Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Größe: px

Ab Seite anzeigen:

Download "Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen"

Kajetan Pfeiffer
vor 5 Jahren
Abrufe

1 Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen Unser Kompaktleitfaden macht die zentralen Datenschutzaspekte unserer Client Communication Platform (CCP) transparent und zeigt, wie sie durch technische und organisatorische Sicherheitsmaßnahmen umgesetzt werden. Version 4.1 Juli 2017 Classification: DC1

2 Zutrittskontrolle 1. Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Die Sicherheitsmaßnahmen, die auf Ebene der IT-Basis- sowie der Gebäudeinfrastruktur umgesetzt sind, richten sich nach der Sensibilität der jeweilig verarbeiteten Daten. Eine entsprechende Klassifizierung der Räume sowie Vorgaben für die jeweils umzusetzenden Maßnahmen sind in einer IT-Security-Richtlinie beschrieben. Zutrittskontrolle (elektronische Zutrittskontrollsysteme, Videoüberwachung, Empfangspersonal etc.) Einbruchschutz (Alarmüberwachung von Türen und Fenstern, Bewegungsmelder etc.) Zugangskontrolle 2. ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Geschäftskritische IT-Plattformen werden vor der erstmaligen Produktivsetzung sogenannten Penetrationstests unterzogen. Bei Penetrationstests handelt es sich um Sicherheitsprüfungen anhand der Werkzeuge und Methoden, die auch Angreifer (sogenannte Hacker) verwenden würden, um sich unberechtigten Zugriff zu verschaffen. Mit der Durchführung der Tests werden entsprechend spezialisierte und unabhängige Dienstleister betraut. Der PwC-interne Zugriff ist durch Benutzername und Passwort gesichert. Der regelmäßige Wechsel sowie die Komplexität der Passwörter werden durch die hinterlegten Regelwerke in den Anwendungen erzwungen. Die Zugriffsberechtigungen für die Applikation und somit für die darin verarbeiteten Daten durch externe Nutzer ist über eine sogenannte 2-Faktor-Authentifizierung, das heißt die Authentifizierung mittels Passwort und vorgangsspezifischer TAN geschützt. Systeme und Anwendungen werden durch regelmäßige Schwachstellenscans überprüft. Als weitere Schutzmaßnahme sind Firewalls und IPS/IDS an allen externen Netzübergängen sowie interne Firewalls zur Segmentierung von Systemen unterschiedlicher Sensibilität implementiert.

3 Zugriffskontrolle 3. ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Um zu gewährleisten, dass Sicherheitsaspekte beim Einsatz von IT angemessen berücksichtigt werden, erstellt und pflegt das Information Security Management der PwC GmbH entsprechende Richtlinien. Für die Applikationen und Betriebssysteme bestehen Berechtigungskonzepte. Die Vergabe von Berechtigungen für Betriebssysteme und Applikationen erfolgt auf der Basis eines Genehmigungsprozesses. Die Zugriffsberechtigungen für die Applikation und somit für die darin verarbeiteten personenbezogenen Daten werden durch Benutzername und Passwort gesichert. Der Wechsel und die Komplexität der internen Passwörter werden durch die hinterlegten Regelwerke erzwungen. Externe Passwörter werden um einen zweiten Faktor (TAN) ergänzt. Schreibende beziehungsweise verändernde Zugriffe sowie die Vergabe und Entnahme von Berechtigungen werden protokolliert. Weitergabekontrolle 4. ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Die Kommunikation zwischen den Rechnern der berechtigten Endbenutzer und der Client- Workspace-Plattform ist mittels SSL/TLS verschlüsselt.

4 Eingabekontrolle 5. ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eine Eingabekontrolle erfolgt über die Protokollierung der Backend-Applikationen. Auftragskontrolle 6. ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Im Rahmen der Nutzung der CCP kommen ausschließlich Datenverarbeitungsanlagen zum Einsatz, die sich im Herrschaftsbereich der PwC GmbH beziehungsweise der PwC IT Services Europe GmbH befinden. Eine Datenverarbeitung im Auftrag bei sonstigen Dritten findet nicht statt. Verfügbarkeitskontrolle 7. ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Die Daten auf den Serversystemen der CCP unterliegen einem geordneten Datensicherungsverfahren. Hierdurch wird der Datenverlust im Falle einer irrtümlichen Löschung oder eines technischen Defekts auf maximal einen Tag begrenzt. Die CCP unterliegt einem geordneten Patch-Management. Hierdurch ist gewährleistet, dass Patches und Updates, durch die Sicherheitsprobleme behoben werden, innerhalb definierter Fristen installiert werden. Entwicklungs-, Test- und Produktionssysteme der CCP sind getrennt. Veränderungen an der CCP unterliegen einem geregelten Release- und Change-Management. Um die Aufrechterhaltung beziehungsweise zeitnahe Wiederherstellung der CCP und seiner Inhalte in Not- und Katastrophenfällen zu gewährleisten, wurde ein CCP-Notfallkonzept erstellt. Dieses definiert die umzusetzenden präventiven und reaktiven Maßnahmen sowie die einzuhaltenden Wiederherstellungs- und Datenverlustzeiten.

5 Ihre Ansprechpartner Stefan Reisch Auftragskontrolle Product Manager CCP Friedrich-Ebert-Anlage Frankfurt Tel.: Dr. Tobias Gräber, LL.M betrieblicher Datenschutzbeauftragter Moskauer Str Düsseldorf Tel.: Über uns Unsere Mandanten stehen tagtäglich vor vielfältigen Aufgaben, möchten neue Ideen umsetzen und suchen Rat. Sie erwarten, dass wir sie ganzheitlich betreuen und praxisorientierte Lösungen mit größtmöglichem Nutzen entwickeln. Deshalb setzen wir für jeden Mandanten, ob Global Player, Familienunternehmen oder kommunaler Träger, unser gesamtes Potenzial ein: Erfahrung, Branchenkenntnis, Fachwissen, Qualitätsanspruch, Innovationskraft und die Ressourcen unseres Expertennetzwerks in 157 Ländern. Besonders wichtig ist uns die vertrauensvolle Zusammenarbeit mit unseren Mandanten, denn je besser wir sie kennen und verstehen, umso gezielter können wir sie unterstützen. PwC engagierte Menschen an 29 Standorten. 1,55 Mrd. Euro Gesamtleistung. Führende Wirtschaftsprüfungs- und Beratungsgesellschaft in Deutschland. Die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft bekennt sich zu den PwC-Ethikgrundsätzen (zugänglich in deutscher Sprache über und zu den Zehn Prinzipien des UN Global Compact (zugänglich in deutscher und englischer Sprache über Juli 2017 PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft. Alle Rechte vorbehalten. PwC bezeichnet in diesem Dokument die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich selbstständige Gesellschaft.

Ähnliche Dokumente

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart e und organisatorische (TOM) i.s.d. Art. 32 DSGVO Der Firma avanti GreenSoftware GmbH Blumenstr. 19 70182 Stuttgart V 1.1.1 vom 13.06.2018 1 1. Zutrittskontrolle zu den Arbeitsbereichen, die geeignet sind,