Technische und
organisatorische Maßnahmen
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)
Nur berechtigte Personen haben Zugang zu den Anlagen (PC, Laptop, Server …), mit denen personenbezogene Daten verarbeitet werden.
Die Eingangstüre zu den Räumen in denen sich Verarbeitungsanlagen (PC, Server, Laptop, Drucker) befinden, und in denen Akten und Korrespondenz aufbewahrt werden, sind bei Nicht-Benutzung versperrt.
Bauliche Maßnahmen zur Verhinderung des physischen Zugangs zu den Verarbeitungsanlagen:
- versperrte Eingangs- und Innentüren
- Einbruchssicherung: Alarmanlage
- Zugang mit Chipsystem (Kontrollmöglichkeit, wer das Büro betritt)
technische Maßnahmen, das heißt Maßnahmen die den „Zugang zum Informationssystem“ regulieren:
- Verfahren zur User-Anmeldung und Abmeldung
- Verwaltung von Admin-rechten
- technische Passwortvorgaben und Passwort-Safe-Nutzung
= 1Password = SOC 2 Typ 2 zertifiziert
organisatorische Maßnahmen:
- Besucher werden am Betriebsgelände nicht unbeaufsichtigt gelassen
- eigene Besprechungszimmer, in denen keine Akten zugänglich sind
- Protokollierung über Besuche (wer, wann, bei wem, warum) via Kalender
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von
Datenträgern (Datenträgerkontrolle)
Die personenbezogenen Daten sind ausschließlich auf dem einem bestimmten Laufwerk des jeweiligen Servers/Laptop/PC gespeichert. Wenn Datenträger entsorgt werden, sichergestellt, dass die darauf befindlichen Daten gelöscht sind.
technische Maßnahmen:
- sichere Aufbewahrung der Speichermedien (versperrt)
- Dokumentieren und Kontrollieren der Anfertigung von Kopien
- verschlüsseltes Speichern
- datenschutzgerechte Entsorgung von Geräten mit Speichermedien (z.B. auch Druckern)
- datenschutzgerechtes Löschen und Wiederverwenden von Speichermedien (Sticks)
organisatorische Maßnahmen:
- Dokumentation der Ausgabe und Verwendung von mobilen Speichermedien (Wer hat welchen USB-Stick oder sonstiges Speichermedium? Nummerierung und Zuordnung)
- Kontrolle über die Datenweitergabe
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle)
Die personenbezogenen Daten sind nur von Berechtigten mit Passwort zugänglich. Zugriffe werden protokolliert (need to know). Die Daten werden überdies verschlüsselt abgelegt.
technische Maßnahmen:
- Bildschirm- und Computersperre bei Verlassen des Arbeitsplatzes
- Benutzeridentifizierung
- Verschlüsselte Speicherung der Daten
- Trennung von Administration- und Produktionsbereich
organisatorische Maßnahmen:
- Protokollierung der Art und Weise des Zugriffes auf die Daten
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)
Der IT-Administrator vergibt die Benutzerrechte im Rahmen des Notwendigen (need to know Prinzip, dh es können nur Befugte auf Daten zugreifen). Durch technische Systeme (Firewall) und Passwortvorgaben sowie Protokollierung wird sichergestellt, dass Daten nur durch berechtigte Personen übertragen werden.
technische Maßnahmen:
- sichere technische Passwortvorgabe
- Absicherung der Geräte und Netzwerke
organisatorische Maßnahmen:
- Festlegung der Personen, die Nutzungsberechtigungen haben (Zuständigkeiten)
- Protokollierung der Nutzer und Aktivitäten
- Passwortpolicy / Passwortrichtlinie und Passwort-Safe SOC 2 Typ 2 zertifiziert
- Clean-Desk-Policy
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems
Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle)
Es besteht eine Passwort-Policy und diese ist den Befugten auch bekannt. Passwörter sind in periodischen Abständen zu ändern. Es ist sichergestellt, dass alle befugten Personen informiert sind, dass Passwörter sicher zu verwahren sind und nicht weitergegeben werden. Die befragten Personen sind informiert, dass einzigartige Passwörter, dh Passwörter, die vom Nutzer bei keinem anderen (insbesondere privaten) Systemen verwendet werden sollen. Passwörter werden bei uns im Passwort-Safe verwaltet, der auch nach SOC 2 Typ 2 zertifiziert ist.
technische Maßnahmen:
- Berechtigungskonzept
- Benutzeridentifizierung
- Verschlüsselung
- Kopierkontrolle
- Netzwerkkontrolle (kein Anschluss von nicht betriebseigenen Geräten)
organisatorische Maßnahmen:
- Verwaltung und Kontrolle der Zugriffsberechtigungen
- Kontrolle der Zugriffe (Protokollierung)
- Dokumentation der Maßnahmen zur Datenvernichtung