Diese Richtlinie regelt alle Verstöße gegen die Datensicherheit und alle Schwachstellen, die im Rahmen der Geschäftstätigkeit von Globant-Tochtergesellschaften und anderen von Globant beaufsichtigten Unternehmen auftreten.

In dieser Richtlinie sind die Prozesse festgelegt, mit denen den Mitarbeitern von Globant jeder Verstoß gegen den Datenschutz, jeder Verdacht auf einen solchen Verstoß oder eine in einem der Systeme von Globant gefundene Sicherheitslücke gemeldet wird. Eine Datenschutzverletzung beinhaltet den Verlust von, den unbefugten Zugriff auf oder die unbefugte Offenlegung von persönlichen Daten. Eine Sicherheitslücke ist jeder Fehler, der in einem System entdeckt werden kann und zu einer Datenschutzverletzung oder zu einer Unterbrechung der bereitgestellten Dienstleistung führen kann.

Die Einhaltung dieses Verfahrens- und Reaktionsplans stellt sicher, dass Globant Datenschutzverletzungen oder Sicherheitslücken schnell eindämmen, bewerten und darauf reagieren und den Schaden, der dadurch entstehen kann, abmildern kann.

Die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit unserer Daten und Systeme ist Globant sehr wichtig. Wir schätzen die Arbeit von Datenschutzexperten, die uns helfen, unsere Sicherheitsmaßnahmen zu verbessern. Deshalb wollen wir klare Abläufe für Sie schaffen, damit Sie uns Sicherheitslücken oder Verstöße melden können. Datenschutz-Sicherheitslücken und -verstöße bitte melden an: vulnerabilities@globant.com

Globant ermutigt Datenschutzexperten, jede Datenschutzverletzung oder Sicherheitslücke zu melden, die sie glauben gefunden zu haben. Alle Berichte, die in Übereinstimmung mit dieser Richtlinie eingereicht werden, werden untersucht und jedes Problem, das auftauchen könnte, wird so schnell wie möglich behoben. Wenn Sie sich in gutem Glauben bemühen, diese Richtlinie während Ihrer Datenschutzrecherche einzuhalten, werden wir Ihre Recherche grundsätzlich als berechtigt betrachten. Wir werden mit Ihnen zusammenarbeiten, um das Problem zu verstehen und schnell zu lösen und keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche empfehlen oder einleiten.

Die folgenden Punkte bezeichnen diejenigen Maßnahmen, die Forscher an ihren Prüfmethoden durchführen müssen, dürfen und nicht durchführen dürfen:

Datenschutzexperten müssen:

  • wenn sie eine Schwachstelle entdecken, aufhören zu testen und uns unverzüglich benachrichtigen,
  • wenn sie nicht öffentliche Daten in öffentlich zugänglichen Bereichen entdecken, aufhören zu testen und uns dies unverzüglich benachrichtigen,
  • sämtliche unveröffentlichten, gespeicherten Globant-Daten nach Meldung einer Schwachstelle löschen.

Datenschutzexperten dürfen:

  • nicht veröffentlichte Daten von Globant nur in dem Umfang einsehen oder speichern, der erforderlich ist, um das Vorhandensein einer potenziellen Sicherheitslücke zu dokumentieren.

Datenschutzexperten dürfen Folgendes nicht tun:

  • andere als die weiter unten genannten Systembereiche testen,
  • Informationen über Sicherheitslücken offenlegen, außer wie in den Abschnitten „Melden einer Sicherheitslücke" und „Offenlegung" unten beschrieben,
  • Gebäude oder Ressourcen physikalisch testen,
  • Social-Engineering betreiben,
  • unerwünschte E-Mails an die User von Globant senden, einschließlich „Phishing"-Nachrichten,
  • „Denial of Service"- oder „Resource Exhaustion"-Angriffe ausführen oder versuchen, diese auszuführen,
  • schadhafte Software in Umlauf bringen.
  • auf eine Weise testen, die den Betrieb der Systeme von Globant beeinträchtigen könnte – oder die Systeme von Globant absichtlich beeinträchtigen, stören oder deaktivieren,
  • die Daten von Globant löschen, verändern, weitergeben, zurückhalten oder zerstören oder die Daten von Globant unzugänglich machen,
  • einen Exploit verwenden, um Daten zu herauszuschleusen (Exfiltration), Befehlszeilenzugriff herzustellen oder eine dauerhafte Präsenz auf den Systemen von Globant aufzubauen.
     

Wir haben festgestellt, dass die folgenden Systembereiche als untersucht akzeptiert werden:

Datenschutzexperten können Berichte auch anonym einreichen, obwohl jede bevorzugte Kontaktmethode willkommen ist, um gemeldete Schwachstellen oder einen anderen technischen Datenaustausch zu klären.

Beim Melden einer Datenschutzverletzung oder einer Sicherheitslücke ist eine detaillierte technische Beschreibung der Schritte zur Reproduktion des Vorfalls erwünscht, einschließlich Tools, Bildern und sonstiger Dokumentation, die den Berichten beigefügt werden kann.

Zu den Informationen, die Sie uns (sofern bekannt) angeben sollten, zählen:

  1. wann der Verstoß oder die Schwachstelle bemerkt oder ausgenutzt wurde (Datum und Uhrzeit),
     
  2. um welche Art von Datenschutzverletzung und um welche personenbezogenen Daten es sich handelt,
  3. Ursache der Datenschutzverletzung (falls bekannt) oder wie sie entdeckt wurde,
  4. welche Systeme oder Systembereiche sind betroffen?
  5. welches Projekt, welcher Bereich, welche Aufgabe ist betroffen?

Globant prüft den Datenschutz auf folgende Kriterien:

  1. Art und Umfang der betroffenen personenbezogenen Daten,
  2. ob mehrere Personen davon betroffen sind,
  3. ob die betroffenen Daten durch Datenschutzmaßnahmen wie Passwortschutz oder Verschlüsselung geschützt sind,
  4. welche Person oder Personen dadurch jetzt ungehinderten Zugang haben,
  5. ob es ein reales Risiko eines ernsthaften Schadens für die betroffenen Personen gibt oder geben könnte,
  6. ob es aufgrund des Verstoßes oder des vermuteten Verstoßes zu Aufmerksamkeit in den Medien oder bei Stakeholdern kommen könnte.