Kontakt

Sicherheit bei der Auftragsdatenverarbeitung

Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA

Offene Fragen?
rafiki
Inhaltsübersicht

Vertraulichkeit

Zutrittskontrolle

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu den Büroräumen, in denen personenbezogene Daten verarbeitet, genutzt oder gespeichert werden:

Technische Maßnahmen
  • Alarmanlage (gilt für Standorte Luisenstraße 37-39 (Headquater), Luisenforum/Kirchgasse 6, und Tower/Kirchgasse 2)
  • Chipkarten/Transpondersystem
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt aller Mitarbeiter*innen zu den Büroflächen (alle Standorte)
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt in den Server-Raum, das Personal-Büro und das Archiv beschränkt auf bestimmte Mitarbeiter*innen (Need-to-Know-Prinzip)
  • Türen mit Knauf Außenseite
  • Videoüberwachung der Eingänge zu den Büroflächen
Organisatorische Maßnahmen
  • Empfang am Standort Luisenstraße 37-39 (Headquarter), Besetzung zu Geschäftszeiten 9-17 Uhr
  • Protokollierung der Besucher:innen in Besucherliste durch den Empfang
  • Besucher:innen werden in den durch das Transpondersystem geschützten Bereichen von Mitarbeiter:innen begleitet
  • Zentrales Netzwerk-Equipment in abgeschlossenen Schränken
  • Verwahrung mobiler Geräte im Büro in abschließbaren Schränken und Tresoren
  • Sorgfalt bei der Auswahl des Reinigungsdienstes
    Sorgfalt bei der Auswahl von sämtlichen Dienstleistern und Lieferanten, welche Zutritt zu den Büroflächen erhalten sowie Begleitung dieser durch Mitarbeiter:innen
  • Sicherheitsdienst am Standort Luisenforum/Kirchgasse 6 (Headquarter)
    • außerhalb der Öffnungszeiten des Luisenforums patrouilliert der Sicherheitsdienst
    • Zugang zu den Büroräumen dann nur in Begleitung des Sicherheitsdienstes möglich

 

Zugangskontrolle

Folgende Maßnahmen verhindern, dass Anlagen von Unbefugten genutzt werden können:

Technische Maßnahmen
  • Login mit Benutzername und Passwort
  • Zentrale Passwortvergabe: Passwörter werden von einer IT-Software nach festgelegten Kriterien (Vorgabe Länge und Komplexität) generiert
  • Zwei-Faktor-Authentifizierung für Google-Workspace und darüber authentifizierte Anwendungen
  • Zentrale, softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Zugriff auf Serversysteme nur mit persönlicher passwortgeschützter Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Betrieb von Firewallsoftware auf jedem Serversystem
  • Mobile Device Management
  • Einsatz einer verschlüsselten VPN-Verbindung bei Remote-Zugriffen
  • Verschlüsselung von Datenträgern, insb. Notebooks und Smartphones sowie Backup-Datenträgern
  • Flächendeckender Einsatz von Encryption at Rest
  • Automatische Desktopsperre
  • Biometrische Zugangssperre für den Zugang zu Tresoren (Fingerabdruckscanner)
Organisatorische Maßnahmen
  • Verwalten von Benutzerberechtigungen auf Basis der Notwendigkeit und eindeutige Zuordnung von Benutzerkonten zu Benutzern und dokumentierter Ablauf für das Anlegen und Sperren von neuen/ausscheidenden Mitarbeitern
  • Jährliche Erinnerung an die Notwendigkeit eines Passwortwechsels
  • Elektronische Schlüssel für den Remote-Zugang sind eindeutig autorisierten Benutzern zugeordnet
  • Softwaretechnische Steuerung, mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann
  • Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit Passwörtern
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Richtlinie zur Nutzung von mobilen Datenträgern
  • Anleitung zur manuellen Desktopsperre

 

Zugriffskontrolle

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Technische Maßnahmen
  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)
  • Physische Löschung von Datenträgern durch qualifizierte Dienstleister
  • Flächendeckende Protokollierung von Zugriffen
Organisatorische Maßnahmen
  • Einsatz eines Berechtigungskonzeptes
  • Verwaltung der Benutzerrechte durch Administratoren
  • Prozess auf Basis einer Check-Liste zum Entzug von Rechten bei Austritt aus dem Unternehmen

 

Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Technische Maßnahmen
  • Trennung von Produktiv- und Testsystem durch unterschiedliche virtuelle Maschinen
  • Abschottung unabhängiger Systeme durch VLANs, Firewalling und virtuelle Maschinen mit jeweils eigenen Datenbanken
Organisatorische Maßnahmen
  • Steuerung über ein Berechtigungskonzept

Integrität

Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Technische Maßnahmen
  • Einsatz von Verschlüsselungen bei Web-Übertragung (flächendeckender Einsatz von HTTPS und VPN)
  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen
  • Sichere Transportbehälter bei Aktenvernichtung von Dokumenten mit personenbezogenen Daten
Organisatorische Maßnahmen
  • Weitergabe in anonymisierter oder pseudonymisierter Form, wenn möglich, bzw. erforderlich
  • Sorgfalt bei der Auswahl von Transportdienstleistern
  • Einsatz von verschlüsselten Datenträgern beim physischen Transport (dieser wird soweit möglich vermieden)

 

Eingabekontrolle

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Technische Maßnahmen
  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Technische Maßnahmen
  • Feuer- und Rauchmeldeanlagen
  • RAID-System
  • Stündliche Snapshots innerhalb des Kundensystems und tägliche Backups auf entfernten Storage-Systemen: https://seibert.biz/backupkonzept
  • Getrennte Partitionen für Betriebssysteme und Daten zur Begrenzung von Ausfällen beim Überschreiten von Storagekapazitäten
  • Monitoring in Bezug auf die Verfügbarkeit von Anwendungen, Diensten und IT-Systeme
Organisatorische Maßnahmen

  • Einsatz von ISO 27001 zertifizierten IaaS-Dienstleistern für den ausfallsicheren Betrieb der Kundensysteme

  • Backup- und Recovery-Konzept: https://seibert.biz/backupkonzept
  • Regelmäßige Tests zur Datenwiederherstellung
  • Betrieb von Produktivsystemen und Backup-Servern in unterschiedlichen, geographisch getrennten Rechenzentren
  • Dokumentiertes Vorgehen im Notfall auf Basis eines Notfallplans

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

Organisatorische Maßnahmen
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter:innen nach Bedarf/Berechtigungen
  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Externer Datenschutzbeauftragter und interner Informationssicherheitsbeauftragter
  • Verpflichtung der Mitarbeiter:innen auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter:innen in Schulungen und mindestens 2-jährlich stattfindenden, persönlichen Sensibilisierungen zum Thema IT-Sicherheit
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

 

Incident-Response-Management

Technische Maßnahmen
  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Monitoring zur Erkennung von fremden Prozessen auf Serversystemen
Organisatorische Maßnahmen
  • Dokumentierter Prozess zur Meldung zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Einbindung von DSB und ISB in Sicherheits- und Datenschutzvorfällen
  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticket-System und Wiki
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheits- und Datenschutzvorfällen

Auftragskontrolle (Outsourcing an Dritte)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Organisatorische Maßnahmen
  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Prüfung und Sicherstellung der mit den Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

Organisatorische Maßnahmen
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter:innen nach Bedarf/Berechtigungen
  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Externer Datenschutzbeauftragter und interner Informationssicherheitsbeauftragter
  • Verpflichtung der Mitarbeiter:innen auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter:innen in Schulungen und mindestens 2-jährlich stattfindenden, persönlichen Sensibilisierungen zum Thema IT-Sicherheit
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

 

Incident-Response-Management

Technische Maßnahmen
  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Monitoring zur Erkennung von fremden Prozessen auf Serversystemen
Organisatorische Maßnahmen
  • Dokumentierter Prozess zur Meldung zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Einbindung von DSB und ISB in Sicherheits- und Datenschutzvorfällen
  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticket-System und Wiki
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheits- und Datenschutzvorfällen

 

Auftragskontrolle (Outsourcing an Dritte)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

Organisatorische Maßnahmen
  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Prüfung und Sicherstellung der mit den Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer

Weitere Themen im Trust Center

startseite 1 1

Backup-Konzept
startseite 2 1

Monitoring-Konzept
startseite 3 1

Leitlinie zur Informationssicherheit
Zum Trunst Center
Group 169777

Sicherer Betrieb für eure Atlassian-Applikationen

Wir stellen eine leistungsfähige, stabile und sichere Betriebsumgebung für eure Atlassian-Tools zur Verfügung. Durch die Auswahl eures präferierten Hosting Providers und der Betriebsart erhaltet ihr ein auf eure Bedürfnisse zugeschnittenes Hosting-Angebot.

Zu den Hosting-Optionen

Das könnte dich auch interessieren

Social Media Seibert Academy Schulungen für Jira Cloud

5. Dezember 2023

Neu in der Seibert Academy: Das kleine 1×1, wenn du Jira richtig nutzen willst
Zwei neue Kurse in der Seibert Academy zeigen dir, wie Jira Cloud dich in Sachen Selbstorganisation und Projektplanung unterstützen kann.
blog seibert media atlassian services atlassian compass 1200x627 2

21. November 2023

10 Best Practices für das IT-Service-Management (ITSM)
So holst du das Beste aus deiner IT
blog seibert media jira und confluence 1200x627px

14. November 2023

Zusammenspiel zwischen Jira und Confluence
Drei Beispiele für eine wirkungsvolle Integration
Mehr im Blog lesen