Sicherheitsrichtlinie
Diese Sicherheitsrichtlinie beschreibt, wie Digital CoC den Schutz operativ sensibler Herstellerinformationen über eCoC-Vorbereitung, Validierung, Signierung und lieferbezogene Processes hinweg angeht.
Diese Seite enthält eine öffentliche Erklärung zur Sicherheitsgovernance von Digital CoC. Sie ersetzt keine unterzeichneten Sicherheitsanhänge, Service Level Agreements, kundenspezifische Sicherheitsdokumentation oder vertraglichen Verpflichtungen.
1. Einführung
Digital CoC ist darauf ausgelegt, operative eCoC-Processes zu unterstützen, die Fahrzeuginformationen, Genehmigungsreferenzen, XML-Dateien, VECTO-Dateien, Signiervorbereitung, Process-Aufzeichnungen und hochgeladene Dokumente umfassen können. Zweck dieser Sicherheitsrichtlinie ist es, die Sicherheitsgrundsätze und Verantwortungsgrenzen zu beschreiben, nach denen die Plattform arbeitet.
2. Sicherheitsgrundsätze
Digital CoC wendet Sicherheitspraktiken an, die Vertraulichkeit, Integrität, Verfügbarkeit, Verantwortlichkeit, Least-Privilege-Prinzip und operative Transparenz unterstützen sollen. Sicherheit wird in Vorbereitungs-, Validierungs-, Signier- und lieferbezogenen Processes berücksichtigt und nicht als nachgelagerter Zusatz behandelt.
3. Geschützte Informationstypen
Die Plattform kann Informationen schützen, die für herstellerseitige eCoC-Abläufe erforderlich sind. Welche Informationen konkret verarbeitet werden, hängt von der Kundenkonfiguration, dem Process-Umfang und den vereinbarten Integrationen ab.
- Fahrzeuginformationen und Genehmigungsreferenzen
- XML-Dateien, VECTO-Dateien und eCoC-bezogene Datensätze
- Process-Informationen, Kontoinformationen und Aufzeichnungen zur Benutzeraktivität
- Hochgeladene Dokumente und operative Vorbereitungsaufzeichnungen
- Integrationsbezogene Informationen aus ERP-Systemen, API-Verbindungen oder vom Kunden freigegebenen Quellen
4. Zugriffsmanagement
Das Zugriffsmanagement basiert auf kontrollierten Berechtigungen, Kontosicherheit, rollenbasiertem Zugriff und operativer Aufsicht. Kundenadministratoren und autorisierte Nutzer bleiben verantwortlich dafür, angemessene Zugriffe zu vergeben, Zugangsdaten zu schützen und Zugriffe zu entfernen, wenn sie nicht mehr benötigt werden.
5. Sicherheitskontrollen
Digital CoC nutzt dem Plattformkontext angemessene Sicherheitskontrollen. Dazu können Authentifizierungskontrollen, Zugriffskontrollen, Monitoring, operative Schutzmaßnahmen und sichere Entwicklungspraktiken gehören. Diese Richtlinie legt keine detaillierte Infrastrukturarchitektur oder sensiblen Implementierungsdetails offen.
6. Plattformbetrieb
Der Plattformbetrieb wird durch Sicherheitsprüfungen, Monitoring-Grundsätze, operative Aufsicht und Vorfallbewusstsein unterstützt. Operative Aufzeichnungen und Process-Aktivitäten sollen Verantwortlichkeit und Prüfung unterstützen, soweit dies angemessen ist.
7. Abhängigkeiten von Dritten
Je nach Kundenkonfiguration kann Digital CoC auf Cloud-Anbieter, Infrastrukturanbieter, eIDAS-Anbieter, Integrationspartner, ERP-Systeme, API-Verbindungen oder andere Dienste Dritter angewiesen sein. Digital CoC ist für die eigenen Services und vereinbarten Kontrollen verantwortlich, nicht für unabhängige Drittsysteme, Entscheidungen oder Ausfälle.
8. Vorfallmanagement
Mögliche Sicherheitsvorfälle werden durch Verfahren zur Erkennung, Bewertung, Reaktion und Kommunikation behandelt, die dem jeweiligen Ereignis angemessen sind. Zeitpunkt, Umfang und Format der Kommunikation können von Art des Vorfalls, rechtlichen Anforderungen, vertraglichen Verpflichtungen und technischer Machbarkeit abhängen. Diese Richtlinie begründet keine garantierten Reaktionszeiten, sofern sie nicht separat schriftlich vereinbart wurden.
9. Verantwortlichkeiten des Kunden
Kunden bleiben verantwortlich für Kontosicherheit, Schutz von Zugangsdaten, interne Benutzerberechtigungen, Datenrichtigkeit und rechtmäßige Nutzung der Plattform. Kunden bleiben außerdem verantwortlich für Genehmigungsakzeptanz, XML-Akzeptanz, EUCARIS-Akzeptanz, NAP-Akzeptanz und regulatorische Compliance.
10. Begrenzungen
Digital CoC garantiert keine unterbrechungsfreie Verfügbarkeit, absolute Sicherheit, Verhinderung aller Vorfälle oder Verhinderung aller Angriffe Dritter. Sicherheitsmaßnahmen beruhen auf wirtschaftlich angemessenen Bemühungen und unterliegen den Verantwortungsgrenzen, Ausschlüssen und Begrenzungen der anwendbaren Vereinbarungen.
11. Kontinuierliche Weiterentwicklung
Sicherheitspraktiken, Plattformschutzmaßnahmen und operative Kontrollen können sich im Laufe der Zeit weiterentwickeln, wenn sich Processes, Technologie, Kundenanforderungen und Risikolage ändern. Änderungen können eingeführt werden, um Schutz, Zuverlässigkeit, Wartbarkeit oder operative Klarheit zu verbessern.
12. Kontaktinformationen
Sicherheitsfragen können an info@digitalcoc.eu gesendet werden. Vertragliche Mitteilungen, Sicherheitsfragebögen, Audit-Anfragen oder kundenspezifische Sicherheitskommunikation können zusätzliche formelle Kanäle erfordern, die in der anwendbaren Vereinbarung definiert sind.
Fragen zur Plattformsicherheit?
Kontaktieren Sie Digital CoC bei Fragen zu Sicherheitsgovernance, Zugriffsmanagement oder operativem Datenschutz in Ihrer Organisation.
Digital CoC