Sicherheitsstandards
Standard: 09.05.2018

I.  Technische und organisatorische Maßnahmen

Wir nehmen den Schutz der Daten unserer Kunden ernst.  Unter Berücksichtigung der Best Practices, der Implementierungskosten sowie Art, Umfang, Umstände und Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und des Ausmaßes Risikos auf die Rechte und Grundfreiheiten natürlicher Personen ergreifen wir die folgenden technischen und organisatorischen Maßnahmen.  Bei der Auswahl der Maßnahmen berücksichtigen wir die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Eine schnelle Wiederherstellung nach einem physischen oder technischen Zwischenfall ist garantiert.

Unser Datenschutzprogramm dient der Pflege einer weltweiten Struktur für die Daten-Governance und sichere Daten im gesamten Zyklus. Dieses Programm wird vom Büro des Datenschutzbeauftragten gesteuert, der die Implementierung der Datenschutzpraktiken und Sicherheitsmaßnahmen beaufsichtigt. Die Effektivität des Datenschutzprogramms und der Sicherheitsstandards wird von uns regelmäßig geprüft, bewertet und ausgewertet.

1. Vertraulichkeit. „Vertraulichkeit bezieht sich auf den Schutz personenbezogener Daten vor unberechtigter Offenlegung.“  

Wir nutzen eine Reihe physischer und digitaler Maßnahmen, um die Vertraulichkeit der personenbezogenen Daten unserer Kunden zu schützen. Zu diesen Maßnahmen gehören:   

Physische Sicherheit  

• Systeme für die Kontrolle des Zugangs sind vorhanden (Zugangskontrolle über Ausweise, Überwachung von Zwischenfällen bei der Sicherheit usw.) 
• Überwachungssysteme mit Alarm und Videoüberwachung (wenn angemessen)
• Clean-Desk-Richtlinien (keine Unterlagen auf Schreibtisch liegenlassen) und Kontrollen sind vorhanden (Verschluss unbeaufsichtigter Computer, von Schränken usw.)  
• Verwaltung des Zugriffs für Besucher
• Vernichten von Daten auf physischen Speichermedien und Dokumenten (schreddern, entmagnetisieren usw.) 

Zugangskontrolle und Vorbeugung vor unberechtigtem Zugriff

• Beschränkung des Zugriffs für Benutzer und Zugriffsberechtigungen auf Basis von Rollen werden auf Grundlage des Prinzips der Aufgabentrennung vergeben/geprüft
• Wirksame Methoden der Authentifizierung und Autorisierung (mehrstufige Authentifizierung, Autorisierung über Zertifikate, automatische Deaktivierung oder Abmeldung usw.) 
• Zentrale Verwaltung von Passwörtern und Richtlinien für starke/komplexe Passwörter (minimale Länge, Komplexität der Zeichen, Ablauf von Passwörtern usw.)   
• Kontrolle des Zugriffs auf E-Mails und Internet
• Antiviren-Management
• Schutz vor Eindringlingen

Verschlüsselung  

• Verschlüsselung interner und externer Kommunikationen mittels starker kryptographischer Protokolle
• Verschlüsselung gespeicherter PII/SPII Daten (Datenbanken, geteilte Verzeichnisse usw.)   
• Vollständige Verschlüsselung der Datenträger von Firmen-PCs und -Laptops
• Verschlüsselung von Speichermedien
• Remote-Verbindungen mit den Netzwerken des Unternehmens sind per VPN verschlüsselt
• Schutz von Chiffrierschlüsseln in der gesamten Laufzeit

Datenminimierung

• PII/SPI-Minimierung bei Anwendung, Debugging und Sicherheitsprotokollen
• Anonymisierung personenbezogener Daten zur Verhinderung direkter Identifizierung natürlicher Personen
• Trennung gespeicherter Daten nach Funktion (Test, Staging, Live) 
• Logische Abtrennung von Daten durch Zugriffsrechte auf Basis von Rollen 
• Festgelegte Zeiträume für die Aufbewahrung personenbezogener Daten

Sicherheitstests

• Eindring-Tests für die wichtigsten Plattformen und Netzwerke des Unternehmens, die personenbezogene Daten hosten 
• Regelmäßige Scans des Netzwerkes und auf Prüfung der Netzwerkanfälligkeit 

2. Integrität. „Integrität bezieht sich auf die Gewährleistung der Richtigkeit (Intaktheit) von Daten und der korrekten Funktion von Systemen. Wird der Begriff „Integrität“ in Verbindung mit dem Begriff „Daten“ genutzt, bringt er zum Ausdruck, dass die Daten vollständig und unverändert sind.“  

Angemessene Änderungs- und Protokollverwaltungskontrollen sind vorhanden, neben Zugriffskontrollen, um die Integrität personenbezogener Daten zu wahren, wie:    

Verwaltung von Änderungen und Freigaben  

• Verwaltungsverfahren für Änderungen und Freigaben (Analyse von Auswirkungen, Genehmigungen, Tests, Sicherheitsprüfungen, Staging, Monitoring usw.)  
• Rollen-/funktionsbasierter (Aufgabentrennung) Zugang in der Produktion

Protokolle und Überwachung

• Protokolle des Zugriffs auf und der Änderung von Daten
• Zentrale Audit- und Sicherheitsprotokolle
• Überwachung der Vollständigkeit und Richtigkeit der Datenübertragung (vollständige Prüfung)

3. Verfügbarkeit. „Die Verfügbarkeit von Diensten und IT-Systemen, IT-Anwendungen und IT-Netzwerkfunktionen sowie von Daten ist garantiert, wenn die Nutzer jederzeit in der Lage sind, sie wie vorgesehen zu nutzen.“    

Wir implementieren angemessene Maßnahmen gegen Unterbrechungen und für den Schutz, um die Verfügbarkeit der Dienste und der Daten in diesen Diensten zu gewährleisten:    

• Regelmäßige Failover-Tests (Ausfallsicherung) für geschäftskritische Dienste
• Umfassende Überwachung und Berichte der Leistung und Verfügbarkeit entscheidender Systeme
• Maßnahmen bei Sicherheitsvorfällen  
• Wichtige Daten werden entweder dupliziert oder erhalten ein Backup (Cloud-Backups/Festplatten/Datenbank-Duplizierung usw.) 
• Planmäßige Wartung von Software, Infrastruktur und Sicherheit ist vorhanden (Software-Aktualisierungen, Sicherheits-Patches usw.)   
• Redundante und widerstandsfähige Systeme (Servercluster, gespiegelte DBs, Setups mit hoher Verfügbarkeit usw.) an Orten außerhalb des Betriebs oder geografisch entfernten Orten
• Nutzung unterbrechungsfreier Stromzufuhr, ausfallsicherer Hardware und Netzwerksysteme  
• Vorhandene Alarm- und Sicherheitssysteme  
• Physische Schutzmaßnahmen für wichtige Standorte (Schutz vor Überspannung, Doppelböden, Kühlsysteme, Sensoren für Feuer und Rauch, Löschsysteme usw.) 
• DDOS-Schutz zur Aufrechterhaltung der Verfügbarkeit
• Belastungs- und Stress-Tests  

4. Anweisungen zur Datenverarbeitung. „Anweisungen zur Datenverarbeitung“ bezieht sich auf die Gewährleistung, dass personenbezogene Daten ausschließlich gemäß den Anweisungen des Datenverantwortlichen und einschlägigen Maßnahmen des Unternehmens verarbeitet werden.“  

Wir haben interne Richtlinien und Verträge für den Datenschutz eingeführt und schulen unsere Mitarbeiter regelmäßig bezüglich des Datenschutzes, um zu gewährleisten, dass personenbezogene Daten in Übereinstimmung mit den Einstellungen und Einweisungen der Kunden verarbeitet werden.   

• Klauseln bezüglich Datenschutz und Vertraulichkeit in Arbeitsverträgen
• Regelmäßige Schulungen der Mitarbeiter über Datenschutz und Sicherheit 
• Angemessene vertragliche Bestimmungen in den Verträgen mit Auftragnehmern zur Aufrechterhaltung der Anweisungsrechte
• Regelmäßige Datenschutzüberprüfungen für externe Service-Provider
• Kunde hat volle Kontrolle über seine Einstellungen in Bezug auf die Datenverarbeitung 
• Regelmäßige Sicherheitsüberprüfungen