Gewährleistung der Vertraulichkeit. Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit sind unter anderem Maßnahmen zur Zutritts-, Zu- griffs- oder Zugangskontrolle. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtig - ter Zerstörung oder unbeabsichtigter Schädigung. Maßnahmen, die die Papoo Software & Media GmbH umgesetzt hat, die einen Zugang durch Unbefugte auf Datenverarbeitungssysteme verhindern: • Persönlicher und individueller User-Login bei Anmeldung im System • Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsinter - vall) • Zusätzlicher System-Login für bestimmte Anwendungen • Automatische Sperrung der Clients nach gewissen Zeitablauf ohne Useraktivität (auch passwortgeschütz- ter Bildschirmschoner oder automatische Pausenschaltung) • Elektronische Dokumentation sämtlicher Passwörter und Verschlüsselung dieser Dokumentation zum Schutz vor unbefugten Zugriff • Zwei-Faktor-Authentifizierung wenn technisch möglich • Regelmäßige Softwareaktualisierung • Regelmäßige Schwachstellenscans Die Server werden bei der OVH GmbH in Frankfurt, Deutschland gehostet. Dieser Hoster gewährleistet Ausfalls- icherheit und Schutz vor unberechtigtem Zugriff auf die physische Infrastruktur. Maßnahmen, die der Subunternehmer OVH umgesetzt hat, können hier eingesehen werden: xxxxx://xxx.xxx.xx/xxxxxxx/xxx/Xxxxxxxxxxxxxxxxxxxxxxxxxxxx.xxx
Gewährleistung der Vertraulichkeit. (Art. 32 Abs. 1 lit. b EU-DSGVO) Das Eindringen Unbefugter in die DV-Systeme ist zu verhindern. Die Berechtigungen werden über ein rollenbasiertes Rechtekonzept verwaltet. Jeder Mitarbeiter hat einen eigenen Zugang zu den DV-Sys- teme der mit Kennwortschutz abgesichert ist. Das Kennwort muss zwingend aus einer Mischung von Zahlen, Buchstaben und Sonderzeichen bestehen sowie eine Mindestlänge von acht Zeichen aufwei- sen. Die einzelnen DV-Systeme werden in Pausenzeiten gesperrt. Die Sperrung ist nur mit Kennwort wiederaufhebbar. Berechtigungen werden regelmäßig auf Aktualität überprüft. Es wird durch zahlreiche Maßnahmen sichergestellt, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (z.B. durch Mandantenfähigkeit und Berechtigungskonzept). Der Zutritt zu Räumen, in denen Datenverarbeitung stattfindet, wird kontrolliert und Unbefugten verwehrt. Die Büroräume sind durch ein Schließsystem gesichert, Besucher müssen sich mit Anwesenheitszeiten in eine Liste eintragen. Die Räume des Rechenzentrums werden durch ein elektronisches Zugangs- system mit dokumentierten Berechtigungen gesichert, ein Aufenthalt von nicht autorisierten Personen im Rechenzentrum ist nur für Fälle der Wartung und nur in Begleitung einer autorisierten Person zu- lässig. Die Anwesenheitszeiten im Rechenzentrum werden elektronisch protokolliert. Auftragsverarbei- ter werden nur dann mit der Verarbeitung von personenbezogenen Daten beauftragt, wenn gleichwer- tige technisch-organisatorische Maßnahmen gewährleistet sind. Personenbezogene Daten werden, soweit es sich nicht um Auftragsverarbeiter handelt, nur nach Weisung des Verantwortlichen oder auf gesetzlicher Grundlage weitergegeben.
Gewährleistung der Vertraulichkeit a) Zutrittskontrolle
b) Zugangskontrolle
c) Zugriffskontrolle
d) Weitergabekontrolle
Gewährleistung der Vertraulichkeit. Zutrittskontrolle: (Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.) ☒ Alarmanlage ☒ manuelles Schließsystem ☒ Schließsystem mit Sicherheitsschlössern ☒ Bewegungsmelder ☒ Schlüsselregelung Beschäftigte ☒ Verschließen der Türen bei Abwesenheit Zugangskontrolle: (Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.) ☒ Erstellen von Benutzerprofilen mit unterschiedlichen Berechtigungen ☒ Pflicht zur Passwortnutzung ☒ Authentifikation durch Benutzername und Passwort ☒ Einsatz von sicherer Technologie bei Zugriff von außen auf die internen Systeme Zugriffskontrolle: (Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach ☒ Nutzer-Berechtigungskonzept ☒ Verwaltung der Nutzerrechte durch Systemadministrator ☒ Anzahl der Administratoren auf das Notwendigste reduziert Version vom 16.05.2018 - Seite 9 von 11 der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.) ☒ Einsatz von Aktenvernichtern oder von Dienstleistern zur Aktenvernichtung (inkl. Protokollierung der Vernichtung) ☒ Aufbewahrung von Datenträgern in abschließbaren Schränken/Tresor ☒ Aufbewahrung von Aktenordnern in abschließbaren Schränken ☒ ordnungsgemäße Vernichtung von Datenträgern Trennungsgebot: (Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.) ☒ physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern ☒ logische Mandantentrennung ☒ Festlegung von Datenbankrechten durch Vorgaben im Berechtigungskonzept Auftragskontrolle: (Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.) ☒ schriftliche Vereinbarung mit dem Auftragnehmer ☒ Verpflichtung der Mitarbeiter des Auftragnehmers auf Vertraulichkeit ☒ Datenschutzbeauftragter beim Auftragnehmer ☒ Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Gewährleistung der Vertraulichkeit. Zutrittskontrolle: Zugriffskontrolle: Zugriffskontrolle beim Auftragsverarbeiter Benutzer-Passwort Art der Belehrung beim Auftragsverarbeiter Datenschutzbeauftragter Trennungskontrolle beim Auftragsverarbeiter Datenschutzbeauftragter
Gewährleistung der Vertraulichkeit. Trennung von Test- und Livedatenbanken, einzelne Benutzer für verschiedene Datenbanken.
Gewährleistung der Vertraulichkeit. (Art. 32 Abs. 1 lit. b, 1. Alt. DSGVO)
a) Zutrittskontrolle
Gewährleistung der Vertraulichkeit. 1 Die Mitarbeiterin oder der Mitarbeiter schützt vertrauliche Informationen vor der Kenntnisnahme und dem Zugriff unberechtigter Personen.
2 Besonders schützenswerte Personendaten oder geheime Daten des Katholischen Konfessionsteils dürfen ausschliesslich auf der von der Arbeitgeberin oder dem Arbeitgeber bereitgestellten Infrastruktur gespeichert werden. Die Mitnahme in Form von Papierakten wird auf das Notwendigste beschränkt.
3 Die oder der Vorgesetzte stellt sicher, dass die Mitarbeiterin oder der Mitarbeiter über die massgebenden Vorgaben betreffend Informationssicherheit und Gewährleistung von Vertraulichkeit informiert ist.
Gewährleistung der Vertraulichkeit. Die physikalische Sicherheit der von uns genutzten Rechenzentren ist eine unserer höchsten Prioritäten. Jedes Rechenzentrum verfügt über eine umfangreiche Sicherheitsausstattung sowie entsprechende Techniken und Prozeduren, um den Zugang zu unseren Systemen zu kontrollieren, zu überwachen und zu dokumentieren. Um an unsere Systeme zu gelangen, müssen verschiedene Sicherheitskontrollen passiert werden - darunter mit Personal besetzte Kontrollpunkte, Personenschleusen und biometrische Erkennungssysteme. Softwareseitigen Zugang zu personenbezogenen Daten haben nur Personen, die zur Erfüllung Ihrer Aufgaben auf diese Daten angewiesen sind (z.B. Kundendienst). Der Umfang des Zugriffs auf die personenbezogenen Daten ist dabei auf den jeweiligen Arbeitsbereich des Mitarbeiters beschränkt.
Gewährleistung der Vertraulichkeit. Alle Mitarbeiter sind und werden auf Ihre Verpflichtung zur Verschwiegenheit hingewiesen und schriftlich auf das Datengeheimnis verpflichtet. Die verwendete IT Infrastruktur wird durch Amazon Web Services (im Folgenden AWS) im Rahmen einer Cloud (IaaS & PaaS) zur Verfügung gestellt. Die Zutrittskontrolle stellt der AWS Data-Center-Betreiber zur Verfügung: die hochsicheren AWS-Rechenzentren verwenden elektronische Überwachungsmaßnahmen auf dem Stand der Technik und mehrstufige Zugangskontrollsysteme. Die Rechenzentren sind rund um die Uhr mit ausgebildetem Sicherheitspersonal besetzt, und der Zugriff wird streng nach dem Prinzip der geringsten Rechte und ausschließlich zum Zweck der Systemadministration gewährt. Der Zutritt zu den Hardwarekomponenten (Clients) bei der TB Digital Services GmbH erfolgt gemäß geltender, jeweils im Einzelfall geeigneter Standard-Maßnahmen. Dies sind z.B. Zutrittsbeschränkungen durch Verein- zelungsanlagen (Drehkreuze), Videoüberwachungsanlagen, Alarmanlage und/oder Wachdienst, elektronisch oder mechanisch gesicherte Türen, einbruchsgesicherte Gebäude, dokumentierte Zutrittsberechtigungen (Besu- cher, Fremdkräften) oder deklarierte Sicherheitsbereiche. Die Zugangskontrollen umfassen Maßnahmen zur Gerätesicherung, Netzwerksicherung und Anwendungssi- cherung. Als Maßnahmen der Gerätesicherung im Fahrzeug werden verschiedene Maßnahmen umgesetzt: Die mobilen Endgeräte sind fest im Fahrzeug verbaut und verfügen über Secure Boot, d.h. es gibt keine Möglichkeit, ein frem- des Betriebssystem zu laden und zu starten. Die mobilen Endgeräte kommunizieren verschlüsselt mit dem End- punkt anhand eines geräteindividuellen Gerätezertifikats. Die Daten werden innerhalb der RIO Plattform verschlüsselt weitertransportiert („Ubiquitous encryption oder „encryption everywhere“). Die Endgeräte sind du- rch die regelmäßige Einspielung von Sicherheitsupdates auf einem aktuellen Sicherheitsstand (Patch-Ma- nagement). Als Maßnahmen der Netzwerksicherung werden ebenfalls verschiedene Standardmaßnahmen umgesetzt: Es sind angemessene (dem Stand der Technik entsprechende) Passwortvorgaben implementiert (Passwortlänge, -kom- plexität, -gültigkeitsdauer, etc.). Die wiederholte fehlerhafte Eingabe von Benutzerkennung/Passwort-Kombina- tion führt zu einer (temporären) Sperrung der Benutzerkennung. Das Unternehmensnetzwerk ist durch eine Fire- wall gegenüber unsicheren offenen Netzwerken abgeschottet. Ein Prozess ist etabliert, der die regelmäßige Versorgung von ...