Common use of Zugangskontrolle Clause in Contracts

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regeln.

Zugangskontrolle. Google ergreift unter anderem Maßnahmen, die folgenden Maßnahmen um verhindern, dass Unbefugte die Nutzung Datenverarbeitungsanlagen und -verfahren benutzen: Alle internen Systeme sind an ein Active Directory angeschlossen. Zu den Hosting Sys- temen existiert kein administrativer und direkter Zugang. Der Administrations-Zugang wird indirekt über Jump Ser ver hergestellt. Diese Zugänge sind besonders gesichert und haben besondere Anforderungen an die Passwörter: - min. 16 Zeichen - Bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen - Wechsel alle 7 Tage - Die Passwörter dürfen nicht aus Namen, Wörtern oder Tastaturmustern bestehen. Alle Systeme sind über redundante Internet Leitungen (die aus 2 Bundesländern zugeführt werden) mit der Außenwelt verbunden. Diese Verbindungen werden durch mehrere zentrale Firewall Systeme abgesichert. Die Regelwerke dieser Firewall werden in kurzen Abständen überarbeitet. Die Firewalls werden extern von Datenverarbeitungsanlageneinem professionellen Anbieter gepflegt und sowohl intern als auch extern überwacht. Hierdurch wird eine frühzeitige automatische Angriffserkennung gewährleistet. Alle Kundennetzte sind über VLAN voneinander getrennt. Jedes Kundennetz (im Bereich Housing optional) erhält zudem eine professionelle Firewall als persönliche Zugangskontrolle zur Selbstverwaltung. Zugriffskontrolle Maßnahmen, mit denen die gewährleisten, dass die zur Benutzung der Datenverarbeitungsver- fahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten verarbeitet werdenzugreifen können: Es liegt ein anwenderbezogenes Berechtigungskonzept vor, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementierendass im Active Directory umgesetzt wird. Zugriffsrestriktionen stützen Die realisierte Berechtigungsstruktur bezieht sich auf einen von Google entwickelten das gesamte System des Unternehmens: Die Berechtigungen können auf Dateien, auf Datensätze, auf Anwendungsprogramme und verteilten Authentifizierungs-Service basierend das Betriebssystem differenziert werden und die Lese-, Änderungs- und Löschrechte einschränken. Es wird sichergestellt, dass jeder Benutzer nur auf Secure Socket Layer die Daten zugreifen kann, zu denen er zugriffsberechtigt ist. Das Berechtigungs- konzept, dass sich an den Stellungen der Mitarbeiter orientiert, ist schriftlich festgehalten (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACLDokumentation über das Active Directory). Verschlüsselungstechniken Verschiedene Zugriffsrechte werden eingesetztdurch vorgefertigte Benutzerprofile zusammengefasst. Weiterhin ist das Berechtigungskonzept programmtechnisch in der Anwendung, um Benutzerauthentifizierungen im Active Directory hinterlegt. Sämtliche Zugriffe der Benutzer werden protokolliert. Es gibt eine durchgängige physikalische Trennung zwischen Management (Administrator) System und AdministratorProduktivnetz (Kundennetze). Bei den Management-Sessions über das Internet abzusichernSystemen wird sehr differenziert auf die Notwendigkeit des Zugriffs durch die Mitarbeiter geachtet. Der Datenfernzugriff Jeder Zugriff eines Mitarbeiters wird protokolliert. Kundenpasswörter zum Zugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere Ver waltungsoberflächen werden automatisch als kryptisches Passwort generiert und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen in einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschriebeneigenen Datenbank verschlüsselt abgelegt. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf Passwörter sind den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird Mitarbeitern der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-RegelnTerra Cloud unbekannt.

Zugangskontrolle. Google ergreift unter anderem Der Zugangsschutz zu den Systemen wird primär über eine entsprechend starke Authentisierungsmaßnahme realisiert. Um Zugang zu erhalten, muss man sich mit kryptischer Userkennung und Passwort am System authentifizieren. Zugangsberechtigungen werden nur aufgrund einer durch den jeweiligen Kompetenzträger erfolgten Beantragung vergeben. Um den Zugangsschutz zu gewährleisten, sind für die folgenden Maßnahmen um die Nutzung genutzten Systemzugänge und Anwendungen entsprechende Passwortrestriktionen erlassen. Pro User gibt es ausschließlich einen Benutzerstammsatz. Die Weitergabe von DatenverarbeitungsanlagenPasswörtern ist nicht erlaubt. Gleiches gilt für das Arbeiten mit fremden Usern. PC’s und Laptops werden, mit denen soweit von diesen personenbezogene Daten verarbeitet werden, automatisch nach wenigen Minuten gesperrt, wenn sie vom Benutzer nicht genutzt werden und können erst nach Eingabe des Passworts wieder entsperrt werden. Eine Zwei-Faktor-Authentifizierung ist zwingend für den Zutritt zu den Rechenzentren in Stuttgart vorgegeben (s. oben), für die Serveradministratoren ist eine zwei-Faktor Authentifizierung in der Evaluation. Datenträger mit sensiblen Daten sowie die Datenträger von Laptops sind durch Unbefugte geeignete Verfahren zu verhindern: Sichere Zugangsverbindungen verschlüsseln und Technologien zugriffsgeschützt aufzubewahren. Zugriffskontrolle Es besteht ein geregeltes Verfahren bzgl. der Benutzereinrichtung, -änderung und -löschung. Hierüber wird sichergestellt, dass nur berechtigte Personen Zugang und Zugriff auf personenbezogene Daten erhalten. Die Vergabe der Zugriffsberechtigungen erfolgt nur aufgrund einer durch den jeweiligen Kompetenzträger vorgenommenen Beantragung gemäß Profilen, Rollen, Transaktionen oder Objekte und orientiert sich an den Notwendigkeiten von Beispielusern. Die internen Netze sind über eine 2- stufige Firewall gegen unberechtigten Zugriff von außen geschützt. Es finden systemspezifische Protokollierungen u.a. für Firewall-Systeme und den Virenschutz statt. Trennungskontrolle Die jeweiligen Daten werden nur zur Authentifizierungskontrolle Zweckerfüllung erhoben, verarbeitet und genutzt. Eine Bereitstellung der Daten für andere Systeme / Zwecke ist verfahrenstechnisch ausgeschlossen. Insbesondere wird sichergestellt, dass eine notwendige Trennung nach Mandanten durch die Applikationen stattfindet. Des Weiteren sind implementiertdie Systeme nach ihrer Zweckbestimmung separiert (Entwicklung, um Test, Produktion). Eine produktive Verarbeitung von Daten findet nur in den Produktivsystemen statt. Damit können auch nur berechtigte Personen Zugriff und Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnproduktiven Daten erlangen.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Der Zugang zu Google Produktivsysteme Informationswerten ist durch die fachlichen Anforderungen (‚Kenntnis nur soweit nötig‘16) und interne Supportim Einklang mit dem bestehenden Regelungsrahmen der Organisation (einschließlich der Informationssicherheitsstrategie) zu begründen. Es sind eindeutige Regeln für die Zugriffskontrolle auf Basis des Grundsatzes der minimalen Rechtevergabe17 festzulegen, die den Erfordernissen des jeweiligen Geschäftszwecks und der IT-Tools Prozesse genau Rechnung tragen. Soweit relevant (z. B. zur Backup- Verwaltung), müssen die logischen mit den physischen Zugriffskontrollen übereinstimmen, es sei denn, es bestehen angemessene Ausgleichskontrollen (z. B. Verschlüsselung, Anonymisierung personenbezogener Daten). Um die Zuweisung von Rechten zum Zugriff auf Informationssysteme und -dienste der Zahlungstransaktionskette zu reglementierenkontrollieren, müssen formelle, dokumentierte Verfahren umgesetzt werden. Zugriffsrestriktionen stützen sich Diese Verfahren müssen den gesamten Lebenszyklus des Nutzerzugangs abdecken – von der Erstregistrierung neuer Nutzer bis hin zur endgültigen Abmeldung von Nutzern, die keinen Zugang mehr benötigen. Besondere Beachtung erfordert gegebenenfalls die Zuweisung von Zugriffsrechten, die so kritisch sind, dass ihr Missbrauch zu einer schwerwiegenden Beeinträchtigung der betrieblichen Prozesse des Teilnehmers führen kann (z. B. Zugriffsrechte im Zusammenhang mit der Systemadministration, dem Umgehen von Systemkontrollen oder dem direkten Zugriff auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) ZertifikatenGeschäftsdaten). Dieser Service bietet zudem VerschlüsselungsmethodenEs sind angemessene Kontrollen einzurichten, um die Datensicherheit bei Nutzer an bestimmten Punkten des Netzwerks der Übertragung Organisation, beispielsweise für den lokalen oder Fernzugang zu Systemen der Zahlungstransaktionskette, zu ermitteln, zu authentifizieren und zu berechtigen. Um die Zurechenbarkeit zu gewährleisten, dürfen persönliche Konten nicht geteilt werden. Der Zugang Passwörter dürfen nicht einfach zu internen Support-Tools an Autorisierte wird kontrolliert erraten sein. Deshalb müssen Regeln (z. B. für die Komplexität und zeitlich begrenzte Gültigkeit der Passwörter) festgelegt und durch Access Control Lists (ACL)spezielle Kontrollen durchgesetzt werden. Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, Es ist ein Protokoll für die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter Wiederherstellung bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang Zurücksetzung von Passwörtern zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnerstellen.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von DatenverarbeitungsanlagenNeben dem Schutz vor physikalischem Zugriff, sind alle Systeme mit denen Daten verarbeitet werdenmodernen Zugriffskontrollen gesichert und werden mit entsprechenden Einstellungen betrieben (beispielsweise automatischer Sperre unbesetzter Stationen, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementierterzwungener Passwort-Wechsel inkl. Mindest-Komplexität, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen zwingender Einsatz sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethodenlaufend aktualisierender Virensoftware, um die Datensicherheit bei automatische Updates der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACLBetriebssysteme, uvm.). Verschlüsselungstechniken werden eingesetztDie Zugriffsrechte (sowohl für Anwender, um Benutzerauthentifizierungen wie auch für Administratoren) orientieren sich an den aufgabenbedingten und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten datenschutzrechtlichen Erfordernissen (Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer nach dem Need-to-know-Basis Know- Prinzip). Mobile Endgeräte, die Zugriff auf das System haben, werden nur partiell genutzt und muss durch sind zusätzlich mit einer entsprechenden Datenverschlüsselung ausgestattet. Obwohl die aktuellen Daten des Auftraggebers nur auf den zuständigen Vorgesetzten Servern des Antragstellers autorisiert und bewilligt externen Rechenzentrums verarbeitet werden, soll dadurch zusätzlich jedweder Zugang zu Informationen des Basisprodukts, oder der zugrundeliegenden Source Codes, abgewendet werden. Die Bewilligungen Es haben ausschließlich Geräte, die unter der Administration des Auftragnehmers stehen Zugriff auf Unternehmensdaten. Private Geräte jeder Art wie auch Geräte von Gästen sind technisch abgetrennt. Alle Systeme mit Daten des Auftraggebers werden auf mittels IPS und IDS auf Unregelmäßigkeiten überwacht. Bereits der Betreiber des genutzten Rechenzentrums (ProfitBricks) trifft umfangreiche Vorkehrungen den unerlaubten Zugriff auf die Systeme zu unterbinden, und auch erlaubte Zugriffe bereits von der Basis weg zu protokollieren. Unser darauf aufbauendes Produkt verfügt über Workflow-Tools durchgeführtein umfassendes Programm an abgestuften Berechtigungen und Zugriffskontrollen. Es wird organisatorisch sichergestellt, dass immer nur der unbedingt nötige Personenkreis Zugriff hat. Der Zugriff Auftraggeber hat damit nicht nur laufend Einsicht wer auf Produktivsysteme wird nur geschulten seine Daten zugreifen darf, sondern auch welche wichtigen Daten und für die jeweilige Aktion berechtigten Benutzern gewährtEinstellungen während des Betriebs geändert wurden. Ebenso wird der Zugriff Zugriffe auf Produktivsysteme Systeme des Auftraggebers im Falle Zuge des Supports sind nur unter aktiver Mitwirkung des Fernwartungs-Partners möglich, das Beenden einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen Session kann von beiden Seiten erfolgen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offenist einfach erkennbar. Der Zugriff zum Ändern der Firewall-Konfiguration Entzug von Rechten bei Änderung des Aufgabenbereichs von Mitarbeitern und Dienstleistern ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnorganisatorisch geregelt und dokumentiert.

Zugangskontrolle. Google ergreift unter anderem Der Auftragnehmer hat die folgenden Maßnahmen um im- plementiert, die Nutzung von Datenverarbeitungsanlagenverhindern, mit denen Daten verarbeitet werden, durch dass Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme den Datenverarbeitungsanlagen des Auftragnehmers haben: Zugang zu den Datenverarbeitungsanlagen enthält nur, wer die Berechtigung dazu erteilt bekommen hat und interne Supportnur unter Nutzung eines individuellen Benutzernamens und eines (sicheren) Kenn-Tools zu reglementierenworts (Zugangsschutz). Zugriffsrestriktionen stützen sich auf einen von Google entwickelten Die Vergabe und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um der Entzug der Berechtigung erfolgt durch den jeweiligen Kompetenzträger gemäß den für die Datensicherheit bei der Übertragung zu gewährleistenVergabe oder den Entzug geltenden internen Regelun- gen. Der Umgang mit Kennwörtern (Stärke des Kenn- worts, Geheim-haltung, Verwendung, automatische Sperrung nach Fehleingaben etc.) sind ebenfalls in in- ternen Regelungen dokumentiert, deren Einhaltung und Wirksamkeit regelmäßig überprüft wird. Die Vergabe o- der der Entzug der Zugangsberechtigungen werden do- kumentiert und regelmäßig überprüft. Die internen Netze sind durch ein Virenschutz- und Fire- wall-Konzept gegen unberechtigten Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusicherngeschützt. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum FirmennetzwerkAuftragnehmer hat die folgenden Maßnahmen im- plementiert, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozessverhindern, um den Zugang zu Google-Ressourcen zu erlauben dass Unbefugte Zugriff auf personenbezogene Daten bekommen: Bei der Einrichtung, der Löschung oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung Änderung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle GruppenBerechtigungen, die Zugang zu Google Services habenZugriff auf personenbezogene Daten gewähren, unterlaufen einer regelmäßigen Überprüfungwird durch ein Berechtigungskonzept sichergestellt, dass nur die Personen Zugriff auf die per- sonenbezogenen Daten erhalten, die diese für die Erfül- lung ihrer Aufgaben auch benötigen, sog. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschriebenNeed-to- know-Prinzip. Die Autorisierung bei Google Services Vergabe oder der Entzug von Zugriffs- rechten wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungendokumentiert und regelmäßig überprüft. Die Erteilung oder Bearbeitung Durch fachkundiges Vernichten von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis Akten und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert Daten- trägern und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der ein Verschlüsselungskonzept für Backup- Bänder und -systeme wird sichergestellt, dass kein Un- befugter Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Changein Backup-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-RegelnDateien gespeicher- ten personenbezogenen Daten hat.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Der Zugang zu Google Produktivsysteme Informationswerten ist durch die fachlichen Anforderungen (‚Kenntnis nur soweit nötig‘19) und interne Supportim Einklang mit dem bestehenden Regelungsrahmen der Organisation (einschließlich der Informationssicherheitsstrategie) zu begründen. Es sind eindeutige Regeln für die Zugriffskontrolle auf Basis des Grundsatzes der minimalen Rechtevergabe20 festzulegen, die den Erfordernissen des jeweiligen Geschäftszwecks und der IT-Tools Prozesse genau Rechnung tragen. Soweit relevant (z. B. zur Backup-Verwaltung), müssen die logischen mit den physischen Zugriffskontrollen übereinstimmen, es sei denn, es bestehen angemessene Ausgleichskontrollen (z. B. Verschlüsselung, Anonymisierung personenbezogener Daten). Um die Zuweisung von Rechten zum Zugriff auf Informationssysteme und -dienste der Zahlungstransaktionskette zu reglementierenkontrollieren, müssen formelle, dokumentierte Verfahren umgesetzt werden. Zugriffsrestriktionen stützen sich Diese Verfahren müssen den gesamten Lebenszyklus des Nutzerzugangs abdecken – von der Erstregistrierung neuer Nutzer bis hin zur endgültigen Abmeldung von Nutzern, die keinen Zugang mehr benötigen. Besondere Beachtung erfordert gegebenenfalls die Zuweisung von Zugriffsrechten, die so kritisch sind, dass ihr Missbrauch zu einer schwerwiegenden Beeinträchtigung der betrieblichen Prozesse des Teilnehmers führen kann (z. B. Zugriffsrechte im Zusammenhang mit der Systemadministration, dem Umgehen von Systemkontrollen oder dem direkten Zugriff auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) ZertifikatenGeschäftsdaten). Dieser Service bietet zudem VerschlüsselungsmethodenEs sind angemessene Kontrollen einzurichten, um die Datensicherheit bei Nutzer an bestimmten Punkten des Netzwerks der Übertragung Organisation, beispielsweise für den lokalen oder Fernzugang zu Systemen der Zahlungstransaktionskette, zu ermitteln, zu authentifizieren und zu berechtigen. Um die Zurechenbarkeit zu gewährleisten, dürfen persönliche Konten nicht geteilt werden. Der Zugang Passwörter dürfen nicht einfach zu internen Support-Tools an Autorisierte wird kontrolliert erraten sein. Deshalb müssen Regeln (z. B. für die Komplexität und zeitlich begrenzte Gültigkeit der Passwörter) festgelegt und durch Access Control Lists (ACL)spezielle Kontrollen durchgesetzt werden. Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, Es ist ein Protokoll für die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter Wiederherstellung bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang Zurücksetzung von Passwörtern zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnerstellen.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Der Zugang zu Google Produktivsysteme Informationswerten ist durch die fachlichen Anforderungen (‚Kenntnis nur soweit nötig‘13) und interne Supportim Einklang mit dem bestehenden Regelungsrahmen der Organisation (einschließlich der Informationssicherheitsstrategie) zu begründen. Es sind eindeutige Regeln für die Zugriffskontrolle auf Basis des Grundsatzes der minimalen Rechtevergabe14 festzulegen, die den Erfordernissen des jeweiligen Geschäftszwecks und der IT-Tools Prozesse genau Rechnung tragen. Soweit relevant (z. B. zur Backup- Verwaltung), müssen die logischen mit den physischen Zugriffskontrollen übereinstimmen, es sei denn, es bestehen angemessene Ausgleichskontrollen (z. B. Verschlüsselung, Anonymisierung personenbezogener Daten). Um die Zuweisung von Rechten zum Zugriff auf Informationssysteme und -dienste der Zahlungstransaktionskette zu reglementierenkontrollieren, müssen formelle, dokumentierte Verfahren umgesetzt werden. Zugriffsrestriktionen stützen sich Diese Verfahren müssen den gesamten Lebenszyklus des Nutzerzugangs abdecken – von der Erstregistrierung neuer Nutzer bis hin zur endgültigen Abmeldung von Nutzern, die keinen Zugang mehr benötigen. Besondere Beachtung erfordert gegebenenfalls die Zuweisung von Zugriffsrechten, die so kritisch sind, dass ihr Missbrauch zu einer schwerwiegenden Beeinträchtigung der betrieblichen Prozesse des Teilnehmers führen kann (z. B. Zugriffsrechte im Zusammenhang mit der Systemadministration, dem Umgehen von Systemkontrollen oder dem direkten Zugriff auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) ZertifikatenGeschäftsdaten). Dieser Service bietet zudem VerschlüsselungsmethodenEs sind angemessene Kontrollen einzurichten, um die Datensicherheit bei Nutzer an bestimmten Punkten des Netzwerks der Übertragung Organisation, beispielsweise für den lokalen oder Fernzugang zu Systemen der Zahlungstransaktionskette, zu ermitteln, zu authentifizieren und zu berechtigen. Um die Zurechenbarkeit zu gewährleisten, dürfen persönliche Konten nicht geteilt werden. Der Zugang Passwörter dürfen nicht einfach zu internen Support-Tools an Autorisierte wird kontrolliert erraten sein. Deshalb müssen Regeln (z. B. für die Komplexität und zeitlich begrenzte Gültigkeit der Passwörter) festgelegt und durch Access Control Lists (ACL)spezielle Kontrollen durchgesetzt werden. Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, Es ist ein Protokoll für die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter Wiederherstellung bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang Zurücksetzung von Passwörtern zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnerstellen.

Zugangskontrolle. Google ergreift unter anderem Die Zugangskontrolle betrifft insbesondere Maßnahmen, die folgenden Maßnahmen um Unbefugten die Nutzung von der Datenverarbeitungsanlagen, mit denen der Auftragsverarbeiter personenbezogene Daten verarbeitet verarbeitet, sowie zu Dateien und Speichermedien, die personenbezogene Daten beinhalten, verwehren, also eine unberechtigte Systembenutzung zu verhindern. Insoweit wird auch gewährleistet, dass personenbezogene Daten während der Verarbeitung ohne Autorisierung nicht gelesen, kopiert, geändert, gespeichert oder entfernt werden können. Der Auftragsverarbeiter setzt insoweit insbesondere folgende Maßnahmen hierzu um: Zwei-Faktor-Authentifizierung (mit Mindestlänge nach BSI-Standard bzw. Stand der Technik, sowie mit regelmäßiger Änderung und strenger Vertraulichkeit für verwendete Passwörter) SSH-Netzwerkprotokoll und VPN-Verbindung für den Zugriff auf die Plaflforminfrastruktur Automatische Sperre, Abmeldung Berechtigungskonzepte (Beschränkung auf autorisierte Mitarbeiter auf Rollenbasis) Verschlüsselte Speichermedien Nachverfolgung unerlaubter Aktivitäten/Zugriffe Verkapselung sensibler Systeme durch separate Netzwerkbereiche Firewall, regelmäßig aktualisierte Antiviren-Programme Dokumentierte Richtlinie zum sicheren und ordnungsgemäßen Umgang mit Passwörtern, Sicherung (mobiler) Endgeräte und Festplaflenverschlüsselung Die Zugangsberechtigungen werden durch den technischen Leiter vergeben. Die Verwaltung dieser Zugangsberechtigungen erfolgt durch autorisierte Administratoren. Ein Fernzugriff auf Server des Auftragsverarbeiters zu administrativen Zwecken, z.B. zur Wartung der Systeme, ist nur über verschlüsselte Verbindungen und nach vorheriger Authentifizierung möglich – hier: 4-Augen-Prinzip (nur überwachte Fernzugriffe) Alle Arbeitsplatzsysteme (auch Laptops) sind zudem vor unberechtigtem Zugang geschützt. Dies erfolgt insbesondere durch obige Grundsätze sowie dadurch, dass alle verwendeten Arbeitsplatzsysteme sich hinter einer Firewall befinden, alle verwendeten Arbeitsplatzsysteme mit einer aktuellen Antiviren-Software ausgestaflet sind, alle verwendeten Arbeitsplatzsysteme nach Inaktivität gesperrt werden,  alle verwendeten Arbeitsplatzsysteme über eine Zwei-Faktor Authentifizierung verfügen, alle Mitarbeiter des Auftragsverarbeiters ausschließlich mit personalisierten Benutzerprofilen arbeiten und alle mobilen Datenträger (insbesondere Laptops) verschlüsselt sind. Die Zugriffskontrolle betrifft insbesondere Maßnahmen, die Unbefugten den Zugriff auf die Datenverarbeitungsanlagen, mit denen der Auftragsverarbeiter personenbezogene Daten verarbeitet, sowie zu Dateien und Speichermedien, die personenbezogene Daten beinhalten, verwehren. Insoweit wird auch gewährleistet, dass personenbezogene Daten während der Verarbeitung ohne Autorisierung nicht gelesen, kopiert, geändert, gespeichert oder entfernt werden können. Der Auftragsverarbeiter setzt insoweit insbesondere folgende Maßnahmen hierzu um: Zwei-Faktor-Authentifizierung (mit Mindestlänge, regelmäßiger Änderung und strenger Vertraulichkeit für verwendete Passwörter) VPN-Verbindung für den Zugriff auf die Plaflforminfrastruktur Automatische Sperre, Abmeldung Berechtigungskonzepte (Beschränkung auf autorisierte Mitarbeiter auf Rollenbasis) Bedarfsgerechte Zugriffsrechte Protokollierung von Zugriffen Verschlüsselte Speichermedien Nachverfolgung unerlaubter Aktivitäten/Zugriffe Verkapselung sensibler Systeme durch Unbefugte separate Netzwerkbereiche Firewall, regelmäßig aktualisierte Antiviren-Programme Dokumentierte Richtlinie zur Zugriffskontrolle Dokumentierte Richtlinie zum sicheren und ordnungsgemäßen Umgang mit Passwörtern, Sicherung (mobiler) Endgeräte und Festplaflenverschlüsselung Trennung von Produktions- und Entwicklungsumgebung Getrennte Verarbeitung von personenbezogenen Daten, die zu verhindernunterschiedlichen Zwecken erhoben wurden: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiertEs werden folgende Maßnahmen umgesetzt, um den Zugang zu Google Produktivsysteme gewährleisten, dass die aus verschiedenen Anlässen erfassten Daten getrennt verarbeitet und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen infolgedessen von Google entwickelten anderen Daten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem VerschlüsselungsmethodenSystemen abgesondert werden, um die Datensicherheit bei so eine ungeplante Verarbeitung dieser Daten aus anderen Gründen unmöglich zu machen: Berechtigungskonzepte Mandantenfähigkeit Sandboxing Verschlüsselte Speicherung personenbezogener Daten Trennung der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen Clients innerhalb der Software Trennen von Test- und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Produktionssystemen Geografische Verteilung: Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführtmehrere Datenzentren mit verschiedenen Netzwerken verteilt. Der Zugriff auf Produktivsysteme wird nur geschulten und für Grundsätzliche Einbindung der Redundanz in die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-RegelnInfrastruktur.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von DatenverarbeitungsanlagenEs wird bei uns verhindert, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den dass Unberechtigte unsere Datenverarbeitungssysteme nutzen können. Hierbei unterscheiden wir zwischen dem Zugang zu Google Produktivsysteme und interne Supportunseren lokalen Datenverarbeitungssystemen, dem Datenzugang über unsere Software sowie dem Zugang zu den externen Datenverarbeitungssystemen. Zu unseren lokalen Datenverarbeitungssystemen haben nur die jeweiligen Mitarbeiter einen passwortgesicherten Zugang. In der Abwesenheit der Nutzer meldet sich das System automatisch ab. Es wurden Standardsicherheitsmaßnahmen gegen Fremdzugriffe getroffen. Ebenso sind kabellose Internetverbindungen WPA2-Tools passwortgesichert. Der Auftraggeber sowie bestimmte Mitarbeiter erhalten Zugänge zu reglementierenunserer Software, in welcher Daten abrufbar sind. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleistenEs ist hierfür ein entsprechender Benutzerstammsatz eingerichtet. Der Zugang zu internen Supportdem System erfolgt mittels einer authentifizierten E-Tools an Autorisierte wird kontrolliert durch Access Control Lists Mail-Adresse des Nutzers, eines selbstgewählten Passwortes (ACLtechnisch erzwungen: 8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung via PBKD5-Hash (SHA256)). Verschlüsselungstechniken Administratormitarbeiter müssen in einem regelmäßigen Turnus ihre Passwörter ändern. Die Passwörter können via E-Mail-Reset-Link oder die Passwörter der Mitarbeiter des Auftraggebers durch den Auftraggeber selbst zurückgesetzt werden. Zudem kann der Auftraggeber alternativ zu dem Login-Verfahren das Single-Sign- On via Google aktivieren. Die Logins im Admin- und Kundensystem werden eingesetzt, um Benutzerauthentifizierungen stets protokolliert und Administratorsind jederzeit nachvollziehbar. Das System bietet einen automatischen Schutz vor DDOS-Sessions über das Internet abzusichernAngriffen. Dazu wird der Account nach einer bestimmten Anzahl von vergeblichen Login-Versuchen gesperrt. Zudem besteht für die Applikationsserver eine virtuelle Firewall. Der Datenfernzugriff Zugang zum externen Datenverarbeitungssystem beim Auftragnehmer ist auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt istkonkludente Anmeldung von zwei bestimmten Personen begrenzt (4-Augen-Prinzip). Google folgt einem formalen Prozess, um Für den Zugang zu Google-Ressourcen zu erlauben oder zu verweigernist eine verschlüsselte Verbindung (SSH) notwendig sowie die Nutzung zweie passwortgeschützte versteckte personell getrennte Tokens. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellenEbenso werden diese Logins protokolliert. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen Zugriffskontrolle Die unerlaubte Tätigkeit in den Datenverarbeitungssystemen außerhalb der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschriebeneingeräumten Berechtigungen wird verhindert. Die Autorisierung bei Google Services wird jederzeit Kundendaten sind auf allen Ebenen des jeweiligen Systems erzwungenDatenbankebene (Multi-Tenant-System) getrennt. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werdenZudem wurde ein konfigurierbares Berechtigungskonzept zur Verwaltung verschiedener Zugriffsrechte der einzelnen Nutzer erstellt. Die Bewilligungen Jegliche Zugriffe der Nutzer werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletztumfänglich protokolliert. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen Daten können auf Weisung des Auftraggebers zurückgesetzt werden. Zudem erfolgt im System keine Löschung von Daten, sondern lediglich eine Datensperrung – die Zustimmung Löschung erfolgt nur, wie im Vertrag bezeichnet, auf besondere Weisung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-RegelnAuftraggebers.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Der Zugang zu Google Produktivsysteme Informationswerten ist durch die fachlichen Anforderungen (‚Kenntnis nur soweit nötig‘16) und interne Supportim Einklang mit dem bestehenden Regelungsrahmen der Organisation (einschließlich der Informationssicherheitsstrategie) zu begründen. Es sind eindeutige Regeln für die Zugriffskontrolle auf Basis des Grundsatzes der minimalen Rechtevergabe17 festzulegen, die den Erfordernissen des jeweiligen Geschäftszwecks und der IT-Tools Prozesse genau Rechnung tragen. Soweit relevant (z. B. zur Backup-Verwaltung), müssen die logischen mit den physischen Zugriffskontrollen übereinstimmen, es sei denn, es bestehen angemessene Ausgleichskontrollen (z. B. Verschlüsselung, Anonymisierung personenbezogener Daten). Um die Zuweisung von Rechten zum Zugriff auf Informationssysteme und -dienste der Zahlungstransaktionskette zu reglementierenkontrollieren, müssen formelle, dokumentierte Verfahren umgesetzt werden. Zugriffsrestriktionen stützen sich Diese Verfahren müssen den gesamten Lebenszyklus des Nutzerzugangs abdecken – von der Erstregistrierung neuer Nutzer bis hin zur endgültigen Abmeldung von Nutzern, die keinen Zugang mehr benötigen. Besondere Beachtung erfordert gegebenenfalls die Zuweisung von Zugriffsrechten, die so kritisch sind, dass ihr Missbrauch zu einer schwerwiegenden Beeinträchtigung der betrieblichen Prozesse des Teilnehmers führen kann (z. B. Zugriffsrechte im Zusammenhang mit der Systemadministration, dem Umgehen von Systemkontrollen oder dem direkten Zugriff auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) ZertifikatenGeschäftsdaten). Dieser Service bietet zudem VerschlüsselungsmethodenEs sind angemessene Kontrollen einzurichten, um die Datensicherheit bei Nutzer an bestimmten Punkten des Netzwerks der Übertragung Organisation, beispielsweise für den lokalen oder Fernzugang zu Systemen der Zahlungstransaktionskette, zu ermitteln, zu authentifizieren und zu berechtigen. Um die Zurechenbarkeit zu gewährleisten, dürfen persönliche Konten nicht geteilt werden. Der Zugang Passwörter dürfen nicht einfach zu internen Support-Tools an Autorisierte wird kontrolliert erraten sein. Deshalb müssen Regeln (z. B. für die Komplexität und zeitlich begrenzte Gültigkeit der Passwörter) festgelegt und durch Access Control Lists (ACL)spezielle Kontrollen durchgesetzt werden. Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, Es ist ein Protokoll für die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter Wiederherstellung bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang Zurücksetzung von Passwörtern zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Team überprüft regelmäßig kritische Firewall-Regelnerstellen.

Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Einmal-Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Job- Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung der Google Systeme verletzt. Änderungen an den hardwareseitigen Netzwerkkomponenten oder an deren Konfiguration benötigen die Zustimmung des designierten Verantwortlichen und unterliegen einem Change-Change- Managementprozess. Google hat ebenso Verschlüsselungsmethodiken, 2-Fach-Authentifizierung, Eingabe- und Session-Session- logging für zentralisierte Serverumgebungen zur Überwachung der Produktivsysteme implementiert. Google hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die auf einer Google Firewall genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations- Operations-Team überprüft regelmäßig kritische Firewall-Regeln.