Sicherheits- und Compliance-Zertifizierungen

Als Anbieter von Cloud-Diensten (Cloud Service Provider; CSP), der von Kunden für das Outsourcing von Produkten und Dienstleistungen genutzt wird, führt Billtrust jährlich eine Prüfung gemäß SSAE 18 SOC 1 Typ 2 und SOC 2 Typ 2 durch. Unsere Prüfungen werden von einem akkreditierten, unabhängigen Dritten durchgeführt.

Eine Prüfung nach SOC 1 bewertet die Wirksamkeit der internen Kontrollen eines CSP, die Auswirkungen auf die Finanzberichte eines Kunden haben, der die Cloud-Dienste des Anbieters nutzt. Die Prüfung wird gemäß dem Statement on Standards for Attestation Engagements (SSAE 18) durchgeführt, das auch die Grundlage für den SOC 1-Bericht bildet.

Eine Prüfung des Typ SOC 2 misst die Effektivität eines CSP-Systems auf der Grundlage der Trust Service Criteria des US-amerikanischen AICPA. Die Grundlage für den SOC-2-Bericht ist ein Prüfauftrag gemäß Abschnitt 101 der Attestation Standards.  Billtrust bezieht im Rahmen der SOC-2-Prüfung mindestens die Bereiche Sicherheit, Vertraulichkeit und Verfügbarkeit mit ein.

Billtrust ist eine Organisation mit starken Werten, zu denen insbesondere Verantwortung und Integrität gehören. Unser Verhaltenskodex enthält allgemeine Richtlinien für die Abwicklung von Geschäften gemäß höchsten ethischen Standards.

Billtrust will ein Umfeld schaffen, in dem offene, ehrliche Kommunikation keine Ausnahme, sondern eine selbstverständliche Verpflichtung ist. Wir möchten gewährleisten, dass Sie sich in Fällen, in denen Ihrer Meinung nach Verstöße gegen Richtlinien oder Standards vorliegen, vertrauensvoll an Ihre(n) Vorgesetzte(n) oder die Personalabteilung wenden können.

In Situationen, in denen Sie sich weder an Ihre(n) Vorgesetzte(n) noch an die Personalabteilung wenden möchten bzw. es vorziehen, vertraulich eine anonyme Meldung abzugeben, empfehlen wir Ihnen, diese Hotline zu nutzen, die von einem externen Hotline-Anbieter, EthicsPoint, gehostet wird. Wir bitten Sie ausdrücklich, Meldungen zu Verstößen gegen unseren Verhaltenskodex einzureichen sowie ggf. Rat einzuholen und positive Vorschläge zu unterbreiten.

Die von Ihnen bereitgestellten Informationen werden von EthicsPoint auf Wunsch vertraulich und anonym an uns gesendet. Wir versprechen Ihnen, dass Ihre Kommentare Gehör finden.

Weitere Informationen finden Sie in den FAQs von EthicsPoint.

Melden von Verstößen

Zum Melden mutmaßlicher Verstöße gegen unseren Verhaltenskodex stellen wir Ihnen zwei Möglichkeiten zur Verfügung:

• Online-Formular
ODER
• Gebührenfreie Rufnummer (für USA, Guam, Puerto Rico und Kanada): 844-629-2890

Nach Eingang Ihrer Meldung wird Ihnen ein eindeutiger Code als Referenz zugewiesen. Bitte notieren Sie sich diese Referenz und Ihr zugehöriges Passwort und bewahren Sie sie an einem sicheren Ort auf. Nach 5–6 Werktagen können Sie unter Eingabe der Kombination aus Referenz und Passwort überprüfen, ob es Feedback oder Fragen zu Ihrer Meldung gibt.

Die Date Security Standards (DSS) der Payment Card Industry (PCI) sind ein globaler Informationssicherheitsstandard, der Betrug durch eine verstärkte Kontrolle von Kreditkartendaten verhindern soll. Unternehmen jeder Größe müssen die PCI-DSS-Standards einhalten, wenn sie Zahlungskarten der fünf großen Kreditkartenmarken – Visa, MasterCard, American Express, Discover und Japan Credit Bureau (JCB) – akzeptieren. Alle Unternehmen, die Zahlungs- und Karteninhaberdaten speichern, verarbeiten oder übermitteln, müssen die Vorgaben des PCI DSS erfüllen.

Billtrust führt jährlich eine PCI DSS-Bewertung durch, die von einem zugelassenen Qualified Security Assessor (QSA) vorgenommen wird. Die Bewertung führt zu einer Konformitätsbescheinigung (Attestation of Compliance; AoC) und einem Konformitätsbericht (Report on Compliance; RoC), die vom QSA ausgestellt werden. Der Gültigkeitszeitraum der Compliance beginnt mit dem Bestehen der Prüfung und dem Erhalt des AoC vom Prüfer und endet ein Jahr nach der Unterzeichnung des AoC. Billtrust ist als konform gemäß PCI DSS Version 3.2.1 als Service Provider Level 1 zertifiziert.

Kunden, die die PCI-konformen Produkte und Dienstleistungen von Billtrust nutzen, reduzieren den Umfang, die Kosten und den Aufwand ihrer eigenen PCI-Compliance-Prüfungen deutlich.

Billtrust ist als konformer Dienstleister auf den von VISA zugelassenen Dienstleisterlisten aufgeführt.

Der Health Insurance Portability and Accountability Act (HIPAA) ist ein US-amerikanisches Gesundheitsgesetz, in dem Anforderungen für die Verwendung, Offenlegung und den Schutz von individuell identifizierbaren Gesundheitsdaten aufgeführt sind. Das Gesetz gilt für betroffene Einrichtungen wie Arztpraxen, Krankenhäuser, Krankenversicherungen und andere Unternehmen des Gesundheitswesens, die Zugang zu geschützten Gesundheitsinformationen (Protected Health Information; PHI) von Patienten haben, sowie für Geschäftspartner wie Cloud-Service- und IT-Anbieter, die PHI in deren Auftrag verarbeiten. Die Mehrzahl der betroffenen Einrichtungen übernimmt Aufgaben wie die Bearbeitung von Ansprüchen oder die Datenverarbeitung nicht selbst, sondern beauftragen dafür Geschäftspartner.)

Billtrust fungiert als Geschäftspartner für einige unserer Kunden, die als betroffene Einrichtungen gelten.

Gemäß den HIPAA-Vorschriften müssen betroffene Einrichtungen und ihre Geschäftspartner – in diesem Fall Billtrust, wenn es Dienstleistungen für betroffene Einrichtungen erbringt – Verträge abschließen, um sicherzustellen, dass diese Geschäftspartner PHI ordnungsgemäß schützen. Diese Verträge bzw. Business Associate Agreements (BAAs) regeln, wie der Geschäftspartner mit PHI umgehen darf und welche Einschränkungen für seinen Umgang mit diesen Daten gelten, und verpflichten jede Partei zur Einhaltung der Sicherheits- und Datenschutzbestimmungen des HIPAA und des HITECH Act. Derzeit gibt es keine offizielle Zertifizierung für die Einhaltung des HIPAA oder des HITECH Act; Billtrust unterzieht sich jedoch einer jährlichen Risikobewertung.

NACHA ist der Treuhänder des ACH-Netzwerks und verwaltet die Entwicklung, die Verwaltung und die Regeln für das Zahlungsnetzwerk, das alle Finanzinstitute in den USA miteinander verbindet. Das Netzwerk, über das Gelder und Informationen direkt von einem Bankkonto zum anderen übertragen werden, ist für mehr als 90 Prozent des Gesamtwerts aller elektronischen Zahlungen in den USA verantwortlich. NACHA erleichtert die Ausweitung und Diversifizierung elektronischer Zahlungen und unterstützt direkte Einzahlungen und direkte Zahlungen über ACH-Transaktionen, einschließlich ACH-Kredit- und Debitzahlungen, wiederkehrende und einmalige Zahlungen, Regierungs-, Verbraucher- und Geschäftstransaktionen, Zahlungen sowie internationale Zahlungen und zahlungsbezogene Informationen. Die NACHA Operating Rules & Guidelines werden jährlich herausgegeben von der NACHA – The Electronic Payments Association.

Billtrust verarbeitet ACH-Zahlungen im Auftrag unserer Kunden sowohl als Drittdienstleister als auch als Drittabsender. Billtrust führt eine jährliche, unabhängige, externe Prüfung unserer ACH-Operationen gemäß der Operating Rules für ACH durch.

Billtrust führt jährlich eine Risikobewertung in den Bereichen Business Continuity und Disaster Recovery durch. Unsere Pläne basieren auf dem US-amerikanischen NFPA1600 Standard for Disaster/Emergency Management and Business Continuity/Continuity of Operations (Ausgabe 2022).

Billtrust verfügt zudem über ein Konzept für den Umgang mit Pandemien, das jährlich geprüft wird und im Zuge der COVID-19-Pandemie erfolgreich umgesetzt wurde.  Über 90 % der Mitarbeitenden von Billtrust arbeiteten im Homeoffice und erfüllten von dort aus erfolgreich unsere Geschäftsfunktionen und -aufgaben. Billtrust setzt dies auch weiterhin als Geschäftsstrategie ein.

Billtrust verfügt über ein dokumentiertes Programm zur Bekämpfung von Geldwäsche, um die Erfüllung der vertraglichen Verpflichtungen mit unseren Sponsorenbanken zu gewährleisten. Unser Programm zur Bekämpfung von Geldwäsche zielt darauf ab, einen allgemeinen Rahmen für die Bekämpfung von Geldwäsche, Terrorismus, Korruption und anderen Finanzverbrechen zu schaffen, Geldwäsche und Terrorismusfinanzierung zu verhindern und bestimmte Mitarbeitende in rechtlichen und internen Verfahren zu schulen. Programme zur Bekämpfung von Geldwäsche werden in den USA auch als Know Your Customer (KYC), Customer Due Diligence (CDD) oder Customer Identification Program (CIP) bezeichnet.

Billtrust verpflichtet sich zur Einhaltung des Datenschutzrahmens EU-USA, der UK Extension zum Datenschutzrahmen EU-USA und des Datenschutzrahmens Schweiz-USA gemäß den Regelungen des US-Handelsministeriums. Wir haben gegenüber dem US-Handelsministerium bescheinigt, dass wir die Grundsätze des Datenschutzrahmens EU-USA in Bezug auf die Verarbeitung personenbezogener Daten einhalten, die wir aus der Europäischen Union gemäß Datenschutzrahmen EU-USA und aus Großbritannien/Nordirland (und Gibraltar) gemäß UK Extension erhalten. Außerdem haben wir gegenüber dem US-Handelsministerium bescheinigt, dass wir die Grundsätze des Datenschutzrahmens Schweiz-USA in Bezug auf die Verarbeitung personenbezogener Daten einhalten, die wir aus der Schweiz gemäß Datenschutzrahmen Schweiz-USA erhalten (zusammen „Grundsätze des Transatlantischen Datenschutzrahmens“).

Um mehr über das DPF zu erfahren und unsere Zertifizierung anzuzeigen, gehen Sie bitte zu Datenschutzrahmen.

In der IT-Sicherheitsnorm ISO/IEC 27001:2013 werden Best Practices für das Informationsmanagement und die Implementierung von Sicherheitskontrollen in Form eines Information Security Management System (ISMS) vorgeschrieben. Als formale Spezifikation gibt sie Anforderungen vor, die definieren, wie das ISMS zu installieren, zu überwachen, zu pflegen und laufend zu verbessern ist. Durch Zertifizierung nach ISO/IEC 27001 gewährleisten Billtrust Collections (iController) und Order2Cash die Einhaltung einer Vielzahl behördlicher und gesetzlicher Auflagen und Vorschriften in Bezug auf die Informationssicherheit. Die Zertifizierung erfolgt durch unabhängige externe Prüfer. Durch Einhaltung dieser Norm verpflichten wir uns ausdrücklich zur Informationssicherheit zum Schutz der Daten und Informationen, die innerhalb unserer Organisation verarbeitet werden.