Page tree
Skip to end of metadata
Go to start of metadata

Häufig treten Kunden an uns heran mit der Bitte, vor Projektbeginn Non-Disclosure-Agreements (NDAs) zu unterzeichnen. Selbstverständlich behandelt //SEIBERT/MEDIA Kundendaten streng vertraulich. Vertraulichkeitsvereinbarungen unterzeichnen wir auch gerne - sofern sie beidseitig gelten und keine Konventionalstrafen vorsehen.

Kunden vertrauen //SEIBERT/MEDIA

Wir arbeiten für 50 Prozent der Top-30-DAX-Unternehmen und weitere weltweit agierende Konzerne, die ein besonders hohes Sicherheitsbedürfnis und strengste Compliance-Richtlinien haben. Die enge, vertrauensvolle, teils langjährige Zusammenarbeit mit diesen großen Kunden und Hunderten anderen kleinen, mittleren und großen Unternehmen bestätigt: //SEIBERT/MEDIA ist vertrauenswürdig und geht verantwortungsvoll mit Kundendaten und -informationen um.

Sichere Passwörter

Wir verwalten sämtliche Passwörter sicher verschlüsselt mit der professionellen Software Password Manager Pro. Diese ist hinter unserer Firewall installiert und von außen nicht erreichbar. Auf Kundenpasswörter haben nur die Mitarbeiter Zugriff, die unmittelbar in das Projekt involviert sind und die den Zugang direkt für ihre Arbeit im Projekt benötigen. Dabei wird jeder Passwortabruf registriert und personalisiert dokumentiert. Nicht involvierte Mitarbeiter können nicht auf Kundenpasswörter, für die sie keine Legitimation haben, zugreifen.

Passwortrichtlinien (vorgeschriebene Passwortkomplexität, Lebensdauer von Passwörtern)

Häufig stellen schlechte und unsichere Passwörter eines der eklatantesten Sicherheitslöcher in digitalen Systemen dar. Wir vergeben für all unsere Systeme nur sichere Passwörter (mind. 8 Zeichen, große und kleine Buchstaben, Zahlen, Sonderzeichen) und sorgen dafür, dass diese regelmäßig verändert (Intervall, keine Wiederholungen, ...) werden.

Geschütztes Kunden-Wiki

Projektinformationen für unsere Kunden legen wir in unserem Kunden-Wiki ab. Dieses Wiki ist in Form geschützter Bereiche organisiert. Auf einen Kundenbereich hat niemand außer der/die Ansprechpartner auf Kundenseite und die direkt am Projekt beteiligten Mitarbeiter Zugriff. Das Kunden-Wiki steht auch hinter unserer Firewall (per Firewall geschützte DMZ, also nicht direkt im Internet).

Wo irgend möglich, vermeiden wir E-Mails

Die E-Mail ist der sicherheitsanfälligste Kommunikationsweg. Deshalb vermeiden wir es nach Möglichkeit, vertrauliche Informationen auf diesem Wege auszutauschen, und kommunizieren auch nicht großzügig über Verteiler mit zahlreichen Empfängern. Lieber nutzen wir unsere Wikis und andere - sichere - Kommunikationskanäle. Falls doch mal intern per E-Mail sensitive Daten kommuniziert werden sollen, werden diese verschlüsselt (SMIME) verschickt. Viele unsere Mitarbeiter nutzen aktiv digitale Zertifikate und Verschlüsselung in Ihren E-Mails.

SSL-Verschlüsselung aller internen Systeme

Alle unsere webbasierten Systeme, die für die Projektarbeit relevant sind (Aufgabenmanagementsystem, Projektmanagementsystem, internes Wiki, ...) sind SSL-verschlüsselt und hinter unserer Firewall integriert. Sofern ein Projekt die vorübergehende Ablage sicherheitskritischer Kundendaten in einem dieser internen Systeme erforderlich macht, werden diese Informationen zusätzlich geschützt und vor unautorisiertem Zugriff auch durch nicht involvierte Mitarbeiter gesichert.

Penetrationstests als Dienstleistung

Als Unternehmen bieten wir professionelle Penetrationstests an, in denen wir prüfen, wie sicher Systeme vor Angriffen sind. Daher kennen wir uns gut aus mit der Schaffung und dem Erhalt der Sicherheit unserer eigenen Systeme.

Wir unternehmen alle technisch und organisatorisch möglichen Anstrengungen, um die Vertraulichkeit von Kundeninformationen zu gewährleisten. Und wie Sie wünschen wir uns eine transparente, respektvolle und faire Zusammenarbeit auf Augenhöhe - mit tollen Ergebnissen und maximaler Zufriedenheit statt "Drohgebärden" und Misstrauen. Gerne unterzeichnen wir NDAs, wenn sie beidseitig gelten. Vorgesehene Konventionalstrafen streichen wir aus NDAs heraus, da das deutsche Urheberrecht Schadenersatzforderungen bereits umfassend reguliert. Darüber hinaus bedarf es diesbezüglich keiner gesonderten Regelungen.

Vorschlag für eine Vertraulichkeitserklärung

Direktlink zum Download: PDF, DOCX

Wie //SEIBERT/MEDIA NDA-Anforderungen erfüllt

Sofern ein NDA gewünscht oder erforderlich ist, legen uns Kunden in der Regel ein Dokument "Allgemeine Beschreibung der Maßnahmen nach § 9 BDSG, die eine Beurteilung der Angemessenheit ermöglichen" vor, das auszufüllen ist. Dieses Dokument enthält in der Regel acht Anforderungen, die sich an die "in der Anlage zu diesem Gesetz genannten Anforderungen" anlehnen.

1. Zutrittskontrolle

Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

Stellt //SEIBERT/MEDIA sicher durch: Zutrittskontrollsystem, Ausweisleser, kontrollierte Ausgabe von Magnetkarten/Chipkarten, Türsicherung (elektrische Türöffner usw.), Wach- und Schließdienst

2. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Stellt //SEIBERT/MEDIA sicher durch: Kennwortverfahren (unter Berücksichtigung von Sonderzeichen, Mindestlänge sieben Zeichen, regelmäßiger Wechsel des Kennworts), zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie

3. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Stellt //SEIBERT/MEDIA sicher durch: Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte), Löschung

4. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Stellt //SEIBERT/MEDIA sicher durch: Verschlüsselung / Tunnelverbindung (VPN=Virtual Private Network), Elektronische Signatur

5. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Stellt //SEIBERT/MEDIA sicher durch: TBA.

6. Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Stellt //SEIBERT/MEDIA sicher durch: Eindeutige Vertragsgestaltung, Formalisierte Auftragserteilung (Auftragsformular), Kontrolle der Vertragsausführung

7. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Stellt //SEIBERT/MEDIA sicher durch: Backup-Verfahren, Spiegeln von Festplatten (z.B. RAID-Verfahren), Unterbrechungsfreie Stromversorgung (USV), Getrennte Aufbewahrung, Virenschutz / Firewall

8. Trennungsgebot

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Stellt //SEIBERT/MEDIA sicher durch: Funktionstrennung (Produktion / Test)

Datenschutzbeauftragter

Datenschutzbeauftragter bei //SEIBERT/MEDIA ist der Rechtswissenschaftler Prof. Dr. jur. Thomas-Michael Seibert.

Weitere Informationen zur IT-Sicherheit bei //SEIBERT/MEDIA

Non Disclosure Agreements