TOM 1

Ver­trau­lich­keit

(Art. 32 Abs. 1 lit. b DSGVO)

Zutritts­kon­trolle

Maß­nah­men, mit denen Unbe­fug­ten der Zutritt zu Daten­ver­ar­bei­tungs­an­la­gen, auf denen per­so­nen­be­zo­gene Daten ver­ar­bei­tet oder genutzt werden, ver­wehrt wird.

–     Büros der CIS sind außer­halb der Büro­zei­ten stets ver­schlos­sen, und mit per­so­na­li­sier­ten Zugangs­to­kens über ein Alarm­sys­tem gesi­chert. Das Alarm­sys­tem ist durch Tür­bol­zen phy­si­ka­lisch mit den Türen ver­bun­den. Alle Ein­gänge sind fort­lau­fend (auch während der Büro­zei­ten) videoüberwacht.

–     Alle Ein­gänge des Gebäu­des sind mit sicht­ba­ren Kameras videoüberwacht.

–     Schlüs­sel­ver­gabe ist gere­gelt und dokumentiert

–     Regeln zur Beglei­tung von Gästen

–     Exis­tenz von Sicherheitszonen

–     Das primäre Rechen­zen­trum ist nach ISO27001 für Housing zer­ti­fi­ziert und bringt somit alle dafür not­wen­di­gen Sicher­heits­maß­nah­men mit

–     Das Zweit­re­chen­zen­trum dient in erster Linie der Vor­hal­tung von Siche­run­gen. Pro­duk­tive Hosting-Leis­tun­gen, welche aus diesem Rechen­zen­trum bereit­ge­stellt werden, sind im Rah­men­ver­trag expli­zit als solche ersicht­lich. Dieses ist stets ver­schlos­sen, video­über­wacht und mit per­so­na­li­sier­ten Zugangs­to­kens über ein Alarm­sys­tem gesi­chert. Die massive Stahl­tür ist durch einen Tür­bol­zen phy­si­ka­lisch mit dem Alarm- und Zutritts-Kon­troll­sys­tem verbunden.

 

Zugriffs­kon­trolle

Maß­nah­men, mit denen die Nutzung per­so­nen­be­zo­ge­ner Daten durch Unbe­fugte ver­hin­dert wird und nach denen Berech­tigte aus­schließ­lich auf die­je­ni­gen Daten zugrei­fen können, die ihrer Zugriffs­be­rech­ti­gung unter­lie­gen und nach denen per­so­nen­be­zo­gene Daten bei der Ver­ar­bei­tung, Nutzung und nach der Spei­che­rung nicht unbe­fugt, gelesen, kopiert, ver­än­dert oder ent­fernt werden können.

–     Per­so­na­li­sierte Logins für alle Mitarbeiter

–     Restrik­tive Vergabe von Rechten

–     Auto­ma­ti­sche Sperrung

–     Zusätz­li­cher Login für bestimmte Anwendungen

–     Selbst geän­derte Pass­wör­ter des Kunden sind Auf­trag­neh­mer nicht bekannt

–     Pass­wort­richt­li­nie exis­tiert (Min­dest­länge, Wech­sel­in­ter­vall, etc.)

–     Rol­len­ge­bun­de­nes Zugriffskonzept

–     ver­bind­li­ches Berechtigungsvergabeverfahren

–     Auf­ga­ben­be­zo­gene Zugriffs­rechte auf Server-Shares

–     keine Admin-Rechte für normale Mit­ar­bei­ter auf Server-Umgebung

–     Technik-Mit­ar­bei­ter arbei­ten nur bei admi­nis­tra­ti­ven Tätig­kei­ten mit Admin-Rechten

 

Tren­nungs­kon­trolle     

Maß­nah­men, die gewähr­leis­ten, dass zu unter­schied­li­chen Zwecken erho­bene Daten getrennt ver­ar­bei­tet werden können.

–     Vir­tua­li­sie­rung von Maschi­nen in beiden Rechenzentren

–     Dedi­zierte Ter­mi­nal-Server, Tren­nung ein­zel­ner Kunden als dedi­zierte „Orga­ni­sa­ti­ons­ein­heit“

–     Tren­nung von Kunden in Form von unter­schied­li­chen Frei­ga­be­be­rei­chen mit Berechtigungs-Struktur

CIS-seitige Betrieb der Daten erfolgt pseud­ony­mi­siert. Für die vom Auf­trag­ge­ber ein­ge­brach­ten Inhalte ist dieser selbst verantwortlich