Seitenhierarchie
Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Wenn Sie möchten, dass die unten stehenden Regelungen zum verbindlichen Bestandteil unserer ständigen Zusammenarbeit werden, muss dies vertraglich explizit vereinbart werden. Bitte sprechen Sie uns darauf an.

Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA

Die folgenden technischen und organisatorischen Maßnahmen (kurz TOM) zur Gewährleistung von Datenschutz und Datensicherheit sind bei der //SEIBERT/MEDIA GmbH implementiert:

Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO)

  • Einsatz von Verschlüsselung bei Web-Übertragung (flächendeckender Einsatz von HTTPS)

  • Zugriff auf personenbezogene Daten nur über authentifizierte Kanäle

  • Bei Bedarf Einsatz von E-Mail-Zertifikaten für Signierung und Verschlüsselung

  • Einsatz von Festplattenverschlüsselung für Clientsysteme insbesondere Notebooks und externen Backup-Datenträgern

  • Einsatz von verschlüsselten Datenträgern beim physischen Transport

  • Zugriff auf das interne Netzwerk des Auftragnehmers ist nur über verschlüsselte VPN-Verbindung möglich

  • Zugriff auf Serversysteme mit persönlicher Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell) durch Benutzer mit Administratorrechten

  • Zusätzliche Passwortverschlüsselung der persönlichen Schlüsseldatei

  • Zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie

Gewährleistung der Vertraulichkeit und Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden:

Rechenzentrum (Standort Frankfurt)

  • Zutritt zu den Rechenzentren nur für autorisierte Mitarbeiter (ausschließlich Mitarbeiter des Auftragnehmers und des Rechenzentrumsbetreibers)

  • Zutrittskontrolle erfolgt durch persönliche Magnetkarten und Fingerabdruckscanner

  • Server in abgeschlossenen Serverschränken

  • Regelmäßige Kontrollgänge des Sicherheitsdienstes

  • Überwachung und Aufzeichnung des Zutritts durch Kameras

Büro (Standort Wiesbaden)

  • RFID-basiertes Zutrittskontrollsystem für den Zutritt zu den Büroflächen

  • Videoüberwachung der Eingangsbereiche des Büros

  • Server in abgeschlossenen Serverräumen mit Videoüberwachung

  • Verschluss mobiler Geräte über Nacht in Tresoren

  • Zentrales Alarmanlagensystem des Luisenforums (Einkaufszentrum)

  • Regelmäßige Kontrollgänge des Sicherheitsdienstes

Zugangskontrolle

Folgende Maßnahmen verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  • Die unternehmensweiten Mitarbeiterpasswörter werden zentral von einer IT-Software generiert und vorgegeben. Die Passwörter bestehen aus einer Kombination aus Klein-, Großbuchstaben, Zahlen und gebräuchlichen Sonderzeichen mit einer Mindestlänge von 12 Zeichen. Nach 12 Monaten werden die Passwörter invalidiert, so dass zwingend ein neues Passwort generiert werden muss.

  • Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit anderen Passwörtern

  • Einsatz von Festplattenverschlüsselung für Clientsysteme insbesondere Notebooks und externen Backup-Datenträgern

  • Zugriff auf Serversysteme mit persönlicher Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell) durch Benutzer mit Administratorrechten

  • Zusätzliche Passwortverschlüsselung der persönlichen Schlüsseldatei

  • Automatisches Sperren des Bildschirms mit Passwortschutz nach maximal 10 Minuten

  • Zentrale softwaregestützte Kennwortverwaltung mit Zugriffshistorie

  • Dokumentierter Ablauf für das Anlegen und Sperren von neuen/scheidenden Mitarbeitern

  • Eindeutige Zuordnung von Benutzerkonten zu Benutzern

Zugriffskontrolle

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Trennung von Berechtigungsbewilligung (organisatorisch) durch Abteilungsleitung / Geschäftsleitung / Geschäftsführung und Berechtigungsvergabe (technisch) durch IT-Abteilung

  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen

  • Elektronische Schlüssel für den Fernzugriff sind eindeutig autorisierten Benutzern oder Benutzergruppen zugeordnet

  • Softwaretechnische Steuerung mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann

  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)

  • Auf Endbenutzerebene erfolgt Zugriffskontrolle nach Maßgabe des Auftraggebers. Eine entsprechende Implementierung erfolgt nach den üblichen Sicherheitsstandards zum Zeitpunkt der Implementierung.

Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

  • Einsatz von Verschlüsselung bei Übertragung (flächendeckender Einsatz von HTTPS)

  • Einsatz von E-Mail-Zertifikaten für Signierung und Verschlüsselung

  • Zugriff auf personenbezogene Daten nur über authentifizierte Kanäle

  • Einsatz von verschlüsselten Datenträgern beim physischen Transport

  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen

  • Zugriff auf das interne Netzwerk des Auftragnehmers ist nur über verschlüsselte VPN-Verbindung möglich

Eingabekontrolle

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Flächendeckend automatisch konfiguriertes Monitoring und Protokollierung von Zugriffen

Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Rechenzentrum (Standort Frankfurt)

  • Abschottung unabhängiger Systeme auf Netzwerkebene durch VLANs

  • Trennung von Test- und Produktivsystemen durch unterschiedliche virtuelle Maschinen

Büro (Standort Wiesbaden)

  • Bei der Entwicklung von Softwaresystemen wird ein Staging (Trennung von Test- und Produktivsystem) eingesetzt.

  • Kunden-WLAN beschränkt auf Internetzugriff, kein Zugang zu internen Systemen

Weitere technische Maßnahmen

  • Regelmäßiges Einspielen von Updates für alle Betriebssysteme und Anwendungen

    • Betriebssystem-Updates wöchentlich

    • interne Anwendungen von //SEIBERT/MEDIA monatlich

    • für Kunden betriebene Anwendungen auf Anfrage

    • außerplanmäßig bei bekannten Sicherheitslücken

Gewährleistung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Einsatz von Virtualisierung

  • Datenspeicherung nur auf redundanter Infrastruktur (RAID)

  • Einsatz redundanter, unterbrechungsfreier Stromversorgung und von Notstromaggregaten

  • Detailliertes Monitoring aller Serversysteme zur Erkennung von Störungen

  • Einsatz von Software-Firewalls auf allen Serversystemen

  • Einsatz von weiteren Schutzmechanismen (Virenscanner, SPAM-Filter, Verschlüsselungsprogramme) abgestimmt nach Kundenprojekt

Wiederherstellung der Verfügbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

  • Tägliche Snapshots und Backups auf Festplatten-Storage-Systemen an weiteren Standorten

    • Zugriff auf die täglichen Sicherungen für den letzten 7 Tage

    • Zugriff auf die wöchentlichen Sicherungen für die letzten 4 Wochen

    • Zugriff auf die monatlichen Sicherungen für die letzten 3 Monate

  • Dokumentiertes Vorgehen im Notfall inkl. Kundeninformation und Retrospektive

Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM (Art. 32 Abs. 1 lit. d DS-GVO)

Auftragskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:

  • Verpflichtung der Mitarbeiter auf Daten- (§ 5 BDSG), Fernmelde- und Geschäftsgeheimnis

  • Bestellung eines betrieblichen Datenschutzbeauftragten

  • Prüfung und Sicherstellung der gegenüber Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei eigen beauftragten Subunternehmen.

  • Weisungen des Auftraggebers werden in Form von E-Mails dokumentiert

Weitere Informationen zur IT-Sicherheit bei //SEIBERT/MEDIA

Kurzlink zu dieser Seite: https://seibert.biz/sicheredaten

Auftragsdatenverarbeitung