Dieser Datenschutzhinweis gilt für die Verarbeitung personenbezogener Daten durch Gnomi App Corp (GNOMI), einschließlich unserer mobilen Anwendung, unserer Website unter gnomi.com und unserer sonstigen Online- oder Offline-Angebote (zusammen die Dienste).

1. Aktualisierungen dieses Datenschutzhinweises

Wir können diesen Datenschutzhinweis von Zeit zu Zeit aktualisieren. Wenn wir dies tun, werden wir Sie informieren, indem wir den aktualisierten Datenschutzhinweis auf unserer Website veröffentlichen und/oder Ihnen möglicherweise auch andere Mitteilungen senden.

2. Personenbezogene Daten, die wir erfassen

Wir erfassen personenbezogene Daten, die Sie uns zur Verfügung stellen, personenbezogene Daten, die wir automatisch erfassen, wenn Sie die Dienste nutzen, und personenbezogene Daten aus Drittquellen.

A. Personenbezogene Daten, die Sie uns direkt zur Verfügung stellen

• Kontoinformationen: Benutzername, E-Mail-Adresse, Passwort, Aufenthaltsland und andere Informationen, die Sie mit Ihrem Konto speichern
• Profilinformationen: Name, Berufsbezeichnung, Biografie, verknüpfte Social-Media-Konten, Geschlecht und Geburtstag (privat)
• Interaktive Funktionen: Inhalte, die Sie über Nachrichten, Kommentare und Social-Media-Funktionen einreichen
• Käufe: Zahlungsinformationen für GNOMI Premium-Abonnements
• Kommunikation: Informationen, die Sie uns per E-Mail oder Chat-Tool senden
• Umfragen: Informationen aus Umfragen, an denen Sie teilnehmen
• Wettbewerbe: Informationen aus Gewinnspielen oder Wettbewerben
• Veranstaltungen: Informationen von Konferenzen und Messen
• Stellenbewerbungen: Kontaktinformationen und Lebenslauf, wenn Sie sich für Stellen bewerben

B. Automatisch erfasste personenbezogene Daten

• Geräteinformationen: IP-Adresse, Benutzereinstellungen, Cookie-Kennungen, Browser-Informationen, Standortinformationen
• Nutzungsinformationen: Besuchte Seiten, Suchbegriffe, Interaktionen mit Inhalten, Häufigkeit und Dauer der Aktivitäten
• Cookies und Technologien: Cookies, Pixel-Tags und Web-Beacons zur Erfassung von Informationen über Ihre Nutzung der Dienste

C. Von Dritten erfasste personenbezogene Daten

Wir können personenbezogene Daten von Drittanbietern erfassen, wenn Sie GNOMI mit Social-Media-Konten (Reddit, LinkedIn, Meta, X) verbinden oder Anmeldedienste von Drittanbietern nutzen.

3. Wie wir personenbezogene Daten verwenden

A. Bereitstellung der Dienste

• Verwaltung Ihrer Informationen und Bereitstellung des Zugriffs auf Funktionen
• Kundensupport und Kommunikation
• Zahlungsabwicklung
• Verarbeitung von Stellenbewerbungen

B. Verbesserung der Dienste und Entwicklung neuer Produkte

• Training von KI- und Machine-Learning-Technologien
• Verbesserung und Erweiterung der Dienste

C. Administrative Zwecke

• Sicherheit und Betrugsprävention
• Analytik und Messung der Nutzerbindung
• Qualitätskontrolle und Sicherheit
• Rechtliche Compliance

D. Marketing

Wir können Ihre personenbezogenen Daten verwenden, um Ihnen Marketingbotschaften und Angebote über E-Mail-Kampagnen zukommen zu lassen, soweit dies nach geltendem Recht zulässig ist.

F. Automatisierte Entscheidungsfindung

Wir können automatisierte Entscheidungsfindung, einschließlich Profiling, einsetzen, um maßgeschneiderte Inhalte basierend auf Ihren Interaktionen mit den Diensten bereitzustellen.

4. Wie wir personenbezogene Daten offenlegen

A. Offenlegungen zur Bereitstellung der Dienste

• Dienstleister: KI/ML-Dienste, Hosting, Kundendienst, Analytik, Marketing, IT-Support
• Andere Nutzer: Informationen, die Sie mit anderen GNOMI-Nutzern teilen möchten
• Drittanbieterdienste: Dienste, mit denen Sie sich verbinden oder interagieren
• Geschäftspartner: Partner, mit denen wir zusammenarbeiten, um Dienstleistungen anzubieten
• Verbundene Unternehmen: Unsere Konzerngesellschaften
• Werbepartner: Für kostenlose Nutzer können wir Informationen mit Werbepartnern für zielgerichtete Werbung teilen

B. Offenlegungen zum Schutz von uns oder anderen

Wir können Informationen offenlegen, um rechtlichen Anforderungen nachzukommen, Rechte und Sicherheit zu schützen, Richtlinien durchzusetzen oder bei Untersuchungen zu helfen.

C. Geschäftstransaktionen

Ihre Informationen können im Zusammenhang mit Fusionen, Übernahmen oder anderen Unternehmenstransaktionen offengelegt werden.

5. Ihre Datenschutzoptionen und -rechte

Ihre Datenschutzoptionen

• E-Mail-Kommunikation: Abmeldung über Links in E-Mails
• Textnachrichten: Antworten Sie mit "STOP", um sich abzumelden
• Mobile Geräte: Push-Benachrichtigungen und Standorteinstellungen anpassen
• Cookies: Browser-Einstellungen anpassen (Hinweis: kann die Funktionalität beeinträchtigen)
• Do Not Track: Wir reagieren nicht auf DNT-Signale

Ihre Datenschutzrechte

Sie haben möglicherweise das Recht:

• Zu bestätigen, ob wir Ihre personenbezogenen Daten verarbeiten
• Zugang zu oder Übertragbarkeit Ihrer personenbezogenen Daten anzufordern
• Berichtigung Ihrer personenbezogenen Daten anzufordern
• Löschung Ihrer personenbezogenen Daten anzufordern
• Einschränkung der Verarbeitung anzufordern oder der Verarbeitung zu widersprechen
• Sich von gezielter Werbung, Verkäufen oder Profilerstellung abzumelden
• Einwilligung zu widerrufen

6. Internationale Übermittlung personenbezogener Daten

Personenbezogene Daten können weltweit übermittelt, verarbeitet und gespeichert werden, auch in Ländern mit unterschiedlichen Datenschutzgesetzen. Für Übermittlungen aus der EU/UK verwenden wir möglicherweise EU-Standardvertragsklauseln als Schutzmaßnahmen.

7. Aufbewahrung personenbezogener Daten

Wir speichern personenbezogene Daten, solange Sie die Dienste nutzen oder soweit dies zur Erfüllung von Zwecken, zur Bereitstellung von Diensten, zur Beilegung von Streitigkeiten und zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist.

8. Ergänzender Hinweis zur EU/UK DSGVO

Dieser Abschnitt gilt für personenbezogene Daten, die der EU- oder UK-DSGVO unterliegen. In einigen Fällen kann die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben sein. Wir werden Sie über die Konsequenzen informieren, wenn Sie sich entscheiden, erforderliche Informationen nicht bereitzustellen.

9. Personenbezogene Daten von Kindern

Die Dienste richten sich nicht an Kinder unter 16 Jahren, und wir sammeln nicht wissentlich personenbezogene Daten von Kindern. Wenn Sie glauben, dass Ihr Kind Informationen unter Verstoß gegen geltendes Recht hochgeladen hat, kontaktieren Sie uns bitte.

10. Datenschutzhinweis für Werbeaktionen

GNOMI App Corp. ("Sponsor") sammelt und verarbeitet personenbezogene Daten, die von Teilnehmern übermittelt werden, einschließlich Name, E-Mail-Adresse, Land oder Bundesland des Wohnsitzes und Informationen, die zur Überprüfung der Teilnahmeberechtigung und zur Preisübergabe erforderlich sind. Diese Informationen werden ausschließlich zur Durchführung der Werbeaktion, zur Betrugsprävention, zur Überprüfung der Teilnahmeberechtigung und zur Preisübergabe verwendet.

Für Teilnehmer im Europäischen Wirtschaftsraum oder im Vereinigten Königreich verarbeitet der Sponsor personenbezogene Daten auf Grundlage der Erfüllung eines Vertrags (Durchführung der Werbeaktion) und der berechtigten Interessen des Sponsors an der Durchführung und Sicherung der Werbeaktion. Wenn Teilnehmer Marketingmitteilungen erhalten möchten, erfolgt die Verarbeitung auf Grundlage einer Einwilligung. Die Teilnahme an der Werbeaktion ist nicht an die Erteilung einer Marketingeinwilligung gebunden.

Der Sponsor kann Dienstleister einsetzen, um bei der Durchführung der Werbeaktion, Kommunikation, Analyse und Preisübergabe zu unterstützen. Personenbezogene Daten können in die Vereinigten Staaten oder andere Länder übertragen und dort verarbeitet werden, in denen der Sponsor oder seine Dienstleister tätig sind, vorbehaltlich geeigneter rechtlicher Schutzmaßnahmen, wo erforderlich.

Personenbezogene Daten werden bis zu zwölf (12) Monate nach Ende der Werbeaktion aufbewahrt und dann gelöscht oder anonymisiert, es sei denn, eine längere Aufbewahrung ist aus rechtlichen oder regulatorischen Gründen erforderlich. Die Werbeaktion steht nur Personen offen, die mindestens 18 Jahre alt sind oder das Alter der Volljährigkeit in ihrer Rechtsordnung erreicht haben.

Je nach geltendem Recht können Teilnehmer das Recht haben, Zugang zu ihren personenbezogenen Daten zu verlangen, deren Berichtigung oder Löschung zu beantragen, die Verarbeitung einzuschränken oder ihr zu widersprechen oder die Datenübertragbarkeit zu beantragen. Teilnehmer im EWR oder im Vereinigten Königreich können auch eine Beschwerde bei ihrer lokalen Datenschutzbehörde einreichen. Einwohner der USA können zusätzliche Datenschutzrechte gemäß den geltenden staatlichen Gesetzen haben.

Anfragen bezüglich personenbezogener Daten können eingereicht werden an: privacy@gnomi.com

11. Richtlinie zur Datenaufbewahrung und Datenlöschung

DSGVO- und anwendbare Datenschutzgesetze – Compliance-Dokumentation

2. DSGVO- und anwendbare Datenschutzgesetze – Compliance-Erklärung

GNOMI unterhält diese definierte und durchgesetzte Richtlinie zur Datenaufbewahrung und Datenlöschung, um die Einhaltung anwendbarer Datenschutz- und Datenschutzgesetze zu unterstützen, einschließlich der Datenschutz-Grundverordnung (DSGVO), soweit die DSGVO auf die Verarbeitungsaktivitäten von GNOMI anwendbar ist. Diese Richtlinie ist darauf ausgelegt, DSGVO-konforme Aufbewahrungs- und Löschgrundsätze zu operationalisieren, einschließlich Speicherbegrenzung, Datenminimierung, Zweckbindung, Integrität und Vertraulichkeit, Rechenschaftspflicht und rechtmäßiger Bearbeitung von Lösch- und Einschränkungsanträgen betroffener Personen.

Die Aufbewahrungs- und Löschkontrollen von GNOMI sollen sicherstellen, dass personenbezogene Daten nicht länger aufbewahrt werden als für die Zwecke erforderlich, für die sie erhoben oder anderweitig rechtmäßig verarbeitet werden, es sei denn, eine fortgesetzte Aufbewahrung ist aus rechtlichen, regulatorischen, vertraglichen, sicherheitsrelevanten, betrugsbekämpfenden, buchhalterischen, prüfungsbezogenen, streitbeilegenden oder legitimen geschäftlichen Gründen erforderlich.

Wenn GNOMI vom Nutzer autorisierte Finanzkonto- oder Portfolioinformationen über Plaid oder ähnliche Anbieter verarbeitet, wendet GNOMI Aufbewahrungs- und Löschkontrollen an, die darauf ausgelegt sind, die Aufbewahrung von Finanzintegrationsdaten auf den Zeitraum zu begrenzen, der erforderlich ist, um autorisierte Funktionalität bereitzustellen, die Sicherheit aufrechtzuerhalten, vertragliche Verpflichtungen zu erfüllen, Betrug zu verhindern und anwendbares Recht einzuhalten.

3. Geltungsbereich

Diese Richtlinie gilt für alle Daten, die von GNOMI oder von Drittdienstleistern, die im Auftrag von GNOMI handeln, erhoben, verarbeitet, gespeichert, übermittelt oder aufbewahrt werden. Dies umfasst Produktionssysteme, Cloud-Dienste, Anwendungsdatenbanken, Nutzerkontosysteme, Finanzintegrationssysteme, Portfolioanalysesysteme, KI-generierte Finanzintelligenz-Systeme, Finanzanalysesysteme, Plaid-Integrationen, Brokerage-Konto-Integrationen, Bankintegrationen, Sicherheitsprotokolle, Analyseumgebungen, Kundensupport-Tools, Anbieterplattformen, Unternehmensunterlagen, Backups und Disaster-Recovery-Systeme.

Diese Richtlinie gilt für Mitarbeiter, Auftragnehmer, Berater, Dienstleister und sonstiges autorisiertes Personal von GNOMI, die Daten im Auftrag von GNOMI erstellen, darauf zugreifen, verwalten, speichern, verarbeiten, übermitteln, aufbewahren, löschen oder entsorgen.

4. Richtlinienerklärung

GNOMI bewahrt Daten nur so lange auf, wie es erforderlich ist, um seine Dienste bereitzustellen und zu verbessern, autorisierte Nutzerfunktionalität zu unterstützen, die Sicherheit aufrechtzuerhalten, vertragliche und rechtliche Verpflichtungen zu erfüllen, Geschäftsabläufe durchzuführen und GNOMI, seine Partner und seine Nutzer zu schützen. Wenn Daten nicht mehr erforderlich sind, löscht, anonymisiert, aggregiert oder entsorgt GNOMI sie sicher unter Verwendung geeigneter administrativer, technischer und verfahrensbezogener Kontrollen.

Aufbewahrungsfristen basieren auf Datentyp, Verarbeitungszweck, Nutzerbeziehung, Rechtsgrundlage, geschäftlichem Bedarf, vertraglichen Verpflichtungen, regulatorischen Anforderungen und Sicherheitsanforderungen. GNOMI überprüft regelmäßig Aufbewahrungs- und Löschpraktiken, um zu bestätigen, dass sie für sein Geschäft, seine Produkte, Systeme, Anbieter und anwendbare Datenschutzverpflichtungen angemessen bleiben.

GNOMI bewahrt vom Nutzer autorisierte Finanzintegrationsdaten nur so lange auf, wie es erforderlich ist, um die vom Nutzer angeforderte autorisierte Finanzintelligenz-Funktionalität bereitzustellen, einschließlich Portfolioanalyse, Diversifikationsanalyse, Portfolio-Sentiment-Generierung, KI-generierte Finanzeinblicke, Betrugsprävention und Integrationsunterstützung.

5. DSGVO-konforme Aufbewahrungsgrundsätze

• Speicherbegrenzung: GNOMI bewahrt personenbezogene Daten nur für den Zeitraum auf, der für den jeweiligen Verarbeitungszweck erforderlich ist, es sei denn, eine längere Aufbewahrung ist durch Gesetz, Vertrag, Sicherheit, Streitbeilegung, Prüfung, Buchhaltung oder Compliance-Anforderungen gerechtfertigt.
• Datenminimierung: GNOMI begrenzt aufbewahrte Daten auf das, was für den jeweiligen geschäftlichen, produktbezogenen, sicherheitsrelevanten, rechtlichen oder Compliance-Zweck vernünftigerweise erforderlich ist.
• Zweckbindung: GNOMI bewertet die Aufbewahrung auf der Grundlage des Zwecks, für den Daten erhoben oder anderweitig rechtmäßig verarbeitet wurden.
• Integrität und Vertraulichkeit: GNOMI schützt aufbewahrte Daten mit geeigneten Zugriffskontrollen, Least-Privilege-Berechtigungen, Überwachung und sicheren Handhabungspraktiken.
• Rechenschaftspflicht: GNOMI unterhält Verantwortlichkeiten für Eigentümerschaft, Überprüfung und Durchsetzung von Aufbewahrungs- und Löschentscheidungen.
• Rechte betroffener Personen: GNOMI bearbeitet anwendbare Lösch-, Berichtigungs-, Einschränkungs- und Widerspruchsanträge in Übereinstimmung mit anwendbarem Datenschutzrecht und etwaigen rechtmäßigen Ausnahmen.
• Nutzerautorisierungsbegrenzung: Finanzintegrationsdaten werden nur für die Dauer und die Zwecke aufbewahrt und verarbeitet, die vom Nutzer autorisiert und durch anwendbare rechtmäßige Verarbeitungsgrundlagen unterstützt werden.

6. Datenklassifizierung

GNOMI klassifiziert Daten basierend auf Sensibilität, Verarbeitungszweck, anwendbaren Verpflichtungen und operativer Nutzung. Aufbewahrungs- und Löschkontrollen werden entsprechend der Art der Daten und der Systeme, in denen sie sich befinden, angewendet.

• Kunden- und Nutzerdaten: kontobezogene Informationen, Nutzerprofilinformationen, Präferenzen, Produktnutzungsdaten, Support-Kommunikation und dienstbezogene Aufzeichnungen.
• Finanzverbindungsdaten: vom Nutzer autorisierte Maklerkontodaten, Bankbeziehungsdaten, Portfoliobestände, Transaktionsmetadaten, Investmentkonto-Metadaten, Kontostände, Finanzinstitutskennungen, Anmeldedaten oder Tokens für Finanzintegrationen, KI-generierte Finanzeinblicke, Portfolio-Analyseausgaben und zugehörige Informationen, die über Plaid oder ähnliche Finanzintegrationsanbieter verarbeitet werden.
• KI-generierte Financial Intelligence-Daten: Portfolio-Stimmungsanalysen, Diversifikationsanalysen, Finanzzusammenfassungen, kontospezifische KI-Ausgaben und zugehörige nutzerspezifische Financial Intelligence, die aus autorisierten Finanzintegrationen generiert wurde.
• Sicherheits- und Betriebsprotokolle: Authentifizierungsaufzeichnungen, Zugriffsprotokolle, Audit-Protokolle, Überwachungsdaten, Systemaktivitätsprotokolle und Aufzeichnungen zur Vorfallreaktion.
• Geschäfts- und Verwaltungsdaten: Verträge, Lieferantenunterlagen, Abrechnungsunterlagen, Unternehmensunterlagen, Rechtsunterlagen, Steuerunterlagen und interne Betriebsdokumentation.
• Aggregierte, anonymisierte oder de-identifizierte Daten: Analysen, Produktverbesserungsdaten und Berichtsdaten, die nicht in angemessener Weise mit einer identifizierbaren Person verknüpft sind.

7. Aufbewahrungsfristen

GNOMI wendet Aufbewahrungsfristen gemäß den nachstehenden Kategorien an. Bestimmte Fristen können angepasst werden, wenn dies gesetzlich, vertraglich, aus Sicherheitsgründen, aufgrund technischer Systemanforderungen oder genehmigter geschäftlicher Notwendigkeit erforderlich ist. Wenn keine bestimmte Aufbewahrungsfrist gesetzlich vorgeschrieben ist, bewahrt GNOMI Daten nur so lange auf, wie es für den jeweiligen Zweck erforderlich ist, und löscht, anonymisiert oder entsorgt sie anschließend auf sichere Weise.

Datenkategorie	Hauptzweck	Aufbewahrungsstandard	Löschungsmethode
Konto- und Benutzerprofilsdaten	Kontobetrieb, Authentifizierung, Benutzerunterstützung, Leistungserbringung	Aufbewahrt, solange das Konto aktiv ist und für einen begrenzten Zeitraum nach Schließung, soweit erforderlich für Sicherheits-, Betrugspräventions-, Rechts-, Prüfungs- oder Supportzwecke.	Löschung, Anonymisierung oder sichere Entfernung aus aktiven Systemen.
Vom Benutzer autorisierte Finanzintegrationsdaten	Bereitstellung autorisierter Financial-Intelligence-Funktionen, vom Benutzer angeforderte Funktionalität, Integrationsunterstützung und Sicherheit	Aufbewahrt nur, solange der Benutzer die autorisierte Finanzverbindung aufrechterhält oder solange erforderlich, um autorisierte Financial-Intelligence-Funktionalität bereitzustellen, Sicherheit zu gewährleisten, Betrug zu verhindern, rechtmäßige Geschäftsabläufe zu unterstützen, vertragliche Verpflichtungen zu erfüllen oder gesetzliche und regulatorische Anforderungen zu erfüllen. Widerrufene, getrennte, abgelaufene oder inaktive Integrationen werden gemäß betrieblichen und rechtlichen Anforderungen gelöscht, deaktiviert, anonymisiert oder durch Token-Widerruf entfernt.	Löschung aus aktiven Systemen, sicherer Token-Widerruf, Anonymisierung, eingeschränkte Archivaufbewahrung, wo gesetzlich erforderlich, oder sichere Entsorgung.
KI-generierte Finanzeinblicke und Portfolioanalysen	Portfolio-Intelligence, Diversifikationsanalyse, Stimmungsanalyse, KI-Chat-Funktionalität, vom Benutzer angeforderte Analysen	Aufbewahrt, solange zugehörige Benutzerkonten aktiv bleiben und die Funktionalität aktiviert bleibt, vorbehaltlich Löschungsanfragen, Sicherheitsanforderungen, gesetzlicher Verpflichtungen und betrieblicher Notwendigkeit	Löschung, Anonymisierung, Aggregation oder sichere Entsorgung
Support- und Kommunikationsaufzeichnungen	Kundensupport, Problemlösung, Qualitätssicherung und Compliance	Aufbewahrt, soweit erforderlich, um Anfragen zu bearbeiten, Serviceaufzeichnungen zu führen und geschäftliche oder rechtliche Anforderungen zu unterstützen.	Löschung oder sichere Archiventsorgung nach Ablauf.
Sicherheits-, Zugriffs- und Prüfprotokolle	Sicherheitsüberwachung, Betrugsprävention, Vorfallserkennung, Zugriffsprüfung, Audit und Systemintegrität	Aufbewahrt für einen Zeitraum, der dem Sicherheitszweck, den Systemanforderungen und den gesetzlichen oder vertraglichen Verpflichtungen angemessen ist.	Geplanter Ablauf, sichere Löschung oder eingeschränkte Archiventsorgung.
Abrechnungs-, Steuer-, Unternehmens- und Rechtsunterlagen	Buchhaltung, Steuern, Unternehmensführung, Prüfung, Vertragsverwaltung und Rechtskonformität	Aufbewahrt für den Zeitraum, der nach geltendem Recht, Prüfungsstandards, Vertrag oder Anforderungen der Unternehmensführung erforderlich ist.	Sichere Entsorgung nach Ablauf der rechtlichen oder geschäftlichen Notwendigkeit.
Aggregierte, anonymisierte oder de-identifizierte Daten	Analytik, Produktverbesserung, Forschung, Berichterstattung und Business Intelligence	Können für längere Zeiträume aufbewahrt werden, wenn die Daten nicht vernünftigerweise identifizierbar sind und außerhalb des Anwendungsbereichs personenbezogener Daten nach geltendem Recht liegen.	Fortlaufende Nutzung, weitere Aggregation oder Entsorgung, wenn nicht mehr benötigt.
Backups und Disaster-Recovery-Daten	Geschäftskontinuität, Sicherheitswiederherstellung und Systemwiederherstellung	Aufbewahrt gemäß Backup-Lebenszyklusplan und überschrieben oder gelöscht durch normale Backup-Rotation, sofern nicht einer rechtlichen Aufbewahrungspflicht unterworfen.	Geplantes Überschreiben, Ablauf oder sichere Vernichtung.

8. Datenlöschung und sichere Entsorgungsverfahren

GNOMI setzt Datenlöschung und -entsorgung durch administrative, technische und verfahrenstechnische Kontrollen durch. Entsorgungsmethoden werden basierend auf dem Datentyp, System, der Sensibilität, der Aufbewahrungsanforderung und der technischen Durchführbarkeit ausgewählt.

• Löschung oder Bereinigung aus aktiven Produktionssystemen, wenn Daten nicht mehr erforderlich sind.
• Anonymisierung oder Aggregation, wenn GNOMI Analysen oder Produkteinblicke bewahren muss, ohne vernünftigerweise identifizierbare Personenbezogene Daten aufzubewahren.
• Einschränkung oder Deaktivierung von Daten, wenn die Löschung vorübergehend durch Legal Hold, Sicherheit, Audit, Buchhaltung, Streitbeilegung oder technische Einschränkungen begrenzt ist.
• Sichere Entsorgung von Aufzeichnungen und Exporten unter Verwendung genehmigter Löschungs-, Vernichtungs- oder Zugriffswiderrufsverfahren.
• Überprüfung von Systemen und Anbietern, um zu bestätigen, dass Aufbewahrungs- und Entsorgungsverpflichtungen operationalisiert sind, wenn Daten im Auftrag von GNOMI verarbeitet werden.
• Widerruf und Löschung von Plaid-Zugriffstoken, OAuth-Anmeldedaten, API-Anmeldedaten und zugehörigen Integrationsgeheimnissen, wenn Integrationen getrennt, abgelaufen oder nicht mehr erforderlich sind.
• Löschung oder Anonymisierung von KI-generierten Finanzeinblicken, wenn zugehörige zugrunde liegende Finanzintegrationen widerrufen oder gelöscht werden, es sei denn, die Aufbewahrung ist anderweitig erforderlich.

9. DSGVO-Betroffenenanfragen und Kontoschließung

Wenn die DSGVO oder andere anwendbare Datenschutzgesetze gelten, bearbeitet GNOMI Betroffenenanfragen in Bezug auf Zugang, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit in Übereinstimmung mit den geltenden gesetzlichen Anforderungen und rechtmäßigen Ausnahmen. GNOMI bewertet Anfragen basierend auf der Identität des Antragstellers, der Art der Daten, der anwendbaren Rechtsgrundlage, den Systemanforderungen und jeder rechtmäßigen Verpflichtung zur Aufbewahrung von Daten.

Nach verifizierter Kontoschließung oder verifizierter Löschungsanfrage löscht, anonymisiert oder beschränkt GNOMI anwendbare Personenbezogene Daten aus aktiven Systemen, es sei denn, die Aufbewahrung ist aus rechtlichen, regulatorischen, vertraglichen, sicherheitstechnischen, Betrugspräventions-, Buchhaltungs-, Audit-, Streitbeilegungs- oder legitimen Geschäftszwecken erforderlich oder zulässig. Wenn Daten nicht sofort aus Backups gelöscht werden können, werden sie vor normaler Nutzung geschützt und durch den anwendbaren Backup-Lebenszyklus entfernt.

Wenn technisch machbar und rechtlich zulässig, bearbeitet GNOMI verifizierte Anfragen zur Trennung von Finanzintegrationen, zum Widerruf von Finanzzugriffstoken, zur Löschung zugehöriger Portfolio-Analysedaten und zur Entfernung von KI-generierten Finanzeinblicken, die mit vom Benutzer autorisierten Finanzintegrationen verbunden sind.

10. Legal Holds und Aufbewahrungsausnahmen

GNOMI kann normale Aufbewahrungs- oder Löschungspläne aussetzen, wenn Daten einem Legal Hold, Streitfall, einer Untersuchung, einer behördlichen Anfrage, einer Auditanforderung, einem Sicherheitsvorfall, einer vertraglichen Verpflichtung, einer Buchhaltungsverpflichtung oder einer anderen rechtmäßigen Geschäftsanforderung unterliegen. Daten, die einem Legal Hold oder einer genehmigten Ausnahme unterliegen, werden nur so lange aufbewahrt, wie die Ausnahme gilt, und werden dann dem anwendbaren Aufbewahrungs- und Entsorgungsverfahren zugeführt. Sicherheits-, Betrugspräventions-, Anti-Missbrauchs-, Streitbeilegungs-, Audit-, behördliche Überprüfungs- oder andere rechtmäßige Compliance-Verpflichtungen können eine begrenzte fortgesetzte Aufbewahrung von Finanzintegrationsaufzeichnungen oder sicherheitsbezogenen Finanzmetadaten erfordern.

11. Anbieter, Auftragsverarbeiter und Drittsysteme

Wenn GNOMI Drittanbieter-Dienstleister zur Speicherung oder Verarbeitung von Daten einsetzt, verlangt GNOMI eine angemessene Handhabung von Aufbewahrung und Entsorgung durch Anbieterprüfung, vertragliche Verpflichtungen, sofern anwendbar, und operative Kontrollen. Für Anbieter, die als Auftragsverarbeiter oder Dienstleister fungieren, erwartet GNOMI, dass Aufbewahrungs-, Löschungs-, Vertraulichkeits-, Sicherheits- und Unterstützungsverpflichtungen in anwendbaren Vereinbarungen, Datenverarbeitungsbedingungen oder Anbieterkontrollen behandelt werden.

GNOMI überprüft die Datenverarbeitungspraktiken von Anbietern entsprechend der Art des Dienstes, der Sensibilität der Daten und den anwendbaren Datenschutz- und Sicherheitsanforderungen. Wenn GNOMI eine verifizierte Löschungsanfrage erhält, die für Daten gilt, die von einem Anbieter oder Auftragsverarbeiter gehalten werden, unternimmt GNOMI angemessene Schritte, um die Löschungs-, Einschränkungs- oder Anonymisierungsanfrage über den anwendbaren Anbieter-Workflow zu kommunizieren oder auszuführen, vorbehaltlich rechtmäßiger Ausnahmen.

GNOMI bewertet Plaid und andere Finanzintegrationsanbieter hinsichtlich angemessener vertraglicher, Datenschutz-, Sicherheits-, Aufbewahrungs-, Löschungs-, Vertraulichkeits- und regulatorischer Compliance-Kontrollen.

Wenn erforderlich, implementiert GNOMI angemessene DSGVO-konforme Datentransferschutzmaßnahmen für grenzüberschreitende Verarbeitung, die Finanzintegrationsdaten betrifft.

12. Backups und Disaster Recovery

Daten, die in Backups oder Disaster-Recovery-Systemen enthalten sind, können für einen begrenzten Zeitraum nach der Löschung aus aktiven Produktionssystemen bestehen bleiben. Backup-Daten werden vor unbefugtem Zugriff geschützt und unterliegen Lebenszykluskontrollen, Aufbewahrungsplänen und geplanter Überschreibung oder Löschung. GNOMI verwendet Backup-Daten nicht für die normale Geschäftsverarbeitung nach einer anwendbaren Löschungsanfrage, außer wenn eine Wiederherstellung aus Sicherheits-, Disaster-Recovery-, rechtlichen oder betrieblichen Notwendigkeiten erforderlich ist. Finanzintegrationsdaten und KI-generierte Finanzeinblicke, die in Backup-Systemen aufbewahrt werden, unterliegen weiterhin Zugriffsbeschränkungen, Verschlüsselungskontrollen, Lebenszyklusmanagement und sicheren Überschreibungsverfahren.

13. Durchsetzung und Verantwortlichkeiten

Das Management, die Sicherheits-, Engineering-, Produkt-, Betriebs- und Compliance-Mitarbeiter von GNOMI sind für die Anwendung dieser Richtlinie in ihren Verantwortungsbereichen verantwortlich. Mitarbeiter und Auftragnehmer müssen genehmigte Aufbewahrungs-, Löschungs-, Zugriffskontroll- und Entsorgungsverfahren befolgen. Unbefugte Aufbewahrung, Export, Kopieren oder Entsorgung von Daten außerhalb genehmigter Prozesse ist verboten.

14. Regelmäßige Überprüfung

Diese Richtlinie wird mindestens jährlich und bei wesentlichen Änderungen an den Produkten, Systemen, Anbietern, Datenverarbeitungsaktivitäten, gesetzlichen Anforderungen, vertraglichen Verpflichtungen oder der Sicherheitslage von GNOMI überprüft. Überprüfungen sollen bestätigen, dass Aufbewahrungsstandards, Entsorgungsverfahren, DSGVO-konforme Praktiken, Anbieterkontrollen und operative Durchsetzung angemessen und wirksam bleiben. Überprüfungen müssen neue Finanzintegrationsfunktionen, KI-Finanzanalysefunktionalität, Portfolio-Analysesysteme, Änderungen an Plaid-Integrationen und sich entwickelnde Datenschutz- oder Finanzdatenverpflichtungen berücksichtigen.

15. Compliance-Bestätigung

GNOMI führt diese Richtlinie als aktive Unternehmensdokumentation für Datenaufbewahrung, -löschung und -entsorgung. Diese Richtlinie ist darauf ausgelegt, die Einhaltung anwendbarer Datenschutzgesetze, einschließlich der DSGVO, sofern anwendbar, zu unterstützen und einen definierten und durchsetzbaren Rahmen dafür zu bieten, wie GNOMI Daten aufbewahrt, löscht, anonymisiert und entsorgt.

16. Genehmigung

Genehmigt vom GNOMI-Management als aktive Unternehmensrichtlinie für Datenaufbewahrung und -entsorgung, einschließlich DSGVO-konformer Aufbewahrungs- und Löschungspraktiken.

12. Informationssicherheitsrichtlinie

Einschließlich DSGVO und anwendbarer Datenschutzrechtskontrollen

2. Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeiter, Gründer, leitenden Angestellten, Auftragnehmer, Berater, Dienstleister, Lieferanten, Systeme, Anwendungen, Cloud-Umgebungen, Datenbanken, Quellcode-Repositories, Produktionswerte, Unternehmensgeräte, Nutzerdaten, Partnerdaten und alle anderen Informationswerte von GNOMI, die zur Bereitstellung von GNOMI-Produkten und -Dienstleistungen verwendet werden.

Diese Richtlinie gilt für Unternehmens-, Kunden-, Nutzer-, Finanz-, technische, operative, Authentifizierungs-, API- und lieferantenverwaltete Daten, einschließlich nutzerautorisierter Maklerkontodaten, Bankbeziehungsdaten, Portfolio-Bestände, Transaktionsmetadaten, Finanzintegrations-Tokens, KI-generierter Portfolio-Analyse und Finanzintelligenz-Outputs, einschließlich personenbezogener Daten, sensibler Daten und regulierter Daten, die von oder im Auftrag von GNOMI verarbeitet werden.

3. Rechtliche, regulatorische und Datenschutz-Compliance

GNOMI konzipiert und betreibt sein Sicherheitsprogramm zur Unterstützung der Einhaltung aller anwendbaren Informationssicherheits- und Datenschutzgesetze, -vorschriften, -regelungen und vertraglichen Anforderungen, die für seine Geschäftstätigkeit relevant sind, einschließlich, sofern anwendbar:

• Datenschutz-Grundverordnung (DSGVO) und anwendbare EU/EWR-Datenschutzanforderungen;
• UK GDPR und Data Protection Act-Anforderungen, sofern anwendbar;
• US-Bundesstaaten-Datenschutz- und Sicherheitsgesetze, einschließlich CCPA/CPRA und des New York SHIELD Act, sofern anwendbar;
• GLBA- und FTC Safeguards Rule-Anforderungen, soweit GNOMI Daten verarbeitet, die diesen Verpflichtungen unterliegen;
• Vertragliche Partner-Sicherheitsverpflichtungen, einschließlich Datenschutz, Vertraulichkeit, Zugriffskontrolle, Vorfallsbenachrichtigung und Lieferanten-Sicherheitsanforderungen;
• Anwendbare Anforderungen an Verletzungsbenachrichtigung, Datenminimierung, Aufbewahrung, Löschung und Nutzerrechte;
• Vertragliche Sicherheits- und Datenverarbeitungsverpflichtungen von Plaid, die für Finanzintegrationsumgebungen gelten;
• Anwendbare Verpflichtungen zum Datenschutz, zur Sicherung und zum Verbraucherschutz von Finanzdaten in Bezug auf nutzerautorisierte Finanzintegrationen.

Wenn Gesetze, Verträge oder Partneranforderungen strengere Verpflichtungen als diese Richtlinie auferlegen, gilt der strengere Standard. GNOMI überprüft diese Richtlinie regelmäßig, um sicherzustellen, dass sie mit den anwendbaren rechtlichen, regulatorischen, Partner- und Sicherheitsanforderungen übereinstimmt.

4. DSGVO- und Privacy-by-Design-Anforderungen

GNOMI wendet Privacy-by-Design- und Security-by-Design-Prinzipien auf Systeme und Prozesse an, die personenbezogene Daten betreffen. Wenn die DSGVO anwendbar ist, sind die Sicherheits- und Datenschutzkontrollen von GNOMI darauf ausgelegt, die folgenden Grundsätze zu unterstützen:

• Rechtmäßigkeit, Fairness und Transparenz bei Datenverarbeitungsaktivitäten;
• Zweckbindung und Verwendung von Daten nur für legitime geschäftliche, produktbezogene, rechtliche, sicherheitsbezogene oder nutzerautorisierte Zwecke;
• Datenminimierung und Erhebung nur von Daten, die für den angegebenen Zweck vernünftigerweise erforderlich sind;
• Richtigkeit und angemessene Korrektur- oder Löschungsprozesse;
• Speicherbegrenzung durch definierte Aufbewahrungs- und Löschungsstandards;
• Integrität und Vertraulichkeit durch geeignete technische und organisatorische Maßnahmen;
• Rechenschaftspflicht durch Dokumentation, Verantwortlichkeit, Überprüfung und Durchsetzung von Datenschutz- und Sicherheitskontrollen.
• Die Verarbeitung nutzerautorisierter Finanzdaten muss auf den Umfang der Einwilligung, der vertraglichen Notwendigkeit oder einer anderen rechtmäßigen Grundlage beschränkt sein, die für die angeforderte Funktionalität gilt.
• Finanzintelligenz-Funktionen und KI-generierte Portfolio-Analysefunktionalität müssen Datenminimierung, Least-Privilege-Zugriff, sichere Verarbeitung und angemessene Nutzertransparenzkontrollen beinhalten.

GNOMI unterstützt Prozesse für Betroffenenrechte, einschließlich Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch, sofern anwendbar. Anfragen werden gemäß anwendbarem Recht und den internen Datenschutz-, Sicherheits-, Aufbewahrungs- und Legal-Hold-Anforderungen von GNOMI bewertet.

5. Sicherheits-Governance und Verantwortlichkeit

• Die Geschäftsführung ist dafür verantwortlich, dass GNOMI ein Informationssicherheitsprogramm unterhält, das der Größe, dem Risikoprofil, den Produkten, den Daten und den Partnerverpflichtungen des Unternehmens angemessen ist.
• Sicherheitsverantwortlichkeiten werden angemessen auf Engineering-, Produkt-, Betriebs-, Rechts- und Führungsstakeholder verteilt.
• Sicherheitsanforderungen werden in die Produktentwicklung, Lieferantenauswahl, Zugriffsverwaltung, Incident Response, Datenhandhabung und operative Entscheidungsfindung einbezogen.
• GNOMI unterhält interne Verfahren und unterstützende Kontrollen zur Umsetzung dieser Richtlinie, einschließlich Zugriffskontrollen, Datenaufbewahrung, Incident Response, Lieferantenmanagement und sicheren Entwicklungspraktiken.

6. Risikomanagement

GNOMI identifiziert, bewertet, mindert und überwacht Informationssicherheitsrisiken, die Vertraulichkeit, Integrität, Verfügbarkeit, Datenschutz oder rechtliche Compliance beeinträchtigen können. Die Risikoprüfung kann Systemarchitektur, Datenflüsse, Lieferantenabhängigkeiten, Authentifizierungskontrollen, Zugriffsrechte, Produktionsumgebungen, neue Produktfunktionen, Drittanbieter-Integrationen und Incident-Historie umfassen.

Wesentliche Risiken werden an das zuständige Management zur Behebung, Akzeptanz, Übertragung oder zusätzlichen Kontrollen eskaliert. Risikobehandlungsentscheidungen müssen rechtliche Anforderungen, Partnerverpflichtungen, Auswirkungen auf Nutzer, Sicherheitsauswirkungen und Geschäftskontinuität berücksichtigen.

Risikobewertungen müssen Finanzintegrationen, Plaid-Abhängigkeiten, KI-generierte Finanzanalysefunktionalität, Portfolio-Analysesysteme, Zugriffskontrollen für Finanzdaten, Modellausgaben und Finanzdatenflüsse von Drittanbietern berücksichtigen.

7. Datenklassifizierung und -handhabung

GNOMI klassifiziert und schützt Daten entsprechend ihrer Sensibilität, ihrem Geschäftswert, rechtlichen Verpflichtungen und Risiken. Datenkategorien können öffentliche, interne, vertrauliche, sensible, personenbezogene, finanzielle, Authentifizierungs-, Quellcode-, Sicherheits- und Partnerdaten umfassen.

• Auf sensible und personenbezogene Daten darf nur von autorisiertem Personal mit einem legitimen geschäftlichen Bedarf zugegriffen werden.
• Daten müssen unter Verwendung genehmigter Systeme und angemessener Schutzmaßnahmen gespeichert, übertragen und verarbeitet werden.
• Secrets, Zugangsdaten, Tokens, API-Schlüssel, private Schlüssel und Zertifikate dürfen nicht in Klartext-Repositories, ungesicherten Dokumenten, Chat-Nachrichten oder nicht autorisierten Systemen gespeichert werden.
• Produktionsdaten dürfen nicht in Nicht-Produktionsumgebungen kopiert werden, es sei denn, sie sind genehmigt und angemessen geschützt, minimiert, anonymisiert oder pseudonymisiert, wo dies machbar ist.
• Die Datenhandhabung muss mit den Aufbewahrungs-, Löschungs-, Entsorgungs- und Datenschutzanforderungen von GNOMI übereinstimmen.
• Vom Nutzer autorisierte Brokerage-Kontodaten, Bankinformationen, Portfolio-Bestände, Transaktionsmetadaten, KI-generierte Finanzeinblicke und Portfolio-Sentiment-Ausgaben müssen als Sensible Daten klassifiziert werden.
• Finanzintegrationsdaten dürfen nur über genehmigte Systeme und autorisierte Workflows verarbeitet werden.
• Produktions-Finanzintegrationsdaten dürfen nicht in Entwicklungs- oder Testumgebungen kopiert werden, es sei denn, sie sind minimiert, anonymisiert, pseudonymisiert oder anderweitig angemessen geschützt.

8. Identitäts- und Zugriffsverwaltung

GNOMI setzt Zugriffskontrollen durch, die darauf ausgelegt sind, den Zugriff auf Produktionsressourcen, Cloud-Ressourcen, administrative Tools, Systeme, Quellcode-Repositories und sensible Daten zu beschränken. Der Zugriff wird basierend auf Rolle, geschäftlichem Bedarf, dem Prinzip der geringsten Rechte und Genehmigungsanforderungen gewährt.

• Rollenbasierte Zugriffskontrolle (RBAC) wird verwendet, wo sie von Systemen und Anwendungen unterstützt wird.
• Privilegierter und administrativer Zugriff ist auf autorisiertes Personal beschränkt und wird regelmäßig überprüft.
• Zentralisierte Identitäts- und Zugriffsverwaltungslösungen werden gegebenenfalls zur Verwaltung der Benutzerauthentifizierung und -autorisierung eingesetzt.
• Multi-Faktor-Authentifizierung ist für privilegierte Konten und kritische Systeme erforderlich, wo sie unterstützt wird.
• Zugriffsüberprüfungen und Audits werden regelmäßig durchgeführt, um zu validieren, dass der Zugriff weiterhin angemessen ist.
• Der Zugriff wird geändert oder widerrufen, wenn Personal die Rolle wechselt, Verantwortlichkeiten überträgt oder seine Beziehung zu GNOMI beendet.
• Nicht-menschliche Authentifizierung, einschließlich Service-Konten, OAuth-Tokens, API-Zugangsdaten und TLS-Zertifikaten, muss genehmigt, sicher gespeichert, auf die minimal erforderlichen Rechte beschränkt und rotiert oder widerrufen werden, wenn sie nicht mehr benötigt wird.
• Der Zugriff auf Finanzintegrationssysteme, Plaid-Administrationsumgebungen, KI-Finanzintelligenz-Systeme und Nutzer-Finanzdatensätze muss auf autorisiertes Personal mit einem legitimen operativen, Sicherheits-, Compliance- oder Support-Bedarf beschränkt sein.
• Administrativer Zugriff auf Systeme, die in der Lage sind, vom Nutzer autorisierte Finanzkontodaten abzurufen oder zu analysieren, erfordert Multi-Faktor-Authentifizierung, wo sie unterstützt wird.

9. Sicherheit von Produktions-Assets

• Produktionsumgebungen müssen durch Zugriffskontrollen, Protokollierung, Überwachung, sichere Konfiguration und Change-Management-Praktiken geschützt werden.
• Der Zugriff auf Produktionsumgebungen ist auf Personal mit einem genehmigten betrieblichen oder technischen Bedarf beschränkt.
• Änderungen an Produktionssystemen müssen angemessenen Überprüfungs-, Test-, Genehmigungs- und Bereitstellungspraktiken folgen, die auf Risiko und Dringlichkeit basieren.
• Sensible Produktionsdaten sollten nicht exportiert, heruntergeladen oder übertragen werden, es sei denn, dies ist für einen legitimen geschäftlichen, rechtlichen, sicherheitstechnischen oder betrieblichen Zweck autorisiert.
• Notfallzugriff auf Produktionsumgebungen muss begrenzt, protokolliert und nach der Nutzung überprüft werden.
• Systeme, die vom Nutzer autorisierte Finanzdaten-Integrationsdaten verarbeiten, müssen angemessene Protokollierungs-, Überwachungs-, Verschlüsselungs-, Zugriffsbeschränkungs- und sichere Konfigurationskontrollen implementieren.
• Der Zugriff auf KI-generierte Finanzeinblicke und Portfolio-Analyse-Outputs muss im Einklang mit der Sensibilität der zugehörigen Nutzer-Finanzdaten eingeschränkt werden.

10. Verschlüsselung, Secrets und Schlüsselverwaltung

GNOMI verwendet angemessene technische Schutzmaßnahmen zum Schutz sensibler Daten, Zugangsdaten und Kommunikation. Verschlüsselung muss für sensible Daten während der Übertragung verwendet und auf sensible Daten im Ruhezustand angewendet werden, wo dies unterstützt und angemessen ist. Secrets, Tokens, Zertifikate, Schlüssel und Zugangsdaten müssen in genehmigten sicheren Systemen gespeichert und vor unbefugter Nutzung oder Offenlegung geschützt werden.

Schlüssel und Zugangsdaten müssen rotiert, deaktiviert oder widerrufen werden, wenn sie kompromittiert wurden, nicht mehr benötigt werden oder wenn sich der Zugriff von Personal oder Anbietern ändert. Zugangsdaten dürfen nicht zwischen Nutzern geteilt werden, außer wenn genehmigte Service-Account-Kontrollen verwendet werden.

Plaid-API-Zugangsdaten, Finanzdaten-Integrations-Tokens, OAuth-Zugangsdaten, Webhook-Secrets, Refresh-Tokens und zugehörige Finanzdaten-Integrations-Secrets müssen verschlüsselt, sicher gespeichert und vor unbefugtem Zugriff geschützt werden.

11. Protokollierung, Überwachung und Sicherheitsüberprüfung

GNOMI unterhält Protokollierungs- und Überwachungspraktiken, die seinen Systemen und seinem Risikoprofil angemessen sind. Protokolle können Authentifizierungsereignisse, administrative Aktivitäten, Anwendungsereignisse, Systemaktivitäten, Produktionsänderungen, Zugriffsänderungen und sicherheitsrelevante Fehler oder Warnmeldungen umfassen.

• Protokolle werden bei Bedarf überprüft, um Sicherheitsereignisse, betriebliche Probleme, Zugriffs-Anomalien und Vorfälle zu untersuchen.
• Sicherheitsrelevante Ereignisse werden an verantwortliches Personal zur Untersuchung und Behebung eskaliert.
• Überwachungs- und Warnkontrollen werden aktualisiert, wenn sich Systeme, Anbieter und Geschäftsrisiken weiterentwickeln.
• Protokolle, die Personenbezogene Daten oder sensible Informationen enthalten, müssen im Einklang mit den Aufbewahrungs- und Datenschutzverpflichtungen von GNOMI geschützt und aufbewahrt werden.
• Die Sicherheitsüberwachung sollte Finanzdaten-Integrationsaktivitäten, Plaid-Integrationsereignisse, Token-Management-Ereignisse, privilegierten Zugriff auf Finanzdatensätze und anomale Zugriffsmuster im Zusammenhang mit Nutzer-Finanzinformationen umfassen.

12. Sichere Entwicklung und Change Management

GNOMI integriert Sicherheit in die Softwareentwicklung und Produktbereitstellung. Sicherheitsanforderungen werden während des Designs, der Entwicklung, des Testens, der Bereitstellung und der Wartung von GNOMI-Systemen berücksichtigt.

• Code-Änderungen sollten vor der Bereitstellung in der Produktionsumgebung überprüft werden, wo dies angemessen ist.
• Sicherheitsrelevante Änderungen müssen hinsichtlich des Risikos bewertet werden, einschließlich Änderungen, die Authentifizierung, Autorisierung, Datenflüsse, APIs, Integrationen, Produktionsinfrastruktur oder sensible Daten betreffen.
• Abhängigkeiten, Bibliotheken und Drittanbieter-Komponenten sollten überprüft und bei Bedarf aktualisiert werden, um bekannte Schwachstellen zu reduzieren.
• Schwachstellen, die durch interne Überprüfung, Drittanbieter-Berichte, Überwachung oder Anbieter-Benachrichtigungen identifiziert werden, müssen basierend auf Schweregrad und geschäftlichen Auswirkungen priorisiert und behoben werden.
• Sicherheitsrelevante Änderungen, die Finanzdaten-Integrationen, Plaid-APIs, KI-generierte Portfolio-Analysen, Finanzanalysefunktionalität oder Nutzer-Finanzdatenflüsse betreffen, müssen vor der Bereitstellung einer angemessenen Sicherheits- und Datenschutzüberprüfung unterzogen werden.

13. Anbieter- und Drittanbieter-Sicherheit

GNOMI bewertet Drittanbieter, Auftragsverarbeiter, Unterauftragsverarbeiter und Integrationspartner basierend auf der Art der verarbeiteten Daten, den erbrachten Dienstleistungen, der betrieblichen Abhängigkeit, der Sicherheitslage, rechtlichen Verpflichtungen und vertraglichen Anforderungen.

• Anbieter, die sensible, personenbezogene, finanzielle oder Nutzerdaten verarbeiten, müssen auf angemessene Sicherheits- und Datenschutzvorkehrungen überprüft werden.
• Verträge sollten gegebenenfalls Vertraulichkeits-, Datenschutz-, Sicherheits-, Zugriffskontroll-, Vorfallsbenachrichtigungs-, Aufbewahrungs-, Lösch- und Unterauftragsverarbeiterpflichten enthalten.
• Der Zugriff von Anbietern auf GNOMI-Systeme oder -Daten muss auf die autorisierte Nutzung beschränkt und widerrufen werden, wenn er nicht mehr erforderlich ist.
• GNOMI überwacht wesentliche Anbieterrisiken und kann gegebenenfalls Sicherheitsdokumentation, Bestätigungen oder Compliance-Nachweise von Anbietern anfordern.
• Anbieter von Finanzintegrationen, einschließlich Plaid und zugehöriger Unterauftragsverarbeiter, müssen hinsichtlich Sicherheitslage, Datenschutzkontrollen, Einhaltung regulatorischer Anforderungen und vertraglicher Datenschutzverpflichtungen bewertet werden.
• Grenzüberschreitende Übermittlungen, die EU- oder UK-Finanzintegrationsdaten betreffen, müssen gegebenenfalls geeignete rechtmäßige Übermittlungsmechanismen nutzen.

14. Incident Response und Meldung von Datenschutzverletzungen

GNOMI unterhält Verfahren zur Reaktion auf Vorfälle, um Sicherheitsvorfälle zu identifizieren, zu untersuchen, einzudämmen, zu beheben, zu dokumentieren und zu kommunizieren. Sicherheitsvorfälle können unbefugten Zugriff, Datenoffenlegung, Kompromittierung von Zugangsdaten, Systemkompromittierung, Datenverlust, Malware, Dienstunterbrechung oder vermutete Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit umfassen.

• Vorfälle müssen umgehend an die zuständigen internen Stakeholder eskaliert werden.
• GNOMI wird die Art, den Umfang, die betroffenen Systeme, die betroffenen Daten, die Auswirkungen auf Nutzer, die Auswirkungen auf Partner, rechtliche Verpflichtungen und Abhilfemaßnahmen bewerten.
• Die Benachrichtigung von Nutzern, Aufsichtsbehörden, Partnern, Anbietern oder anderen Parteien erfolgt, wenn dies nach geltendem Recht, Vertrag oder der Entscheidung von GNOMI zur Reaktion auf Vorfälle erforderlich ist.
• Aus Vorfällen gewonnene Erkenntnisse können zur Verbesserung von Kontrollen, Verfahren, Schulungen, Überwachung und Anbieteraufsicht verwendet werden.
• Vorfälle, die Finanzintegrationssysteme, Plaid-Zugangsdaten, Makler- oder Bankinformationen, Portfolio-Analysesysteme oder KI-generierte Finanzintelligenz-Outputs betreffen, müssen für Untersuchung und Eindämmung priorisiert werden.

15. Datenaufbewahrung, Entsorgung und Legal Hold

GNOMI bewahrt Informationen nur so lange auf, wie es für den Zweck, für den sie erhoben oder verarbeitet wurden, vernünftigerweise erforderlich ist, einschließlich Produktbereitstellung, Nutzerkontenverwaltung, Sicherheit, Betrugsprävention, Analysen, Rechtskonformität, Finanzunterlagen, vertragliche Verpflichtungen, Streitbeilegung und legitime Geschäftstätigkeiten.

• Personenbezogene Daten müssen gelöscht, anonymisiert oder sicher entsorgt werden, wenn sie nicht mehr erforderlich sind, vorbehaltlich rechtlicher, regulatorischer, vertraglicher, sicherheitsbezogener oder legitimer geschäftlicher Aufbewahrungsanforderungen.
• Anfragen zur Löschung von Nutzerdaten und Kontoschließung werden in Übereinstimmung mit den geltenden Datenschutzgesetzen und den Aufbewahrungsanforderungen von GNOMI bearbeitet.
• Backups und Protokolle werden gemäß definierten Lebenszykluspraktiken aufbewahrt und entsorgt und können aufgrund technischer, sicherheitsbezogener oder rechtlicher Anforderungen einer verzögerten Löschung unterliegen.
• Legal Holds können die Löschung oder Entsorgung aussetzen, wenn es erforderlich ist, Informationen für rechtliche, regulatorische, Prüfungs-, Untersuchungs- oder Streitbeilegungszwecke aufzubewahren.
• Finanzintegrationsdaten und KI-generierte Finanzeinblicke müssen gelöscht, anonymisiert, eingeschränkt oder token-widerrufen werden, wenn sie für autorisierte Funktionalität nicht mehr erforderlich sind, vorbehaltlich rechtmäßiger Aufbewahrungsanforderungen.

16. Personalsicherheit und Schulung

GNOMI-Personal und Auftragnehmer mit Zugriff auf Unternehmenssysteme, Produktionsressourcen oder sensible Daten müssen diese Richtlinie und die geltenden Sicherheitsverfahren befolgen. Von Personal wird erwartet, dass es Zugangsdaten schützt, genehmigte Systeme verwendet, vermutete Sicherheitsvorfälle meldet und Daten gemäß Klassifizierung und Need-to-know-Anforderungen handhabt.

Sicherheits- und Datenschutzbewusstsein kann durch Onboarding, rollenspezifische Anleitung, interne Kommunikation und laufende Updates bereitgestellt werden, während sich GNOMIs Produkte, Risiken und Compliance-Verpflichtungen weiterentwickeln.

Personal mit Zugriff auf Finanzintegrationssysteme oder nutzerautorisierte Finanzdaten kann zusätzliche Anleitung bezüglich Umgang mit Finanzdaten, Datenschutzverpflichtungen, sicherer Verarbeitung, Phishing-Prävention, Token-Sicherheit und Verfahren zur Vorfallseskalation erhalten.

17. Business Continuity und Verfügbarkeit

GNOMI unterhält angemessene Maßnahmen zur Unterstützung der Kontinuität und Verfügbarkeit kritischer Dienste. Kontrollen können Cloud-Resilienz, Backups, Überwachung, Vorfallseskalation, Überprüfung von Anbieterabhängigkeiten, Disaster-Recovery-Planung und operative Reaktionsverfahren basierend auf Systemkritikalität und Risiko umfassen. Die Business-Continuity-Planung sollte Abhängigkeiten von Plaid und anderen Finanzintegrationsanbietern berücksichtigen, einschließlich Verfügbarkeitsrisiken, Anbieterausfällen, Token-Fehlern und Störungen von Finanzintegrationsdiensten.

18. Ausnahmen

Jede Ausnahme von dieser Richtlinie muss von der zuständigen GNOMI-Geschäftsleitung auf der Grundlage von Geschäftsbedarf, Risiko, kompensierenden Kontrollen, Dauer und rechtlichen oder vertraglichen Anforderungen genehmigt werden. Ausnahmen müssen gegebenenfalls dokumentiert und regelmäßig überprüft werden, bis sie behoben oder formell akzeptiert sind.

19. Durchsetzung

Die Nichteinhaltung dieser Richtlinie kann zum Widerruf des Zugriffs, zu Abhilfeanforderungen, Anbietermaßnahmen, Disziplinarmaßnahmen, Vertragsbeendigung oder anderen Maßnahmen führen, die der Art und Schwere des Verstoßes angemessen sind. GNOMI kann vermutete Verstöße untersuchen und Korrekturmaßnahmen ergreifen, um Unternehmenssysteme, Nutzer, Partner und Daten zu schützen.