Gastbeitrag von Sherron Burgess, Senior Vice President und Chief Information Security Officer bei BCD Travel
Im BCD Risk Outlook wird Cyber-Kriminalität als ein Hauptproblem benannt, das unsere Branche im Auge behalten sollte. Die transaktionale Natur der Reisebranche und die Altsysteme, auf die sich viele Unternehmen noch verlassen, machen sie zu einem attraktiven Angriffsziel. In den letzten Jahren haben Cyber-Kriminelle und Hacker große und kleine Angriffe auf mehrere der führenden Reiseunternehmen sowie Fluggesellschaften, Hotels, IT-Unternehmen, Reiseagenturen, Flughäfen und Treibstofflieferanten getätigt. Nun, da sich die Branche erholt, stellen wir für Hacker wieder ein scheinbar lohnenswertes Ziel dar. Die Datensicherheitsstrategie von BCD ist auf drei Kernziele ausgerichtet, um die Daten unserer Kunden und ihre Interessen zu schützen.
Die Datensicherheitsstrategie von BCD Travel
Das erste Ziel besteht darin, sicherzustellen, dass unsere Mitarbeiter geschult und kompetent sind und wissen, wie sie sicherheitsrelevante Vorfälle erkennen und darauf reagieren können. Wir stellen globale Sicherheitsschulungen in neun verschiedenen Sprachen zur Verfügung. Außerdem haben wir festgelegte Prozesse, um Phishing-Versuche zu melden, Informationen zu sammeln und so das Erkennen von Risiken zu verbessern und Sicherheitswarnungen in Echtzeit an unsere Mitarbeiter weiterzuleiten. Darüber hinaus führen wir stellenspezifische Schulungen durch um sicherzustellen, dass Daten während des gesamten Datenlebenszyklus ordnungsgemäß behandelt werden.
Wichtige Audits und Zertifizierungen
Zweitens validieren wir die Sicherheit und Konformität der uns anvertrauten Daten durch Audits und Zertifizierungen. Unser Informationssicherheitsprogramm wird jährlich von anerkannten externen Prüfern und qualifizierten internen Prüfern anhand von Branchenstandards und -vorschriften getestet.
Wir verfügen über Zertifizierungen, die gewährleisten, dass die Reisedaten sicher sind. Unsere Zertifizierung nach ISO 27001:2013 für das Informationssicherheitsmanagementsystem (ISMS) zeigt, dass BCD einen internationalen Standard für bewährte Verfahren der Informationssicherheit einhält. Wir nutzen unsere zertifizierten Risikomanagement-Prozesse, um Produkte und Dienstleistungen von Lieferanten auf der Grundlage des Umfangs und der Bereitstellung von Dienstleistungen innerhalb der Organisation zu bewerten. Unsere Rechenzentren sind nach ISO 9001:2015 und ISO 27001:2013 für Sicherheit, Redundanz und Disaster-Recovery-Kontrollen zertifiziert.
SSAE18 SOC 1 Typ 1 und SOC 2 Typ 2 Standards aus der Finanzdienstleistungsbranche validieren das Vorhandensein und die dauerhafte Aufrechterhaltung von Sicherheitskontrollmaßnahmen bzgl. unserer Travel Management Services.
Unsere Zertifizierung nach dem Payment Card Industry Data Security Standard [PCI DSS] bestätigt, dass wir die Anforderungen zum Schutz der Daten von Kreditkarteninhabern erfüllen und unsere Systeme und Netzwerke umfassend testen und scannen.
NIST SP 800-171 und die Cybersecurity Maturity Modeling Certification (CMMC) dienen als Verifizierungsmechanismen, um zu gewährleisten, dass angemessene Cybersecurity-Kontrollen und -Prozesse vorhanden sind, um kontrollierte, nicht klassifizierte Informationen (controlled unclassified information – CUI) zu schützen, die in Zusammenhang mit Partnern im öffentlichen Sektor stehen.
ISO 9001:2015 Qualitätsmanagementsystem [QMS] bescheinigt die Einhaltung strenger, internationaler Regularien für Datenqualität. Die Zertifizierung gilt für Buchungen und Reservierungen sowie für die von uns erfassten Kundendaten, auch von Dritten. Wir verfügen über ein eigenes, eigenständiges Global Data Quality Tool das alle eingehenden Daten prüft, bevor sie in die Datenbank eingespeist werden. Erfüllen die Daten die von uns und unseren Kunden festgelegten Qualitätsstandards nicht, werden sie zur Korrektur an den Datenlieferanten zurückgeschickt. Unsere Qualitätskontrolle stellt sicher, dass wir saubere Daten eingeben, damit auf der anderen Seite zuverlässige Reports herauskommen. Das 14001:2015 Environmental Management System [EMS] validiert die Fortschritte bei der Umsetzung unserer Nachhaltigkeitsverpflichtungen.
Unser drittes Ziel ist es, Technologien und Prozesse für Erkennung, Identifizierung, Schutz, Reaktion und Behandlung von Sicherheitsereignissen einzusetzen, die die von BCD erbrachten Dienstleistungen beeinträchtigen könnten. Unser globales Team ist rund um die Uhr im Einsatz, um mutmaßliche Sicherheitsvorfälle zu erkennen, zu überwachen und auf sie zu reagieren. Wir integrieren robuste Verfahren für das Management von Zwischenfällen, wenden führende Sicherheitstechnologien an und nutzen erstklassige Sicherheitsdienstleister, um kontinuierliche Sicherheitsmaßnahmen zu gewährleisten.
Schutz des Rechts der Reisenden auf Privatsphäre
BCD nimmt die Verantwortung für den Schutz der Daten von Kunden, Reisenden und Mitarbeitern sehr ernst. Wir halten uns an geltende Datenschutzgesetze in den Ländern, in denen wir tätig sind. Wir haben unser Datenschutzprogramm auf die Anforderungen der General Data Protection Regulation (GDPR) ausgerichtet, da diese eine globale Reichweite und Wirkung haben. Die GDPR bietet außerdem einen der höchsten Standards für Datenschutz und Privatsphäre und dient als Modell für Datenschutzgesetze weltweit. Da wir weltweit tätig sind, befolgen wir internationale Sicherheitsstandards, wenden geeignete technische und organisatorische Maßnahmen an und passen unser Programm bei Bedarf an, um nationale und regionale Gesetze und Vorschriften einzuhalten.
BCD Kunden können sich für Unterstützung und Informationen an ihre Program Manager wenden. Wenn Sie noch kein Kunde sind, aber mehr erfahren möchten, klicken Sie auf die Schaltfläche unten.