Plume Trust Center

• Plume integriert Sicherheit in den Produktentwicklungszyklus und folgt branchenweit anerkannten Frameworks wie OWASP SAMM. Sicherheitsbewertungen werden im Rahmen des Freigabeprozesses durchgeführt. Wir bei Plume möchten sicherstellen, dass unsere Software und Firmware von Grund auf sicher entwickelt und gebaut werden.
• Sicherheitsschulungen helfen unseren Mitarbeitern, Sicherheitsbedrohungen zu erkennen, zu bekämpfen und abzuwehren.
• Die Dienstleister von Plume werden im Rahmen des Risikomanagementprogramms von Plume für Dritte einer Sicherheitsrisikobewertung unterzogen. Dieses Programm umfasst die Überprüfung der Einhaltung von Gesetzen durch jede dieser Drittparteien.

• Plume nutzt Best-Practice-Frameworks des NIST sowie NIST-Standards, um Kundendaten bei der Speicherung und der Kommunikation zwischen den Geräten vor Ort und den Mobil-/Webanwendungen in der Cloud zu verschlüsseln.
• Netzwerktrennung und rollenbasierte Zugriffskontrolle dienen dazu, den unbefugten Datenzugriff zu beschränken.
• Datenberechtigungen werden nach dem Least-Privilege-Prinzip konfiguriert, um den Zugang auf diejenigen zu beschränken, die ihn für einen bestimmten Geschäftszweck benötigen.
• Der Zugriff auf Produktionsdaten wird überwacht, protokolliert und geprüft.

• Wenn Sie Fragen zu den Informationsschutzprogrammen von Plume haben, ein Informationssicherheitsereignis im Zusammenhang mit den Diensten von Plume erlebt haben oder eine Sicherheitslücke melden möchten, kontaktieren Sie uns bitte unter security@plume.com. Um eine Sicherheitslücke zu melden, können Sie auch dieses Formular verwenden.
• Sie können innerhalb von 5 Werktagen mit einer Bestätigung rechnen. Wir senden regelmäßige Updates zu gemeldeten Problemen.
• Wir werden die Existenz der Sicherheitslücke nach bestem Wissen und Gewissen bestätigen und während des gesamten Prozesses so transparent wie möglich vorgehen.

Das Programm zum Schutz der Privatsphäre von Plume umfasst die folgenden wichtigen Verfahren:

• Plume beschreibt in seinen Datenschutzrichtlinien die Rechte und Wahlmöglichkeiten, die Einzelpersonen in Bezug auf personenbezogene Daten haben, und wie diese Rechte ausgeübt werden können.
• Die Mitarbeiter von Plume nehmen an Schulungen zum Schutz der Privatsphäre teil, die auf organisatorische, vertragliche und regulatorische Anforderungen ausgerichtet sind.
• Plume integriert Privacy by Design und Privacy by Default in den Produktentwicklungslebenszyklus.
• Plume verfügt über Verfahren zur Verhinderung, Erkennung und Behebung von unbefugtem Zugriff, unbefugter Verwendung, Nichtverfügbarkeit oder Offenlegung personenbezogener Daten.
• Die Lieferanten und Anbieter von Plume, die mit personenbezogenen Daten umgehen, unterliegen verbindlichen Verpflichtungen, die ihre Rollen und Einschränkungen bei der Verarbeitung dieser personenbezogenen Daten festlegen.
• Plume führt regelmäßige Selbstbewertungen durch, um Lücken in seinem Programm zum Schutz der Privatsphäre zu ermitteln und Maßnahmen zur Beseitigung der festgestellten Lücken und zur Festlegung bewährter Verfahren zu formulieren.
• Plume ergreift Maßnahmen, um personenbezogene Daten für den Zeitraum aufzubewahren, der zur Erfüllung der angegebenen Zwecke erforderlich ist, es sei denn, Kundenvereinbarungen oder Gesetze schreiben eine andere Aufbewahrungsfrist vor.
• Plume-Services werden in mehreren geografischen Regionen gehostet und betrieben. In einigen Fällen kann Plume personenbezogene Daten über Ländergrenzen hinweg übermitteln. Für internationale Übermittlungen personenbezogener Daten aus dem EWR, dem Vereinigten Königreich und der Schweiz enthalten die Kunden- und Lieferantenverträge von Plume die Standardvertragsklauseln, die von der Europäischen Kommission gemäß Beschluss 2010/87/EU (einschließlich der Anhänge für das Vereinigte Königreich und die Schweiz) herausgegeben wurden. Plume hält sich an die geltenden Gesetze in Bezug auf die Übermittlung anderer personenbezogener Daten, wenn das Zielland nicht das gleiche Datenschutzniveau gewährleistet wie das Land, aus dem die personenbezogenen Daten stammen.

• Die Plume-Cloud ist so konzipiert, dass sie eine hohe Verfügbarkeit und Datenredundanz bietet.
• Die Cloud-Infrastruktur wird nach einem Modell der gemeinsamen Verantwortung aufgebaut und betrieben, das zertifizierte Cloud-Anbieterdienste nutzt, die durch organisatorische und technische Kontrollen ergänzt werden.
• Der Zugriff auf Unternehmensressourcen wird mithilfe von Kontrollen wie Single-Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und VPN-basiertem Fernzugriff verwaltet.
• Die Systeme werden mit einem Minimum an erforderlichen Services konfiguriert, und Änderungen werden protokolliert und überwacht.
• Anti-Malware- und Intrusion-Detection-Systeme werden eingesetzt, um anomales Verhalten und bösartige Aktivitäten zu erkennen und darauf zu reagieren.
• Es werden regelmäßige Bewertungen durchgeführt, um Schwachstellen in der Umgebung zu erkennen, die dann auf der Grundlage ihres Risikos mithilfe von Änderungsmanagement- und Vorfallsreaktionsprozessen gemindert werden.

• Das Information Security Management System (ISMS) nach ISO 27001 bewahrt die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen durch die Anwendung eines Risikomanagementprozesses und gibt interessierten internen und externen Parteien die Gewissheit, dass Risiken angemessen gemanagt werden.
• ISO/IEC 27001:2013 legt die Anforderungen für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Information Security Management System im Kontext der Organisation fest.

• Die Produktions-Cloud von Plume, die Geschäftsaktivitäten im Zusammenhang mit dem Betrieb, der Wartung und der Verwaltung der Cloud-Plattform für das Smart-Home-Verbrauchererlebnis von Plume für Kommunikationsdienstleister und Verbraucher abdeckt, ist nach ISO 27001 zertifiziert.

  

• Das Privacy Information Management System (PIMS) nach ISO 27701 baut auf ISO/IEC 27001 auf und unterstützt Organisationen bei der Einhaltung von Datenschutzbestimmungen. Die Norm beschreibt eine umfassende Reihe von Betriebskontrollen, die verschiedenen Vorschriften zugeordnet werden können, darunter die DSGVO und der CCPA. Nach der Zuordnung werden die PIMS-Betriebskontrollen von Datenschutzexperten umgesetzt und von internen oder externen Prüfern auditiert, was zu einer Zertifizierung und einem umfassenden Konformitätsnachweis führt.
• Diese Norm legt Anforderungen und Leitlinien für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung eines Privacy Information Management System (PIMS) in Form einer Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement im Kontext der Organisation fest.
• Die Produktions-Cloud von Plume, die Geschäftsaktivitäten im Zusammenhang mit dem Betrieb, der Wartung und der Verwaltung der Cloud-Plattform für das Smart-Home-Verbrauchererlebnis von Plume für Kommunikationsdienstleister und Verbraucher abdeckt, ist nach ISO 27701 zertifiziert.
  

  

• Der Datenschutzrahmen ist ein umfassender Satz von Richtlinien und Standards, die entwickelt wurden, um die Übermittlung personenbezogener Daten zwischen Organisationen, die in verschiedenen Ländern tätig sind, zu erleichtern und zu regeln. Der Datenschutzrahmen wird vom US-Handelsministerium, der International Trade Administration, überwacht.
• Der Datenschutzrahmen besteht aus dem EU-U.S. Data Privacy Framework (EU-U.S. DPF), der UK Extension to the EU-U.S. DPF und dem Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF). Die Datenschutzrahmen-Zertifizierung von Plume für alle drei wurde offiziell verliehen.
• Sie können die Verifizierung von Plume überprüfen, indem Sie „Plume Design Inc“ in die Suchleiste auf der Datenschutzrahmen-Website eingeben.