Die DNA zukünftiger CFOs
Entdecken Sie mehr
Jetzt starten
Deutsch
Englisch
Nederlands
Jetzt starten
Zurück zu den Produkten

Sicherheit und Compliance Bescheinigungen

Erfahren Sie, wie wir Ihre Daten schützen

Erfahren Sie, wie wir Ihre Daten sicher und geschützt aufbewahren

Als Cloud-Dienstanbieter für seine Produkte und Dienstleistungen speichert und verwaltet Billtrust unsere Kundendaten in Übereinstimmung mit den geltenden Gesetzen und Vorschriften, um Sie bei der Erfüllung Ihrer Verpflichtungen zu unterstützen. Unsere Cloud-Services für Unternehmen werden unabhängig durch Audits durch Dritte, kontinuierliche Selbstbewertung und rechtliche Aufsicht validiert.

SSAE 18 SOC 1
und SOC 2

Da Billtrust ein Cloud-Service-Provider (CSP) ist, den Kunden zum Outsourcing ihrer Produkte und Dienstleistungen nutzen, führen wir jährlich ein SSAE 18 SOC 1 Typ 2 und SOC 2 Typ 2 Audit durch.  Unsere Audits werden von einem akkreditierten, unabhängigen Dritten durchgeführt.

Ein SOC-1-Audit bewertet die Wirksamkeit der internen Kontrollen eines CSP, die sich auf die Finanzberichte eines Kunden auswirken, der die Cloud-Dienste des Anbieters nutzt. Das Statement on Standards for Attestation Engagements (SSAE 18) ist der Standard, nach dem die Prüfung durchgeführt wird, und bildet die Grundlage des SOC 1-Berichts.

Ein SOC-2-Audit misst die Effektivität eines CSP-Systems auf der Grundlage der AICPA-Trust-Service-Kriterien. Ein Attestation Engagement gemäß Attestation Standards (AT) Section 101 ist die Grundlage des SOC 2-Berichts.  Billtrust bezieht mindestens Sicherheit, Vertraulichkeit und Verfügbarkeit in das SOC 2-Audit ein.

Billtrust ISO
27001:2022

ISO 27001:2022 ist eine internationale Norm für das Management der Informationssicherheit. Es bietet einen systematischen Ansatz für die Verwaltung sensibler Unternehmensinformationen und stellt deren Vertraulichkeit, Integrität und Verfügbarkeit sicher. Die Norm beschreibt die Anforderungen an die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS). Das Erreichen der ISO 27001:2022-Zertifizierung durch Billtrust zeigt das globale Engagement unseres Unternehmens für ein effektives Management der Informationssicherheit, was das Vertrauen bei Kunden und Partnern in alle Billtrust-Produkte und -Dienstleistungen in den USA und der EU stärken kann.

Unser
Verpflichtung

Billtrust ist eine Organisation mit starken Werten, zu denen insbesondere Verantwortung und Integrität gehören. Unser Verhaltenskodex enthält allgemeine Richtlinien für die Führung von Geschäften mit höchsten ethischen Standards.

Billtrust will ein Umfeld schaffen, in dem offene, ehrliche Kommunikation keine Ausnahme, sondern eine selbstverständliche Verpflichtung ist. Wir möchten gewährleisten, dass Sie sich in Fällen, in denen Ihrer Meinung nach Verstöße gegen Richtlinien oder Standards vorliegen, vertrauensvoll an Ihre(n) Vorgesetzte(n) oder die Personalabteilung wenden können.

In Situationen, in denen Sie sich unwohl fühlen oder es vorziehen, eine anonyme Meldung vertraulich abzugeben, werden Sie ermutigt, diese Hotline zu nutzen, die von einem Drittanbieter, EthicsPoint, gehostet wird. Wir ermutigen Sie, Meldungen über Verstöße einzureichen, die in unserem Verhaltenskodex aufgeführt sind, sowie um Rat zu bitten und positive Vorschläge zu machen.

Die von Ihnen bereitgestellten Informationen werden von EthicsPoint auf Wunsch vertraulich und anonym an uns gesendet. Wir versprechen Ihnen, dass Ihre Kommentare Gehör finden.

Weitere Informationen finden Sie in den EthicsPoint-FAQs.

So erstellen Sie einen Bericht
Sie können eine der folgenden beiden Methoden verwenden, um einen Bericht einzureichen:
Klicken Sie hier, um "Bericht zu erstatten"

ODER

Wählen Sie gebührenfrei innerhalb der Vereinigten Staaten, Guam, Puerto Rico und Kanada: 844-629-2890
Nachdem Sie Ihren Bericht fertiggestellt haben, wird Ihnen ein eindeutiger Code zugewiesen, der als "Berichtsschlüssel" bezeichnet wird. Bitte notieren Sie sich diese Referenz und Ihr zugehöriges Passwort und bewahren Sie sie an einem sicheren Ort auf. Verwenden Sie nach 5-6 Werktagen Ihren Berichtsschlüssel und Ihr Passwort, um Ihren Bericht auf Feedback oder Fragen zu überprüfen.

PCI-Compliance

Die Date Security Standards (DSS) der Payment Card Industry (PCI) sind ein globaler Informationssicherheitsstandard, der Betrug durch eine verstärkte Kontrolle von Kreditkartendaten verhindern soll. Unternehmen jeder Größe müssen die PCI-DSS-Standards einhalten, wenn sie Zahlungskarten der fünf großen Kreditkartenmarken – Visa, MasterCard, American Express, Discover und Japan Credit Bureau (JCB) – akzeptieren. Alle Unternehmen, die Zahlungs- und Karteninhaberdaten speichern, verarbeiten oder übermitteln, müssen die Vorgaben des PCI DSS erfüllen.

Billtrust führt jährlich eine PCI-DSS-Bewertung mit einem zugelassenen Qualified Security Assessor (QSA) durch. Die Bewertung gipfelt in einer Bescheinigung über die Einhaltung (AoC) und einem Bericht über die Einhaltung (RoC) durch die QSA. Der effektive Zeitraum für die Einhaltung ist prospektiv und beginnt mit dem Bestehen des Audits und dem Erhalt des AoC vom Gutachter und endet ein Jahr ab dem Datum der Unterzeichnung des AoC. Billtrust ist als konform nach PCI DSS Version 4.0.1 auf Service Provider Level 1 zertifiziert.

Kunden, die die PCI-konformen Produkte und Dienstleistungen von Billtrust nutzen, reduzieren den Umfang, die Kosten und den Aufwand ihrer eigenen PCI-Compliance-Prüfungen deutlich.

Billtrust ist als konformer Dienstleister auf den von VISA zugelassenen Dienstleisterlisten aufgeführt.

HIPAA: Datenschutz

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesundheitsgesetz, in dem Anforderungen für die Verwendung, Offenlegung und den Schutz von individuell identifizierbaren Gesundheitsdaten aufgeführt sind. Das Gesetz gilt für betroffene Einrichtungen wie Arztpraxen, Krankenhäuser, Krankenversicherungen und andere Unternehmen des Gesundheitswesens, die Zugang zu geschützten Gesundheitsinformationen (Protected Health Information; PHI) von Patienten haben, sowie für Geschäftspartner wie Cloud-Service- und IT-Anbieter, die PHI in deren Auftrag verarbeiten. Die Mehrzahl der betroffenen Einrichtungen übernimmt Aufgaben wie die Bearbeitung von Ansprüchen oder die Datenverarbeitung nicht selbst, sondern beauftragen dafür Geschäftspartner.)

Billtrust fungiert als Geschäftspartner für einige unserer Kunden, die als betroffene Einrichtungen gelten.

Gemäß den HIPAA-Vorschriften müssen betroffene Einrichtungen und ihre Geschäftspartner – in diesem Fall Billtrust, wenn es Dienstleistungen für betroffene Einrichtungen erbringt – Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI ordnungsgemäß schützen. Diese Verträge bzw. Business Associate Agreements (BAAs) regeln, wie der Geschäftspartner mit PHI umgehen darf und welche Einschränkungen für seinen Umgang mit diesen Daten gelten, und verpflichten jede Partei zur Einhaltung der Sicherheits- und Datenschutzbestimmungen des HIPAA und des HITECH Act. Derzeit gibt es keine offizielle Zertifizierung für die Einhaltung des HIPAA oder des HITECH Act; Billtrust unterzieht sich jedoch einer jährlichen Risikobewertung.

NACHA
Beachtung

NACHA ist der Treuhänder des ACH-Netzwerks und verwaltet die Entwicklung, die Verwaltung und die Regeln für das Zahlungsnetzwerk, das alle Finanzinstitute in den USA miteinander verbindet. Das Netzwerk, über das Gelder und Informationen direkt von einem Bankkonto zum anderen übertragen werden, ist für mehr als 90 Prozent des Gesamtwerts aller elektronischen Zahlungen in den USA verantwortlich. NACHA erleichtert die Ausweitung und Diversifizierung elektronischer Zahlungen und unterstützt direkte Einzahlungen und direkte Zahlungen über ACH-Transaktionen, einschließlich ACH-Kredit- und Debitzahlungen, wiederkehrende und einmalige Zahlungen, Regierungs-, Verbraucher- und Geschäftstransaktionen, Zahlungen sowie internationale Zahlungen und zahlungsbezogene Informationen. Die NACHA Operating Rules & Guidelines werden jährlich herausgegeben von der NACHA – The Electronic Payments Association.

Billtrust verarbeitet ACH-Zahlungen im Auftrag unserer Kunden sowohl als Drittdienstleister als auch als Drittabsender. Billtrust führt eine jährliche, unabhängige, externe Prüfung unserer ACH-Operationen gemäß der Operating Rules für ACH durch.

Pandemiebereitschaft, Geschäftskontinuität
und Disaster Recovery

Billtrust führt jährlich eine Risikobewertung in den Bereichen Business Continuity und Disaster Recovery durch. Unsere Pläne basieren auf dem US-amerikanischen NFPA1600 Standard for Disaster/Emergency Management and Business Continuity/Continuity of Operations (Ausgabe 2022).

Billtrust unterhält auch einen Pandemieplan, der jährlich getestet wird und aufgrund der COVID-19-Pandemie erfolgreich umgesetzt wurde.  Über 90 % der Belegschaft von Billtrust haben unsere Geschäftsfunktionen und Rollen erfolgreich erfüllt, während sie aus der Ferne gearbeitet haben. Billtrust setzt dies weiterhin als kontinuierliche Geschäftsstrategie ein.

Anti-Geld
Waschend

Billtrust verfügt über ein dokumentiertes Programm zur Bekämpfung von Geldwäsche, um die Erfüllung der vertraglichen Verpflichtungen mit unseren Sponsorenbanken zu gewährleisten. Unser Programm zur Bekämpfung von Geldwäsche zielt darauf ab, einen allgemeinen Rahmen für die Bekämpfung von Geldwäsche, Terrorismus, Korruption und anderen Finanzverbrechen zu schaffen, Geldwäsche und Terrorismusfinanzierung zu verhindern und bestimmte Mitarbeitende in rechtlichen und internen Verfahren zu schulen. Programme zur Bekämpfung von Geldwäsche werden in den USA auch als Know Your Customer (KYC), Customer Due Diligence (CDD) oder Customer Identification Program (CIP) bezeichnet.

Transatlantischer Datenschutzrahmen

Billtrust verpflichtet sich zur Einhaltung des Datenschutzrahmens EU-USA, der UK Extension zum Datenschutzrahmen EU-USA und des Datenschutzrahmens Schweiz-USA gemäß den Regelungen des US-Handelsministeriums. Wir haben gegenüber dem US-Handelsministerium bescheinigt, dass wir die Grundsätze des Datenschutzrahmens EU-USA in Bezug auf die Verarbeitung personenbezogener Daten einhalten, die wir aus der Europäischen Union gemäß Datenschutzrahmen EU-USA und aus Großbritannien/Nordirland (und Gibraltar) gemäß UK Extension erhalten. Außerdem haben wir gegenüber dem US-Handelsministerium bescheinigt, dass wir die Grundsätze des Datenschutzrahmens Schweiz-USA in Bezug auf die Verarbeitung personenbezogener Daten einhalten, die wir aus der Schweiz gemäß Datenschutzrahmen Schweiz-USA erhalten (zusammen „Grundsätze des Transatlantischen Datenschutzrahmens“).

Um mehr über den DPF zu erfahren und unsere Zertifizierung einzusehen, besuchen Sie bitte das Datenschutz-Framework.