Skip to main content

Sicherheitsanhang für Docusign Services

Versionsdatum: 20. September 2021

Dieser Sicherheitsanhang für Docusign Services („Sicherheitsanhang“) legt die Verpflichtungen von Docusign zum Schutz von Kundendaten fest und ist Teil der Vereinbarung. Sofern in diesem Sicherheitsanhang nicht abweichend definiert, haben großgeschriebene Begriffe die in der Vereinbarung festgelegte Bedeutung. 

1. BEGRIFFSBESTIMMUNGEN

Mitarbeiter bezeichnet alle Mitarbeiter und Beauftragten von Docusign, die mit der Erbringung von Docusign Services für den Kunden betraut sind. 

Verarbeiten oder Verarbeitung bezeichnet in Bezug auf diesen Sicherheitsanhang jeden Vorgang oder eine Reihe von Vorgängen, die mit Kundendaten durchgeführt werden, unabhängig davon, ob dies automatisiert geschieht wie z.B. Erheben, Aufzeichnen, Organisieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Nutzen, Offenlegen durch Übermittlung, Verbreiten oder anderweitiges Verfügbarmachen, Abgleichen oder Kombinieren, Sperren, Löschen oder Vernichten. 

Produktionsumgebung bezeichnet die Systemumgebung, in der Software, Hardware, Daten, Prozesse und Programme für ihren endgültigen und beabsichtigten Betrieb durch Endnutzer der Docusign Services ausgeführt werden.

Unterauftragnehmer“ bezeichnet einen Dritten, den Docusign beauftragt hat, alle oder einen Teil der Docusign Services im Namen von Docusign zu erbringen. 

2. INFORMATIONSSICHERHEITSPROGRAMM

2.1 Informationssicherheitsprogramm. Docusign betreibt und wird auch in Zukunft ein schriftliches Informationssicherheitsprogramm unterhalten, das Richtlinien, Verfahren und Kontrollen für die Verarbeitung von Kundendaten durch die Docusign Services enthält („Informationssicherheitsprogramm“). Das Informationssicherheitsprogramm ist darauf ausgelegt, die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen, indem es einen mehrstufigen technischen, prozeduralen und personengebundenen Kontrollansatz in Übereinstimmung mit den Best Practices der Branche und den geltenden Gesetzen und Vorschriften anwendet.

2.2 Zulässige Nutzung von Kundendaten. Docusign verarbeitet Kundendaten in keiner anderen Weise als es im Rahmen der Vereinbarung erlaubt oder erforderlich ist. 

2.3 Anerkennung der geteilten Verantwortlichkeiten. Die Sicherheit von Daten und Informationen, auf die zugegriffen wird, die gespeichert, weitergegeben oder anderweitig über die Docusign Services verarbeitet werden, liegt in der geteilten Verantwortung von Docusign und dem Kunden. Docusign ist verantwortlich für die Implementierung und den Betrieb des Informationssicherheitsprogramms und der in der Vereinbarung und diesem Sicherheitsanhang beschriebenen Schutzmaßnahmen. Der Kunde ist verantwortlich für die ordnungsgemäße Implementierung von Zugangs- und Nutzungskontrollen und die Konfiguration bestimmter Merkmale und Funktionalitäten der Docusign Services, die der Kunde wählen kann, um die Docusign Services in der Art und Weise zu nutzen, die er für geeignet hält, um die angemessene Sicherheit, den Schutz, die Löschung und das Sichern der Kundendaten aufrecht zu erhalten. 

2.4 Anwendbarkeit auf Kundendaten. Dieser Sicherheitsanhang und das Informationssicherheitsprogramm gelten speziell für die Kundendaten, die über die Docusign Services verarbeitet werden, und erstrecken sich nicht auf Daten, die in den Systemen oder Umgebungen des Kunden gespeichert sind, oder auf jegliche On-Premise-Lösungen, die von Docusign angeboten werden können. Soweit der Kunde Daten und Informationen mit Docusign austauscht, die nicht unter die Begriffsbestimmung von „Kundendaten“ fallen, wird Docusign diese Daten und Informationen in Übereinstimmung mit den in der Vereinbarung festgelegten Vertraulichkeitsbedingungen behandeln. 

3. SICHERHEITSMANAGEMENT

3.1 Aufrechterhaltung des Informationssicherheitsprogramms. Docusign ergreift und implementiert angemessene technische und organisatorische Maßnahmen zum Schutz der Kundendaten, die in den Docusign Services gespeichert sind, und unterhält das Informationssicherheitsprogramm in Übereinstimmung mit den ISO 27001-Standards oder anderen alternativen Standards, die im Wesentlichen gleichwertig mit ISO 27001 sind. Docusign ist berechtigt, das Informationssicherheitsprogramm von Zeit zu Zeit zu aktualisieren oder zu ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der Gesamtsicherheit der Docusign Services führen.

3.2 Hintergrundüberprüfungen und Schulungen. Docusign hat sicherzustellen, dass für alle Mitarbeiter angemessene und geeignete Hintergrundüberprüfungen in Übereinstimmung mit den geltenden Gesetzen und Vorschriften durchgeführt werden. Die Mitarbeiter sind verpflichtet, Docusign’s erforderliche Hintergrundüberprüfungen zu durchlaufen, bevor sie in Positionen eingesetzt werden, in denen sie Zugang zu Kundendaten haben oder bei denen Docusign nach vernünftigem Ermessen davon ausgeht, dass sie Zugang zu Kundendaten haben werden. Docusign führt jährlich ein obligatorisches Sicherheitstraining durch, um ihre Mitarbeiter über die Verfahren und Richtlinien, die für das Informationssicherheitsprogramm relevant sind, sowie über die Konsequenzen einer Verletzung dieser Verfahren und Richtlinien zu informieren. Docusign verpflichtet sich, bei Beendigung des Arbeitsverhältnisses einen Ausgliederungs- oder Ausstiegsprozess für die Mitarbeiter durchzuführen, der die Aufhebung des Zugriffs der ausgeschiedenen Mitarbeiter auf Kundendaten und Docusign’s sensible Systeme und Vermögenswerte beinhaltet.

3.3 Unterauftragnehmer. Docusign hat sämtliche Unterauftragnehmer zu bewerten, um sicherzustellen, dass die Unterauftragnehmer angemessene physische, technische, organisatorische und administrative Kontrollen aufrechterhalten, die auf der Risikostufe basieren, die ihren unterbeauftragten Services entspricht, und die Docusign bei der Einhaltung der Anforderungen der Vereinbarung und dieses Sicherheitsanhangs unterstützen. Docusign ist für die Handlungen und Unterlassungen ihrer Unterauftragnehmer in Bezug auf die im Rahmen der Vereinbarung erbrachten Services so verantwortlich, als hätte Docusign die Handlungen oder Unterlassungen selbst vorgenommen, und die Verpflichtungen von Docusign gegenüber dem Kunden im Rahmen der Vereinbarung werden durch die Vergabe von Unteraufträgen nicht gemindert.

3.4 Rahmen zur Sicherstellung in Bezug auf Risiko und Sicherheit – Kontakt. Das Account Management Team des Kunden bei Docusign ist die erste Anlaufstelle des Kunden für Informationen und Unterstützung im Zusammenhang mit dem Informationssicherheitsprogramm. Das Docusign Account Management Team wird direkt mit dem Kunden zusammenarbeiten, um die Fragen, Probleme und Anfragen des Kunden bei Bedarf an die internen Teams bei Docusign weiterzuleiten.

4. PHYSISCHE SICHERHEITSMASSNAHMEN

4.1 Allgemeines. Docusign hat angemessene physische Sicherheitsmaßnahmen aufrechtzuerhalten, die dazu bestimmt sind, die materiellen Gegenstände, wie z.B. physische Computersysteme, Netzwerke, Server und Geräte, die Kundendaten verarbeiten, zu schützen. Docusign hat sicherzustellen, dass handelsübliche Sicherheitssoftware und -hardware verwendet wird, um die Docusign Services und die Produktionsumgebung zu schützen. 

4.2 Zugang zur Einrichtung. Docusign hat sicherzustellen, dass: 

(a) der Zugang zu Docusign’s Geschäftsräumen streng kontrolliert ist, zumindest durch eine physische Zugangskartenidentifikation; 

(b) sich alle Besucher der Geschäftsräume anmelden, der Vertraulichkeitsverpflichtung zustimmen und jederzeit von Mitarbeitern begleitet werden, während sie sich auf dem Gelände aufhalten; und

(c) Besucherprotokolle regelmäßig von Docusign’s Sicherheitsteam überprüft werden. Docusign hat den physischen Zugang der Mitarbeiter zu Docusign’s Geschäftsräumen bei Beendigung des Arbeitsverhältnisses zu entziehen. 

4.3 Rechenzentren. Docusign nutzt handelsübliche Rechenzentrum Service Provider für die Bereitstellung der Docusign Services und hat sicherzustellen, dass alle Rechenzentren der ISO 27001 oder einer gleichwertigen Zertifizierung entsprechen. Alle Rechenzentren haben mindestens die folgenden Anforderungen zu erfüllen: 

(a) Es sind mehrstufige physische Sicherheitsvorkehrungen zu treffen, einschließlich überprüfbarer Zugangs- und Austrittsmechanismen, die die Identität jeder Person aufzeichnen, die die Einrichtung betritt oder verlässt. 

(b) Der Zugang ist auf die autorisierten Mitarbeiter zu beschränken. Drittanbieter und Gäste sind im Rechenzentrum zu jeder Zeit von autorisierten Mitarbeitern zu begleiten.

(c) Es sind umgebungsspezifische Sicherheitskontrollen einzurichten, einschließlich 

i. unterbrechungsfreie Stromversorgungen und sekundäre Stromversorgungen für alle wichtigen Systeme; 

ii. Temperatur- und Feuchtigkeitskontrollen für die Heizungs-, Lüftungs- und Klimaanlagenausrüstung; 

iii. Wärme- und Rauchdetektionsgeräte und Feuerunterdrückungssysteme; und 

iv. regelmäßige Inspektionen durch einen Brandinspektor oder einen ähnlichen Sicherheitsbeauftragten.

5. LOGISCHE SICHERHEIT

5.1 Zugangskontrollen. Docusign ist verpflichtet, eine formelle Richtlinie zur Zugangskontrolle zu unterhalten und ein zentralisiertes Zugangsverwaltungssystem einzusetzen, um den Zugang der Mitarbeiter zur Produktionsumgebung zu kontrollieren. 

(a) Docusign hat sicherzustellen, dass der gesamte Zugang zur Produktionsumgebung einer erfolgreichen Zwei-Faktor-Authentifizierung unterliegt, sowohl von Unternehmens- als auch von Remote-Standorten aus, und auf autorisierte Mitarbeiter beschränkt ist, die eine berechtigte geschäftliche Notwendigkeit für diesen Zugang nachweisen. Docusign hat ein entsprechendes Zugriffskontrollverfahren zur Überprüfung und Umsetzung von Zugriffsanfragen der Mitarbeiter zu unterhalten. Docusign ist verpflichtet, die Zugriffsrechte der autorisierten Mitarbeiter regelmäßig zu überprüfen und bei einer Änderung des Beschäftigungsumfangs, die eine Entfernung erforderlich macht, oder bei Beendigung des Arbeitsverhältnisses, diese Zugriffsrechte in geeigneter Weise aufzuheben oder zu ändern.

(b) Docusign hat die Wirksamkeit der Zugriffsbeschränkungen, die für die Kontrolle von Docusign's Systemadministratoren in der Produktionsumgebung gelten, zu überwachen und zu bewerten, einschließlich der Erstellung von Informationen über die Aktivitäten einzelner Systemadministratoren und der Aufbewahrung dieser Informationen für einen Zeitraum von mindestens zwölf (12) Monaten.

(c) Docusign ist nicht berechtigt, Kundendaten aus der Produktionsumgebung ohne die ausdrückliche Zustimmung des Kunden in Nicht-Produktionsumgebungen zu nutzen.

5.2 Auditierung und Protokollierung. In Bezug auf die Auditierung und Protokollierung des Systems in der Produktionsumgebung:

(a) Docusign ist verpflichtet, einen Audit- und Protokollierungsmechanismus zu nutzen und aufrechtzuerhalten, der zumindest erfolgreiche und fehlgeschlagene Benutzeranmeldungen und -abmeldungen erfasst und aufzeichnet (mit Datums- und Zeitstempel, Benutzer-ID, Anwendungsname und Pass/Fail-Indikator). Benutzerzugriffsaktivitäten sind zu protokollieren und regelmäßig von Docusign zu überprüfen, um unautorisierten Zugriff zu identifizieren und mögliche Schwachstellen in Docusign’s Zugriffskontrollsystem zu ermitteln. 

(b) Alle Anwendungskomponenten, die über Protokollierungsfunktionen verfügen (wie Betriebssysteme, Datenbanken, Webserver und Anwendungen), sind so zu konfigurieren, dass sie ein Sicherheitsaudit-Protokoll erstellen.

(c) Audit-Protokolle sind so zu konfigurieren, dass sie über eine ausreichende Speicherkapazität verfügen.

(d) Jedes Protokoll ist so zu konfigurieren, dass es nicht ohne entsprechende Berechtigung deaktiviert werden kann und dass es bei Erfolg oder Misserfolg jedes überprüfbaren Ereignisses Warnmeldungen sendet.

(e) Der Zugriff auf die Sicherheitsprotokolldateien ist auf autorisierte Mitarbeiter zu beschränken.

5.3 Netzwerksicherheit. Docusign hält einen „Defense-in-Depth“-Ansatz aufrecht, um die Produktionsumgebung gegen Gefährdung und Angriffe zu schützen. Docusign hat eine isolierte Produktionsumgebung aufrechtzuerhalten, die handelsübliche Netzwerkmanagement-Kontrollen wie Load Balancer, Firewalls, über das Produktionsnetzwerk verteilte Intrusion-Detection-Systeme und Malware-Schutzmaßnahmen umfasst. Docusign hat seine Produktionsumgebungsarchitektur mit Präventions- und Erkennungstechnologien zu ergänzen, die alle generierten Aktivitäten überwachen und risikobasierte Warnungen an die relevanten Sicherheitsgruppen senden.

5.4 Schutz vor bösartigem Code. Docusign hat sicherzustellen, dass: 

(a) ihre Informationssysteme und Dateiübertragungsvorgänge über wirksame und einsatzbereite Antivirensoftware verfügen; 

(b) die gesamte Antiviren-Software für den Einsatz und die automatische Aktualisierung konfiguriert ist; und 

(c) anwendbare Antiviren-Software in Prozesse integriert ist und automatisch Warnungen an Docusign’s Cyber Incident Response Team generiert, wenn potenziell schädlicher Code entdeckt wird, damit dieses ihn untersuchen und analysieren kann.

5.5 Code Reviews. Docusign hat einen formalen Softwareentwicklungszyklus aufrechtzuerhalten, der sichere Kodierungspraktiken gemäß OWASP und ähnlichen Standards beinhaltet, und hat sowohl manuelle als auch automatisierte Code Reviews durchzuführen. Docusign’s Engineering-, Produktentwicklungs- und Product Operations Management-Teams haben Änderungen, die in Produktionsversionen enthalten sind, zu überprüfen, um sicherzustellen, dass die Entwickler automatisierte und manuelle Code Reviews durchgeführt haben, um damit verbundene Risiken zu minimieren. Für den Fall, dass bei einem Code Review ein wesentliches Problem festgestellt wird, ist dieses Problem dem Senior Management von Docusign zur Kenntnis zu bringen und bis zur Lösung vor der Freigabe in die Produktionsumgebung genau zu überwachen.

5.6 Vulnerability Scans und Penetrationstests. Docusign hat sowohl interne als auch externe Vulnerability Scans und Anwendungsscans durchzuführen. Externe Scans und Penetrationstests gegen die Docusign Services und die Produktionsumgebung sind von externen qualifizierten, zugelassenen und branchenweit anerkannten Organisationen in einer risikobasierten Häufigkeit, mindestens jedoch einmal jährlich,  durchzuführen. Docusign hat Schwachstellen, die während der Scans und Penetrationstests identifiziert werden, in einer wirtschaftlich angemessenen Art und Weise und in einem angemessenen Zeitrahmen zu beheben, basierend auf dem klassifizierten und priorisierten Schweregrad. Docusign hat alle Bescheinigungen Dritter, die aus Vulnerability Scans und Penetrationstests resultieren, in Form von unabhängigen externen Prüfberichten zur Verfügung zu stellen. Zur Klarstellung: Der Kunde ist unter keinen Umständen berechtigt, Vulnerability Scans oder Penetrationstests in der Produktionsumgebung durchzuführen.

6. AUFBEWAHRUNG, VERSCHLÜSSELUNG UND ENTSORGUNG

6.1 Speicherung & Trennung. Die Kundendaten werden innerhalb der physischen und logischen Infrastruktur für die Docusign Services in den Colocation- oder Rechenzentrumseinrichtungen von Docusign gespeichert. Ausnahmen in Bezug auf die Speicherung können nur mit schriftlicher Genehmigung des Kunden für bestimmte Zwecke gemacht werden, wie z.B. die Extraktion von Kundendaten zur Speicherung auf verschlüsselten tragbaren Medien. Docusign hat Kundendaten, die sich in der Produktionsumgebung befinden, logisch von anderen Kundendaten von Docusign zu trennen. 

6.2 Verschlüsselungstechnologien. Docusign hat die Kundendaten in Übereinstimmung mit der Dokumentation zu verschlüsseln und dabei anerkannte Industriestandards, starke Verschlüsselungstechniken und aktuelle Sicherheitsprotokolle anzuwenden. Die elektronische Übertragung oder der Austausch von Kundendaten mit den Docusign Services hat über sichere Verfahren zu erfolgen. 

6.3 Entsorgung. Docusign hat branchenweit anerkannte Prozesse und Verfahren für die Verwaltung der Ausrüstung und die sichere Entsorgung der Medien gemäß den Richtlinien des National Institute of Standards' Guidelines for Media Sanitization, SP800-88, einzuführen.

7. GESCHÄFTSKONTINUITÄT UND DISASTER RECOVERY

7.1 Kontinuitätsplan. Docusign hat schriftliche Geschäftskontinuitäts- und Disaster Recovery-Pläne aufrechtzuerhalten, die die Verfügbarkeit der Docusign Services betreffen („Kontinuitätspläne“). Die Kontinuitätspläne enthalten Elemente wie: 

(a) Krisenmanagement, Plan- und Teamaktivierung, Ereignis- und Kommunikationsprozessdokumentation; 

(b) Wiederherstellung des Geschäftsbetriebs, alternative Standortwahl und Call-Tree-Tests; und 

(c) Infrastruktur, Technologie, Systemdetails, Wiederherstellungsaktivitäten und Identifizierung der für die Wiederherstellung erforderlichen Mitarbeiter und Teams. 

Docusign hat mindestens einmal im Jahr einen Test des Kontinuitätsplans durchführen. Die Kontinuitätspläne von Docusign sehen die Behebung von Mängeln vor, die bei einer solchen Prüfung des Kontinuitätsplans entdeckt werden, und zwar innerhalb eines Zeitrahmens, der in einem angemessenen Verhältnis zu dem durch den Mangel verursachten Risiko steht. Die in Ziffer 9.1 (Unabhängige Zusicherungen) beschriebenen internen und unabhängigen Prüfberichte haben die Durchführung der Tests des Kontinuitätsplans von Docusign und die sich daraus ergebenden Abhilfemaßnahmen nachzuweisen oder darüber zu berichten.

7.2 Docusign Service-Kontinuität. Docusign’s Produktionsarchitektur für Docusign Services ist darauf ausgelegt, eine sichere Replikation in nahezu Echtzeit auf mehrere aktive Systeme in geografisch verteilten und physisch sicheren Rechenzentren durchzuführen. Docusign hat sicherzustellen, dass: 

(a) die Infrastruktursysteme für die Docusign Services so konzipiert sind, dass einzelne Ausfallpunkte eliminiert und die Auswirkungen der zu erwartenden Umgebungsrisiken minimiert werden; 

(b) jedes Rechenzentrum, das die Docusign Services unterstützt, eine vollständige Redundanz- und Fehlertoleranzinfrastruktur für Strom-, Kühl- und Netzwerksysteme enthält; und

(c) die Server der Produktionsumgebung Server im Unternehmensmaßstab mit redundanter Stromversorgung sind, um maximale Betriebszeit und Verfügbarkeit der Services zu gewährleisten.

7.3 Disaster Recovery. Im Falle eines Ausfalls kritischer Dienste oder einer wesentlichen Geschäftsunterbrechung hat Docusign unverzüglich ihre Kontinuitätspläne aufzurufen und die kritischen Servicekapazitäten und die Produktionsfähigkeit der kritischen IT-Infrastruktur der Docusign-Services (einschließlich, aber nicht beschränkt auf Rechenzentren, Hardware, Software und Stromversorgungssysteme sowie kritische Sprach-, Daten- und E-Commerce-Kommunikationsverbindungen) wiederherzustellen, und, sofern im anwendbaren Kontinuitätsplan nichts anderes vorgesehen ist, hat Docusign wirtschaftlich angemessene Anstrengungen zu unternehmen, um die Kontoadministratoren des Kunden unverzüglich über das Problem zu informieren. Es liegt in der Verantwortung von Docusign, dafür zu sorgen, dass alle ihre Unterauftragnehmer oder Outsourcer, die Aktivitäten durchführen, die sich auf kritische Prozesse der Docusign Services auswirken könnten, über Pläne verfügen, die den gleichen Standards entsprechen, wie sie von Docusign hiernach erforderlich sind. Ungeachtet anderslautender Bestimmungen in der Vereinbarung (einschließlich dieses Sicherheitsanhangs) und ohne die Verantwortlichkeiten von Docusign einzuschränken, ist Docusign nicht verpflichtet, dem Kunden Geschäftskontinuitäts- oder Disaster Recovery-Pläne für seine Colocation- oder Rechenzentrumseinrichtungen zur Verfügung zu stellen. Docusign hat jedoch auf Anfrage öffentlich zugängliche Informationen und Referenzen zu den Fähigkeiten solcher Colocation- oder Rechenzentrumseinrichtungen zur Verfügung zu stellen. 

8. DATA INCIDENT RESPONSE UND MELDUNG

8.1 Allgemeines. Docusign hat ein getestetes Incident Response Programm, das von Docusign’s engagiertem Global Incident Response Team verwaltet und betrieben wird. Docusign’s Global Incident Response Team arbeitet nach einem ausgereiften Rahmenwerk, das Richtlinien für das Incident Management und zur Meldung von Datenschutzverletzungen sowie damit verbundene Prozesse umfasst. Docusign’s Incident Response Programm umfasst mindestens eine erste Erkennung, eine erste taktische Reaktion, ein erstes Briefing, ein Incident-Briefing, eine weiterentwickelte Reaktion, Kommunikation und Mitteilung, eine formelle Eindämmung, einen formellen Incident Report und eine Postmortem-/Trendanalyse.

8.2 Data Incident Benachrichtigung. Docusign hat bei der Bereitstellung der Docusign Services alle anwendbaren Gesetze und Vorschriften zur Meldung von Sicherheitsverletzungen einzuhalten und den Kunden in jedem Fall unverzüglich zu benachrichtigen, sobald es zu einer Verletzung der Sicherheit von Docusign kommt, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung von oder einem Zugriff auf Kundendaten in den von Docusign verwalteten Systemen führt (ein „Data Incident“). Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, erkennen die Parteien an und stimmen zu, dass Data Incidents keine erfolglosen Versuche, alltägliche Sicherheitswarnungen oder andere Ereignisse umfassen, die die Sicherheit oder Verfügbarkeit von Kundendaten nicht wesentlich beeinträchtigen, einschließlich erfolgloser Anmeldeversuche, Pings, Port-Scans, Denial-of-Service-Angriffe und andere Netzwerkangriffe auf Firewalls oder vernetzte Systeme. Die Benachrichtigung von Docusign über einen Data Incident gemäß dieser Ziffer stellt kein Anerkenntnis eines Verschuldens oder einer Haftung von Docusign in Bezug auf den Data Incident dar.

8.3 Data Incident Response. Docusign hat angemessene Maßnahmen zu ergreifen, um die Ursache eines Data Incidents abzuschwächen, und angemessene Abhilfemaßnahmen zu ergreifen, um zu verhindern, dass sich derselbe Data Incident in Zukunft ereignet. Sobald Informationen erhoben werden oder Docusign anderweitig zur Verfügung stehen und sofern dies nicht gesetzlich untersagt ist, wird Docusign Informationen über die Art und die Folgen des Data Incidents zur Verfügung stellen, die angemessenerweise angefordert werden, um es dem Kunden zu ermöglichen, betroffene Personen, Regierungsbehörden und/oder Kreditbüros zu benachrichtigen. Aufgrund der Verschlüsselungskonfiguration und der Sicherheitskontrollen, die mit den Docusign Services verbunden sind, hat Docusign möglicherweise keinen Zugang zu den Informationen, die in den Kundendaten enthalten sind, oder kennt die Art dieser Informationen nicht, und daher erkennen die Parteien an, dass es Docusign unter Umständen nicht möglich ist, dem Kunden eine Beschreibung der Art der Informationen oder der Identität der Personen zur Verfügung zu stellen, die von einem Data Incident betroffen sein könnten. Der Kunde ist allein dafür verantwortlich, zu entscheiden, ob die betroffenen Personen benachrichtigt werden sollen, und eine solche Benachrichtigung zu übermitteln, sowie zu entscheiden, ob Regulierungsbehörden oder Vollstreckungsbehörden, die für den Kunden oder die Nutzung der Docusign Services durch den Kunden zuständig sind, über einen Data Incident zu informieren sind.

9. UNABHÄNGIGE ZUSICHERUNGEN UND AUDITS

9.1 Unabhängige Zusicherungen. Docusign hat unabhängige externe Prüfer einzusetzen, um die Angemessenheit ihres Informationssicherheitsprogramms zu verifizieren. Docusign hat dem Kunden Bescheinigungen, Zertifizierungen und Berichte von Dritten zur Verfügung zu stellen, die für die Einrichtung, Umsetzung und Kontrolle des Informationssicherheitsprogramms relevant sind, einschließlich, sofern zutreffend, ISO 27001-Zertifizierungen, PCI DSS-Zertifizierungen und Service Organization Controls (SOC)-Berichte. 

9.2 Zusätzliche Anforderungen. Soweit der Kunde über die in Ziffer 9.1 (Unabhängige Zusicherungen) dargelegten Anforderungen hinaus zusätzliche Prüfungsinformationen oder Unterstützung von Docusign benötigt, die nach den anwendbaren Gesetzen und Vorschriften erforderlich sind, ist der Kunde berechtigt, seinen Antrag auf solche zusätzlichen Informationen und Unterstützung, der Informationen zu den anwendbaren Gesetzen oder Vorschriften zu enthalten hat, die die Grundlage des Antrags bilden, an seinen Kundenbetreuer zu stellen. Docusign hat mit dem Kunden zusammenzuarbeiten, um einvernehmliche Bedingungen hinsichtlich des Umfangs, des Zeitplans, der Dauer und anderer Details bezüglich dieser zusätzlich angeforderten Informationen und Unterstützung zu erreichen. 

9.3 Audit für einen Data Incident. Nach einem Data Incident hat Docusign innerhalb eines angemessenen Zeitrahmens einen von Docusign ausgewählten unabhängigen Prüfer auf Kosten von Docusign mit der Durchführung eines On-Site Audits von Docusign’s Informationssicherheitsprogramm zu beauftragen. Auf Anfrage hat Docusign dem Kunden einen Bericht über ein solches Audit zukommen zu lassen oder zur Verfügung zu stellen. 

9.4 Audit-Bedingungen.

(a) Alle gemäß dieses Sicherheitsanhangs durchgeführten Audits: 

(i) sind zu angemessenen Zeiten durchzuführen und haben von angemessener Dauer zu sein; 

(ii) haben das Tagesgeschäft von Docusign nicht unangemessen zu beeinträchtigen; and 

(iii) sind zu einvernehmlich festgelegten Bedingungen und in Übereinstimmung mit Docusign’s Sicherheitsrichtlinien und -verfahren durchzuführen. 

Docusign behält sich das Recht vor, eine Prüfung von Konfigurationseinstellungen, Sensoren, Monitoren, Netzwerkgeräten und -ausrüstungen, Dateien oder anderen Gegenständen einzuschränken, wenn Docusign nach billigem Ermessen feststellt, dass eine solche Prüfung die Sicherheit der Docusign Services oder der Daten anderer Kunden von Docusign gefährden könnte. Die Audit-Rechte des Kunden schließen keine Penetrationstests oder aktive Schwachstellenbewertungen der Produktionsumgebung oder der Docusign-Systeme in ihrem Umfang ein.

(b) Für den Fall, dass der Kunde ein Audit durch einen unabhängigen Auftragnehmer durchführt, hat dieser unabhängige Auftragnehmer eine Geheimhaltungsvereinbarung abzuschließen, die Vertraulichkeitsbestimmungen enthält, die im Wesentlichen denen der Vereinbarung entsprechen, um Docusign’s vertrauliche Informationen zu schützen.

(c) Der Kunde hat Docusign unverzüglich alle von ihm oder seinen externen Auftragnehmern erstellten Audit-, Sicherheits- und Konformitätsbewertungsberichte sowie die zugehörigen Ergebnisse zur Kommentierung und für Input zur Verfügung zu stellen, bevor er diese Informationen formalisiert und/oder an Dritte weitergibt.

9.5 Abhilfemaßnahmen und Response Zeitplan. Wenn ein gemäß diesem Sicherheitsanhang durchgeführtes Audit eine Nichteinhaltung der Verpflichtungen von Docusign aus der Vereinbarung und dieses Sicherheitsanhangs aufdeckt oder feststellt, dann

(a) ist Docusign verpflichtet daran zu arbeiten, um diese Probleme zu korrigieren; und 

(b) ist der Kunde berechtigt, für einen Zeitraum von höchstens sechzig (60) Tagen nach dem Datum, an dem das Audit durchgeführt wurde, Rückmeldung und Informationen zu den Korrektur- und Abhilfemaßnahmen zu verlangen, die im Zusammenhang mit dem Audit ergriffen wurden.