Technische und organisatorische Maßnahmen (TOM) zum Datenschutzkonzept i.s.d Art. 32 DSGVO

Transkript

1 i.s.d Art. 32 DSGVO Versin Gültig ab: Dieses Dkument ist Eigentum der. Es ist vertraulich zu behandeln und darf hne ausdrückliche schriftliche Genehmigung weder ganz nch auszugsweise vervielfältigt der an Unbefugte weitergegeben werden Cicerstrasse Berlin

2 Änderungsübersicht Datum Name Änderung Versin Jasin Hahne Erstellung G Wlf Redaktinelle Krrekturen Alexander Tnn Frmelle Krrekturen Freigabeinfrmatinen Versin Erstellt durch Erstelldatum Unterschrift Freigabe durch Freigabedatum Unterschrift 1.0 Jasin Hahne <digital> Nrbert Vgel <digital> G Wlf <digital> Gregr Wlf <digital> Alexander Tn <digital> Gregr Wlf <digital>, Berlin 2018 Alle Rechte vrbehalten. Nachdruck und snstige Verwertung, auch auszugsweise, sind nur zulässig mit schriftlicher Genehmigung der. Ein Teil der verwendeten Namen sind geschützte Handelsnamen und/der Marken der jeweiligen Hersteller. Seite 2 vn 9

3 Inhaltsverzeichnis 1 Einleitung 4 2 Vertraulichkeit Zutrittskntrlle Zugangskntrlle Zugriffskntrlle 5 3 Pseudnymisierung und Verschlüsselung 5 4 Integrität Weitergabekntrlle Eingabekntrlle 6 5 Verfügbarkeit und Belastbarkeit Verfügbarkeitskntrlle 6 6 Wiederherstellbarkeit der Verfügbarkeit Wiederherstellbarkeit 7 7 Zweckbindung Trennbarkeit 8 8 Verfahren zur Überprüfung, Bewertung und Evaluierung 8 9 Auftragskntrlle 9 Seite 3 vn 9

4 1 Einleitung In diesem Dkument werden die bereits im Datenschutzknzept Datenschutzknzept - Unternehmenserklärung zum Datenschutz und Datensicherheit, Versin 2.0 Abschnitt 5.2 angeführten Maßnahmen ergänzend dargelegt und vervllständigt. Die hier beschriebenen Maßnahmen unterliegen sich ändernde technische Vraussetzungen und Anfrderungen, swie Bedrhungs-Szenarien und werden dementsprechend frtlaufend angepasst. Diese Änderungen werden regelmäßig in das vrliegende Dkument übernmmen. 2 Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO 2.1 Zutrittskntrlle Lage des Serverraum in einem vn außen nicht zugänglichen Bereich des Gebäudes Zutritt zur sicheren Zne Serverraum ausschließlich für berechtigte Mitarbeiter durch Authentifizierung mittels RFID Schließanlage Wartungsarbeiten an Systemen der Datenverarbeitung grundsätzlich nur unter Aufsicht Bewegungsgesteuerte Videüberwachung des Serverraum 2.2 Zugangskntrlle Verwendung vn persnalisierten Benutzerkennungen / Passwörtern Die zu verwendenden Passwörter unterliegen technisch erzwungenen Richtlinien hinsichtlich der Kmplexität, Änderungsintervallen, Passwrtrtatin und autmatischer Sperrung bei Falscheingabe des Passwrtes Zentraler und dezentraler Virenschutz an allen der Datenverarbeitung angeschlssenen Systemen Erweiterter Schutz vn unerwünschten Prgrammen für Prgrammausführungsrichtlinien / AppWhitelisting (Prjekt in Realisierung bis Ende Q3 2018) Zentraler und dezentraler SPAM-Schutz Einsatz einer zentralen Firewall mit regelmäßigen Aktualisierungsintervall Seite 4 vn 9

5 Zugriff auf das Netzwerk der nur für Berechtigte per SSL-VPN der SSL gesicherter Terminal Server Verbindung Segmentierung des Netzwerks mit zwischengeschalteter Firewall Verschlüsselung vn Ntebks, sweit technisch machbar (Prjekt in Realisierung bis Ende Q3 2018) Schutz vn Geräte BIOS durch Passwrtschutz, sweit technisch machbar Verwendung eines zentralen Patchmanagement für die Verteilung vn kritischen Patches zum Schutz vr Schwachstellen in der Datenverarbeitung angeschlssenen Systemen Wöchentliche, autmatisierte Schwachstellenscans auf das Netzwerk der OPTIMAL SYSTEMS GmbH (Nessus Vulnerability Scanner) 2.3 Zugriffskntrlle Physische Löschung vn Datenträger der Vernichtung durch Externe Verwaltung vn Benutzerrechten durch Administratren Trennung vn Arbeits- und Administratinsaccunt 3 Pseudnymisierung und Verschlüsselung gem. Art. 32 Abs. 1 lit. a DSGVO Die Maßnahmen zur Verschlüsslung der Übertragung vn persnenbezgenen Daten werden in Abs. 4.1 beschrieben. 4 Integrität gem. Art. 32 Abs. 1 lit. b DSGVO 4.1 Weitergabekntrlle Verschlüsselter Austausch vn Daten über (auf Anfrderung des Kunden): SSL-FTP-Server Verschlüsselte s (S/MIME) SSL gesichertem Filehsting (Nextclud) Seite 5 vn 9

6 Verschlüsselte Datenträger Möglichkeit der digitalen Signierung vn s mittels S/MIME 4.2 Eingabekntrlle Alle vrhandenen Maßnahmen sind bereits in dem Datenschutzknzept Datenschutzknzept - Unternehmenserklärung zum Datenschutz und Datensicherheit, Versin Abschnitt hinreichend beschrieben. 5 Verfügbarkeit und Belastbarkeit gem. Art. 32 Abs. 1 lit. b DSGVO 5.1 Verfügbarkeitskntrlle Schutz der n zur Datenverarbeitung und Speicherung vr Blitzschäden durch zentrale VM (Überspannungs-) Ableiter, swie vr Frequenzstörungen durch den Einsatz vn Netzfiltern Kntrlle der Temperatur im Serverraum durch redundante Klimatisierung mit zwei unabhängigen n Überwachung vn Temperatur und Luftfeuchtigkeit des Serverraum, einschließlich autmatischer Benachrichtigung verantwrtlicher Mitarbeiter, sbald ein Schwellwert überschritten, bzw. unterschritten wird Bewegungsgesteuerte Videüberwachung des Serverraums Brandfrüherkennungssystem durch Rauchmelder mit autmatischer Benachrichtigung der verantwrtlichen Mitarbeiter Grundsätzliche Verwendung vn redundanten Festplattensystemen für prduktinsrelevante Systeme (min. RAID 1 / 5 / 10) Die Verfügbarkeit und rdnungsgemäße Funktin der zentralen IT-Systeme wird durchgehend durch ein Mnitring-System (Nagis) überwacht und im Fehlerfall ein Mitarbeiter benachrichtigt Seite 6 vn 9

7 Backup- und Recvery-Knzept zur täglichen Sicherung der Prduktivbereiche Erstellung täglicher Off-Site Backups mit Aufbewahrungsdauer des Tages-Backup für 10 Tage, eines Wchenend-Backup für 5 Wchen, eines Mnats-Backup für 12 Mnate und eines Jahres-Backup für 2 Jahre Die Off-Site Backups werden täglich AES-256 Bit verschlüsselt und auf zwei, bei Hetzner in getrennten Rechenzentren gehsteten vn verwalteten Rt-Servern mit redundantem Festplattensystem hchgeladen. Die Übertragung erflgt SSH gesichert Die Integrität der Backups wird wöchentlich mittels Prüfsummenabgleich sichergestellt Der Backup-Vrgang wird prtklliert und täglich durch verantwrtliche Mitarbeiter kntrlliert Die für die Wiederherstellung ntwendigen Backup-Keys werden nicht gemeinsam mit dem Daten außerhalb der Räumlichkeiten der aufbewahrt und befinden sich zu keinem Zeitpunkt unverschlüsselt auf einem Datenträger Für den Havariefall ist eine redundante, geschützte Aufbewahrung der Backup- Keys sichergestellt Zur schnelleren Wiederherstellung werden zusätzlich zu den Off-Site-Backups tägliche lkale Backups auf dedizierten Festplatten-Arrays abgelegt. Die Aufbewahrungsdauer für diese Backups beträgt 30 Tage Für die zentralen IT-Systeme bestehen Wartungs- und Garantieverträge mit den jeweiligen Herstellern 6 Wiederherstellbarkeit der Verfügbarkeit bei einem Zwischenfall gem. Art. 1 lit c DSGVO 6.1 Wiederherstellbarkeit Maßnahmen zur Gewährleistung einer raschen Wiederherstellung nach einem Störungsfall: Wiederanlaufplan für die wieder Inbetriebnahme der prduktinsrelevanten Systeme Wiederherstellungsplan nach einer Havarie (Prjekt in Realisierung bis Ende 2018) Seite 7 vn 9

8 Die in 5.1 benannten Maßnahmen bezüglich Backup und Recvery, swie Wartungs- und Garantieverträgen 7 Zweckbindung gem. Art. 5 Abs. 1 lit. B DSGVO 7.1 Trennbarkeit Alle vrhandenen Maßnahmen sind bereits in dem Datenschutzknzept Datenschutzknzept - Unternehmenserklärung zum Datenschutz und Datensicherheit, Versin Abschnitt hinreichend beschrieben. 8 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung gem. Art. 1 lit d DSGVO Regelmäßige Überprüfung der Einhaltung der DSGVO durch den Datenschutzbeauftragen Die hat einen Datenschutzbeauftragten gem. Art. 37 DSGVO i.v. m. 38 BDSG benannt: Art Sftware Design GmbH Nrbert Vgel Diplm-Infrmatiker vn der Industrie- und Handelskammer öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Infrmatinsverarbeitung insbesndere Sftwaretechnik und Systemmanagement Zuständige IHK: IHK Berlin Finckensteinallee Berlin datenschutz@ptimal-systems.de Seite 8 vn 9

9 9 Auftragskntrlle Alle vrhandenen Maßnahmen sind bereits in dem Datenschutzknzept Datenschutzknzept - Unternehmenserklärung zum Datenschutz und Datensicherheit - Abschnitt hinreichend beschrieben. Seite 9 vn 9