Vertrauen ist das A und O erfolgreicher Geschäftspartnerschaften.
Aus diesem Grund stehen Sicherheit, Datenschutz und Einhaltung der
Vorschriften an allererster Stelle für uns.
Legen Sie Ihre eigenen Richtlinien bezüglich Nutzern und Rollen, Sicherheitsfunktionen und durchsuchbarer Datensätze fest.
Mehr erfahren
Die Architektur von ThoughtSpot Cloud ist von Grund auf so angelegt, dass maximale Datensicherheit gewährleistet wird.
Mehr erfahren
ThoughtSpot befolgt die geltenden Branchenstandards und führt regelmäßig Risikoeinschätzungen durch.
Mehr erfahren
Unsere Verfahren, Abläufe und Rechenzentren schützen Ihre Daten durchgängig.
Mehr erfahren
Richtlinien zur sicheren Verwaltung von Kundendaten unter Einhaltung geltender Datenschutzvorschriften.
Mehr erfahren
Unsere Richtlinien und rechtlichen Vorgaben setzen Standards zu Datenschutz und Datensicherheit.
Mehr erfahren
ThoughtSpot Cloud kontrolliert die Einhaltung Ihrer Richtlinien zur
Daten-Governance sowie Ihre Zugriffsregeln.
Verbinden Sie sich mit den Data-Warehouses Ihrer Wahl, um Live-Abfragen auszuführen, ohne Ihre Daten zu verschieben.
Wählen Sie nur relevante Tabellen und Spalten mit Quelldaten für die Analyse aus.
Weisen Sie Nutzer, Rollen und Berechtigungen mit unterschiedlichen Zugriffsrechten und verfügbaren Aktionen zu.
Weisen Sie Berechtigungen zu, um Inhalte freizugeben. Sie habe die Möglichkeit, den Zugriff auf zuvor freigegebene Inhalte nach Bedarf wieder zu entziehen.
Legen Sie detaillierte Regeln auf Objekt-, Spalten- und Zeilenebene fest, um zu kontrollieren, was Nutzer sehen dürfen.
Nicht mehr benötigte Daten auf einer aktualisierten Pinnwand oder Antwort werden proaktiv gelöscht.
Die Sicherheit Ihrer Daten steht für uns an oberster Stelle.
Vollständig isolierte Mandanten, um Datenlecks zu vermeiden und Schutz vor unbefugtem Zugriff zu bieten.
Mehrere Dienste überwachen, erkennen und schützen vor gebräuchlichen Angriffsmethoden.
Umfassende Unterstützung für Datenverschlüsselung im Ruhezustand und bei der Übertragung unter Nutzung von AES-256-Bit-Verschlüsselung und kundenspezifischen Schlüsseln.
ThoughtSpot Cloud wird auf AWS, einer der sichersten Cloud-Infrastrukturen der Branche, ausgeführt.
Ihre Daten werden im Data Warehouse Ihrer Wahl gespeichert und Abfragen werden live in der Datenbank ausgeführt. Es müssen keine Daten verschoben werden.
Detaillierte Regeln auf Objekt-, Spalten- und Zeilenebene kontrollieren, was Nutzer sehen dürfen. Berechtigungen bestimmen, welche Aktionen Nutzer ausführen können.
ThoughtSpot unterstützt Multi-Faktor-Authentifizierung sowie LDAP und lässt sich via SAML in verschiedene Identitätsanbieter integrieren.
Sie haben Zugriff auf Nutzeranmeldedaten und Aktivitätsprotokolle, die gesichert und auf Anomalien überwacht werden.
Die Zugriffsrechte für ThoughtSpot-Mitarbeiter basieren auf dem Prinzip der geringsten Zugriffsrechte und werden je nach Anforderungen der Rolle zugewiesen. Sie werden nach Beendigung des Arbeitsverhältnisses widerrufen. Die Berechtigungen werden halbjährlich überprüft.
Zugriff auf die Infrastruktur umfasst angemessene Nutzerkonto- und Autorisierungskontrollen, welche die Verwendung von sicheren VPN-Verbindungen, Zwei-Faktor-Authentifizierung, komplexen Passwörter und Regeln für die Kontosperrung erfordern.
ThoughtSpot steht Ihnen jederzeit mit Support zur Verfügung. Sie bestimmen den Zugriffsumfang, den Sie unserem Support-Team gewähren möchten, sowie die Art und Weise, wie Sie uns einbinden möchten.
Alle Daten sowie die Mandanteninstanz werden nach Beendigung oder Ablauf der Vereinbarung oder des Bestellformulars gelöscht.
ThoughtSpot befolgt die geltenden Branchenstandards und führt regelmäßig Risikoeinschätzungen durch.
Die Zertifizierung nach ISO/IEC 27001:2013 legt Sicherheitsverfahren und Kontrollmechanismen für die Einrichtung, Umsetzung, Instandhaltung und laufende Verbesserung von Managementsystemen für Informationssicherheit (ISMS) fest, um die Sicherheit der Datenbestände von Organisationen zu erhöhen. Sie stellt damit sicher, dass unser ISMS mit der sich ständig verändernden Bedrohungslage Schritt hält und die IT-Sicherheit gewährleistet ist. ThoughtSpot durchläuft zu diesem Zweck eine jährliche Neuzertifizierung einschließlich entsprechender Sicherheitsprüfungen. Den Zertifizierungsnachweis finden Sie hier.
ThoughtSpot hat das „Service Organization Control (SOC) 2 Typ II“-Audit erfolgreich abgeschlossen. Der SOC-2-Bericht verifiziert die Eignung der Ausgestaltung und der Betriebseffektivität der Informationssicherheitspraktiken, -richtlinien, -verfahren und -vorgänge von ThoughtSpot, um die Standards für Sicherheit, Verfügbarkeit und Vertraulichkeit zu erfüllen.
Ein öffentlich zugänglicher SOC-3-Bericht, der zeigt, dass ThoughtSpot die Trust-Services-Grundsätze und -Kriterien der AICPA zu Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit erfüllt, ist hier verfügbar.
ThoughtSpot befolgt den Health Insurance Portability and Accountability Act von 1996 (HIPAA) und stellt sicher, dass der Zugriff auf vertrauliche Daten eingeschränkt ist und dass Patienteninformationen geschützt sind. Ein Zusatz für Geschäftspartner von ThoughtSpot ist verfügbar und kann bei Bedarf abgeschlossen werden. Auf welche Weise die Sicherheitsmechanismen der ThoughtSpot Analytics Cloud die Anforderungen des HIPAA erfüllen, erfahren Sie im Whitepaper zu Sicherheitsinfrastruktur und HIPAA.
ThoughtSpot selbst speichert und verarbeitet keine Informationen von Karteninhabern und qualifiziert sich nicht als Verarbeiter, Händler oder Dienstleister im Sinne der Payment Card Industry Data Security Standards (PCI DSS). ThoughtSpot unterliegt zwar nicht den PCI-DSS, aber unser bestehendes Sicherheitsprogramm berücksichtigt bereits viele der darin enthaltenen Anforderungen. Während wir unser Sicherheitsprogramm und unsere Prozesse weiterentwickeln, bewerten wir weiterhin die Vorteile einer Einhaltung. Da die Konfiguration und Nutzung von ThoughtSpot in Ihrer Verantwortung liegt, liegt die Verantwortung für die PCI-DSS (und für die Sicherheit und den Datenschutz insgesamt) sowohl bei ThoughtSpot als auch bei Ihnen.
ThoughtSpot führt im Rahmen eines Risikoverwaltungsprogramms, welches regelmäßig die Effektivität des Sicherheitsprogramms testet und evaluiert, Risikobewertungen im Bereich der Informationssicherheit durch. Dabei werden die Auswirkungen von Risiken und der implementieren Strategien zur Minderung solcher Risiken ermittelt und bewertet, um auf neue und sich entwickelnde Sicherheitstechnologien, Änderungen der branchenüblichen Praktiken und sich ändernde Sicherheitsbedrohungen reagieren zu können. Das Risikoprogramm wird jährlich von einem unabhängigen Dritten überprüft.
ThoughtSpot führt vierteljährliche Sicherheitsrisikobewertungen durch, um Bedrohungen für Informationsressourcen zu bewerten, potenzielle Schwachstellen zu ermitteln und diese zu beseitigen. Software-Patches werden regelmäßig an Kundeninstanzen verteilt, um bekannte Schwachstellen zu beheben.
Wenn Software-Schwachstellen von einem Anbieter-Patch aufgedeckt und behoben werden, erhält ThoughtSpot den Patch vom jeweiligen Anbieter und wendet ihn innerhalb eines angemessenen Zeitraums gemäß dem zum jeweiligen Zeitpunkt aktuellen Standardverfahren für die Verwaltung von Schwachstellen und Sicherheits-Patches von ThoughtSpot an – jedoch erst, sobald getestet und bestätigt wurde, dass er sicher und für die Installation in allen Produktionssystemen geeignet ist.
Das Security, Trust, Assurance, and Risk (STAR) Registry ist ein öffentliches Verzeichnis der Sicherheits- und Datenschutzkontrollen beliebter Cloud-Dienste. Es steht für Transparenz, gewissenhafte Kontrollen und die Angleichung der laut Cloud Controls Matrix (CCM) vorgesehenen Standards. ThoughtSpot hat den „Consensus Assessments Initiative Questionnaire (CAIQ)“ der CSA ausgefüllt, der hier abrufbar ist und regelmäßig angepasst wird.
ThoughtSpot nimmt den Schutz seiner Systeme, Produkte und vertraulichen Daten sehr ernst. Deshalb bitten wir externe Sicherheitsexperten, uns auf etwaige Schwachstellen in unseren Systemen, Produkten oder Daten hinzuweisen.
Vermutete Sicherheitslücken und andere Meldungen können per E-Mail an [email protected] mit dem Betreff „Vertrauliche Meldung (Responsible Disclosure)“ gesendet werden. Hängen Sie dabei bitte Belege sowie eine klare Anleitung zur Nachbildung des Problems an, damit wir die Art und den Schweregrad der Sicherheitslücke nachvollziehen und möglichst gut reagieren können.
Bitte beachten Sie, dass ThoughtSpot jeden Versuch unterbindet, manuell oder mithilfe automatisierter Prozesse in unsere Infrastruktur einzudringen, die Infrastruktur anzugreifen oder sie zu überwachen.
Weitere Informationen zur vertraulichen Meldung möglicher Schwachstellen finden Sie hier.
Die Verfahren, Abläufe und
Rechenzentren von ThoughtSpot schützen Ihre Daten zu jeder Zeit.
Die modernen Cloud-Rechenzentren von ThoughtSpot
sind auf Skalierbarkeit und Elastizität ausgelegt
ThoughtSpot sichert seine Gebäude und Arbeitsstandorte gegen unbefugten Zugriff, um seine Mitarbeiter, Vermögenswerte und Daten zu schützen. Alle Mitarbeiter von ThoughtSpot sowie Auftragnehmer und Dritten, die einen legitimen Grund haben, ThoughtSpot-Bereiche zu betreten, müssen die Sicherheitsbestimmungen erfüllen, um maximale Sicherheit zu gewährleisten.
Die Rechenzentren von ThoughtSpot sind so konzipiert, dass sie Fehler antizipieren und tolerieren und gleichzeitig die Service-Level aufrechterhalten. Bei einem Fehler wird Datenverkehr automatisch aus dem betroffenen Bereich entfernt. Es besteht ausreichend Kapazität, damit der Datenverkehr auf die verbleibenden Standorte verteilt werden kann.
Kritische Systemkomponenten werden an mehreren isolierten Standorten gesichert und sind so konstruiert, dass sie unabhängig und mit hoher Zuverlässigkeit arbeiten. Stark belastbare Systeme bieten ein Höchstmaß an Serviceverfügbarkeit und ermöglichen es Kunden im Falle eines Ausfalls, extrem kurze Wiederherstellungszeiten und Wiederherstellungspunktziele zu erreichen.
Die Service-Nutzung wird kontinuierlich überwacht, um unsere Verfügbarkeitsverpflichtungen und -anforderungen zu erfüllen, und mindestens einmal im Monat anhand eines Kapazitätsplanungsmodells gemessen. Dieses Modell unterstützt die Planung für zukünftige Anforderungen und umfasst Faktoren wie Informationsverarbeitung, Telekommunikation und Speicherung von Auditprotokollen.
Mitarbeiter von ThoughtSpot werden ordnungsgemäß überprüft und geschult, sodass
die Erfüllung von Sicherheits- und Datenschutzkontrollen gewährleistet werden kann.
Alle Mitarbeiter, die Zugriff auf Rechenzentren benötigen, müssen diesen zuerst beantragen und eine gültige Geschäftsbegründung vorlegen. Die Überprüfung und Genehmigung dieser Anträge erfolgt nach dem Prinzip des geringsten Zugriffsrechts.
ThoughtSpot führt bei allen Mitarbeitern Hintergrundüberprüfungen durch – gemäß den einschlägigen Gesetzen und Vorschriften sowie im Verhältnis zu den geschäftlichen Anforderungen, der Sensibilität der Informationen, auf die zugegriffen werden soll, und den wahrgenommenen Risiken in Übereinstimmung mit der ThoughtSpot-Richtlinie für Hintergrundüberprüfungen.
ThoughtSpot bietet ein Sicherheitstraining an, um seinen Mitarbeiten zu helfen, unnötige Risiken zu vermeiden. Die Mitarbeiter müssen innerhalb eines angemessenen Zeitraums nach der Einstellung und anschließend vierteljährlich an einem Informationssicherheitstraining teilnehmen. ThoughtSpot speichert Anwesenheitslisten und Kopien von Sicherheitstrainingsmaterialien, um zu gewährleisten, dass das Training ordnungsgemäß absolviert wird, bevor die jeweiligen Mitarbeiter Zugriff auf Systeme erhalten.
ThoughtSpot achtet konsequent auf die Sicherheit und den Schutz Ihrer Daten
Alle Daten, die über das globale Netzwerk fließen, das unsere Rechenzentren und Regionen miteinander verbindet, werden automatisch verschlüsselt, bevor sie unsere gesicherten Einrichtungen verlassen. AWS bietet Tools, mit denen ThoughtSpot Ihre Daten für die Übertragung und im Ruhezustand ganz einfach verschlüsseln kann, um sicherzustellen, dass nur autorisierte Nutzer darauf zugreifen können. Verschlüsselungsschlüssel werden vom AWS Key Management Service (KMS) oder von CloudHSM unter Anwendung von nach FIPS 140-2 Level 3 validierten HSMs verwaltet.
ThoughtSpot bietet Ihnen die Kontrolle und Sichtbarkeit, die Sie brauchen, um regionale und lokale Gesetze und Vorschriften zum Datenschutz einzuhalten. Der Aufbau der globalen AWS-Infrastruktur ermöglicht Ihnen eine vollständige Kontrolle über die Regionen, in denen sich Ihre Daten physisch befinden, und hilft Ihnen dabei, die Anforderungen an die Datenresidenz zu erfüllen.
Mit RLS (Row Level Security – Sicherheit auf Zeilenebene) können Sie den Zugriff einer Gruppe bis zur Tabellenzeile einschränken. Sobald eine Regel feststeht, bewertet ThoughtSpot das Zugriffsrecht des Nutzers anhand der bestehenden Regeln und verhindert, das eingeschränkte Daten angezeigt werden, wenn ein Gruppenmitglied nach einer Antwort sucht, diese ansieht oder anderweitig an den Daten arbeitet. So sehen Nutzer nur die Daten, die sie sehen dürfen.
ThoughtSpot befolgt sichere Richtlinien und Verfahren für die Entwicklung von Anwendungen, die an branchenüblichen Praktiken wie den OWASP Top Ten ausgerichtet sind. Alle Mitarbeiter, die für den Aufbau und die Entwicklung sicherer Anwendungen verantwortlich sind, erhalten ein entsprechendes Training in Bezug auf sichere Praktiken für die Entwicklung von Anwendungen von ThoughtSpot. ThoughtSpot führt eine Kombination aus statischen und dynamischen Tests und Codeanalyse durch und behebt alle Schwachstellen von hoher Priorität vor jeder Veröffentlichung.
Richtlinien zur sicheren Verwaltung von Kundendaten unter Einhaltung geltender
Datenschutzvorschriften.
ThoughtSpot erfüllt die Datenschutz-Grundverordnung der Europäischen Union vollständig. Der Nachtrag zur Datenverarbeitung von ThoughtSpot enthält von der EU genehmigte Übermittlungsmechanismen, nämlich die Standardvertragsklauseln der Europäischen Kommission. Kunden können sich bei der Übermittlung von personenbezogenen Daten in der EU mithilfe unserer Dienstleistungen auf diesen Schutz verlassen. Weitere Informationen zur DSGVO finden Sie hier. Eine Liste der Unterauftragsverarbeiter, die zur Verarbeitung personenbezogener Daten in einzelnen SaaS-Anwendungen von ThoughtSpot berechtigt sind, finden Sie hier.
ThoughtSpot beruft sich bei der Übermittlung personenbezogener Daten nach dem Urteil des EuGH in der Rechtssache C-311/18 nicht mehr auf den EU-US-Datenschutzschild, bleibt aber darin festgelegten Grundsätzen der Sicherheit und des Datenschutzes treu und nimmt weiterhin entsprechende Selbstzertifizierungen vor. Die fortgesetzte Einhaltung des Datenschutzschilds durch ThoughtSpot ist der Website zum Datenschutzrahmen und der Rahmenerklärung zum Datenschutz zu entnehmen.
ThoughtSpot unterhält eine Datenschutzerklärung in Bezug auf die Erhebung, Verwendung und Offenlegung personenbezogener Daten, die über die Websites von ThoughtSpot erlangt wurden; in Verbindung mit Ihrem Kauf unserer Produkte, damit einhergehendem Support und professionellen Dienstleistungen; und in Verbindung mit von uns veranstalteten Veranstaltungen, bei denen wir Informationen von Registranten und Teilnehmern erheben.
ThoughtSpot verwendet sowohl sitzungsbasierte als auch dauerhafte Cookies. Cookies existieren nur während Ihrer Websitzung und verfallen, wenn Sie Ihren Internetbrowser schließen. Dauerhafte Cookies verbleiben so lange in einem der Unterordner Ihres Browsers, bis Sie sie manuell löschen oder bis Ihr Browser sie basierend auf der in der Datei des dauerhaften Cookies enthaltenen Dauer löscht.
Nach dem Urteil des Gerichtshofs der Europäischen Union (C-311/18, „Schrems II“) vom 16. Juli 2020 erfolgt die internationale Übermittlung personenbezogener Daten aus dem EWR und der Schweiz in die USA mittlerweile nicht mehr auf Grundlage unserer Zertifizierungen nach dem EU-US- und Schweiz-US-Datenschutzschild. Bezüglich der vor dem 16. Juli 2020 in die USA übermittelten personenbezogenen Daten befolgen wir aber weiterhin die darin niedergelegten Grundsätze.
Bei der Übermittlung dem EU-Recht unterliegender personenbezogener Daten an Kunden und Unterauftragsverarbeiter wendet ThoughtSpot die Standardvertragsklauseln an. Laut Schrems II und diesbezüglichen Empfehlungen der EU-Aufsichtsbehörden verbindet ThoughtSpot die Anwendung der Standardvertragsklauseln mit diversen der jeweiligen Übermittlung angemessenen technischen und organisatorischen Sicherungsmaßnahmen. Weitere Informationen zur Umsetzung von Schrems II durch ThoughtSpot finden Sie hier.
ThoughtSpot verkauft Ihre Daten nicht, betreibt kein Data-Mining und greift auch nicht zu Werbezwecken auf Ihre Daten zu. ThoughtSpot verpflichtet sich außerdem vertraglich dazu, dass ThoughtSpot-Mitarbeiter und autorisierte, geprüfte Auftragnehmer nur dann auf Kundendaten zugreifen können, wenn dies notwendig ist.
Die Richtlinien und rechtlichen Vorgaben von ThoughtSpot bestimmen
die Standards für unseren Anspruch auf Datenschutz und Datensicherheit.
ThoughtSpot verpflichtet sich, die Daten anderer zu schützen, einschließlich in Bezug auf seine Nutzung von Browsercookies.
Diese Richtlinie beschreibt die Informationen, die wir mithilfe entsprechender Tools automatisch erheben.
Die Verpflichtungen von ThoughtSpot gegenüber Abonnenten und Lizenznehmern sind auf dieser Seite aufgeführt.
Für Kunden, die ThoughtSpot Daten im Rahmen der DSGVO zur Verfügung stellen, kann die Datenschutzbehörde gegengezeichnet werden, um ThoughtSpot zusätzliche Verpflichtungen aufzuerlegen.
ThoughtSpot verpflichtet sich, ethisch und verantwortungsbewusst zu handeln und Zwangsarbeit zu bekämpfen.
ThoughtSpot erfüllt die Namensnennungsobligationen von Lizenzen von Drittanbietern.
Die Rahmenerklärung enthält die Datenschutzgrundsätze von ThoughtSpot und regelt den sicheren Transfer personenbezogener Daten in die USA.
Diese Datenschutzerklärung regelt den Umgang mit Bewerberdaten und deren Schutz.