Common use of Zugangskontrolle Clause in Contracts

Zugangskontrolle. a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt. b) Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben. c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert. d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergeben. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich. e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an. f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter. g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk). h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet. i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

Appears in 4 contracts

Samples: Auftragsverarbeitungsvertrag, Auftragsverarbeitungsvertrag, Auftragsverarbeitungsvertrag

Zugangskontrolle. a) Die Zugang auf Serverdaten Direkten Zugriff zu den nicht anonymisierten Kundendaten (Serverzugriff, Datenbankzugriff) hat nur ein stark beschränkter Personenkreis. Für diese Systeme werden sichere Passwörter verwendet (mindestens 16 Zeichen zufällig generiert). Diese Passwörter werden mittels KeePass verschlüsselt gespeichert. Nur der stark eingeschränkte Personenkreis hat hierzu Zugang. Technische Mitarbeiter und Entwickler sind angewiesen keine Versuche zu unternehmen, Passwörter aus Quellcode oder Ähnlichem auszulesen. Es ist protokolliert wer zum eingeschränkten Personenkreis gehört. Sollte ein Mitarbeiter aus dem eingeschränkten Personenkreis ausscheiden, wird das Zugriffspasswort zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschütztKeePass Datei umgehend geändert. Dieser Vorgang wird schriftlich festgehalten. b) Identifikations- Zugang über die Online-Plattform durch vilisto Alle anderen Mitarbeiter von vilisto (Support, Vertrieb, Technik) und Authentifikationsinformationen (insbesondere in Form Kunden haben ausschließlich über die vilisto Online-Plattform Zugriff auf die nicht anonymisierten Kundendaten. Die Online- Plattform ist durch Authentifizierung mittels eines Benutzernamens und eines Passwortes vor unberechtigtem Zugang geschützt. vilisto Mitarbeiter verwenden für den Zugriff ihre Domänenzugangsdaten. Die Vergabe und der Entzug von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem Zugängen für die jeweilige Aufgabe erforderlichen Umfang vergebenOnline-Plattform wird durch den Domänenserver der vilisto automatisch dokumentiert. Sollen Mitarbeiter aufgrund von Ausscheiden aus dem Unternehmen ihre Berechtigungen verlieren, wird dies durch ein komplettes Deaktivieren des Domänenkontos erreicht. Das Deaktivieren des Xxxxxx ist bei vilisto Teil des normalen Offboarding-Prozesses. Die Mitarbeiter des Unternehmens sind angewiesen die Kundendaten als vertraulich zu behandeln. Die Mitarbeiter des Unternehmens sind angewiesen bei Abwesenheit ihre Computer zu sperren, sodass Besucher oder Mitarbeiter ohne Berechtigungen nicht zufällig Zugang erhalten. Nach 10 Minuten ohne Benutzung werden die Mitarbeiter außerdem automatisch aus der Online-Plattform ausgeloggt. c) Jede Vergabe von Zugangsberechtigungen wird für Zugang über die Laufzeit des Auftrags dokumentiert. d) Alle Zugänge Online-Plattform durch den Kunden Der Kunde erhält Zugang über Online-Plattform-Konten auf die Online-Plattform. Ein Kunde erhält dabei nur Zugriff auf die Daten, der bei dem Kunden installierten Thermostate und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergebenGateways. Die Benutzung Kundenkontos sind über Authentifizierungen mittels Benutzerkennung und Passwort geschützt. Jegliches Erstellen, oder Löschen von Accounts Konten sowie das Hinzufügen oder Entfernen von Benutzerrechten durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlichvilisto oder den Kunden wird automatisch protokolliert. Diese Protokolle werden 180 Tage gespeichert. Für den sorgfältigen Umgang mit seinem Zugang zur Online- Plattform und mit weiteren Zugängen, die sich der Kunde erstellen kann, trägt der Kunde selbst die Verantwortung. e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an. f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter. g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk). h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet. i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

Appears in 2 contracts

Samples: Auftragsverarbeitungsvertrag, Auftragsverarbeitungsvertrag

Zugangskontrolle. Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Ja Nein a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- Es existiert ein dokumentiertes und Serversysteme) sind durch Authentifikations- wirksames Zugangskontrollkonzept inkl. Netzwerksicherheitszonen und Autorisationssysteme geschützt.Netzsegmentierung. ☒ ☐ b) Identifikations- Das Zugangskontrollkonzept definiert die Vergabe, Änderungen und Authentifikationsinformationen (insbesondere in Form den Entzug von Benutzernamen Zugangsrechten sowie deren Freigabe für interne und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben.externe Mitarbeiter. ☒ ☐ c) Jede Vergabe von Zugangsberechtigungen wird Die Vorgänge für die Laufzeit des Auftrags dokumentiert.Vergabe, Änderungen und den Entzug von Zugangsrechten sowie deren Freigabe werden nachvollziehbar protokolliert. ☒ ☐ d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergebenDas Zugangskontrollkonzept wird mindestens 1x pro Jahr überprüft. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich.☒ ☐ e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Jede Benutzerkennung ist zu jedem Zeitpunkt eindeutig einer natürlichen Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibtzugeordnet. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an.☒ ☐ f) Die Xxxx der Passwörter Es werden sichere Passworte verwendet. Aufbau und Handhabung erfolgt in ausreichender Komplexität und Gütegemäß einer dokumentierten Passwortrichtlinie. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter.☒ ☐ g) Der Auftragsverarbeiter hält Authentifikationsdaten Default Passwörter von Systemen und Applikationen (insbesondere Passwörter und kryptographische Schlüsselz.B. Oracle, SAP) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk).werden grundsätzlich geändert. ☒ ☐ h) Für die Verschlüsselung Es wird der AES Algorithmus mit 256 Bit und sichergestellt das Initialkennwörter für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet.Benutzer nach einer kurzen Frist wieder ungültig werden, sofern sie nicht unverzüglich geändert wurden. ☒ ☐ i) Xxxx Xxxxxxxxxx Passwörter dürfen nur von Hardware an dafür berechtigten Personen gemäß definiertem Prozess zurückgesetzt oder geändert werden. ☒ ☐ j) Administratoren nutzen separate Zugänge für das Management von Systemen und deren privilegierte Aktivitäten werden protokolliert. ☒ ☐ k) Die Delegation von Rechten (Vertretungsregelung) erfolgt ausschließlich gemäß definierter Vorgaben. ☒ ☐ Ja Nein l) Alle Mitarbeiter des Auftragnehmers sind angewiesen, ihre Arbeitsplätze zu sperren, wenn sie diese verlassen. Standardmäßig werden Arbeitsplätze mit automatischer Sperre konfiguriert. ☒ ☐ m) Alle Zugänge zu Systemen (Applikationen, Betriebssystemen, BIOS, Boot-Devices etc.) sind mit Passwort gesichert oder gesperrt. ☒ ☐ n) Der externe Zugriff (Remote Access) wird für die Dauer des Auftrags dokumentiert.über eine Firewall, mittels starker Verschlüsselung und 2-Faktor Authentisierung gesichert. ☒ ☐ Etwaige Abweichungen oder Erläuterungen:

Appears in 1 contract

Samples: Auftragsverarbeitungsvertrag

Zugangskontrolle. a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt. b) Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung Zugang auf Serverdaten Direkten Zugriff zu den nicht anonymisierten Kundendaten (Serverzugriff, Datenbankzugriff) hat nur ein stark beschränkter Personenkreis. Für diese Systeme werden sichere Passwörter verwendet (mindestens 16 Zeichen zufällig generiert). Diese Passwörter werden mittels KeePass verschlüsselt gespeichert. Nur der stark eingeschränkte Personenkreis hat hierzu Zugang. Technische Mitarbeiter und Entwickler sind angewiesen keine Versuche zu unternehmen, Passwörter aus Quellcode oder Ähnlichem auszulesen. Es ist protokolliert wer zum eingeschränkten Personenkreis gehört. Sollte ein*e Mitarbeiter*in aus dem eingeschränkten Personenkreis ausscheiden, wird das Zugriffspasswort zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sindKeePass Datei umgehend geändert. Dieser Vorgang wird schriftlich festgehalten. Zusätzlich haben Mitarbeitenden der Unter-Auftragnehmer entsprechend ihrer TOMs Zugriff auf die Daten in den zugrunde liegenden Serverstrukturen. Zugang über die Online-Plattform durch vilisto Alle anderen Mitarbeitenden von vilisto (Support, werden nur an Vertrieb, Technik) und Kunden haben ausschließlich über die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für vilisto Online-Plattform Zugriff auf die jeweilige Aufgabe erforderlichen Umfang vergeben. c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert. d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergebennicht anonymisierten Kundendaten. Die Online-Plattform ist durch Authentifizierung mittels eines Benutzernamens und eines Passwortes vor unberechtigtem Zugang geschützt. xxxxxxx Xxxxxxxxxxxxx verwenden für den Zugriff ihre Domänenzugangsdaten. Die Mitarbeitenden des Unternehmens sind angewiesen die Kundendaten als vertraulich zu behandeln. Die Mitarbeitenden des Unternehmens sind angewiesen bei Abwesenheit ihre Computer zu sperren, sodass Besuchende oder Mitarbeitende ohne Berechtigungen nicht zufällig Zugang erhalten. Nach 10 Minuten ohne Benutzung von Accounts werden die Mitarbeitenden außerdem automatisch aus der Online-Plattform ausgeloggt. Zugang über die Online-Plattform durch mehrere Personen (Gruppenden Kunden Der Kunde erhält Zugang über Online-Accounts) unterbleibt grundsätzlichPlattform-Konten auf die Online-Plattform. Ein Kunde erhält dabei nur Zugriff auf die Daten, der bei dem Kunden installierten Thermostate. Die Kundenkontos sind über Authentifizierungen mittels Benutzerkennung und Passwort geschützt. Für den sorgfältigen Umgang mit seinem Zugang zur Online-Plattform und mit weiteren Zugängen trägt der Kunde selbst die Verantwortung. e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an. f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter. g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk). h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet. i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

Appears in 1 contract

Samples: Auftragsverarbeitungsvertrag

Zugangskontrolle. Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Ja Nein a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- Es existiert ein dokumentiertes und Serversysteme) sind durch Authentifikations- wirksames Zugangskontrollkonzept inkl. Netzwerksicherheitszonen und Autorisationssysteme geschützt.Netzsegmentierung. ☒ ☐ b) Identifikations- Das Zugangskontrollkonzept definiert die Vergabe, Änderungen und Authentifikationsinformationen (insbesondere in Form den Entzug von Benutzernamen Zugangsrechten sowie deren Freigabe für interne und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben.externe Mitarbeiter. ☒ ☐ c) Jede Vergabe von Zugangsberechtigungen wird Die Vorgänge für die Laufzeit des Auftrags dokumentiert.Vergabe, Änderungen und den Entzug von Zugangsrechten sowie deren Freigabe werden nachvollziehbar protokolliert. ☒ ☐ d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergebenDas Zugangskontrollkonzept wird mindestens 1x pro Jahr überprüft. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich.☒ ☐ e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Jede Benutzerkennung ist zu jedem Zeitpunkt eindeutig einer natürlichen Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibtzugeordnet. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an.☒ ☐ Ja Nein f) Die Xxxx der Passwörter Es werden sichere Passworte verwendet. Aufbau und Handhabung erfolgt in ausreichender Komplexität und Gütegemäß einer dokumentierten Passwortrichtlinie. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter.☒ ☐ g) Der Auftragsverarbeiter hält Authentifikationsdaten Default Passwörter von Systemen und Applikationen (insbesondere Passwörter und kryptographische Schlüsselz.B. Oracle, SAP) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk).werden grundsätzlich geändert. ☒ ☐ h) Für die Verschlüsselung Es wird der AES Algorithmus mit 256 Bit und sichergestellt das Initialkennwörter für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet.Benutzer nach einer kurzen Frist wieder ungültig werden, sofern sie nicht unverzüglich geändert wurden. ☒ ☐ i) Xxxx Xxxxxxxxxx Passwörter dürfen nur von Hardware an dafür berechtigten Personen gemäß definiertem Prozess zurückgesetzt oder geändert werden. ☒ ☐ j) Administratoren nutzen separate Zugänge für das Management von Systemen und deren privilegierte Aktivitäten werden protokolliert. ☒ ☐ k) Die Delegation von Rechten (Vertretungsregelung) erfolgt ausschließlich gemäß definierter Vorgaben. ☒ ☐ l) Alle Mitarbeiter des Auftragnehmers sind angewiesen, ihre Arbeitsplätze zu sperren, wenn sie diese verlassen. Standardmäßig werden Arbeitsplätze mit automatischer Sperre konfiguriert. ☒ ☐ m) Alle Zugänge zu Systemen (Applikationen, Betriebssystemen, BIOS, Boot-Devices etc.) sind mit Passwort gesichert oder gesperrt. ☒ ☐ n) Der externe Zugriff VPN (Remote Access) wird für die Dauer des Auftrags dokumentiert.über eine Fritz box mittels starker Verschlüsselung Authentisierung gesichert. ☒ ☐ Etwaige Abweichungen oder Erläuterungen: k) Eine Delegation von Rechten erfolgt nicht – nur Original Rechteinhaber können Funktionen ausüben

Appears in 1 contract

Samples: Data Processing Agreement

Zugangskontrolle. aTechnische und organisatorische Maßnahmen: • Die unbefugte Nutzung der DV-Systeme wird verhindert durch: • Passwortvergabe und • Two-Factor Authentication (soweit möglich) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme • Sicherheitsvorgaben fur Passwörter (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt. b) Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörternsoweit möglich). • Jeder Berechtigte verfugt uber eigene, sichere/lange, nur ihm bekannte Passwörter je Dienst, welche mit nicht weitergegeben werden durfen und durch einen zentralen Passwortmanager verwaltet werden. Bei eventuellem Bekanntwerden des Passwortes muss dieses umgehend geändert werden. • Wann immer möglich, wird eine Two-Factor Authentication zwingend gefordert. • Fur alle relevanten Aktivitäten auf der Zugangsberechtigung zu den zur Durchführung DV-Anlage werden automatisch Protokolle erstellt. • Die Protokolle werden vom Systemadministrator regelmäßig stichprobenartig sowie bei Au"älligkeiten (z. B. besonders hohe Aktivität) ausgewertet. • Die Datenubertragung von und zum DV-System wird bei kritischen Aktivitäten (z. B. Systempflege, Softwareupdates, Backups) durch folgende Maßnahmen gegen Nutzung durch Unbefugte gesichert: • Überprufung bekannter ö"entlicher Schlussel bei Kontaktaufnahme (soweit möglich); • Verschlusselte Datenubertragung (SSH/TLS - wo möglich via Public/Private Key Authentication); • Protokollierung der Systemnutzung und Protokollauswertung. Zugri"skontrolle Technische und organisatorische Maßnahmen: • Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern wird verhindert durch: • softwareseitigen Ausschluss (Berechtigungskonzept); • softwareseitige Überwachung unplausibler Nutzung (Monitoring); • gesicherte Schni$stellen; • weitere Kontrollmechanismen des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, Rechenzentrums. • Berechtigungen werden nur an die mit der Durchführung durch einen kleinen Kreis von Mitarbeitern des Auftrags beauftragten Personen und lediglich in Managements nach dem für die jeweilige Aufgabe erforderlichen Umfang vergeben. c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert. d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch Least-Privilege-Prinzip vergeben. • Mobile Datenträger durfen nicht eingesetzt werden. Mobile Backup-Medien kommen nicht zum Einsatz. • Am Arbeitsplatz und in den Geschäftsräumen werden keine Datenträger vorgehalten. Entwickler haben nur Zugri" auf fiktive Testdaten. Mit Entstörungen beauftragtes Personal kann auf reale Daten zugreifen, soweit dies zur Entstörung notwendig ist. • Die Einschränkung der Zugri"smöglichkeit des zur Benutzung von Accounts durch mehrere Personen eines DV-Systems Berechtigten ausschließlich auf die seiner Zugri"sberechtigung unterliegenden Daten wird gewährleistet durch: • automatische Prufung der Zugri"sberechtigung mi$els Passwort; • ausschließliche Menusteuerung je nach Berechtigung; • di"erenzierte Zugri"sberechtigung auf Anwendungsprogramme; • di"erenzierte Verarbeitungsmöglichkeiten (Gruppen-Accounts) unterbleibt grundsätzlich. e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an. f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter. g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im NetzwerkLesen/Ändern/Löschen). h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet. i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

Appears in 1 contract

Samples: Auftragsverarbeitungsvertrag

Zugangskontrolle. a) Der Auftragnehmer verhindert, dass EDV- Systeme von Unbefugten genutzt werden können. Dies geschieht durch: • Es wird ein Kennwortverfahren ange- wendet (u.a. Sonderzeichen, Mindest- länge, regelmäßiger Wechsel des Kennworts), mit welchem sicherge- stellt wird, dass Passwörter die Min- destanforderungen an die Sicherheit erfüllen. Die zur Durchführung Erteilung erfolgt für den IT-Bereich (PC, Drucker, sonstige Hardwareumgebung für die Office-IT durch die Schwestergesellschaft in Berlin – nexnet GmbH, dort durch den Leiter der IT-Abteilung). Für den TK- Bereich erfolgt die Erteilung durch den Leiter der Technik in Hamburg). • Die Passwörter unterliegen genauen Sicherheitsvorgaben. Die Einzelheiten regelt die Passwort-Richtlinie der dtms GmbH (z.B. Mindestlänge 8 Zeichen, deren Einhaltung technisch überprüft und erzwungen wird). Ferner wird si- chergestellt, dass nur Mitarbeiter der dtms GmbH zu den Bereich Zugriff er- halten, welche für ihre Arbeit erforder- lich sind. Diese wird durch eine entsprechende Rechtevergabe in der Office-IT und im TK-Bereich sicherge- stellt. • Ein Passwortwechsel wird alle 3 Mo- nate erzwungen, indem der Mitarbeiter aufgefordert wird, sein Passwort zu ändern. Erfolgt dies nach wiederholter Aufforderung nicht, wird der Zugang gesperrt. • Ebenso werden externe USB- Schnittstellen gesperrt und nur für Mit- arbeiter freigeschaltet, die aufgrund ihrer beruflichen Tätigkeit dieses Me- dium benötigen. Der Umgang mit mo- bilen Geräten ist im Detail in der Richtlinie für mobile Geräte der dtms GmbH geregelt. Personenbezogene Daten dürfen auf mobilen Datenträ- gern nicht gespeichert werden. • Die IT-Systeme im Bereich der Office- IT und im Bereich der Telekommuni- kation sind mittels einer Firewall vor Viren und Schadsoftware geschützt. Hierdurch werden unberechtigte Zu- griffe erkannt und entsprechend un- terbunden. Im Bereich des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- E-Mail- Zugangs werden die eingehenden E- Mails auf Viren und Serversysteme) Schadsoftware ge- prüft und erforderlichenfalls in einem Quarantäne-Bereich abgelegt. • Neben der vorstehend beschriebenen Firewall und dem Virenscanner verfügt die dtms GmbH zusätzlich noch über einen so genannten Schnittstellen- schutz • Es erfolgt die Sperrung des Benutzer- xxxxxx nach drei fehlgeschlagenen An- meldeversuchen. • Die PC im Bereich der IT- und TK sind durch Authentifikations- automatische, passwortge- schützte Bildschirm- und Autorisationssysteme geschützt. b) Identifikations- und Authentifikationsinformationen (insbesondere in Form Rechner- sperre gesichert • Es erfolgt eine eindeutige Zuordnung von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung Benutzerkonten zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sindBenutzern • Sensible Systeme, werden insbesondere Ser- versysteme sind nur an die mit als Administrator nutzbar • Die Übertragung von personenbezoge- nen Daten erfolgt nur im Netzwerk der Durchführung des Auftrags beauftragten Personen Unternehmung (SSH, VPN) und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben. c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert. d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergebensomit gesichert. • Der Zugriff auf das firmeninterne VPN ist nur über zertifikatsbasierte Authen- tifizierung möglich. Die Benutzung Vergabe der Authentifizierungen ist in der IT- Richtlinie der dtms GmbH geregelt. • Die Vernichtung von Accounts nicht mehr erfor- derlichen Datenträgern erfolgt mittels kontrollierter Vernichtung durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlichein qualifiziertes Entsorgungsunterneh- men • Bei Ausscheiden eines Mitarbeiters/ei- ner Mitarbeiterin hat der/die Be- troffene alle Zugangsberechtigungen unverzüglich mit Ausscheiden zurück- zugeben. e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an. f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter. g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk). h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet. i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.

Appears in 1 contract

Samples: Data Processing Agreement