Sicherheit & Datenschutz. Peter Hartl Geschäftsführer IT-Outsoucing und ASP

Transkript

1 Sicherheit & Datenschutz Peter Hartl Geschäftsführer IT-Outsoucing und ASP

2 1. Allgemeine Beschreibung des MAKLERSOFTWARE.COM Rechenzentrum (MSC RZ) Das Rechenzentrum der MAKLERSOFTWARE.COM GmbH (MSC) ist ausgelegt auf Anforderungen von Mittelstandsund Großkunden im Hinblick auf Sicherheit und Verfügbarkeit. MSC setzt ausschließlich hochmoderne, voll redundante Technik ein, welche den DIN Bestimmungen nach ISO entspricht. 2. Standort des MSC RZ MAKLERSOFTWARE.COM GmbH - Deutschland Kneippstrasse 7, Neßlbach / Winzer 3. Ausstattung des MSC RZ Das MSCRZ ist mit folgenden Standards ausgestattet. Die Auswahl dieser Standards wird durch Marktentwicklung angepasst. Elektroinstallation redundant GE USV und Spannungsfilter Notstromdiesel-Aggregat Netzersatzanlage Klimaanlage n+1 Brandschutz durch Brandfrüherkennungssystem (RAS), Serverschrank Brandlöschanlage Einbruchmeldeanlage mit kombinierter Zugangskontrolle Doppelboden Räume Brandklasse F90 Videoüberwachung 3.1. Stromversorgung Elektroinstallation redundant über Festanschluss im Doppelboden. Strommäßige Versorgung der technischen Einrichtungen des Kunden über USV A + B. Im Falle eines Stromausfalls des Energielieferanten übernehmen Netzersatzanlagen die Energieversorgung des Rechenzentrums. Durch regelmäßige Wartung, monatliche Kontrollen und halbjährliche Probeläufe der Netzersatzanlagen auch unter Last, wird deren Funktionieren im Falle eines Stromausfalls sichergestellt Klimaanlage Das MSCRZ verfügt mit integraler LCP (Liquid Cooling Package) Rittal Schrankkühlung und Kühlung durch perforierten Bodenelemente über 2 getrennte Kühlsysteme. Die Kaltwasserversorgung der Kühlanlagen kann bei Ausfall der Kühltürme durch den Hauswasseranschluss erfolgen Technische Alarmsysteme der Infrastruktur In dem Rechenzentrum auftretende Alarme bei Stromversorgung, USV, Klima, Brandmeldeeinrichtung etc. werden umgehend zum Network Management Center (7/24) weitergeleitet, welches die erforderlichen Maßnahmen einleitet Zugangsregelungen und -schutz Der Zugang zu dem Rechenzentrum ist nur durch befugungsberechtigte Personen und duale Zutrittskontrolle möglich. Das Betreten des Rechenzentrums wird videoüberwacht und aufgezeichnet. Kunden können in Begleitung nach vorheriger Anmeldung kostenfrei Zugang zum MSCRZ erhalten Internetanbindung Auf dem MSCRZ bereitgestellte Systeme sind erreichbar über eine dedizierte Standleitung (Glasfaserleitung) der Telekom mit einer Geschwindigkeit bis zu 100 MBit. Die Backupleitung zu einer anderen Verteilerstelle wird bei Ausfall der Hauptleitung verwendet und verfügt über 400 MBit. Durch einen leistungsfähigen Dienstleister wird das MSCRZ vor Angriffen aus dem Internet wie z.b. DDOS-Attacken geschützt. Outsourcing & ASP Stand März 2015 Seite 2 von 5

3 4. Zugriffssicherheit Der Zugriff auf Anwendungen und Daten wird durch folgende Systemstandards bereitgestellt. Die Auswahl dieser Standards wird durch Marktentwicklung angepasst. CITRIX Application Computing Software (ASP) GOGLOBAL Application Computing Software (ASP) Microsoft Windows Betriebssysteme (ASP) SSL-128-Bit Verschlüsselung bei Portal und Systemseiten (ASP, metasolution, pensolution) Microsoft Windows Webserver (metasolution) EAL5 Firewall Borderware (ASP, metasolution, pensolution) Viren-/Spamfilter (ASP) Duale Zugangsdatenvergabe (ASP); Portalanmeldung und Softwareanmeldung 5. Hard- und Software Der Zugriff auf Anwendungen und Daten wird durch folgende Hardwaresysteme bereitgestellt. Die Auswahl dieser Standards wird durch Marktentwicklung angepasst. Redundante Bladeserversysteme Redundant aufgebaute Netzwerk- und FibreChannel-Infrastruktur Fibre-Channel SAN Storage Systeme (HP 3PAR T400) Domaincontroller, Ticketserver, Gatewayserver 6. Datensicherung und Backup Die Datensicherung und Backupprozesse werden durch folgende Verfahren bereitgestellt. Die Auswahl dieser Standards obliegt der vertraglichen Vereinbarung. Tägliche Datensicherung (Teilsicherung) auf MDS600 (Backup to Disk) zur schnelle Wiederherstellung Wöchentliche Datensicherung (Komplettsicherung) auf LTO Bänder (Backup to Tape) zur Langzeitarchivierung Verwahrung der Daten im Datensafe Versand gesicherter Daten auf dem Postweg. Vergabe von Datensicherungskennwort. 7. Zertifizierungen und vertragsrechtliche Gewährleistungen Die MAKLERSOFTWARE.COM bietet ihnen Qualität und Sicherheit nach Standards, die höchsten rechtlichen und sicherheitstechnischen Ansprüchen genügen. Durch die Zertifizierung nach ISO 9001:2008 und dem Sicherheitsmanagementsystem nach ISO 27001:2005, lassen wir uns und besonders Ihnen, unseren Kunden dies jährlich von unabhängiger Stelle bestätigen. Die ISO 9001:2008 die wir seit dem Jahr 2002 erfüllen, verpflichtet uns zur Einführung, Erhalt und Verbesserung eines Qualitätsmanagementsystems (QMS). Dabei prüft speziell dafür ausgebildetes Personal die Qualität in allen Unternehmensprozessen und -bereichen. Lieferantenbewertungen, Kundenzufriedenheitsanalysen, Kennzahlenentwicklung und auswertung sowie Ressourcenmanagement sind nur einige Punkte die bei der Normerfüllung den Anforderungen genügen müssen. Ebenso verhält es sich in der ISO 27001:2005, die wir seit dem Jahr 2008 erfüllen. Für diese Norm wurde ein Informationssicherheitsmanagementsystem (ISMS) implementiert. Das dafür eingesetzte Personal ist speziell für Datenschutz, Recht und Datensicherheit geschult, um die strengen Richtlinien dieser Norm umsetzen zu können. Aufgabe der ISMS-Beauftragten ist die Kontrolle und kontinuierliche Verbesserung der Sicherheit unserer und der uns anvertrauten Daten. Dazu gehört neben technischer und physischer Sicherheit auch Risikomanagement und Notfallmanagement. Diese Beauftragten für Qualität und Sicherheit berichten direkt der Geschäftsleitung um bei notwendigen Anpassungen schnell und flexibel reagieren zu können. Die Wirksamkeit der eingeführten Systeme wird fortlaufend durch interne Audits (durch die Beauftragten) und externe Audits (durch unabhängige Dienstleister) geprüft und protokolliert. Einmal im Jahr wird dann durch TÜV und DEKRA jedes Managementsystem für sich allumfassend geprüft und nur bei vollständiger Normerfüllung das Zertifikat für ein weiteres Jahr gewährt. MAKLERSOFTWARE.COM GmbH ist zertifiziert nach: ISO 9001:2008 Nr /3-2 durch DEKRA SE ISO27001:2005 Nr /02 TMS durch TÜV SÜD Management Service GmbH Geltungsbereich: Management der Informationstechnologie und der Beraterprozesse für die Finanz- und Versicherungswirtschaft: Beratung, Schulung, Entwicklung und Realisierung von IT-Projekten und Software, Support und RechenzentrumsbetriebZertifizierung nach ISO 9001:2008 (Qualität Management System) Nr /3-2 Zertifizierung MICROSOFT GOLD Partner (MS Security Solutions, Advanced Infrastructure Solutions, Information Worker Solutions) Outsourcing & ASP Stand März 2015 Seite 3 von 5

4 Vertragliche Gewährleistung der technischen und organisatorischen Anforderungen nach BDSG 9 und KWG 25a Vertragliche Gewährleistung der Anforderungen nach BDSG 4 und 11 MSC verfügt über eine Vermögensschadenhaftpflichtversicherung (IT-Police) 8. Datenschutz und Datensicherheitserklärung Für alle Verträge mit der MSC gilt die Datenschutzerklärung Anlage 1 - Vereinbarung zum Datenschutz und Datensicherheit Hiernach wird geregelt (Auszug) 8.1. Datenschutz MSC wird bei der Verarbeitung der Daten des Auftraggebers die datenschutzrechtlichen Vorschriften beachten. MSC darf Daten in maschinenlesbarer Form verarbeiten, soweit dies für die Begründung oder Änderung sowie Durchführung des Vertrages oder dessen Abrechnung erforderlich ist. Im hierüber hinausgehenden Umfang wird die MSC die personenbezogenen Daten nur mit der Einwilligung des Auftraggebers erheben, verarbeiten oder nutzen. Die Vertragsparteien verpflichten sich gegenseitig, mit der gebotenen Sorgfalt darauf hinzuwirken, dass alle Personen, die mit der Bearbeitung oder Erfüllung dieses Vertrages betraut sind, die gesetzlichen Bestimmungen über den Datenschutz beachten, und die aus dem Bereich des jeweiligen Vertragspartners erlangten Informationen nicht an Dritte weiterzugeben oder sonst zu verwerten. Es wird klargestellt, dass der Auftragnehmer sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne Herr der Daten bleibt ( 11 Bundesdatenschutzgesetz). Hiervon betroffen sind alle vom Auftraggeber an MSC zum Hosting (Bereitstellung der Daten) oder zur Verarbeitung überlassenen Daten und Datenbanken. Der Auftraggeber ist hinsichtlich der Verfügungsbefugnis und des Eigentums an sämtlichen auftraggeberspezifischen Daten Alleinberechtigter. MSC nimmt keinerlei Kontrolle der für den Auftraggeber gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit der Erhebung, Verarbeitung und Nutzung vor; diese Verantwortung übernimmt ausschließlich der Auftraggeber. MSC ist nur berechtigt, die auftraggeberspezifischen Daten ausschließlich nach Weisung des Auftraggebers einzusehen bzw. zu verarbeiten oder zu administrieren. Insbesondere ist es MSC verboten, ohne vorherige schriftliche Zustimmung vom Auftraggeber die auftraggeberspezifischen Daten, Dritten auf jedwede Art zugänglich zu machen. Dies gilt auch, wenn und soweit eine Änderung oder Ergänzung von auftraggeberspezifischen Daten erfolgt Datenübergabe nach Vertragsende Bei Beendigung des Vertrages hat der Auftraggeber Anspruch auf die Herausgabe der von ihm angelegten bzw. abgelegten Dateien, nicht der Softwareanwendungen. Dem Auftraggeber werden bei Beendigung des Vertragsverhältnisses mit der MSC, seine Daten auf Verlangen in einem üblichen Format übergeben. MSC ist hierbei in der Wahl von Format, Medium und Verfahren frei. Die Herausgabe der Daten für den Auftraggeber ist kostenfrei, sofern dieses Verlangen bis zu vier Wochen nach Vertragsende der MSC schriftlich oder per an die -Adresse technik@maklersoftware.com bekannt gegeben wird. Spätere Anfragen sind kostenpflichtig entsprechend der jeweils aktuellen Dienstleistungspreisliste der MSC. Spätestens zwei Monate nach Vertragsende, auf Verlangen des Auftraggebers auch früher, werden alle Auftraggeberdaten gelöscht. MSC wird den Auftraggeber schriftlich über die Absicht informieren, die Löschung innerhalb von 14 Tagen nach Datum des Benachrichtigungsschreibens zu löschen. Bis dahin hat der Kunde Zeit, für eine Übernahme der Daten zu sorgen Geheimhaltung Die Parteien sind verpflichtet, vertrauliche Informationen über technische, geschäftliche und betriebliche Angelegenheiten geheim zu halten. Diese Geheimhaltungspflicht bleibt auch nach der Beendigung des Vertrages bestehen. MSC verpflichtet sich ab Zugang des unterzeichneten Vertragsformulars zur Geheimhaltung. Diese Geheimhaltungspflicht bleibt auch für den Fall, dass ein Vertrag mit dem Auftraggeber nicht zustande kommt bestehen. Outsourcing & ASP Stand März 2015 Seite 4 von 5

5 MAKLERSOFTWARE.COM GmbH Kneippstraße 7, Neßlbach/Winzer Zweigstelle Hamburg: Schanze 54c, Wentorf bei Hamburg Geschäftsführer: Ludwig-Maximilian Reitinger Marco Zuzak Peter Hartl Kommunikation: Internet Tel. +49(0)8545/ Fax +49(0)8545/ Registergericht: RG: AG Deggendorf HRB 2307 UST-IDNr. DE gemäß 27a Umsatzsteuergesetz Str.-Nr. 108/132/00096 Datenschutz: Datenschutzbeauftragter Dominik Seifert Leiterin der Datenverarbeitung Beate Hartl Datenschutzerklärung und Verfahrensverzeichnis Zertifizierungen: MAKLERSOFTWARE.COM ist zertifiziert nach ISO 9001:2008 (Qualität Management System) Nr /3-2 ISO (Information Security Management System) Nr /02 TMS Eingetragene Marken: MAKLERSOFTWARE.COM - myfin24 schnellrechner.com Rechtliche Hinweise: Alle Rechte, Irrtümer und Änderungen vorbehalten. Die dargestellten Logos und Produktnamen sind Eigentum der jeweiligen Hersteller und dürfen nicht ohne deren Zustimmung verwendet werden. Genannte Preise verstehen sich zzgl. der ges. MwSt. Outsourcing & ASP Stand März 2015 Seite 5 von 5