Compliance über Zertifizierungen hinaus: So schützen wir Kundendaten

Die Sicherheitsvorgaben und -Rahmenbedingungen weltweiter Datenschutz- und Compliance-Zertifizierungen sind hoch. Wer seine Unternehmenswebsite mit einem SOC 2-, CSA Star- oder ISO-Logo versehen will, muss diese strengen Vorgaben erfüllen. Für viele Unternehmen ist jedoch allein dies das Ziel: das Logo auf die Website zu setzen. Für uns bei Rippling ist das erst der Anfang.

Compliance ist für uns kein Pflichtpunkt auf einer Checkliste. Bei Rippling ist sie fest in allem verankert, was wir tun. Unser Anspruch ist das, was wir „wirkungsvolle Compliance“ nennen: Sicherheitskontrollen, die echte Wirkung entfalten – für die Sicherheit unserer Systeme und letztlich für den Schutz der Daten unserer Kunden. Uns ist bewusst, dass wir hochsensible Daten speichern und verarbeiten und für den verlässlichen Schutz dieser Daten verantwortlich sind.

Das Beste für Rippling – und für unsere Kunden – zu tun heißt, über normale Zertifizierungsstandards hinauszugehen.

Innerhalb von nur zwei Jahren haben wir unser Sicherheitsteam mehr als verdoppelt, moderne Sicherheitsvorgaben etabliert, neue Programme entwickelt und unternehmensweite Schulungen eingeführt. So stellen wir sicher, dass alle Mitarbeiter aktiv dazu beitragen, unser Unternehmen und die Daten unserer Kunden zu schützen. Im Folgenden erläutere ich einige der Maßnahmen, die wir im letzten Jahr umgesetzt haben, und wie sie bei Rippling echte, „wirkungsvolle Compliance“ fördern.

Aufbau des Sicherheitsprogramms von Rippling

Bevor ich vor fast zwei Jahren zu Rippling wechselte, leitete ich bei Auth0 – heute Teil von Okta – den Aufbau des Sicherheits-Compliance-Programms. Als ich das Unternehmen dann verließ, hatten wir das komplette Zertifizierungs- und Bescheinigungsspektrum umgesetzt: SOC 2, PCI DSS, ISO 27001, CSA STAR und mehr.

Bei Rippling wurde ich eingestellt, um unser Compliance-Programm weiterzuentwickeln. Vor meinem Eintritt ins Unternehmen hatte Rippling lediglich kurze Prüfzyklen für SOC 1 und SOC 2. Seitdem haben wir folgende Zertifizierungen und Bescheinigungen erreicht:

• Vollständige einjährige SOC 1 Typ 2 Zertifizierung

• Vollständige einjährige SOC 2 Typ 2 Zertifizierung

• ISO 27001 Zertifizierung

• ISO 27018 Zertifizierung

• CSA STAR Level 2 Zertifizierung

Den Ausbau unseres Programms mitzugestalten bedeutete auch, unser Team aufzubauen. Unter der Leitung unseres CISO Duncan Godfrey ist unser Sicherheitsteam schnell gewachsen – und wächst weiter.

Compliance war nur der Anfang

Mit einem starken Programm und einem wachsenden Team setzten wir uns drei klare Ziele:

• Neue Sicherheitsrichtlinien entwickeln, um bei Rippling eine Kultur der Sicherheit zu etablieren

• Sicherstellen, dass alle Rippling-Mitarbeiter ihre Verantwortlichkeiten im Bereich Sicherheit kennen

• Unsere Sicherheitskontrollen kontinuierlich prüfen – und über die Anforderungen der Zertifizierungen hinausgehen, um unseren eigenen Sicherheitsstandard zu erfüllen

Als Grundlage für die Entwicklung neuer Sicherheitsrichtlinien nutzten wir die international anerkannte Zertifizierung ISO 27001. Im vergangenen Jahr haben wir über 40 Richtlinien und Verfahren erarbeitet, die nicht nur Überprüfungsanforderungen erfüllen, sondern auch echten Mehrwert im Bereich Sicherheit bieten und unseren Mitarbeitern Orientierung in Sicherheitsfragen geben. Wir wollten dabei nicht einfach bestehende Vorlagen wiederverwenden, die lediglich den Verpflichtungen entsprachen. Unser Ziel war es, einen Richtliniensatz zu schaffen, der dafür sorgt, dass alle Rippling-Mitarbeiter ihre Sicherheitsrolle verstehen und die Bedeutung von Informationssicherheit im gesamten Unternehmen verinnerlichen. 

Unsere übergeordnete Informationssicherheitsrichtlinie gibt den Mitarbeitern eine klare Orientierung und Standards für ihre Verantwortlichkeiten und Pflichten. Sie dient als Blaupause für alle sicherheitsrelevanten Mitarbeiteraufgaben innerhalb des Unternehmens. Darauf aufbauend haben wir zudem zentrale betriebliche Richtlinien und Verfahren veröffentlicht. Dazu gehören unter anderem unser Plan zur Reaktion auf Vorfälle, der den Umgang mit Sicherheitsvorfällen regelt, sowie unsere Richtlinie zu Lieferantenbeziehungen, die definiert, wie wir Risiken mit Drittanbietern managen und Due Diligence bei Lieferanten sicherstellen. Beide Richtlinien bieten Anleitungen und Schutzmaßnahmen für die Bereiche mit besonders kritischem Sicherheitsrisiko unseres Unternehmens. 

Parallel zur Entwicklung unserer Richtlinien haben wir alle Rippling-Mitarbeiter geschult, damit jeder unseren Richtliniensatz versteht und seine eigenen Sicherheitsverantwortungen kennt. Die Schulungen umfassten sowohl eine Übersicht der Richtlinien als auch einen Information-Security-Awareness-Kurs, der unsere Best Practices festigt. Für Mitarbeiter, die mit sensiblen Daten arbeiten, haben wir zusätzlich gezielte Schulungen entwickelt, um sicherzustellen, dass diese kritischen Aufgaben vollständig verstanden und korrekt umgesetzt werden.

Beim Ausbau unseres Sicherheitsprogramms und der Einführung neuer Richtlinien haben wir gezielt wichtige Kontrollen gestärkt. Ein Schwerpunkt lag auf dem Zugriffsmanagement – unser Programm erfüllte hier nicht nur ISO-Standards, sondern auch unsere eigenen hohen Sicherheitsanforderungen. Zudem bauten wir unser Security-Engineering-Programm durch robuste und sichere Softwareentwicklungszyklen und gezieltere Penetrationstests durch Dritte weiter aus. Diese hilfreichen Maßnahmen gingen weit über Compliance hinaus: Sie hatten eine echte positive Auswirkung auf die Sicherheit unserer Plattform und stärkten vor allem den Schutz unseres wichtigsten Vermögenswerts – die Daten unserer Kunden. 

Was steht als Nächstes für das Sicherheitsprogramm von Rippling an?

Mit Blick auf die Zukunft der Sicherheitslandschaft stellt Rippling sicher, dass Sicherheit und Compliance in allem, was wir tun, stets an erster Stelle stehen.

Nummer eins: Wir gehen mit gutem Beispiel voran und leben Compliance selbst vor. Ein zentraler Bestandteil meiner Aufgabe ist es sicherzustellen, dass Rippling jederzeit compliant bleibt, da wir aufgrund unserer globalen Präsenz an regulatorische Anforderungen gebunden sind. Wir überprüfen kontinuierlich unsere Sicherheitslage und stellen sicher, dass wir sowohl aktuellen als auch zukünftigen Anforderungen gerecht werden.

Wir führen kontinuierlich Gespräche mit der Rippling-Führung, um Sicherheit in allen Bereichen der Organisation fest zu verankern. Jede Veränderung und jedes neue Produkt betrachten wir stets aus der Sicherheitsperspektive. So stellen wir sicher, dass Risiken nicht nur in regulatorischer Hinsicht, sondern auch für unsere Kunden minimiert werden. Diese Gespräche finden dabei nicht nur intern statt: Wir tauschen uns regelmäßig mit unseren Kunden aus, um ihre Sicherheits- und Compliance-Anforderungen zu verstehen und diese gezielt in unsere Planung und Umsetzung einfließen zu lassen.

Die beste Bestätigung für die Compliance-Bemühungen von Rippling ist aber vielleicht die Tatsache, dass wir unsere eigenen Produkte jeden Tag verwenden.

Wenn wir Chancen sehen, unsere Sicherheitslage zu stärken, fließen diese direkt in unsere Produkte ein. Unser Sicherheitsteam arbeitet kontinuierlich Hand in Hand mit Forschungs-, Entwicklungs- und Produktteams, um Rippling stetig zu verbessern. Bei Sicherheitsfragen gibt es keine bürokratischen Hindernisse in Bezug auf Verbesserungen – jeder bei Rippling setzt sich gemeinsam dafür ein, dass der Schutz der Kundendaten immer oberste Priorität hat.