RingCentral Security Addendum
Last updated: April 1, 2021
1.Scope
This document describes the Information Security Measures (“Measures”) that RingCentral has in place when processing Protected Data through RingCentral Services.
2.Definitions
For purposes of this Security Addendum only, capitalized terms, not otherwise defined herein, have the meaning set forth in the Agreement.
a. “Ring Central Services”, or “Services”, means services offered by RingCentral and acquired by the Customer.
b. “Customer” means the entity that entered into the Agreement with RingCentral.
c. “Protected Data” means Customer and partner data processed by RingCentral Services, as defined in the applicable RingCentral DPA or Agreement, including "personal data" and "personal information" as defined by applicable privacy laws, confidential data as defined in the Agreement, account data, configuration data, communication content including messages, voicemail, and video recording.
d.“Agreement” means the agreement in place between RingCentral and the Customer for the provision of the Services.
e.“Personnel” means RingCentral employees, contractors or subcontracted Professional Services staff.
3. Information Security Management
a. Security Program.
RingCentral maintains a written information security program that:
i. Includes documented policies or standards appropriate to govern the handling of Protected Data in compliance with the Agreement and with applicable law.
ii. Is managed by a senior employee responsible for overseeing and implementing the program.
iii. Includes administrative, technical and physical safeguards reasonably designed to protect the confidentiality, integrity, and availability of Protected Data.
iv. Is appropriate to the nature, size, and complexity of RingCentral’s business operations.
b. Security Policy Management.
RingCentral’s security policies, standards and procedures
i. Align with information security established industry standards.
ii. Are subject to ongoing review.
iii. May be revised to reflect changes in industry best practices.
c. Risk Management.
RingCentral
i. Performs cybersecurity risk assessments to identify threats to their business or operations at least annually.
ii. Updates RingCentral policies, procedures and standards as needed to address threats to RingCentral’s business or operations.
4. Independent security assessments
a. External Audit.
RingCentral
i. Uses qualified independent third-party auditors to perform security audits covering systems, environments and networks where Protected Data is processed, including
a. SOC2 Type II
b. IES/ISO 27001.
ii. RingCentral maintains additional audits and compliance certifications as appropriate for RingCentral’s business and as identified at www.ringcentral.com/trust-center.html.
b. Distribution of Reports.
Copies of relevant audit reports and certifications
i. Will be provided to Customer on request,
ii. Are subject to Non-Disclosure Agreement.
c. Annual Risk Assessment Questionnaire.
Customer may, on one (1) occasion within any twelve (12) month period, request that RingCentral complete a third-party risk assessment questionnaire within a reasonable time frame.
In case of conflict between this section and the equivalent section in the RingCentral DPA, the DPA takes precedence.
5. Human Resource Security
a. Background Checks.
RingCentral requires pre-employment screenings of all employees. RingCentral ensures criminal background searches on its employees to the extent permitted by law. Each background check in the US includes:
i. An identity verification (SSN trace).
ii. Criminal history checks for up to seven (7) years for felony and misdemeanors at the local, state, and federal level, where appropriate.
iii. Terrorist (OFAC) list search, as authorized by law.
Internationally, criminal history checks are conducted as authorized by local law.
Background checks are conducted by a member of the National Association of Professional Background Screeners or a competent industry-recognized company in the local jurisdiction.
b. Training.
RingCentral will ensure that all employees including contractors
i. Complete annual training to demonstrate familiarity with RingCentral’s security policies.
ii. Complete annual training for security and privacy requirements, including CyberSecurity awareness, GDPR, and CCPA.
iii. Have the reasonable skill and experience suitable for employment and placement in a position of trust within RingCentral.
c. Workstation Security.
RingCentral ensures that:
i. RingCentral employees either use RingCentral owned and managed devices in the performance of their duties or Bring Your Own Device (BYOD) device.
ii. All devices, whether RingCentral owned and managed or Bring Your Own Device (BYOD) device, are enrolled in the full RingCentral managed device program.
d. Data Loss Prevention.
RingCentral employs a comprehensive system to prevent the inadvertent or intentional compromise of RingCentral data and Protected Data.
e. Due Diligence over Sub-Contractors.
RingCentral will:
i. maintain a security process to conduct appropriate due diligence prior to engaging sub-contractors.
ii. assess the security capabilities of any such sub-contractors on a periodic basis to ensure subcontractors’ ability to comply with the Measures described in this document.
iii. apply written information security requirements that oblige sub-contractors to adhere to RingCentral’s key information security policies and standards consistent with and no less protective than these Measures.
f. Non-disclosure.
RingCentral ensures that employees and contractors/sub-contractors who process Protected Data are bound in writing by obligations of confidentiality.
6. Physical Security
a. General.
RingCentral
i. Restricts access to, controls, and monitors all physical areas where RingCentral Services process Protected Data (“Secure Areas”).
ii. Maintains appropriate physical security controls on a 24-hours-per-day, 7-days-per-week basis (“24/7”).
iii. Revokes any physical access to Secure Areas promptly after the cessation of the need to access buildings and system(s).
iv. Performs review of access rights on at least an annual basis.
b. Access and Authorization Processes.
RingCentral maintains a documented access authorization and logging process. The authorization and logging process will include at minimum:
i. Reports detailing all access to Secure Areas, including the identities and dates and times of access.
ii. Reports to be maintained for at least one year as allowed by law.
iii. Video surveillance equipment to monitor and record activity at all Secure Areas entry and exit points on a 24/7 basis to the extent permitted by applicable laws and regulations.
iv. Video recording to be maintained for at least 30 days or per physical location provider’s policies.
c. Data Centers.
To the extent that RingCentral is operating or using a data center, RingCentral ensures that physical security controls are alignment with industry standards such as ISO 27001 and SSAE 16 or ISAE 3402 or similar standard including:
i. Perimeter security including fencing/barriers and video surveillance.
ii. Secure access including security guard/reception.
iii. Interior access controlled through RFID cards, 2FA, anti-tailgating controls.
iv. Redundant utility feeds and support for continuous delivery through backup systems.
v. Redundant network connection from multiple providers.
7. Logical Security
a. User Identification and Authentication.
RingCentral
i. Maintains a documented user management lifecycle management process that includes manual and/or automated processes for approved account creation, account removal and account modification for all Information Resources and across all environments.
ii. Ensures that RingCentral users have an individual accounts for unique traceability.
iii. Ensures that RingCentral users do not use shared accounts; where shared accounts are technically required controls are in place to ensure traceability.
iv. RingCentral user passwords are configured aligned with current NIST guidance.
For the customer facing applications, Customers may choose to integrate with SSO (Single Sign on) so that Customer retains control over their required password settings including Customer’s existing MFA/2FA solutions.
b. User Authorization and Access Control.
RingCentral
i. Configures remote access to all networks storing or transmitting Protected Data to require multifactor authentication for such access.
ii. Revokes access to systems and applications that contain or process Protected Data promptly after the cessation of the need to access the system(s) or application(s).
iii. Has the capability of detecting, logging, and reporting access to the system and network or attempts to breach security of the system or network.
RingCentral employs access control mechanisms that are intended to:
i. Limit access to Protected Data to only those Personnel who have a reasonable need to access said data to enable RingCentral to perform its obligations under the Agreement.
ii. Prevent unauthorized access to Protected Data.
iii. Limit access to users who have a business need to know.
iv. Follow the principle of least privilege, allowing access to only the information and resources that are necessary; and
v. Perform review access controls on a minimum annual basis for all RingCentral’s systems that transmit, process, or store Protected Data.
8. Telecommunication and Network Security
a. Network Management.
RingCentral
i. Maintains network security program that includes industry standard firewall protection and two-factor authentication for access to RingCentral’s networks.
ii. Deploys an Intrusion Detection Systems (IDS) and/or Intrusion Prevention Systems (IPS) to generate, monitor, and respond to alerts which could indicate potential compromise of the network and/or host.
iii. Monitors web traffic from the Internet and from internal sources to detect cyber-attacks including Distributed Denial of Service (DDoS) attacks against web sites / services and to block malicious traffic.
b. Network Segmentation.
RingCentral
i. Implements network segmentation between the corporate enterprise network and hosting facilities for Services.
ii. Ensures separation between environments dedicated to development, staging, and production.
iii. Restricts access between environments to authorized devices.
iv. Controls configuration and management of network segregation and firewall rules through a formal request and approval process.
c. Network Vulnerability Scanning.
RingCentral
i. Runs internal and external network vulnerability scans against information processing systems at least quarterly.
ii. Evaluates findings based on (where applicable) CVSS score and assessment of impact, likelihood and severity.
iii. Remediates findings following industry standard timelines.
9. Operations Security
a. Asset Management.
RingCentral
i. Maintains an accurate and current asset register covering hardware and software assets used for the delivery of services.
ii. Maintain accountability of assets throughout their lifecycle.
iii. Maintain processes to wipe or physically destroy physical assets prior to their disposal.
b. Configuration Management.
RingCentral:
i. Maintains baseline configurations of information systems and applications based on industry best practices including
a. Removal of all vendor-provided passwords
b. Remove/disable unused services and settings
c. Anti-malware/endpoint protection as technically feasible.
ii. Enforces security configuration settings for systems used in the provision of the Services.
iii. Ensures that clocks of all information process systems are synchronized to one of more reference time sources.
c. Malicious Code Protection.
i. To the extent practicable, RingCentral has endpoint protection in place, in the form of Endpoint Detection and Response (EDR) and/or antivirus software, installed and running on servers and workstations.
ii. EDR alerts are monitored and immediate action is taken to investigate and remediate any abnormal behavior.
iii. Where used, antivirus software will be current and running to scan for and promptly remove or quarantine viruses and other malware on Windows servers and workstations.
d. Vulnerability, Security Patching.
RingCentral
i. Monitors for publicly disclosed vulnerabilities and exposures for impact to Supplier’s information systems and products.
ii. Ensure quality assurance testing of patches prior to deployment.
iii. Ensures that all findings resulting from network vulnerability scanning and relevant publicly disclosed vulnerabilities and exposures are remediated according to industry best practices, including CVSS score and assessment of impact, likelihood and severity and are remediated following industry standard timelines.
e. Logging and Monitoring.
RingCentral shall ensure that:
i. All systems, devices or applications associated with the access, processing, storage, communication and/or transmission of Protected Data, generate audit logs.
ii. Access to Protected Data is logged.
iii. Logs include sufficient detail that they can be used to detect significant unauthorized activity.
iv. Logs are protected against unauthorized access, modification and deletion.
v. Logs are sent to a centralized location for aggregation and monitoring.
10. Software Development and Maintenance
a. Secure development lifecycle.
RingCentral:
i. Applies secure development lifecycle practices, including, during design, development and test cycles.
ii. Ensures that products are subject to security design review including threat considerations and data handling practices.
iii. Ensures that Services are subject to a secure release review prior to promotion to production.
b. Security Testing.
As part of the secure development lifecycle, RingCentral
i. Performs rigorous security testing, including, as technically feasible,
a. static code analysis,
b. source code peer reviews,
c. dynamic and interactive security testing and
d. security logic, or security “QA” testing.
ii. Ensures that Internet-facing applications are subject to application security assessment reviews and testing to identify common security vulnerabilities as identified by industry-recognized organizations (e.g., OWASP Top 10 Vulnerabilities, CWE/SANS Top 25 vulnerabilities).
iii. For all mobile applications (i.e. running on Android, Blackberry, iOS, Windows Phone) that collect, transmit or display Protected Data, conducts an application security assessment review to identify and remediate industry-recognized vulnerabilities specific to mobile applications.
iv. Does NOT use Protected Data for testing.
v. Makes all reasonable effort to identify and remediate software vulnerabilities prior to release.
c. Annual Penetration Testing.
RingCentral
i. Engages qualified, independent third-party penetration testers to perform annual penetration test against its Products and environments where Protected Data is hosted.
ii. Requires sub-processors to perform similar penetration testing against their systems, environments and networks.
iii. Ensures remediation of all findings in a commercially reasonable period of time.
d. Product Vulnerability Management.
RingCentral
i. Uses commercially reasonable efforts to regularly identify software security vulnerabilities in RingCentral Services.
ii. Provides relevant updates, upgrades, and bug fixes for known software security vulnerabilities, for any software provided or in which any Protected data is processed.
iii. Ensures that all findings resulting from internal and external testing are evaluated according to industry best practices, including CVSS score and assessment of impact, likelihood and severity and are remediated following industry standard timelines.
e. Open Source and Third-Party Software.
RingCentral
i. Maintains an asset registry of all third-party software (TPS) and open source software (OSS) incorporated into the Services.
ii. Uses commercially reasonable efforts to ensure the secure development and security of open source software and third-party software used by RingCentral.
iii. Uses commercially reasonable efforts to evaluate, track and remediate vulnerabilities of open source software (OSS) and other third party libraries that are incorporated into the Services.
11. Data Handling
a. Data Classification
RingCentral maintains data classification standards including
i. Public data, data that is generally available or expected to be known to the public.
ii. Confidential data, data that is not available to the general public.
Protected Data is classified as RingCentral Confidential Data.
b. Data Segregation.
RingCentral
i. Ensures physical or logical segregation of Protected Data from other customers’ data.
ii. Ensures physical separation and access control to segregate Protected Data from RingCentral data.
c. Encryption of Data.
RingCentral
i. Shall ensure encryption of Protected Data in electronic form in transit over all public wired networks (e.g., Internet) and all wireless networks (excluding communication over Public Switch Telephone Networks).
ii. Excepting the Engage Communities feature of Engage Digital, shall ensure encryption of Protected Data in electronic form when stored at rest.
iii. Uses industry standard encryption algorithms and key strengths to encrypt Protected Data in transit over all public wired networks (e.g., Internet) and all wireless networks.
d. Destruction of Data.
RingCentral shall
i. Ensure the secure deletion of data when it is no longer required.
ii. Ensure that electronic media that has been used in the delivery of Services to the Customer will be sanitized before disposal or repurposing, using a process that assures data deletion and prevents data from being reconstructed or read.
iii. Destroy any equipment containing Protected Data that is damaged or non-functional.
12. Incident Response
RingCentral’s incident response capability is designed to comply with statutory and regulatory obligations governing incident response. As such, RingCentral
i. Maintains an incident response capability to respond to events potentially impacting the confidentiality, integrity and/or availability of Services and/or data including Protected Data.
ii. Has a documented incident response plan based on industry best practices.
iii. Has a process for evidence handling that safeguards the integrity of evidence collected to including allowing detection of unauthorized access to and
iv. Will take appropriate steps and measures to comply with statutory and regulatory obligations governing incident response.
When RingCentral learns of or discovers a security event which impacts Protected Data, RingCentral will notify Customer without undue delay and will take commercially reasonable steps to isolate, mitigate, and/or remediate such event.
13. Business Continuity and Disaster Recovery
a. Business Continuity.
RingCentral
i. Ensures that responsibilities for service continuity are clearly defined and documented and have been allocated to an individual with sufficient authority.
ii. Has a business continuity plan (BCP) in place designed to provide ongoing provision of the Services to Customer.
iii. Develops, implements, and maintains a business continuity management program to address the needs of the business and Services provided to the Customer. To that end, RingCentral completes a minimum level of business impact analysis, crisis management, business continuity, and disaster recovery planning.
iv. Ensures that the scope of the BCP encompasses all relevant locations, personnel and information systems used to provide the Services.
v. RingCentral’s BCP includes, but is not limited to, elements such location workarounds, application workarounds, vendor workarounds, and staffing workarounds, exercised at minimum annually.
vi. Reviews, updates and tests the BCP at least annually.
b. Disaster Recovery.
RingCentral
i. Maintains a disaster recovery plan, which includes, but is not limited to, infrastructure, technology, and system(s) details, recovery activities, and identifies the people/teams required for such recovery, exercised at least annually.
ii. Ensures that the disaster recovery plan addresses actions that RingCentral will take in the event of an extended outage of service.
iii. Ensures that its plans address the actions and resources required to provide for (i) the continuous operation of RingCentral, and (ii) in the event of an interruption, the recovery of the functions required to enable RingCentral to provide the Services, including required systems, hardware, software, resources, personnel, and data supporting these functions.
RingCentral Sicherheitszusatz
Last updated: April 1, 2021
1. Umfang
Dieses Dokument beschreibt die Maßnahmen zur Informationssicherheit ("Maßnahmen"), die RingCentral bei der Verarbeitung Geschützter Daten durch RingCentral-Dienste einsetzt.
2. Definitionen
Nur für die Zwecke dieses Sicherheitsnachtrags haben großgeschriebene Begriffe, die hier nicht anderweitig definiert sind, die jeweils im Vertrag festgelegte Bedeutung.
a. "Ring Central Dienste" oder "Dienste" bezeichnet die von RingCentral angebotenen und vom Kunden erworbenen Dienste.
b. "Kunde" bezeichnet das Unternehmen, das den Vertrag mit RingCentral abgeschlossen hat.
c. "Geschützte Daten" sind Kunden- und Partnerdaten, die von den RingCentral-Diensten verarbeitet werden, wie in dem geltenden RingCentral-DPA oder dem Vertrag definiert, einschließlich "personenbezogener Daten" und "persönlicher Informationen" im Sinne der geltenden Datenschutzgesetze, vertraulicher Daten im Sinne des Vertrags, Kontodaten, Konfigurationsdaten, Kommunikationsinhalte einschließlich Nachrichten, Voicemail und Videoaufzeichnungen.
d. "Vertrag" bezeichnet die zwischen RingCentral und dem Kunden bestehende Vereinbarung über die Bereitstellung der Dienste.
e. "Personal" bedeutet Mitarbeiter von RingCentral, Auftragnehmer oder unterbeauftragte Professional Services Mitarbeiter.
3. Management der Informationssicherheit
a. Sicherheitsprogramm.
RingCentral unterhält ein schriftliches Informationssicherheitsprogramm, das:
i. t dokumentierte Richtlinien oder Standards beinhaltet, die geeignet sind, den Umgang mit geschützten Daten in Übereinstimmung mit dem Vertrag und dem geltenden Recht zu regeln.
ii. von einem leitenden Mitarbeiter geleitet wird, der für die Überwachung und Umsetzung des Programms verantwortlich ist.
iii. administrative, technische und physische Schutzmaßnahmen beinhaltet, die angemessen gestaltet sind, um die Vertraulichkeit, Integrität und Verfügbarkeit Geschützter Daten zu schützen.
iv. Im Hinblick auf die Art, Größe und Komplexität des Geschäftsbetriebs von RingCentral angemessen ist.
b. Verwaltung von Sicherheitsrichtlinien.
Die Sicherheitsrichtlinien, -standards und -verfahren von RingCentral
i. Entsprechen den etablierten Industriestandards für Informationssicherheit.
ii. Unterliegen einer laufenden Überprüfung.
iii. Können überarbeitet werden, um Änderungen in den anerkannten Verfahren der Branche zu berücksichtigen.
c. Risikomanagement.
RingCentral
i. Führt mindestens einmal jährlich eine Bewertung der Cybersecurity-Risiken durch, um Bedrohungen für das Unternehmen oder den Betrieb zu identifizieren.
ii. Aktualisiert RingCentral-Richtlinien, -Verfahren und -Standards soweit notwendig, im Hinblick auf Bedrohungen für das Geschäft oder den Betrieb von RingCentral.
4. Unabhängige Sicherheitsbewertungen
a. Externe Prüfung.
RingCentral
i. Setzt qualifizierte unabhängige Drittprüfer ein, um Sicherheitsaudits für Systeme, Umgebungen und Netzwerke durchzuführen, in denen Geschützte Daten verarbeitet werden, einschließlich
a. SOC2 Type II
b. IES/ISO 27001.
ii. Unterhält zusätzliche Audits und Compliance-Zertifizierungen, wie sie für das Geschäft von RingCentral angemessen sind und wie unte www.ringcentral.com/trust-center.html angegeben.
b. Weitergabe von Berichten.
Kopien relevanter Prüfberichte und Zertifizierungen
i. Werden dem Kunden auf Anfrage zur Verfügung gestellt,
ii. Unterliegen einer Geheimhaltungsvereinbarung.
c. Jährlicher Fragebogen zur Risikobewertung.
Der Kunde kann einmal (1) innerhalb eines Zeitraums von zwölf (12) Monaten verlangen, dass RingCentral einen Fragebogen zur Risikobewertung durch Dritte innerhalb eines angemessenen Zeitrahmens ausfüllt.
Im Falle eines Konflikts zwischen diesem Abschnitt und dem entsprechenden Abschnitt in dem RingCentral DPA hat das DPA Vorrang.
5. Sicherheit im Personalwesen
a. Hintergrund-Checks.
RingCentral verlangt von allen Mitarbeitern vor der Einstellung eine Überprüfung. RingCentral stellt kriminelle Hintergrundüberprüfungen seiner Mitarbeiter sicher, soweit dies gesetzlich zulässig ist. Jede Hintergrundüberprüfung in den USA umfasst:
i. Eine Identitätsüberprüfung (SSN-Trace).
ii. Strafrechtliche Überprüfungen für bis zu sieben (7) Jahre auf Verbrechen und Vergehen auf lokaler, staatlicher und bundesstaatlicher Ebene, wo dies angemessen ist.
iii. Eine Suche in der Terroristenliste (OFAC), soweit es das Gesetz erlaubt.
Im Ausland werden Überprüfungen der Vorstrafen entsprechend der lokalen Gesetzgebung durchgeführt.
Hintergrundprüfungen werden von einem Mitglied der National Association of Professional Background Screeners oder einem kompetenten, von der Industrie anerkannten Unternehmen im lokalen Rechtsraum durchgeführt.
b. Ausbildung.
RingCentral stellt sicher, dass alle Mitarbeiter, einschließlich Auftragnehmer
i. eine jährliche Schulung absolvieren, um nachzuweisen, dass Sie mit den Sicherheitsrichtlinien von RingCentral vertraut sind.
ii. jährliche Schulungen für Sicherheits- und Datenschutzanforderungen, einschließlich Cyberecurity Awareness, GDPR und CCPA absolvieren.
iii. Über angemessene Fähigkeiten und Erfahrungen verfügen, die für eine Anstellung und eine Position des Vertrauens innerhalb von RingCentral geeignet sind.
c. Sicherheit am Arbeitsplatz.
RingCentral stellt das sicher, dass:
i. RingCentral-Mitarbeiter entweder RingCentral-eigene und verwaltete Geräte bei der Erfüllung ihrer Aufgaben oder Bring Your Own Device (BYOD) Geräte verwenden.
ii. Alle Geräte, ob RingCentral-eigene und verwaltete oder Bring Your Own Device (BYOD)-Geräte, im umfassenden RingCentral-Managed-Device-Programm eingeschrieben sind.
d. Schutz vor Datenverlust.
RingCentral setzt ein umfassendes System ein, um die versehentliche oder absichtliche Beschädigung oder Verlust von RingCentral-Daten und Geschützten Daten zu verhindern.
e. Due Diligence in Bezug auf Subunternehmer.
RingCentral wird:
i. Einen Sicherheitsprozess unterhalten, um vor der Beauftragung von Subunternehmern eine angemessene Due Diligence durchzuführen.
ii. Die Sicherheitsfähigkeiten solcher Subunternehmer regelmäßig bewerten, um sicherzustellen, dass die Subunternehmer in der Lage sind, die in diesem Dokument beschriebenen Maßnahmen einzuhalten.
iii. Schriftliche Informationssicherheitsanforderungen anwenden, die Subunternehmer dazu verpflichten, die wichtigsten Richtlinien und Standards von RingCentral betreffend Informationssicherheit einzuhalten, die mit diesen Maßnahmen übereinstimmen und nicht weniger Schutz bieten wie diese.
f. Geheimhaltung.
RingCentral stellt sicher, dass Mitarbeiter und Auftragnehmer/Subunternehmer, die Geschützte Daten verarbeiten, schriftlich zur Vertraulichkeit verpflichtet werden.
6. Physische Sicherheit
a. Allgemein.
RingCentral
i. Schränkt den Zugang zu allen physischen Bereichen, in denen RingCentral-Dienste Geschützte Daten verarbeiten ("Sichere Bereiche"), ein, steuert und überwacht diese.
ii. Unterhält angemessene physische Sicherheitskontrollen auf einer 24-Stunden-pro-Tag, 7-Tage-pro-Woche Basis ("24/7").
iii. Widerruft den physischen Zugang zu den Sicherheitsbereichen unverzüglich, wenn die Notwendigkeit des Zugangs zu den Gebäuden und dem/den System(en) entfallen ist.
iv. Führt mindestens einmal jährlich eine Überprüfung der Zugriffsrechte durch.
b. Zugriffs- und Berechtigungsprozesse.
RingCentral unterhält einen dokumentierten Zugriffsberechtigungs- und Protokollierungsprozess. Der Autorisierungs- und Protokollierungsprozess umfasst mindestens Folgendes:
i. Berichte mit detaillierten Angaben zu allen Zugriffen auf die Sicherheitsbereiche, einschließlich der Identitäten sowie Datum und Uhrzeit des Zugriffs.
ii. Die Berichte müssen mindestens ein Jahr lang aufbewahrt werden, wie es das Gesetz gestattet.
iii. Videoüberwachungsgeräte zur Überwachung und Aufzeichnung von Aktivitäten an allen Ein- und Ausgängen der Sicherheitsbereiche rund um die Uhr, soweit dies nach den geltenden Gesetzen und Vorschriften zulässig ist.
iv. Die Videoaufzeichnung muss mindestens 30 Tage lang oder gemäß den Richtlinien des Anbieters des physischen Standorts aufbewahrt werden.
c. Rechenzentren.
Sofern RingCentral ein Rechenzentrum betreibt oder nutzt, stellt RingCentral sicher, dass die physischen Sicherheitskontrollen mit Industriestandards wie ISO 27001 und SSAE 16 oder ISAE 3402 oder ähnlichen Standards übereinstimmen:
i. Sicherheit der Gebäude (Perimetersicherheit) einschließlich Umzäunung/Absperrung und Videoüberwachung.
ii. Sicherer Zugang inklusive Wachmann/Empfang.
iii. Innenraumzugang kontrolliert durch RFID-Karten, 2FA, Anti-Tailgating-Kontrollen.
iv. Redundante Versorgungseinspeisungen und Unterstützung für kontinuierliche Bereitstellung durch Backup-Systeme.
v. Redundante Netzwerkverbindung von mehreren Anbietern.
7. Logische Sicherheit
a. Benutzeridentifikation und -authentifizierung.
RingCentral
i. Unterhält einen dokumentierten Prozess zur Verwaltung des Lebenszyklus der Benutzerverwaltung, der manuelle und/oder automatisierte Prozesse für die genehmigte Erstellung von Konten, die Entfernung von Konten und die Änderung von Konten für alle Informationsressourcen und über alle Umgebungen hinweg umfasst.
ii. Stellt sicher, dass RingCentral-Benutzer ein individuelles Konto für eine eindeutige Rückverfolgbarkeit haben.
iii. Stellt sicher, dass RingCentral-Benutzer keine gemeinsamen Konten verwenden; wo gemeinsame Konten technisch erforderlich sind, sind Kontrollen vorhanden, um die Rückverfolgbarkeit sicherzustellen.
iv. RingCentral-Benutzerpasswörter werden gemäß den aktuellen NIST-Richtlinien konfiguriert.
Für die kundenorientierten Anwendungen kann der Kunde die Integration mit SSO (Single Sign on) wählen, so dass der Kunde die Kontrolle über seine erforderlichen Passworteinstellungen behält, einschließlich der bestehenden MFA/2FA-Lösungen des Kunden.
b. Benutzerautorisierung und Zugriffskontrolle.
RingCentral
i. Konfiguriert den Fernzugriff auf alle Netzwerke, die Geschützte Daten speichern oder übertragen, so, dass für diesen Zugriff eine Multi-Faktor-Authentifizierung erforderlich ist.
ii. Widerruft den Zugriff auf Systeme und Anwendungen, die Geschützte Daten enthalten oder verarbeiten, unverzüglich nach Beendigung der Notwendigkeit des Zugriffs auf das/die System(e) oder die Anwendung(en).
iii. Hat die Fähigkeit, Zugriffe auf das System und das Netzwerk oder Versuche, die Sicherheit des Systems oder des Netzwerks zu verletzen, zu erkennen, zu protokollieren und zu melden.
RingCentral setzt Mechanismen zur Zugriffskontrolle ein, die dazu dienen:
i. Den Zugriff auf Geschützte Daten auf diejenigen Mitarbeiter zu beschränken, die einen angemessenen Bedarf für den Zugriff auf diese Daten haben, damit RingCentral seine Verpflichtungen aus dem Vertrag erfüllen kann.
ii. Den unbefugten Zugriff auf Geschützte Daten zu verhindern.
iii. Den Zugriff auf Benutzer zu beschränken, die das Wissen geschäftlich benötigen.
iv. Das Prinzip des geringsten Privilegs zu befolgen und nur den Zugriff auf die Informationen und Ressourcen zu erlauben, die notwendig sind; und
v. mindestens einmal jährlich eine Überprüfung der Zugriffskontrollen für alle Systeme von RingCentral durchzuführen, die Geschützte Daten übertragen, verarbeiten oder speichern.
8. Telekommunikation und Netzwerksicherheit
a. Netzwerk-Management.
RingCentral
i. Pflegt ein Netzwerksicherheitsprogramm, das einen Firewall-Schutz nach Industriestandard und eine Zwei-Faktor-Authentifizierung für den Zugriff auf die Netzwerke von RingCentral umfasst.
ii. Setzt ein Intrusion Detection System (IDS) und/oder Intrusion Prevention System (IPS) ein, um Alarme zu generieren, zu überwachen und darauf zu reagieren, die auf eine potenzielle Gefährdung des Netzwerks und/oder des Hosts hinweisen könnten.
iii. Überwacht den Web-Verkehr aus dem Internet und aus internen Quellen, um Cyber-Attacken, einschließlich Distributed Denial of Service (DDoS)-Attacken gegen Websites / Dienste, zu erkennen und um böswilligen Verkehr zu blockieren.
b. Netzwerk-Segmentierung.
RingCentral
i. Implementiert die Netzwerksegmentierung zwischen dem Unternehmensnetzwerk und den Hosting-Einrichtungen für Services.
ii. Gewährleistet die Trennung zwischen Umgebungen für Entwicklung, Staging und Produktion.
iii. Schränkt den Zugriff auf autorisierte Geräte zwischen Umgebungen ein.
iv. Kontrolliert die Konfiguration und das Management von Netzwerktrennung und Firewall-Regeln durch einen formalen Antrags- und Genehmigungsprozess.
c. Scannen von Sicherheitslücken im Netzwerk.
RingCentral
i. Führt mindestens vierteljährlich interne und externe Netzwerk-Schwachstellen-Scans gegen informationsverarbeitende Systeme durch.
ii. Bewertet die Ergebnisse auf der Grundlage (falls zutreffend) des CVSS-Scores und der Bewertung von Auswirkungen, Wahrscheinlichkeit und Schweregrad.
iii. Behebt Befunde nach branchenüblichen Zeitplänen.
9. Betriebssicherheit
a. Vermögensverwaltung.
RingCentral
i. Führt ein genaues und aktuelles Anlagenregister, das Hardware- und Software umfasst, die für die Erbringung von Dienstleistungen verwendet werden.
ii. Erfüllt die Rechenschaftspflicht für Vermögensgegenstände (Assets) während ihres gesamten Lebenszyklus.
iii. Verfügt über Prozesse, um Gegenstände vor ihrer Entsorgung zu löschen oder physisch zu zerstören.
b. Konfigurationsmanagement.
RingCentral:
i. Verwaltet Basiskonfigurationen von Informationssystemen und Anwendungen auf der Grundlage von anerkannten Verfahren der Branche, einschließlich
a. Entfernen aller vom Hersteller bereitgestellten Passwörter
b. Entfernen/Deaktivieren nicht verwendeter Dienste und Einstellungen
c. Anti-Malware/Endpunkt-Schutz, soweit technisch machbar.
ii. Setzt Sicherheitskonfigurationseinstellungen für Systeme durch, die für die Bereitstellung der Dienste verwendet werden.
iii. Stellt sicher, dass die Uhren aller informationsverarbeitenden Systeme auf eine oder mehrere Referenzzeitquelle/n synchronisiert werden.
c. Schutz vor bösartigem Code.
i. Soweit praktikabel, hat RingCentral einen Endpunktschutz in Form von Endpoint Detection and Response (EDR) und/oder Antivirensoftware auf Servern und Workstations installiert und ausgeführt.
ii. EDR-Warnungen werden überwacht und es werden sofort Maßnahmen ergriffen, um jedes abnormale Verhalten zu untersuchen und zu beheben.
iii. Sofern verwendet, ist die Antivirensoftware auf Windows-Servern und -Workstations auf dem neuesten Stand und wird ausgeführt, um Viren und andere Malware zu suchen und umgehend zu entfernen oder in Quarantäne zu stellen.
d. Schwachstelle, Sicherheits-Patching.
RingCentral
i. Überwacht öffentlich bekannt gewordene Schwachstellen und Gefährdungen auf Auswirkungen auf die Informationssysteme und Produkte des Lieferanten.
ii. Stellt Qualitätssicherungstests für Patches vor der Bereitstellung sicher.
iii. Stellt sicher, dass alle Ergebnisse von Netzwerk-Gefährdungs-Scans und relevante, öffentlich bekannt gegebene Schwachstellen und Gefährdungen gemäß branchenüblicher, anerkannter Verfahren behoben werden, einschließlich CVSS-Score und Bewertung von Auswirkung, Wahrscheinlichkeit und Schweregrad, und dass die Behebung nach branchenüblichen Zeitplänen erfolgt.
e. Protokollierung und Überwachung.
RingCentral muss sicherstellen, dass:
i. Alle Systeme, Geräte oder Anwendungen, die mit dem Zugriff, der Verarbeitung, der Speicherung, der Kommunikation und/oder der Übertragung Geschützter Daten zusammenhängen, Audit-Protokolle erzeugen.
ii. Der Zugriff auf Geschützte Daten protokolliert wird.
iii. Die Protokolle so detailliert sind, dass sie zur Erkennung signifikanter unautorisierter Aktivitäten verwendet werden können.
iv. Die Protokolle vor unberechtigtem Zugriff, Änderung und Löschung geschützt sind.
v. Die Protokolle zur Sammlung und Überwachung an einen zentralen Ort gesendet werden.
10. Software-Entwicklung und -Wartung
a. Sicherer Entwicklungslebenszyklus.
RingCentral:
i. Wendet Praktiken des sicheren Entwicklungslebenszyklus an, einschließlich während der Design-, Entwicklungs- und Testzyklen.
ii. Stellt sicher, dass Produkte einer Überprüfung des Sicherheitsdesigns unterzogen werden, einschließlich Überlegungen zu Bedrohungen und Praktiken der Datenverarbeitung.
iii. Stellt sicher, dass Services einer sicheren Freigabeprüfung unterzogen werden, bevor sie in die Produktion gehen.
b. Sicherheitstests.
Als Teil des sicheren Entwicklungslebenszyklus wird RingCentral
i. strenge Sicherheitstests durchführen, einschließlich, soweit technisch machbar,
a. statische Code-Analyse,
b. Quellcode-Peer-Reviews,
c. dynamische und interaktive Sicherheitstests und
d. Sicherheitslogik, oder Sicherheits-"QA"-Tests.
ii. sicherstellen, dass Anwendungen, die mit dem Internet verbunden sind, einer Bewertung der Anwendungssicherheit unterzogen und getestet werden, um übliche Sicherheitsschwachstellen zu identifizieren, die von branchenweit anerkannten Organisationen ermittelt wurden (z. B. OWASP Top 10 Vulnerabilities, CWE/SANS Top 25 Vulnerabilities).
iii. Führt für alle mobilen Anwendungen (d. h. unter Android, Blackberry, iOS, Windows Phone), die Geschützte Daten erfassen, übertragen oder anzeigen, eine Überprüfung der Anwendungssicherheit durch, um branchenweit anerkannte Schwachstellen speziell für mobile Anwendungen zu identifizieren und zu beheben.
iv. Verwendet die Geschützten Daten NICHT zum Testen.
v. Unternimmt alle angemessenen Anstrengungen, um Software-Schwachstellen vor der Freigabe zu identifizieren und zu beheben.
c. Jährliche Penetrationstests.
RingCentral
i. Beauftragt qualifizierte, unabhängige externe Tester mit der Durchführung jährlicher Penetrationstests für seine Produkte und Umgebungen, in denen Geschützte Daten gehostet werden.
ii. Verlangt von den Unter-Datenverarbeitern (sub-processors), ähnliche Penetrationstests gegen ihre Systeme, Umgebungen und Netzwerke durchzuführen.
iii. Stellt sicher, dass alle Feststellungen in einem wirtschaftlich angemessenen Zeitraum behoben werden.
d. Produkt-Schwachstellen-Management.
RingCentral
i. Verwendet wirtschaftlich angemessene Anstrengungen, um regelmäßig Software-Sicherheitslücken in RingCentral-Diensten zu identifizieren.
ii. Stellt relevante Updates, Upgrades und Bugfixes für bekannte Softwaresicherheitslücken zur Verfügung, für jede Software, die bereitgestellt wird oder in der Geschützte Daten verarbeitet werden.
iii. Stellt sicher, dass alle Feststellungen, die aus internen und externen Tests resultieren, gemäß branchenüblichen, anerkannten Verfahren bewertet werden, einschließlich CVSS-Score und Bewertung von Auswirkung, Wahrscheinlichkeit und Schweregrad, und dass sie gemäß branchenüblichen Zeitplänen behoben werden.
e. Open Source und Software von Drittanbietern.
RingCentral
i. Führt ein Bestandsverzeichnis aller Software von Drittanbietern (TPS) und Open-Source-Software (OSS), die in die Dienste integriert sind.
ii. Verwendet wirtschaftlich angemessene Anstrengungen, um die sichere Entwicklung und Sicherheit von Open-Source-Software und Software von Drittanbietern zu gewährleisten, die von RingCentral verwendet wird.
iii. Verwendet wirtschaftlich angemessene Anstrengungen, um Schwachstellen von Open-Source-Software (OSS) und anderen Software Bibliotheken von Drittanbietern, die in die Dienste integriert sind, zu bewerten, zu verfolgen und zu beheben.
11. Datenverarbeitung
a. Daten-Klassifizierung
RingCentral unterhält Standards zur Datenklassifizierung, einschließlich
i. Öffentliche Daten, Daten, die allgemein verfügbar sind oder von denen erwartet wird, dass sie der Öffentlichkeit bekannt sind.
ii. Vertrauliche Daten, Daten, die der Allgemeinheit nicht zugänglich sind.
Geschützte Daten werden als vertrauliche Daten von RingCentral eingestuft.
b. Datentrennung.
RingCentral
i. Stellt die physische oder logische Trennung der Geschützten Daten von den Daten anderer Kunden sicher.
ii. Stellt die physische Trennung und Zugriffskontrolle sicher, um die Geschützten Daten von den RingCentral-Daten zu trennen.
c. Verschlüsselung von Daten.
RingCentral
i. muss die Verschlüsselung Geschützter Daten in elektronischer Form bei der Übertragung über alle öffentlichen drahtgebundenen Netzwerke (z. B. Internet) und alle drahtlosen Netzwerke (mit Ausnahme der Kommunikation über öffentliche Telefonwählnetze) sicherstellen.
ii. Mit Ausnahme der Engage-Communities-Funktion von Engage Digital muss die Verschlüsselung Geschützter Daten in elektronischer Form sichergestellt werden, wenn sie in Ruhe gespeichert werden.
iii. Verwendet branchenübliche Verschlüsselungsalgorithmen und Schlüsselstärken zur Verschlüsselung Geschützter Daten bei der Übertragung über alle öffentlichen kabelgebundenen Netzwerke (z. B. Internet) und alle drahtlosen Netzwerke.
d. Vernichtung von Daten.
RingCentral soll
i. Für die sichere Löschung von Daten sorgen, wenn sie nicht mehr benötigt werden.
ii. Sicherstellen, dass elektronische Medien, die bei der Erbringung von Dienstleistungen für den Kunden verwendet wurden, vor der Entsorgung oder Wiederverwendung einem Reinigungsprozess unterzogen werden, der die Löschung von Daten sicherstellt und verhindert, dass Daten rekonstruiert oder gelesen werden können.
iii. alle Geräte (Equipment), die Geschützte Daten enthalten zerstören werden., wenn sie beschädigt oder nicht funktionsfähig sind.
12. Reaktion auf Vorfälle
Die Fähigkeit von RingCentral, auf Vorfälle zu reagieren, ist so konzipiert, dass sie den gesetzlichen und behördlichen Verpflichtungen zur Reaktion auf Vorfälle entspricht. Als solches,
i. Unterhält RingCentral eine Incident-Response-Fähigkeit, um auf Ereignisse zu reagieren, die möglicherweise die Vertraulichkeit, Integrität und/oder Verfügbarkeit von Diensten und/oder Daten, einschließlich Geschützter Daten, beeinträchtigen.
ii. Verfügt RingCentral über einen dokumentierten Plan zur Reaktion auf Vorfälle, der auf branchenüblichen, anerkannten Verfahren basiert.
iii. Verfügt Ring Central über einen Prozess für den Umgang mit Beweismaterial, der die Integrität der gesammelten Beweise sicherstellt, einschließlich der Erkennung von unbefugtem Zugriff auf un
iv. Ergreift Ring Central geeignete Schritte und Maßnahmen, um die gesetzlichen und behördlichen Verpflichtungen zur Reaktion auf Vorfälle einzuhalten.
Wenn RingCentral von einem Sicherheitsereignis erfährt oder es entdeckt, das sich auf Geschützte Daten auswirkt, wird RingCentral den Kunden unverzüglich benachrichtigen und wirtschaftlich angemessene Schritte unternehmen, um dieses Ereignis zu isolieren, abzumildern und/oder zu beheben.
13. Geschäftskontinuität und Disaster Recovery
a. Geschäftskontinuität.
RingCentral
i. Stellt sicher, dass die Verantwortlichkeiten für die Service Continuity klar definiert und dokumentiert sind und einer Person mit ausreichender Autorität zugewiesen wurden.
ii. Verfügt über einen Business Continuity Plan (BCP), der die fortlaufende Bereitstellung der Dienste für den Kunden gewährleisten soll.
iii. Entwickelt, implementiert und pflegt ein Business-Continuity-Management-Programm, um die Anforderungen des Unternehmens und der dem Kunden bereitgestellten Dienste zu erfüllen. Zu diesem Zweck führt RingCentral ein Mindestmaß an Business-Impact-Analyse, Krisenmanagement, Business-Continuity- und Disaster-Recovery-Planung durch.
iv. Stellt sicher, dass der Geltungsbereich des BCP alle relevanten Standorte, Mitarbeiter und Informationssysteme umfasst, die für die Erbringung der Services verwendet werden.
v. Stellt sicher, dass der BCP unter anderem Elemente wie Standort-Workarounds, Anwendungs-Workarounds, Anbieter-Workarounds und Personal-Workarounds umfasst, die mindestens einmal jährlich trainiert werden.
vi. Überprüft, aktualisiert und testet die BCPs mindestens einmal jährlich.
b. Wiederherstellung im Katastrophenfall.
RingCentral
i. Unterhält einen Notfallwiederherstellungsplan (Disaster-Recovery-Plan), der unter anderem Details zu Infrastruktur, Technologie und System(en) sowie Wiederherstellungsaktivitäten enthält und die für eine solche Wiederherstellung erforderlichen Personen/Teams identifiziert und mindestens einmal jährlich geübt wird.
ii. Stellt sicher, dass der Disaster-Recovery-Plan Maßnahmen vorsieht, die RingCentral im Falle eines längeren Ausfalls des Dienstes ergreifen wird.
iii. stellt sicher, dass seine Pläne die Maßnahmen und Ressourcen berücksichtigen, die erforderlich sind, um (i) den kontinuierlichen Betrieb von RingCentral, und (ii) im Falle einer Unterbrechung, die Wiederherstellung der Funktionen zu gewährleisten, die erforderlich sind, um RingCentral in die Lage zu versetzen, die Dienste bereitzustellen, einschließlich der erforderlichen Systeme, Hardware, Software, Ressourcen, Mitarbeiter und Daten, die diese Funktionen unterstützen.