffen werden, mit dokumentierten Prozessen zur Überprüfung des Zugriffs und zum Änderungsmanagement.
  • 30 Tage nach Abschluss des Projekts werden die Projektdateien gelöscht.

Wie mindert DatasiteOne die Risiken, die sich aus der der Datenschutzgrundverordnung (DSGVO) ergeben?

Merrill ist bereits mit der früheren Datenschutzrichtlinie 95/46/EG konform und hat proaktiv die notwendigen Schritte unternommen, um die Einhaltung der DSGVO mit ihrem Inkrafttreten am 25. Mai 2018 sicherzustellen. Merrill hat eine Arbeitsgruppe, die die Datenschutzpolitik von Merrill regelmäßig überprüft, fortschreibt und verbessert.

  • Merrill ist ISO/IEC 27001-zertifiziert– Merrills Prozesse werden nach globalen Standards auditiert, die für die Wahrung der Vertraulichkeit, Sicherheit und Integrität aller Daten, die Merrill verarbeitet, erforderlich sind.
  • Die Plattformen von Merrill (Merrill DataSite, Merrill DatasiteOne) bieten Kunden die Möglichkeit, hochgeladene Daten zu verwalten und dabei die Zugriffsebene für jeden Benutzer festzulegen. Merrill kann dabei zwar helfen, aber der Kunde übt IMMER die Kontrolle über seine Daten aus.
  • Merrill hat in europäische Kundendienst- und Hosting-Einrichtungen investiert, um die Verarbeitung der Daten in der EU aufrechtzuerhalten.
  • Für Kunden mit grenzüberschreitenden Anforderungen ist Merrills Niederlassung in den USA für das Privacy-Shield-System zertifiziert.
  • Merrill führt regelmäßig Datenschutzfolgeabschätzungen durch und bietet Schulungen zu Datenschutzverpflichtungen an, um sicherzustellen, dass bewährte Verfahren eingehalten und branchenführende Lösungen für den Schutz personenbezogener Daten implementiert werden.

Wie schützt Merrill die Projektdaten?

Unsere professionelle Sicherheitsabteilung treibt die Ausrichtung von Merrill auf tiefgreifendes Risikomanagement und ausgeprägte Governance voran. Zu den Sicherheitsmaßnahmen gehören:

  • Alle Merrill-Produktangebote sind seit 2008 nach ISO 27001 zertifiziert.
  • Merrill DatasiteOne hat die Bescheinigung für SSAE 16 SOC 2 Typ II erhalten.
  • Merrill ist für den EU-US PrivacyShield zertifiziert und DSGVO-konform.
  • Unser Infrastruktur-Provider ist ISO 27001, SSAE 16 SOC 2 Typ II konform und FedRAMP-zertifiziert.
  • Merrill-Mitarbeiter werden, soweit dies rechtlich möglich ist, unter anderem in Bezug auf Drogen, Qualifikationen und frühere Beschäftigungen überprüft.
  • Alle Merrill-Mitarbeiter nehmen an einer obligatorischen jährlichen Sicherheitsschulung teil, zu der die Anerkennung der Sicherheits- und Verhaltenskodizes sowie Geheimhaltungsvereinbarungen gehören.
  • Der jährlich getestete Plan zur Reaktion auf Sicherheitsvorfälle umfasst externe und interne Benachrichtigungen, Eskalationsverfahren und Kommunikationskriterien.
  • In vorgeschriebenen Zeitabständen getestetes Notfallkonzept, um die Einhaltung der selbst gesetzten Fristen und Qualitätsziele zu gewährleisten.