Nachtrag zur Informationssicherheit

SO FÜHREN SIE DIESEN NACHTRAG AUS:

Um diesen Nachtrag auszufüllen, senden Sie bitte eine E-Mail an legal @digital.ai. Nach Erhalt einer gültig ausgefüllten DPA durch Digital.aiwird diese DPA rechtsverbindlich.

Eine PDF-Dokumentversion des DPA kann heruntergeladen werden werden auf dieser Seite erläutert zur Kundenrezension.

1. Zweck und Geltungsbereich

Dieser Sicherheitszusatz („Zusatz“) ist Bestandteil des Rahmenabonnementvertrags (Master Subscription Agreement, „MSA“) zwischen den Parteien und ergänzt diesen. Er legt die Verpflichtungen in Bezug auf Informationssicherheit, Datenschutz und Risikomanagement fest. Digital.ai Die Bereitstellung der Software und der Dienstleistungen erfolgt auf eigene Verantwortung. Im Falle eines Widerspruchs zwischen diesem Nachtrag und dem Rahmenvertrag ist dieser Nachtrag hinsichtlich Sicherheitsfragen maßgebend.

Dieser Nachtrag spiegelt Folgendes wider: Digital.aiDas Unternehmen verfügt über ein etabliertes Informationssicherheits- und Risikomanagementprogramm, das mit dem Standard ISO/IEC 27001:2022 Informationssicherheitsmanagementsystem („ISMS“) übereinstimmt.  Digital.aiDie Verpflichtungen von [Name des Unternehmens] gemäß diesem Nachtrag gelten für alle Systeme, Mitarbeiter und Unterauftragnehmer, die an der Bereitstellung der Software und der Dienstleistungen für den Kunden beteiligt sind.

2. Definition

Die nachfolgenden Begriffsbestimmungen gelten für den gesamten Nachtrag. Großgeschriebene Begriffe, die hier nicht anderweitig definiert sind, haben die im Rahmenvertrag (MSA) festgelegte Bedeutung.

 

Bedingungen Bedeutung
„Kundendaten“ Alle Daten, Informationen oder Inhalte, die vom Kunden oder in dessen Auftrag bereitgestellt werden, Digital.ai im Zusammenhang mit den Dienstleistungen, einschließlich personenbezogener Daten.
"Hintergrund-IP" Digital.aiDas bereits bestehende geistige Eigentum, die Werkzeuge, Methoden, Rahmenwerke und das Know-how von [Name des Unternehmens], einschließlich aller Verbesserungen daran.
"DPA" Digital.aiDie Datenverarbeitungsvereinbarung von [Name des Unternehmens] ist verfügbar unter [Link des Unternehmens]. digital.ai/legal/, in der jeweils gültigen Fassung.
"ISMS" Digital.aiDas Informationssicherheitsmanagementsystem von [Unternehmen/Organisation] ist an ISO/IEC 27001:2022 ausgerichtet.
"Persönliche Informationen" Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie sie in den geltenden Datenschutzgesetzen definiert sind.
"Sicherheitsvorfall" Jeglicher bestätigter oder begründeter Verdacht auf unbefugten Zugriff, Nutzung, Offenlegung, Änderung oder Zerstörung von Kundendaten oder Digital.ai Systeme zur Verarbeitung von Kundendaten.
"Software" Die von Digital.ai gemäß MSA und den entsprechenden Leistungsbeschreibungen.

3. Informationssicherheitsprogramm

3.1 Programmstandard.

Digital.ai unterhält ein formelles Informationssicherheits- und Risikomanagementprogramm, das dem ISMS-Standard ISO/IEC 27001:2022 entspricht. Das Programm umfasst Sicherheits- und Technologierichtlinien, Risikomanagementprozesse, Compliance-Kontrollen und kontinuierliche Verbesserungsmaßnahmen, die für folgende Bereiche gelten: Digital.aiCloud- und interne Umgebungen von .

3.2 Sicherheitsrichtlinien.

Digital.ai Das Unternehmen verfügt über ein umfassendes Paket an Sicherheits- und Technologierichtlinien, die seinen Ansatz für Vertrauen und Sicherheit regeln. Diese Richtlinien werden mindestens jährlich oder bei wesentlichen organisatorischen oder technologischen Änderungen überprüft und aktualisiert und hinsichtlich ihrer fortlaufenden Einhaltung und Wirksamkeit überwacht.

3.3 Risikomanagement.

Digital.ai Das Unternehmen führt jährlich eine Risikobewertung im Rahmen seines unternehmensweiten Risikomanagementprogramms durch. Identifizierte Risiken werden dokumentiert, priorisiert und durch definierte Sanierungsprojekte und Kontrollverbesserungen angegangen. Die Risikoexposition wird regelmäßig überprüft, um die Wirksamkeit der bestehenden Kontrollen sicherzustellen.

3.4 Zertifizierungen.

Digital.ai besitzt folgende aktuelle Zertifizierungen, die für die im Rahmen des MSA erbrachten Dienstleistungen relevant sind:

Produkt Zertifizierung(en)
Digital.ai Continuous Testing ISO/IEC 27001:2022; SOC 2 Typ II
Digital.ai Intelligence SOC 2 Typ II
Digital.ai Anwendungsschutz ISO 13485
Digital.ai Schutz von Schlüsseln und Daten ISO 13485; FIPS 140-3 (Zwischenvalidierung)
Digital.ai App-Verwaltung ISO 13485
Digital.ai App-bewusst ISO 13485
GovCloud (Digital.ai Agility) FedRAMP

Digital.ai Der Anbieter verpflichtet sich, mindestens die für die im Rahmen einer Leistungsbeschreibung (SOW) eingesetzten Softwareprodukte geltenden Zertifizierungen während der Laufzeit des Rahmenvertrags aufrechtzuerhalten. Nachweise über aktuelle Zertifizierungen sind dem Kunden auf schriftliche Anfrage vorzulegen.

3.5 Prüfungen und Bewertungen.

Digital.ai führt im Rahmen seiner jährlichen Compliance-Audits umfassende Sicherheitsbewertungen durch (einschließlich ISO/IEC 27001:2022 und SOC 2 Typ II).  Digital.ai Führt außerdem interne operative Bewertungen in sicherheitskritischen Bereichen durch. Die Ergebnisse der Bewertungen fließen in einen kontinuierlichen Verbesserungsprozess und ein Korrekturmaßnahmenprogramm ein.

4. Datenschutz und Verschlüsselung

4.1 Verschlüsselungsstandards.

Digital.ai verschlüsselt Kundendaten sowohl im Ruhezustand als auch während der Übertragung mithilfe branchenüblicher kryptografischer Verfahren. Die Verschlüsselungsmethoden erfüllen oder übertreffen folgende Standards:

  • TLS 1.2 (oder höher) für alle übertragenen Daten; und
  • AES-256 für alle ruhenden Daten.

Die Verschlüsselungsschlüssel werden mindestens jährlich gemäß den geltenden Richtlinien rotiert. Digital.aiDie Verschlüsselungsrichtlinie (POL-INFOSEC-14) wird angewendet. Die Schlüsselverwaltung erfolgt über den AWS Key Management Service für Cloud-basierte Dienste.

4.2 Datenverarbeitungsvereinbarung.

Die Verarbeitung personenbezogener Daten durch Digital.ai wird geregelt durch Digital.aiDer Datenschutzzusatz (DPA) von [Name des Unternehmens] ist verfügbar unter [Link einfügen].  https://digital.ai/data-protection-addendum/ Im Falle eines Konflikts zwischen dem MSA und dem DPA hinsichtlich der Verarbeitung personenbezogener Daten hat der DPA Vorrang.

4.3 Datenverfügbarkeit und Redundanz.

Digital.aiDie Cloud-Produkte von AWS nutzen hochverfügbare Rechenzentren in mehreren geografisch verteilten AWS-Regionen, um die Auswirkungen auf Kunden im Falle von Störungen zu minimieren. Digital.aiDer primäre Datenhosting-Anbieter von [Name des Unternehmens] ist nach SOC 2 Typ II und ISO/IEC 27001:2022 zertifiziert.

4.4 Datensicherung.

Digital.ai Es werden native AWS-Funktionen genutzt, um täglich Snapshots jeder Serviceinstanz zu erstellen. Die Backups werden im Ruhezustand verschlüsselt und in eine geografisch getrennte Region repliziert. Die Integrität der Backups wird durch jährliche Wiederherstellungstests in einer Testumgebung überprüft, wobei alle auftretenden Probleme verfolgt und behoben werden. In-Region-Backups werden mindestens acht (8) Tage, Replikate außerhalb der Region mindestens drei (3) Tage aufbewahrt.

4.5 Datenresidenz.

Digital.ai verarbeitet und speichert Kundendaten primär innerhalb der Amazon Web Services-Infrastruktur.  Digital.aiDie wichtigsten Produktionsregionen von sind:

  • Vereinigte Staaten: AWS us-east-1 (Nord-Virginia) und us-west-2 (Oregon); und
  • Europäische Union: AWS eu-west-1 (Irland) und eu-central-1 (Frankfurt).

Der Kunde legt seine bevorzugte primäre Datenregion fest, zwischen Digital.aiDie verfügbaren Regionen werden zum Zeitpunkt des Vertragsabschlusses oder davor festgelegt. Sofern nicht schriftlich anders vereinbart, werden Kundendaten innerhalb der festgelegten Region verarbeitet und gespeichert. Eine temporäre regionsübergreifende Replikation erfolgt ausschließlich zu Redundanz- und Notfallwiederherstellungszwecken.

Für Kundendaten, die personenbezogene Daten von Einwohnern des Europäischen Wirtschaftsraums (EWR) darstellen, unterliegt jede Übermittlung in oder Speicherung in einer Region außerhalb des EWR den Standardvertragsklauseln (SCCs), die in den Vertrag aufgenommen wurden. Digital.aidie Datenschutzvereinbarung oder einen anderen genehmigten Übermittlungsmechanismus, der gemäß den geltenden Datenschutzgesetzen Anwendung findet.

Kunden, die einen Datenstandort außerhalb der USA und der EU benötigen, können eine On-Premises-Bereitstellung anfordern, die einer separaten Leistungsbeschreibung und den entsprechenden Lizenzbedingungen unterliegt.

5. Zugangskontrollen

5.1 Prinzip der minimalen Privilegien.

Der Zugriff auf Kundendaten ist auf autorisierte Personen beschränkt. Digital.ai Die Zugriffsberechtigungen des Personals basieren auf dokumentierten Aufgabenbeschreibungen und dem Prinzip der minimalen Rechtevergabe. Alle Zugriffsanfragen bedürfen einer dokumentierten Genehmigung.

5.2 Multi-Faktor-Authentifizierung.

Digital.ai Erfordert Multi-Faktor-Authentifizierung (MFA/2FA) für den Zugriff auf Unternehmensnetzwerkressourcen, interne Anwendungen, Cloud-Umgebungen und alle Systeme, die Kundendaten verarbeiten.

5.3 Zugriffsbereitstellung und -entzug.

Digital.ai Es wird ein klar definierter Prozess zur Gewährung und zum Entzug von Zugriffsrechten für alle Systeme und Dienste unterhalten, der auf rollenbasierten Zugriffskontrollen basiert und auf die jeweiligen Aufgabenbereiche abgestimmt ist. Der Zugriff wird gemäß den geltenden Richtlinien überprüft und gegebenenfalls entzogen. Digital.aiZugriffskontrollrichtlinie (POL-INFOSEC-16): Privilegierte Konten und Systemadministratorkonten werden bei Beendigung des Arbeitsverhältnisses oder Rollenwechsel sofort entfernt; alle anderen Konten werden innerhalb von vierundzwanzig (24) Stunden nach dem Ausscheiden des Mitarbeiters oder Rollenwechsel deaktiviert.

5.4 Unbefugter Zugriff.

Unbefugte Zugriffsversuche auf Systeme, die Kundendaten verarbeiten, werden als Sicherheitsvorfälle behandelt und entsprechend verwaltet. Digital.aiDer in Abschnitt 9 dieses Nachtrags beschriebene Prozess zur Reaktion auf Zwischenfälle.

6. Netzwerk- und Infrastruktursicherheit

6.1 Geschichtete Netzwerkarchitektur.

Digital.ai Das Unternehmen implementiert einen mehrschichtigen Ansatz für die Netzwerksicherheit in seinen Cloud-Umgebungen, wobei auf jeder Schicht Kontrollen angewendet werden. Die Infrastruktur ist in Zonen, Umgebungen und Dienste unterteilt. Produktions- und Nicht-Produktionsumgebungen sind getrennt, um die laterale Vernetzung einzuschränken.

6.2 Einbruchserkennung.

Digital.ai hat in seinen Büro- und Produktionsnetzwerken Intrusion-Detection-Systeme implementiert, um potenzielle Sicherheitslücken aufzudecken. Warnmeldungen werden priorisiert und im Rahmen des Incident-Response-Prozesses eskaliert.

6.3 Endpunktsicherheit.

Alle Geräte, die sich mit Digital.aiDas Netzwerk von [Name des Unternehmens] muss Mindestsicherheitsanforderungen erfüllen, die durch Endpunktverwaltungskontrollen durchgesetzt werden, einschließlich:

  • Vollständige Festplattenverschlüsselung;
  • Geräte- und Bildschirmsperrrichtlinien;
  • Antimalware-Software; und
  • Genehmigte und aktuelle Betriebssystemversionen und Patches.

6.4 Konfigurationsmanagement.

Digital.ai Es wird eine aktuelle Basiskonfiguration für alle Produktionssysteme gepflegt. Die Basiskonfigurationen werden mindestens jährlich oder bei Bedarf nach Upgrades oder wesentlichen Änderungen überprüft und aktualisiert. Frühere Konfigurationen werden zur Unterstützung von Rollbacks aufbewahrt. Alle Änderungen an den Basiskonfigurationen müssen den folgenden Richtlinien folgen: Digital.aiStandard-Änderungsmanagementprozess von [Name des Unternehmens].

6.5 Protokollierung und Überwachung.

Digital.ai Es verwendet eine zentrale Protokollierung und Überwachung, um Protokolle aus Produktionssystemen zu aggregieren, Überwachungsregeln anzuwenden und verdächtige Aktivitäten zu kennzeichnen. Die Protokolle werden gemäß den geltenden Bestimmungen aufbewahrt. Digital.aiDie internen Aufbewahrungsrichtlinien von [Unternehmen/Organisation] werden eingehalten. Überwachungsalarme werden priorisiert, untersucht und im Rahmen des Incident-Response-Prozesses eskaliert.

7. Änderungsmanagement

7.1 Peer-Review.

Jede Änderung an Digital.aiDer Quellcode bzw. die Infrastruktur von [Name des Unternehmens] – einschließlich Codeänderungen und Infrastrukturmodifikationen – wird vor der Bereitstellung von einem oder mehreren qualifizierten Kollegen überprüft, um potenzielle Probleme zu identifizieren.

7.2 CI/CD-Pipeline.

Sicherheitskorrekturen und Behebung von Schwachstellen für Digital.aiDie Cloud-Produkte von sind integriert in Digital.aiDie Continuous Integration und Continuous Deployment (CI/CD) Pipeline wird nach gründlichen Tests und Validierungen eingesetzt.

8. Schwachstellenmanagement

8.1 Kontinuierliches Scannen.

Digital.ai Das Unternehmen setzt kontinuierlich Tools zur Schwachstellenerkennung in seinen Produkten und seiner Infrastruktur ein. Die Scans umfassen Netzwerk-Scans, Container-Image-Scans, Open-Source-Abhängigkeits-Scans und die Überwachung der AWS-Konfiguration.

8.2 Interne Sicherheitsüberprüfungen.

Digital.ai Das Unternehmen führt regelmäßig interne Sicherheitsüberprüfungen durch, die interne Audits, Bewertungen und Sicherheitstests umfassen. Gezielte Code-Reviews – sowohl manuell als auch mithilfe von Tools – werden durchgeführt, um Schwachstellen vor der Veröffentlichung für Kunden zu identifizieren und zu beheben.

8.3 Penetrationstests.

Digital.ai Beauftragt jährlich unabhängige Dritte mit der Durchführung von Penetrationstests. Alle Ergebnisse werden geprüft, priorisiert und deren Umsetzung bis zum Abschluss der Behebung verfolgt. Auf schriftliche Anfrage, Digital.ai Der Anbieter stellt dem Kunden einen zusammenfassenden Penetrationstestbericht oder eine Bestätigungserklärung zur Verfügung, aus der hervorgeht, dass die jährlichen Tests abgeschlossen wurden und wesentliche Feststellungen behoben wurden.

8.4 Behebung von Sicherheitslücken.

Digital.aiDas Schwachstellenmanagementprogramm von [Unternehmen] integriert die Schwachstellenidentifizierung mit einem internen Ticket- und Eskalationssystem. Identifizierte Schwachstellen werden anhand eines risikobasierten Behebungsplans behoben, der nach Schweregrad und potenziellen Auswirkungen priorisiert ist. In Übereinstimmung mit [Unternehmen] Digital.aiDie Richtlinie zum Management technischer Schwachstellen (POL-INFOSEC-11) sieht folgende maximale Bearbeitungszeiten je nach Schweregrad vor: Kritisch – 7 Kalendertage; Hoch – 30 Kalendertage; Mittel – 90 Kalendertage; Niedrig – 180 Kalendertage. Steht kein Patch zur Verfügung, werden kompensierende Maßnahmen implementiert und dokumentiert.

9. Reaktion auf Vorfälle und Meldung von Datenschutzverletzungen

9.1 Rahmenkonzept für die Reaktion auf Zwischenfälle.

Digital.ai Wir befolgen einen strukturierten Incident-Response-Prozess gemäß NIST SP 800-61. Alle Sicherheitsereignisse werden nach ihrer Erkennung priorisiert und nach Schweregrad und Auswirkungen klassifiziert. Bestätigte Sicherheitsvorfälle werden von einem spezialisierten Cybersecurity Incident-Response-Team untersucht, eingedämmt, behoben und dokumentiert.

9.2 Erkennung und Überwachung.

Digital.aiDas Incident-Response-Programm von [Unternehmen] umfasst die umfassende Protokollierung und Überwachung seiner Produkte und Infrastruktur, um eine schnelle Erkennung potenzieller Sicherheitsvorfälle zu ermöglichen.

9.3 Kundenbenachrichtigung.

Im Falle eines bestätigten Sicherheitsvorfalls mit Kundendaten, Digital.ai wird den Kunden benachrichtigen:

  • Ohne unangemessene Verzögerung, und in jedem Fall innerhalb von zweiundsiebzig (72) Stunden, Digital.ai erste Kenntnisnahme des Sicherheitsvorfalls durch schriftliche Benachrichtigung des vom Kunden benannten Sicherheitsbeauftragten; und
  • Sobald dies vernünftigerweise möglich ist (und in jedem Fall innerhalb von achtundvierzig (48) Stunden nach der ersten Benachrichtigung), mit folgenden Informationen: (a) eine Beschreibung des Produkts der Art und Ursache des Sicherheitsvorfalls; (b) die Kategorien und das ungefähre Volumen der betroffenen Kundendaten; und (c) die Maßnahmen, die zur Eindämmung, Untersuchung und Behebung des Sicherheitsvorfalls ergriffen wurden oder vorgeschlagen wurden.

9.4 Zusammenarbeit.

Digital.ai verpflichtet sich: (a) unverzüglich alle notwendigen Schritte zu unternehmen, um den Sicherheitsvorfall einzudämmen und zu beheben; (b) vollständige Aufzeichnungen über alle Informationen und Beweismittel im Zusammenhang mit dem Sicherheitsvorfall zu führen; und (c) mit dem Kunden zusammenzuarbeiten und ihm die Unterstützung zu leisten, die er im Zusammenhang mit der Eindämmung, Untersuchung und Behebung des Sicherheitsvorfalls vernünftigerweise benötigt.

9.5 Offenlegungspflichten gemäß den gesetzlichen Bestimmungen.

Nichts in diesem Nachtrag soll verhindern Digital.ai von der Offenlegungspflicht gemäß geltendem Recht oder geltenden Vorschriften. Wo Digital.ai ist gesetzlich verpflichtet, eine öffentliche Erklärung oder behördliche Mitteilung über einen Sicherheitsvorfall, der Kundendaten betrifft, abzugeben. Digital.ai wird angemessene Anstrengungen unternehmen, den Kunden vor einer solchen Offenlegung zu konsultieren, soweit dies gesetzlich zulässig ist.

10. Geschäftskontinuität und Notfallwiederherstellung

10.1 BC/DR-Programm.

Digital.ai Das Programm gewährleistet Geschäftskontinuität und Notfallwiederherstellung (BC/DR), um die Auswirkungen auf Kunden im Falle einer Störung zu minimieren. Es wird von spezialisierten Mitarbeitern und Teams betreut, kontinuierlich verbessert und regelmäßigen Tests unterzogen.

10.2 Verfügbarkeit des Dienstes.

Digital.ai wird wirtschaftlich zumutbare Anstrengungen unternehmen, um die im jeweiligen Leistungsumfang (SOW) festgelegten Service Level Agreements und Service Level Objectives („SLA/SLO“) zu erfüllen.

Sofern die jeweilige Leistungsbeschreibung keine alternativen Ziele vorsieht, Digital.ai verpflichtet sich zu folgenden Zielen hinsichtlich Verfügbarkeit und Wiederherstellung von Cloud-basierten Softwareprodukten:

  • Monatliches Verfügbarkeitsziel: 99.5 % (ausgenommen planmäßige Wartungsfenster, über die der Kunde mindestens 48 Stunden im Voraus informiert wird).
  • Ziel der Wiederherstellungszeit (RTO): Digital.ai Ziel ist die Wiederherstellung betroffener Cloud-Dienste innerhalb von 24 Stunden nach Ausrufung eines Katastrophenereignisses und innerhalb von 168 Stunden nach Ausfall von Testeinrichtungen.
  • Wiederherstellungspunktziel (RPO): Digital.ai Für in der Cloud gespeicherte Kundendaten wird ein maximales Datenverlustfenster von 24 Stunden angestrebt.

Lokale Installationen sind von diesen Zielen nicht abgedeckt.

COHO Expo bei der Digital.ai Wird das monatliche Verfügbarkeitsziel nicht erreicht, besteht der einzige Rechtsbehelf des Kunden in Servicegutschriften gemäß der Definition im jeweiligen Leistungsverzeichnis oder Service-Level-Agreement.

11. Risikomanagement von Drittanbietern

11.1 Lieferantenbewertung.

Alle Drittanbieter, Auftragnehmer und Cloud-Dienstleister, die von Digital.ai im Zusammenhang mit der Erbringung der Dienstleistungen wird eine gründliche Lieferantenrisikobewertung durchgeführt von Digital.aidas Information Security and Compliance-Team vor Beginn des Engagements.

11.2 Laufende Sorgfaltsprüfung.

Laufende Due-Diligence-Prüfungen von Drittanbietern werden je nach Risikostufe des Auftrags bei Vertragsverlängerung oder jährlich durchgeführt. Die Verträge mit den Anbietern enthalten Sicherheits- und Vertraulichkeitsanforderungen, die der Risikostufe des Auftrags angemessen sind.

11.3 Unterprozessoren.

Digital.aiDer primäre Infrastrukturanbieter von [Name des Unternehmens] ist Amazon Web Services (AWS), das über die Zertifizierungen SOC 2 Typ II und ISO/IEC 27001:2022 verfügt. Eine aktuelle Liste von [Name des Anbieters] Digital.aiDie Material-Subprozessoren von sind verfügbar über Digital.aiDPA und/oder auf Digital.ai FAQ zum Datenschutz.

Digital.ai Der Kunde wird mindestens dreißig (30) Kalendertage vor der Hinzufügung eines neuen oder dem Austausch eines bestehenden Unterauftragnehmers, der Kundendaten verarbeitet, durch Aktualisierung seiner veröffentlichten Unterauftragnehmerliste benachrichtigt. Diese Benachrichtigung muss den Unterauftragnehmer, seinen Standort und die Art der von ihm durchgeführten Verarbeitung enthalten.

Der Kunde kann der Einsetzung eines neuen oder eines Ersatz-Unterauftragnehmers aus berechtigten datenschutzrechtlichen Gründen widersprechen, indem er eine schriftliche Mitteilung an folgende Adresse richtet: Digital.ai innerhalb von fünfzehn (15) Kalendertagen nach Erhalt Digital.aiBenachrichtigung.  Digital.ai Wir werden angemessene Anstrengungen unternehmen, um dem Einspruch des Kunden nachzukommen. Dies kann Folgendes umfassen: (a) die Beauftragung eines für den Kunden akzeptablen alternativen Unterauftragnehmers oder (b) die Gewährung der Möglichkeit für den Kunden, den betroffenen Dienst zu wechseln. Der Einspruch des Kunden begründet an sich kein Kündigungsrecht gemäß der Rahmenvereinbarung.

12. Personal- und Sicherheitsbewusstsein

12.1 Interne Kontrollen.

Digital.aiDas ISMS von [Unternehmen] umfasst personalbezogene Sicherheitskontrollen, die das Verhalten von Mitarbeitern und Auftragnehmern mit Zugriff auf Kundendaten regeln, und Digital.aiProduktionssysteme.

12.2 Schulung zur Sensibilisierung für Sicherheitsthemen.

Alle Digital.ai Mitarbeiter und Auftragnehmer mit Zugriff auf Kundendaten oder Digital.aiDie Mitarbeiter der Produktionssysteme von [Name des Unternehmens] müssen bei Inbetriebnahme und anschließend jährlich eine Schulung zum Thema Informationssicherheit absolvieren. Die Schulung umfasst Informationssicherheitsrichtlinien, zulässige Nutzung, Datenverarbeitung, Meldung von Sicherheitsvorfällen und rollenspezifische Sicherheitsverantwortlichkeiten. Auf schriftliche Anfrage, Digital.ai muss dem Kunden eine schriftliche Bestätigung darüber ausstellen, dass die erforderliche Schulung innerhalb der letzten zwölf (12) Monate von Personal durchgeführt wurde, das Zugriff auf die Softwareinstanz des Kunden hat.

13. Prüfungs- und Berichtsrechte

13.1 Zertifizierungsnachweise.

Auf schriftliche Anfrage, Digital.ai Wir stellen dem Kunden kostenlos Kopien relevanter Konformitätsbescheinigungen, SOC-2-Typ-II-Berichte oder vergleichbarer Prüfberichte von Drittanbietern zur Verfügung, die nicht älter als achtzehn (18) Monate vor Lieferung sind. Die Bereitstellung der SOC-2-Berichte erfolgt unter der Bedingung einer beidseitig vereinbarten Geheimhaltungsvereinbarung.

13.2 Beurteilungen und Fragebögen.

Digital.ai wird nach Treu und Glauben auf angemessene Sicherheitsfragebögen und Sorgfaltsprüfungsanfragen des Kunden innerhalb einer von den Parteien vereinbarten Frist antworten.

14. Künstliche Intelligenz und Beschränkungen der Datennutzung

14.1 Keine Nutzung öffentlicher KI-Tools.

Digital.ai Ohne die vorherige schriftliche Zustimmung des Kunden dürfen vertrauliche Kundendaten oder personenbezogene Daten des Kunden nicht über öffentlich zugängliche Tools oder Dienste der künstlichen Intelligenz, des maschinellen Lernens oder großer Sprachmodelle (einschließlich generativer KI-Dienste von Drittanbietern) eingegeben, übermittelt oder anderweitig verarbeitet werden.

14.2 Interne KI-Governance.

Digital.aiDie Nutzung von KI- oder maschinellen Lernwerkzeugen durch [Unternehmen] im Zusammenhang mit der Erbringung der Dienstleistungen unterliegt folgenden Bestimmungen: Digital.aiDie internen KI-Governance-Richtlinien des Unternehmens, die dem Kunden auf schriftliche Anfrage zur Verfügung gestellt werden.

14.3 Keine Verwendung von Kundendaten zum Trainieren von KI- oder ML-Modellen.

Digital.ai darf Kundendaten, einschließlich aller Daten, die aus der Nutzung der Software oder der Dienste durch den Kunden stammen, nicht dazu verwenden, künstliche Intelligenz- oder maschinelle Lernmodelle zu trainieren, zu optimieren, zu vergleichen, zu bewerten oder anderweitig zu verbessern – egal ob Digital.aieigene Modelle oder solche Dritter – ohne vorherige schriftliche Zustimmung des Kunden.

Um Zweifel auszuräumen:

  • Eingaben und daraus resultierende Erkenntnisse Digital.aiDie KI-Funktionen von [Name des Unternehmens] stellen Kundendaten dar und unterliegen dieser Einschränkung;
  • Produktnutzungs-Telemetriedaten, die vollständig aggregiert und anonymisiert sind und aus denen keine Kundendaten vernünftigerweise reidentifiziert werden können, stellen keine Kundendaten im Sinne dieses Abschnitts dar; und
  • Digital.aiDie interne Nutzung von KI-Tools zur Erbringung der Dienstleistungen (z. B. Generierung von RFX-Antworten, interne Produktivitätstools) ist zulässig gemäß Digital.aiDie KI-Governance-Richtlinien von [Name des Unternehmens] sind zulässig, vorausgesetzt, dass die in diesen Tools verarbeiteten Kundendaten nicht für das Modelltraining verwendet werden.

15. Allgemeine Bestimmungen

15.1 Aktualisierungen des Sicherheitsprogramms.

Digital.ai darf das allgemeine Sicherheitsniveau der Kundendaten während der Laufzeit des Rahmenvertrags nicht wesentlich verringern.  Digital.ai wird den Kunden schriftlich über alle wesentlichen Änderungen an seinem ISMS informieren, die mit hinreichender Wahrscheinlichkeit die Sicherheit der Kundendaten beeinträchtigen könnten.

15.2 Beziehung zu MSA.

Dieser Nachtrag ergänzt den Rahmenvertrag und ist Bestandteil desselben. Sofern hierin nicht ausdrücklich anders angegeben, bleiben alle übrigen Bestimmungen des Rahmenvertrags uneingeschränkt gültig. Im Falle eines Widerspruchs zwischen diesem Nachtrag und dem Rahmenvertrag hinsichtlich Sicherheitsfragen hat dieser Nachtrag Vorrang.

15.3 Überleben.

Die in Abschnitt 9 (Reaktion auf Vorfälle und Meldung von Datenschutzverletzungen) und Abschnitt 4.2 (Datenverarbeitungsvereinbarung) festgelegten Verpflichtungen bleiben auch nach Ablauf oder Kündigung des MSA für einen Zeitraum von drei (3) Jahren bestehen.