Verordnung über die digitale operationelle Resilienz (DORA)

Bei monday.com verpflichten uns, effektive und stets aktuelle Standards für Sicherheit und Datenschutz einzuhalten. Die Einführung der DORA-Verordnung (Digital Operational Resilience Act) bietet eine Gelegenheit, aufzuzeigen, wie die Prozesse von monday.com mit den zentralen Anforderungen dieser Regulierung übereinstimmen – insbesondere in der Rolle als Dienstleister für Kundinnen und Kunden, die direkt von DORA betroffen sind. Wir bewerten fortlaufend die Auswirkungen von DORA auf unsere Services und Abläufe, um sicherzustellen, dass unsere Prozesse den Branchenstandards entsprechen und um unsere Kunden bei ihren eigenen Compliance-Bemühungen zu unterstützen.

DORA ist eine neue EU-Verordnung, die darauf abzielt, die operationelle Resilienz von Finanzunternehmen in der EU (wie Banken, Investmentfirmen, Versicherungen, Zahlungsdienstleister) gegenüber Cyberbedrohungen und anderen betrieblichen Risiken zu stärken. DORA soll die Fähigkeit von Finanzunternehmen in der EU stärken, Risiken im Zusammenhang mit bestimmten Informations- und Kommunikationstechnologie-(IKT-)Systemen und Dienstleistern zu widerstehen, auf sie zu reagieren und sich davon zu erholen – und so zur Stabilität des gesamten Finanzökosystems beitragen.

monday.com unterliegt DORA nicht direkt, da sich die Verordnung ausdrücklich an Finanzunternehmen richtet. Wir sind uns bewusst, dass unsere Kundschaft aus dem Finanzsektor möglicherweise auf Drittanbieter wie monday.com angewiesen ist. Deshalb stellen wir sicher, dass unsere Verfahren so ausgestaltet sind, dass sie Kundinnen und Kunden bei der Umsetzung der DORA-Vorgaben bestmöglich unterstützen. Anforderungen im Rahmen von DORA, die für deine Organisation relevant sein könnten, werden bereits weitgehend durch unsere etablierten Prozesse und Dokumentationen abgedeckt.

Um dich bei der Erfüllung der DORA-Anforderungen zu unterstützen, haben wir diese Ressource erstellt. Sie bietet sowohl praktische Informationen als auch Verweise auf unsere bewährte Dokumentation, die für deine DORA-bezogenen Verpflichtungen relevant sind.

Die zentralen Säulen von DORA werden durch folgende Maßnahmen abgedeckt – darunter Sicherheitsfunktionen unserer SaaS-Anwendung sowie betriebliche Sicherheitsvorkehrungen, die wir als Unternehmen treffen, um dich bei der Einhaltung der DORA-Anforderungen zu unterstützen.

Verpflichtungen zu Datenschutz und Datensicherheit werden in unserem Nachtrag zur Datenverarbeitung (Data Processing Addendum, DPA) behandelt. Einen vollständigen Überblick über die Sicherheits- und Datenschutzpraktiken von monday.com findest du im Whitepaper, das in unserem Trust Center verfügbar ist.

Daten werden während der Übertragung mit TLS 1.3 und einer modernen Cipher-Suite verschlüsselt, wobei mindestens TLS 1.2 unterstützt wird. Benutzerdaten werden im ruhenden Zustand in unserer gesamten Infrastruktur mit AES-256 oder höher verschlüsselt. Wir bieten zudem „Bring Your Own Key“ (BYOK) und Verschlüsselung auf Mandantenebene (TLE) im Rahmen unseres Guardian-Add-ons an, um dir noch mehr Kontrolle über deine Daten zu ermöglichen.

Im Rahmen unserer Plattform und Angebote stellen wir verschiedene Governance-Funktionen bereit, mit denen Unternehmen die vollständige Kontrolle über ihre Daten behalten und diese verwalten können. Dazu gehören Protokollierungsfunktionen auf Element‑, Board‑ und Kontenebene. Diese Protokolle können exportiert und in bestehende Überwachungstools integriert werden.

Admins können Kontobeschränkungen wie IP-Beschränkungen festlegen sowie die Benutzerverwaltung und Berechtigungen individuell konfigurieren. Übernimm die Kontrolle über den Zugriff auf deine monday.com Instanz, indem du eine Integration mit deinem Identitätsanbieter (IdP) für SSO einrichtest und 2FA aktivierst.

Um eine hohe Verfügbarkeit und Resilienz zu gewährleisten, wird unser Service auf Amazon Web Services (AWS) gehostet – mit der Möglichkeit, Daten in Regionen der EU, den USA oder Australiens zu speichern. Wir setzen eine Microservices-Infrastruktur ein, um minimale Auswirkungen auf den Systemzustand zu gewährleisten, sollten eine oder mehrere Komponenten ausfallen. Mehrere Verfügbarkeitszonen werden eingesetzt, um zusätzliche Redundanz zu gewährleisten.

monday.com ist der Datenverarbeiter (bzw. Dienstleister) für personenbezogene Daten, die Kundinnen/Kunden und Nutzer/Nutzerinnen in die Plattform eingeben (z. B. in Boards und Elemente innerhalb ihres monday.com Kontos), und verarbeitet diese Daten ausschließlich im Auftrag seiner Kundinnen und Kunden als Datenverantwortliche (bzw. Unternehmen).

Kunden von monday.com behalten die volle Kontrolle über ihre hochgeladenen Daten und können diese jederzeit über die Benutzeroberfläche des Dienstes bearbeiten, löschen oder exportieren. Nach Vertragsbeendigung können Kundinnen und Kunden im Rahmen des Verfahrens zur Kontoschließung die Löschung ihrer Daten anfordern. Alle Kundendaten werden anschließend innerhalb von 90 Tagen gelöscht – einschließlich einer 30-tägigen Rückhaltefrist für mögliche Wiederherstellungen sowie weiteren 60 Tagen zur vollständigen Löschung aus unseren Datenbanken und den Datenbanken unserer Subunternehmer.

monday.com verfügt über eine Richtlinie zum Risikomanagement, die darauf ausgelegt ist, ein Verständnis für die Risiken zu schaffen, denen Informationen und Informationswerte ausgesetzt sind, und einen Rahmen für Maßnahmen zur Risikominderung bereitzustellen. Im Rahmen des Risikobewertungsprozesses werden Bedrohungen für die Systemsicherheit identifiziert und bewertet, und die daraus resultierenden Risiken werden formell eingeschätzt. Wir führen eine Risikobewertung im Rahmen unserer ISO 27001-Zertifizierung und der jährlichen SOC 2 Typ 2-Prüfung durch.

Unser Verfahren zur Informationssicherheit und Reaktion auf Datenvorfälle enthält Richtlinien für die Erkennung von Vorfällen, deren Eskalation an die zuständigen Mitarbeiter, die interne und externe Kommunikation, die Schadensbegrenzung und die nachträgliche Analyse. Wenn so etwas passiert, werden die betroffenen Kunden von monday.com so schnell wie möglich informiert, sobald wir davon Kenntnis erlangen.

monday.com hat einen Geschäftskontinuitätsplan (Business Continuity Plan, BCP) für die Aufrechterhaltung des Betriebs, um mit Katastrophen umzugehen, die den normalen Betrieb beeinträchtigen könnten. Der Plan konzentriert sich auf Katastrophen, die mit den Mitarbeitern, Büros und Einrichtungen von monday.com in Zusammenhang stehen. Außerdem haben wir einen Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP), um mit Problemen in unserer Produktionsumgebung umzugehen, der die Wiederherstellung der wichtigsten Funktionen des Services von unserem speziellen DR-Standort umfasst.

Beim Einsatz einer Lösung von Drittanbietern werden Sicherheitsmaßnahmen ergriffen, um sicherzustellen, dass der Drittanbieter das Risikoniveau von monday.com nicht negativ beeinflusst. Zu diesem Zweck legen wir an unsere Drittanbieter branchenübliche Standards in Bezug auf Datensicherheit und Datenschutz an und betrachten beide Bereiche als entscheidend im Auswahlprozess unserer Lieferanten.

Unter anderem haben wir sichergestellt, dass bei allen unseren Unterverarbeitern Nachträge zur Datenverarbeitung (Data Processing Addendum, DPA) und andere relevante Dokumentationen vorliegen, die dieselben oder im Wesentlichen ähnliche Datenschutzverpflichtungen enthalten wie im Kunden-DPA festgelegt. Wir führen Datenschutz- und Sicherheitsbewertungen sowie fragebogenbasierte Audits durch, überprüfen gegebenenfalls SOC-Berichte und PT-Zusammenfassungen für Führungskräfte.

monday.com ist in professionellen Foren, Gruppen, Konferenzen usw. aktiv und abonniert diese, um automatisierte Intelligence-Feeds zu Bedrohungen, Schwachstellen und kompromittierten Unternehmen in der Branche zu erhalten.

monday.com hat Automatisierungstools, die nach solchen Bedrohungen suchen und ihre Auswirkungen und Relevanz für uns einschätzen. Wir prüfen unsere Endpunkte, die IT-Systeme und Schwachstellen in unserer Cloud-Infrastruktur sowie andere Unternehmen, die angegriffen wurden, um Bedrohungen zu erkennen.

Wenn du mehr darüber erfahren möchtest, wie wir uns auf DORA vorbereiten und was das für dich bedeutet, wende dich gerne an unser Support-Team.