付録 - テクニカルと
組織的対策
1. お客様の指示権限
物理アクセス制御
明示的なセキュリティ システムが設置された別のサーバー ルームがあります。 個別のキーシステムを備えたいくつかの閉じたドアから物理的なアクセスが可能です。 アクセスは、社内で認定された IT 従業員にのみ許可されます。 データ処理機器への不正アクセスは固く禁じられています。
スペースへのアクセスは、キー転送の書面による記録によって文書化されます。 その結果、責任は明確に追跡可能です。
スペースには、ドアだけでなく、部屋全体をカバーするビデオ監視 (ストレージを含む) が含まれます。 さらに、選択したグループには、メールで自動的にアクセスが通知されます。 敷地内で対策が合意されていない限り、管理は個人的にまたはビデオを介してすぐに行われます。
使用されているクラウド プロバイダーは、ISO 27001 およびレベル 3 の認定を受けています。
電子アクセス制御
当社は、不正使用の試みを即座に報告する監視システムを設置しています。
さらに、すべてのサーバーと担当者は、会社のパスワード ポリシーに従ってパスワードを持っています。
パスワードは、ネットワーク上の別のマシンに暗号化された形式で保存されます。 これらのマシンは、個別の V-LAN 経由でのみアクセスできます。
当社は、最新の技術に基づいて、保護レベルをさらに向上させるために常に取り組んでいます。 保護レベルをさらに高めるために、今後数か月以内に追加の対策が計画されています。
内部アクセス制御(データへのアクセスと修正のユーザー権限の許可)
従業員のオンボーディングとオフボーディングは、標準化された印刷フォームに書面で記録されます。 その一環として、データ保護のトレーニングが行われます。 各従業員には、役職、資格、および責任に応じてアクセス権が付与されます。
キーとアクセス カードとは別に、これには、IT システムの一部またはすべてにアクセスするための段階的な認証レベルも含まれます。
明示的に付与された権限を超える例外的な状況での物理的またはデータアクセスは、責任ある管理者のクリアランスを通じて技術的にのみ付与され、正確に記録されます。
すべてのアクセスと変更は記録され、文書化されます。
アイソレーションコントロール
内部ネットワークでは、複数の VLAN を使用して、ネットワークのさまざまな領域を区別しています。 重要なネットワーク領域には特別な注意が払われています。
当社は、顧客とのすべてのコミュニケーションに市場をリードする CRM プログラムを使用しています。 これにより、住所管理、プロジェクト、オファー、注文など、顧客との連絡全体が表示され、文書化されます。 このシステムは、サービス プロバイダー独自の認定データ センターでホストされており、認証が成功した後、TLS による暗号化を使用して Web サービス経由でアクセスします。 個人ユーザー アカウントは、個別の認証システムを使用して提供されます。
他の顧客/パートナー関連のシステムは、現時点ではまだ一般的な方法で構成されているか、それぞれの顧客にのみ表示される領域があります。 一般的な領域では、利用規約や価格表などの一般的な情報のみが公開されます。 顧客固有の領域は、対応する顧客のみが表示できます (たとえば、サービスの問い合わせ中など)。 ここでは、顧客は従業員に特定のアクセス権を割り当てるオプションもあります。 会社が義務を果たすためにサービス プロバイダーを使用する限り、システム管理者は、システム管理者がタスクを遂行するために必要なシステム/顧客情報の領域への明示的なアクセスのみを許可します (たとえば、国際的なサービス パートナーにはアクセスのみが許可されます)。 明示的に割り当てられた顧客からのリクエストに対応するため)。
仮名化(GDPR第32条第1項、GDPR第25条第1項)
一般に、個人データは当社のビジネス モデルとの関連性が限られています。 顧客固有のデータは、より重要です。
個人データと顧客データは常に匿名で処理され、遡って再構築することはできません。 匿名化されていない形式でのデータの開示は固く禁じられており、いかなる状況でも、またはそれぞれの顧客の書面による承認を得た後にのみ行われません。
2. インテグリティ(GDPR第32条第1項ロ)
データ転送制御
パラグラフ1を参照してください。
すべての通信は暗号化された形式で行われます。
内部ネットワークへのアクセスは、VPN トンネルを使用して外部からのみ可能であり、例外なく文書化されています。
すべての外部サービスは SSL を使用して暗号化され、パッチ管理は会社独自の Web サーバーで行われます。
商用ソリューションのすべてのパッチは、アップデートまたはホットフィックスが利用可能になってから 2 週間以内にタイムリーにインストールされます。
データ入力制御
一般に、個人データは当社のビジネス モデルとの関連性が限られています。 顧客固有のデータは、より重要です。
個人/顧客固有のデータに直接関係する従業員のみが、それにアクセスするオプションを持っています。 彼らは特別に採用され、この点に関するトレーニングを受けます (上記の内部データアクセス制御を参照)。
1 で説明されているように、明示的なアクセス制御の概念が、対応する制御とドキュメントと共に存在します。
データの古いバージョンがバックアップされ、定義可能な期間、取得できます。
3. 可用性と耐障害性 (GDPR 第 32 条第 1 項 b)
可用性の制御
すべての内部サーバーは UPS を使用して保護されており、いつでも適切にシャットダウンできます。
すべてのサーバーとワークステーションは、ウイルス対策プログラムと中央ファイアウォールの恒久的な監視下にあります。
日次バックアップは、すべての生産システムに対して毎日さかのぼって作成されます。 これらはローテーションで保管され、別の火災ゾーンに保持されます。
一部のバックアップ マテリアルは削除され、外部メディアの暗号化された形式で別の場所に保持される場合があります。
当社のクラウド プロバイダーは、ISO 27001 およびレベル 3 の認証を受けています。
当社は、セキュリティ関連の設定を継続的にチェックし、利用可能な技術オプションにこれらを適応させます。
迅速な復旧(GDPR 第 32 条第 1 項 c 点);
当社の技術により、お客様のシステムに障害が発生した場合でも、生成されたデータを完全に収集できます。 これらはさかのぼって提供することができ、顧客は切れ目のない文書を選択することができます。
バックアップは定期的に監査され、テスト システムに再生されます。
4. 定期テスト、評価、評価の手順 (GDPR 第 32 条第 1 項 d、GDPR 第 25 条第 1 項)
データ保護管理;
すでに述べた対策とは別に(特に「迅速な復旧」の項で)、データ バックアップは月に 1 回選択的に再生されます。
インシデント対応管理;
会社は、障害が発生した場合のプロセスと責任を定義しています。 これらは定期的に評価され、必要に応じて調整されます。
さらに、空調、USP、バックアップ、ログファイルの検査などの技術的な障害を防ぐために、予防保守対策とテストが定期的に実施されます。
設計およびデフォルトによるデータ保護 (GDPR 第 25 条第 2 項);
こちらの段落 1 を参照してください。 当社のビジネスモデルでは、高いセキュリティ基準と顧客情報の境界が求められます。 適切な技術的予防措置が講じられています。
注文または契約管理
当社は、書面による注文に基づいて、または既存のサービス契約の条件の範囲内でのみ運営されます。 このために、法的助言に基づいて作成され、顧客によって確認された明確な契約上の取り決めが用意されています。
当社がサービスプロバイダーおよび下請け業者に委託する場合は常に、これは対応する正確な法的条件に基づいて行われます。 それらは明示的に選択され、トレーニングされます。 IT または IT の一部への接続は、絶対に必要な範囲でのみ行われ、その後、社内の IT 部門による認定を受けます。 さらに、合意された基準への準拠を保証するための検証メカニズムが整備されています。
当社のクラウド プロバイダーは、ISO 27001 およびレベル 3 の認証を受けています。
付録 - 技術的および組織的対策
1. Vertraulichkeit (Artikel 32 Abs. 1 lit. b) DS-GVO)
Zugangskontrolle
Es gibt einen separaten Serverraum mit expliziten Sicherungssystemen. Der Zugang erfolgt über drei geschlossene Türen mit separatem Schlüsselsystem; ausschließlich intern zertifizierten IT-Mitarbeitern ist der Zugang gestattet. Unbefugten ist der Zugang zu Datenverarbeitungseinrichtungen strengstens untersagt.
Eine schriftliche Schlüsselübergabe dokumentiert den Zugang zu den Räumlichkeiten. Dadurch ist eine Verantwortlichkeit exakt nachvollziehbar.
Die Räumlichkeiten haben eine Videoüberwachung (inkl. Speicherung), die nicht nur Türen, sondern den gesamten Raum erfasst. Weiterhin wird ein ausgewählter Personenkreis über jeden Zugang per automatischer Mail benachrichtigt. Soweit keine Maßnahme in den Räumlichkeiten abgesprochen waren, erfolgt eine sofortige Kontrolle persönlich oder via Video.
Der genutzte Cloud-Anbieter ist ISO 27001 und Tier3 zertifiziert.
Zugriffskontrolle
Das Unternehmen hat ein Überwachungssystem aufgebaut, das Versuche einer unbefugten Nutzung unmittelbar meldet.
Zudem haben alle Server zufällig generierte Passwörter die mindestens folgenden Merkmale aufweisen: mindestens 16 Zeichen lang, Zahlen, kleine und große Buchstaben, Sonderzeichen, alphanumerische Zeichen.
Kennwörter werden mit einem pgp (pretty good privacy) Verfahren verschlüsselt und auf separaten Maschinen im Netzwerk abgelegt. Diese Maschinen sind nur über separate V-LANS erreichbar (aktuell werden diese Zugänge über Yubi-KEYs geschützt).
Das Unternehmen arbeitet laufend an einer weiteren Verbesserung der Schutzstandards auf Basis neuester Technologien. Hier werden auch in den kommenden Monaten zusätzliche Maßnahmen erfolgen, die den Schutz weiter erhöhen.
Interne Zugangskontrolle (Berechtigungen für Zugangsrechte von Benutzern zu und Änderung von Daten)
On- und Offboarding eines jeden Mitarbeiters wird schriftlich über ausgedruckte Protokolle festgehalten. Hier erfolgt auch eine datenschutzrechtliche Schulung. Zugriffsrechte werden jedem Mitarbeiter nur entsprechend seiner Position, Qualifikation und Verantwortung eingeräumt.
Hierzu gehören neben den Schlüssel und Zugangskarten auch die stufige Berechtigung zum Zugriff auf Teile oder die Gesamtheit des IT-Systems.
Ein ausnahmsweiser Zugang / Zugriff über die explizite Zugangsberechtigung hinaus kann technisch nur durch Freigabe der dafür verantwortlichen Administratoren erfolgen und wird exakt dokumentiert.
Die Zugriffe und Änderungen werden erfasst und dokumentiert.
Isolationskontrolle
Im internen Netzwerk grenzen mehrere VLANs die verschiedenen Netzbereiche ab. Kritische Netzbereiche erfahren dabei eine besondere Beachtung.
Das Unternehmen nutzt ein marktführendes CRM-Programm für die gesamte Kommunikation mit den Kunden. Hier wird der gesamte Kundenkontakt separiert abgebildet und dokumentiert, inklusive Adressverwaltung, Projekten, Angeboten, Aufträgen etc. Das Hosting erfolgt in den dem Dienstleister eigenen und zertifizierten Rechenzentren und der Zugriff erfolgt über Webservices nach erfolgreicher Authentifizierung und Verschlüsselung via TLS. Es sind personenbezogene Nutzerkonten mit eigenem Berechtigungssystem.
Die weiteren kunden- / partnerbezogenen Systeme sind entweder derzeit noch generalistisch aufgebaut oder haben einen Bereich, der nur für den jeweiligen Kunden einsehbar ist. Bei den generalistischen Bereichen erfolgt lediglich eine Veröffentlichung von allgemeinen Informationen wie AGBs oder Preislisten. Bei den kundenspezifischen Bereichen, bspw. im Zuge der Serviceanfragen, ist der jeweilige Bereich nur von dem jeweiligen Kunden einsehbar. Auch der Kunde hat die Möglichkeit hier bestimmte Berechtigungen innerhalb seiner Mitarbeiter zu verteilen. Insoweit das Unternehmen zur Erfüllung seiner Pflichten Dienstleister nutzt, erhalten diese über die Systemadministratoren lediglich Zugriff auf die zur Erfüllung ihrer Aufgabe explizit notwendigen Bereiche des Systems / Kundeninformationen (bspw. erhalten internationale Servicepartner lediglich den Zugriff auf Serviceanfragen von explizit zugewiesenen Kunden).
Pseudonymisierung (Artikel 32 Abs. 1 lit. a) DS-GVO; Artikel 25 Abs. 1 DS-GVO)
Grundsätzlich ist die Relevanz von personenbezogenen Daten beim Geschäftsmodell des Unternehmens nur eingeschränkt. Von höherer Relevanz sind kundenspezifische Daten.
Die Verarbeitung personenbezogener bzw. kundenspezifischer Daten erfolgt ausschließlich anonymisiert und nicht rückwirkend nachvollziehbar. Eine nicht-anonymisierte Weitergabe von Daten ist strengstens verboten und erfolgt unter keinen Umständen bzw. nur nach schriftlicher Freigabe des Kunden.
2. Integrität (Artikel 32 Abs. 1 lit. b) DS-GVO)
Datenübertragungssteuerung
Siehe Ziffer 1.
Sämtliche Kommunikation erfolgt über eine verschlüsselte Übertragung.
Die Zugriffe auf das interne Netzwerk sind von außen nur über einen VPN-Tunnel möglich und werden ausnahmslos dokumentiert.
Alle externen Dienstleitungen sind über SSL verschlüsselt und auf den firmeneigenen Webservern findet ein aktuelles Patch-Management statt.
Alle aktuellen Patche von kommerziellen Lösungen finden zeitnah statt, spätestens aber im Abstand von 2 Wochen nach Erscheinen des Updates / Hotfixes.
Dateneingabekontrolle
Grundsätzlich ist die Relevanz von personenbezogenen Daten beim Geschäftsmodell des Unternehmens nur eingeschränkt. Von höherer Relevanz sind kundenspezifische Daten.
Nur explizit damit befasste, vor diesem Hintergrund eingestellte und entsprechend geschulte (siehe oben unter Interne Zugangskontrolle) Mitarbeiter haben die Möglichkeit auf personen- / kundenbezogene Daten zuzugreifen.
Wie unter 1. erwähnt, existiert ein explizites Berechtigungskonzept mit entsprechender Kontrolle und Dokumentation.
Alte Versionen der Daten sind über einen festlegbaren Zeitraum wiederherstellbar gesichert.
3. Verfügbarkeit und Belastbarkeit (Artikel 32 Abs. 1 lit. b) DS-GVO)
Verfügbarkeitsprüfung
Alle internen Server sind mittels USV geschützt und können immer sachgerecht heruntergefahren werden.
Alle Server und Workstations sind unter permanenter Kontrolle eines Virenschutzprogramms und einer zentralen Firewall.
Es erfolgt eine tägliche Datensicherung rückwirkend für alle produktiven Systeme. Diese werden in Rotation aufgehoben und in einem separaten Brandabschnitt vorgehalten.
Datensicherungen werden teilweise ausgelagert und auf externen Medien verschlüsselt vorgehalten.
Der Cloud Anbieter des Unternehmens ist ISO 27001 und Tier3 zertifiziert.
Das Unternehmen prüft die sicherheitsrelevanten Einstellungen laufend und passt diese den verfügbaren technischen Möglichkeiten an.
Rasche Wiederherstellung (Artikel 32 Abs. 1 lit. C) DS-GVO);
Die Technologie des Unternehmens ermöglicht auch bei Abfall eines Kundensystems die lückenlose Erfassung der generierten Daten. Diese können entsprechend rückwirkend zur Verfügung gestellt werden und geben den Kunden die Möglichkeit einer lückenlosen Dokumentation.
Backups werden regelmäßig einer Prüfung unterzogen und in einem Testsystem zurückgespielt.
4. Maßnahmen zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Abs. 1 lit. d) DS-GVO; Artikel 25 Abs. 1 DS-GVO)
Datenschutzmanagement;
Abgesehen von den bereits erwähnten Maßnahmen (insbesondere unter dem Punkt „Rasche Wiederherstellung“) werden Datensicherungen einmal im Monat wahlweise zurückgespielt.
Störungsmanagement;
Das Unternehmen verfügt über definierte Prozesse und Verantwortlichkeiten für den Störungsfall. In regelmäßigen Abständen werden diese überprüft und soweit nötig angepasst.
Darüber hinaus finden regelmäßig präventive Wartungen / Tests statt, um technischen Störungen Vorschub zu leisten, bspw. Wartung der Klimaanlage, USVs, Backups und Sichtung von Logfiles.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 Abs. 2 DS-GVO);
Siehe hierzu Ziffer 1. Das Geschäftsmodell des Unternehmens erfordert hohe Sicherheitsstandards und eine Trennung der Informationen der Kunden. Entsprechende technische Vorkehrungen sind getroffen.
Auftrags- oder Vertragskontrolle
Das Unternehmen wird nur auf Basis einer schriftlichen Beauftragung tätig bzw. im Rahmen der bestehenden Serviceverträge. Hierzu bestehen klare, unter anwaltlicher Beratung erstellte und von Kunden geprüfte vertragliche Regelungen.
Wenn das Unternehmen Dienstleister und Subunternehmer beauftragt, erfolgt dies auf Basis entsprechender genauer vertraglicher Regelungen und diese werden explizit ausgewählt und geschult. Eine Anbindung an die IT oder Teile der IT erfolgt nur soweit und in dem Umfang wie zwingend notwendig und dann nach Zertifizierung durch die interne IT-Abteilung. Zudem bestehen Überprüfungsmechanismen, ob die ausgemachten Standards eingehalten werden.
Der Cloud Anbieter des Unternehmens ist ISO 27001 und Tier3 zertifiziert.