Zugriffskontrolle. ▪ Es wurden Regelungen zur Klassifizierung und Handhabung von Informationen hinsichtlich ihrer Vertraulichkeit in einer Organisationsanweisung herausgegeben. ▪ Zugriffsrechte auf klassifizierte Daten werden für jeden Beschäftigten in Abhängigkeit von der Arbeitsaufgabe restriktiv nach dem Prinzip „so viel Rechte wie nötig, so wenig wie möglich“ vergeben. ▪ Zur Vereinfachung werden Berechtigungen zu Rechteprofilen zusammengefasst und die Benutzer diesen Profilen zugeordnet. ▪ Die Rechteprofile und die Zuordnung der Benutzer zu diesen Profilen werden dokumentiert. ▪ Es ist ein restriktiver Datenzugriff über die Anwendungssoftware sichergestellt. Es werden nur Funktionalitäten und Daten zur Verfügung gestellt, die für die Erfüllung der jeweiligen Arbeitsaufgabe erforderlich sind. ▪ Alle Beschäftigten sind angehalten, ihren Bildschirm bei Verlassen des Arbeitsplatzes mit einem passwortgeschützten Bildschirmschoner zu verdunkeln. Nach fünf Minuten der Nichtbenutzung werden Bildschirme automatisch verdunkelt. ▪ Es gibt Vorgaben für die Beschäftigten zum aufgeräumten Arbeitsplatz, nach denen Dokumente und Datenträger bei Verlassen des Arbeitslatzes unter Verschluss genommen oder beaufsichtigt werden müssen. ▪ Das sichere, rückstandsfreie Löschen der Daten bzw. Vernichten von Datenträgern nach Ablauf der Aufbewahrungsfristen lt. Löschkonzept bzw. entsprechend der Weisung des Auftraggebers bei Verarbeitung im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO mit Xxxxx- bzw. Vernichtungsprotokoll wird gewährleistet. ▪ Die einzusetzenden Xxxxx- und Vernichtungsverfahren sind in einem Löschkonzept festgelegt. ▪ Bei Auftragsverarbeitung werden Daten bzw. Datenträger nur nach Weisung und vertraglichen Vorgaben des Auftraggebers als Verantwortlichem gelöscht bzw. vernichtet. ▪ Es gibt Festlegungen zur Auswahl und Beauftragung externer Dienstleister mit der Vernichtung von Datenträgern, insbesondere unter Beachtung der Vorschriften von Art. 28 DS-GVO. ▪ Die Vernichtung von Datenträgern und Akten erfolgt in Abhängigkeit vom Schutzbedarf der gespeicherten Daten bzw. bei Verarbeitung im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO nach den Weisungen bzw. vertraglichen Vorgaben des für die Verarbeitungstätigkeit Verantwortlichen nach DIN 66399 Teil 1 und 2 sowie DIN SPEC 66399-3 durch einen beauftragten Unterauftragnehmer (siehe auch Anlage 1). ▪ Das zur Vernichtung anstehende Material wird in verschlossenen Sicherheitsbehältern bzw. bei Archivmaterial in verschlossenen Großraumcontainern gesammelt.
Appears in 4 contracts
Samples: www.kvhh.net, www.kvhh.net, www.kvhh.net
Zugriffskontrolle. ▪ Es wurden Regelungen zur Klassifizierung Durch regelmäßige Sicherheitsupdates und Handhabung Backups, kontinuierlich gepflegter Firewall und Virenschutz (nach jeweiligem Stand der Technik), stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden. • Sämtliche Systemzugriffe werden protokolliert • Das alfaview®-Benutzerpasswort ist nur dem Auftraggeber bekannt. Der für die Wartung des Hosting-Systems zuständige Mitarbeiter des Auftragnehmers greift ohne Zustimmung des Auftraggebers nicht auf die vom Auftraggeber gebuchten Räume selbst zu. • Der Auftragnehmer führt Server-Updates zu jeder Zeit unangekündigt durch. Die zu erwartenden Einschränkungen sind verschwindend gering. Client-Updates werden momentan innerhalb des Clients angekündigt. In Zukunft werden wir umfangreich über Client-Updates im Voraus informieren. • Durchgängiges Berechtigungssystem mit granular Berechtigungssteuerung für Systeme und Laufwerke. • Speziell für im Support anfallende Daten gesondert gesichertes Laufwerk mit dokumentierter Berechtigungsvergabe und Protokollierung der Zugriffe durch Ticketsystem. • 4-Augen-Prinzip bei Abruf von Informationen hinsichtlich ihrer Vertraulichkeit in Daten mit personenbezogenen Daten: Der Abruf von Dateien mit personenbezogenen Daten des Auftraggebers (z.B. XML oder CSV- Strukturdaten) durch einen Supportmitarbeiter bedarf der Zustimmung einer Organisationsanweisung herausgegebenFührungskraft (Supportlead) (Ziel der Datensparsamkeit) • Unsere Mitarbeiter sind dem Datengeheimnis nach DSGVO verpflichtet. ▪ Zugriffsrechte auf klassifizierte Eine entsprechende Schulung und Belehrung erfolgt regelmäßig. • Wir geben grundsätzlich keine Kundendaten ohne explizite Weisung durch den Weisungsbefugten des Kunden an Dritte weiter • Datenschutzgerechte Löschung der personenbezogenen Daten werden für jeden Beschäftigten in Abhängigkeit von der Arbeitsaufgabe restriktiv nach dem Prinzip „so viel Rechte wie nötig, so wenig wie möglich“ vergeben. ▪ Zur Vereinfachung werden Berechtigungen zu Rechteprofilen zusammengefasst und die Benutzer diesen Profilen zugeordnet. ▪ Die Rechteprofile und die Zuordnung der Benutzer zu diesen Profilen werden dokumentiert. ▪ Es ist ein restriktiver Datenzugriff über die Anwendungssoftware sichergestellt. Es werden nur Funktionalitäten und Daten zur Verfügung gestelltVertragsende oder bei Wegfall des Zwecks • Alle sensiblen Daten, die für die Erfüllung der jeweiligen Arbeitsaufgabe erforderlich sindwährend des Supportprozesses anfallen, werden auf einem getrennten dezidierten Laufwerk gesichert. ▪ Alle Beschäftigten sind angehaltenDieses Laufwerk hat restriktive Zugriffsbeschränkungen, ihren Bildschirm bei Verlassen des Arbeitsplatzes mit einem passwortgeschützten Bildschirmschoner zu verdunkelnsämtliche Schreib- und Löschvorgänge werden protokolliert. Nach fünf Minuten der Nichtbenutzung werden Bildschirme automatisch verdunkelt. ▪ Es gibt Vorgaben für die Beschäftigten zum aufgeräumten Arbeitsplatz, nach denen Dokumente und Datenträger bei Verlassen des Arbeitslatzes unter Verschluss genommen oder beaufsichtigt werden müssen. ▪ Das sichere, rückstandsfreie Löschen der Daten bzw. Vernichten von Datenträgern nach Ablauf der Aufbewahrungsfristen lt. Löschkonzept bzw. entsprechend der Weisung des Auftraggebers bei Verarbeitung • Fernwartung ist im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO mit Xxxxx- bzw. Vernichtungsprotokoll wird gewährleistet. ▪ Die einzusetzenden Xxxxx- und Vernichtungsverfahren sind in einem Löschkonzept festgelegt. ▪ Bei Auftragsverarbeitung werden Daten bzw. Datenträger nur nach Weisung und vertraglichen Vorgaben Rahmen des Auftraggebers als Verantwortlichem gelöscht bzw. vernichtet. ▪ Es gibt Festlegungen zur Auswahl und Beauftragung externer Dienstleister mit der Vernichtung von Datenträgern, insbesondere unter Beachtung der Vorschriften von Art. 28 DS-GVO. ▪ Die Vernichtung von Datenträgern und Akten erfolgt in Abhängigkeit vom Schutzbedarf der gespeicherten Daten bzw. bei Verarbeitung im Auftrag eines Verantwortlichen i. S. v. Art. 28 DS-GVO nach den Weisungen bzw. vertraglichen Vorgaben des für die Verarbeitungstätigkeit Verantwortlichen nach DIN 66399 Teil 1 und 2 sowie DIN SPEC 66399-3 durch einen beauftragten Unterauftragnehmer (siehe auch Anlage 1). ▪ Das zur Vernichtung anstehende Material wird in verschlossenen Sicherheitsbehältern bzw. bei Archivmaterial in verschlossenen Großraumcontainern gesammelt.Auftrags nicht vorgesehen
Appears in 1 contract