Zertifizierungsverfahren für Datenschutzkonzepte und IT-Systeme. Trusted Site Privacy

Transkript

1 Zertifizierungsverfahren für Datenschutzkonzepte und IT-Systeme Trusted Site Privacy

2 Inhalt 1 Einleitung Vertraulichkeit personenbezogener Daten IT-Sicherheit und Datenschutz Ziele Trusted Site Privacy Zertifizierung 4 2 Bewertungsaspekte Datenschutz-Audit Rechtliche Anforderungen Zulässigkeit der Verarbeitung Betroffenenfreundlichkeit Transparenz Datenschutz-Qualitätsmanagement Datensicherheit Sicherheitstechnische Untersuchung Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit Mittel des Systemmanagements Tests und Inspektionen 10 3 Bewertungskriterien für Trusted Site Privacy, Version Zertifizierung 13 5 Trusted Site Zertifizierungs-Familie (Auszug) 15 6 Über TÜViT 16 7 Ansprechpartner 20

3 1 Einleitung 1.1 Vertraulichkeit personenbezogener Daten Das Erheben, Verarbeiten, Übermitteln und Nutzen von Daten ist in der Informationsgesellschaft zu einem alltäglichen und allgegenwärtigen Vorgang geworden. Werden für Kommunikations- oder Transaktionsvorgänge elektronische Dienste oder Netze genutzt, fallen dabei automatisch Daten über die Nutzung und über die Nutzer an. Diese personenbezogenen Daten lassen mitunter weitreichende Rückschlüsse auf die betroffenen Benutzer zu, von der einfachen Identifizierung der Person bis hin zu streng vertraulich kommunizierten Daten. Dabei wird der Schutz dieser Informationen längst nicht mehr nur als ein individuelles Schutzrecht zur Wahrung der Persönlichkeitsrechte begriffen im Sinne des Rechts auf informationelle Selbstbestimmung. Unternehmen und Organisationen stellen zunehmend fest, dass ungenügender Datenschutz das Image schädigt, was existenzielle Folgen haben kann. Somit bezweifelt kaum jemand die Notwendigkeit, personenbezogene Daten zu schützen. Jedoch ist die Art, wie dieser Schutz realisiert werden soll, bzw. die Wirksamkeit dieses Schutzes Gegenstand von Kontroversen. Oft wird der Datenschutz auch nur als Ergänzung von IT-Sicherheitskonzepten angesehen. 1.2 IT-Sicherheit und Datenschutz Die Ergebnisse unterschiedlichster IT-Sicherheitsprüfungen, wie Evaluierungen von Sicherheitsprodukten nach ITSEC 1 bzw. CC 2 und Sicherheitsmanagement-Audits nach ISO oder angelehnt an das Grundschutzhandbuch des BSI 3, sind ebenso unzureichend für die Belange des Datenschutzes wie individuelle Prüfungen der IT-Sicherheit. Sie können nur für die Bewertung des Datenschutzes herangezogen werden, wenn im Rahmen dieser Prüfungen die Erfüllung aller relevanten Datenschutzanforderungen nachgewiesen wird. 1 Information Technology Security Evaluation Criteria 2 Common Criteria 3 Bundesamt für Sicherheit in der Informationstechnik Trusted Site Privacy Seite 1 20

4 Die Bewertung des Datenschutzes von IT-Systemen und IT-Prozessen kann aber auch nicht nur auf rein rechtlicher Basis durchgeführt werden. Es ist unerlässlich, nach der Ermittlung der Datenschutzanforderungen, ausgehend von der relevanten Gesetzgebung, die daraus resultierenden organisatorischen und technischen Maßnahmen auch zu überprüfen. Datenschutz und IT-Sicherheit ergänzen sich hier, sie stehen in direkter Abhängigkeit zueinander. 1.3 Ziele Die objektive Identifikation und angemessene Behebung von Risiken für die Persönlichkeitsrechte des einzelnen Individuums, die sich aus der Informationsverarbeitung ergeben, sind das unmittelbare Anliegen der Verantwortlichen für Datenschutzfragen. Darüber hinaus sollen alle für die betroffene IT relevanten datenschutzrechtlichen Fragestellungen differenziert berücksichtigt werden. Zur Sicherstellung, dass die Erfassung und Verarbeitung der personenbezogenen Daten die datenschutzrechtlichen Anforderungen erfüllt, muss auch die datenschutzkonforme technische Realisierung des Prozesses oder der Dienstleistung gewährleistet sein. 1.4 Trusted Site Privacy TÜViT hat ein Zertifizierungsverfahren entwickelt, in dem die Bewertung des Datenschutzes eines Prozesses kombiniert wird mit der Bewertung der Sicherheit des entsprechenden IT-Systems. Als Bewertungsbasis für den Datenschutz dienen u.a. die quid!-kriterien. Im zweijährigen EU-Forschungsprojekt quid! wurden von über 80 Experten aus Wirtschaft und Wissenschaft, aus staatlichen und privaten Datenschutzorganisationen, aus öffentlicher Verwal tung, Beratungsorganisationen, aus Verbänden und Gewerkschaften sowie aus Betriebsräten und Unternehmensleitungen gemeinsam Gütemerkmale für Qualität im betrieblichen Datenschutz erarbeitet. Es wurden objektive und leicht anzuwendende Kriterien zur vergleichbaren Beurteilung von Datenschutz erzeugt. TÜViT hat die alleinigen Rechte, auf der Basis dieser Kriterien, Zertifizierungen durchzuführen und bietet dazu ein standardisiertes Auditverfahren an, das mit der Sicherheitstechnischen Untersuchung (siehe Kapitel 2.2) kombiniert wird. Trusted Site Privacy Seite 2 20

5 Das Verfahren berücksichtigt die für die Qualität des Datenschutzes maßgeblichen Faktoren vollständig und ist auf die für den Datenschutz wesentlichen und kritischen Punkte fokussiert. Die Ergebnisse des Datenschutz-Audits nach diesem Verfahren erlauben eine differenzierte und angemessene Reaktion auf erkannte Datenschutzprobleme. Ein praxistaugliches Qualitätsmodell sorgt sowohl für eine universelle Verwendbarkeit als auch für eine auf die Besonderheiten des Prüfgegenstandes abgestimmte Spezifizierbarkeit. Bei der Formulierung individueller Datenschutzanforderungen wird der Kontext des Prüfgegenstandes berücksichtigt. Voraussetzung für eine erfolgreiche Datenschutzzertifizierung ist es, den für eine Ermittlung der Datenschutzanforderungen erforderlichen Sachverhalt zu identifizieren und abzugrenzen. Im Rahmen des Audit wird dieser Sachverhalt auf der Grundlage der beim Kunden vorhandenen Dokumentationen erstellt und mit dem Kunden abgestimmt. Der im Sachverhalt festgelegte Prüfgegenstand (ToA 4 ) ist dann Grundlage für die rechtliche und technische Prüfung. Aufbauend auf dem Datenschutz-Audit werden in der ergänzenden Sicherheitstechnischen Untersuchung die technischen Datenschutzanforderungen, die der Betreiber durch seine IT-Installation einschließlich der Netzanbindung realisiert haben muss, konkretisiert und aufgenommen. Diese müssen widerspruchsfrei sein und geltenden Sicherheitsansprüchen genügen. Das Vertrauen in die Sicherheit der Subsysteme und der darin verwendeten Komponenten (bzw. Sicherheitsprodukte) ist eine notwendige Voraussetzung für die Sicherheit der gesamten Installation. Dort, wo gegebene Randbedingungen oder Eigenschaften der Gesamtarchitektur vorhandene Schwachstellen anderweitig sichern, kann auf Anforderungen an solche Basiskomponenten verzichtet werden. Für Komponenten bzw. Subsysteme, die Sicherheitsfunktionalitäten realisieren, wird beurteilt, inwieweit diese als vertrauenswürdig gelten. 4 Target of Audit Trusted Site Privacy Seite 3 20

6 Der stets sichere Zustand der IT-Installation im Betrieb und die sichere Beherrschung von Ausnahmesituationen kann nur gewährleistet werden, wenn angemessene technische Mittel und organisatorische Maßnahmen hierzu bereitstehen. Geeignete Konfigurationswerkzeuge der sicherheitsspezifischen Komponenten müssen vorhanden sein, und ein Monitoring dieser Komponenten muss möglich sein. Alle administrativen Tools müssen natürlich in der gleichen Güte gesichert sein wie die sicherheitsspezifischen Subsysteme selbst. Im Rahmen von Penetrationstests und Konfigurationsanalysen werden Schwachstellen der IT-Installation festgestellt und bewertet. 1.5 Zertifizierung Der Zertifizierung werden die Ergebnisse des Datenschutz-Audits und der Sicherheitstechnischen Untersuchung zugrunde gelegt. Die Zertifizierung demonstriert das Erreichen der organisatorischen und technischen Datenschutzanforderungen, kann aber auch die schrittweise Verbesserung des Datenschutzniveaus über Zwischenstufen bis zu einem vom Betreiber als sinnvoll und notwendig erachteten Datenschutzstandard dokumentieren. Sie gibt dem Auftraggeber und speziell Dritten Gewissheit bzgl. des Schutzes personenbezogener Daten im Sinne einer Third Party Inspection durch die unabhängige Zertifizierungsstelle der TÜViT. Trusted Site Privacy Seite 4 20

7 Abbildung 1: Musterzertifikat Trusted Site Privacy Trusted Site Privacy Seite 5 20

8 2 Bewertungsaspekte Das erreichte Qualitätsniveau des Datenschutzes wird auf der Basis von erfüllten Anforderungen festgestellt. Dabei wird eine Reihe von Qualitätsmerkmalen in die Untersuchung einbezogen, die im Folgenden aufgeführt sind: Das Datenschutz-Audit umfasst folgende Bewertungsaspekte: Rechtliche Anforderungen Zulässigkeit der Verarbeitung Betroffenenfreundlichkeit Transparenz Datenschutz-Qualitätsmanagement Datensicherheit Zusätzlich wird eine Sicherheitstechnische Untersuchung durchgeführt. 2.1 Datenschutz-Audit Rechtliche Anforderungen Auf der Grundlage des festgelegten Prüfungsgegenstands ist zu überprüfen, welche rechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten zur Anwendung kommen (z.b. BDSG, Arbeitsrecht, Medizinrecht, Telekommunikationsrecht) und wie diese in den Anwendungszusammenhang des Prüfgegenstands eingebunden werden. Dabei muss der Datenschutz auch dort genügen, wo Gesetze, Verordnungen und die Rechtsprechung Lücken und Gestaltungsspielräume lassen. Trusted Site Privacy Seite 6 20

9 2.1.2 Zulässigkeit der Verarbeitung Im Datenschutzrecht gilt, dass ohne eine gesetzliche Erlaubnis oder ohne gültige Einwilligung des Betroffenen personenbezogene Daten nicht verarbeitet werden dürfen. Nach Identifikation der prüfungsrelevanten Datentypen wird für jeden Datentyp untersucht, ob die Verarbeitung im Hinblick auf den Zweck der Datenverarbeitung zulässig ist. Dabei werden auch die Anforderungen an die Datensparsamkeit im Hinblick auf den Stand der Technik berücksichtigt Betroffenenfreundlichkeit Hier wird die Berücksichtigung der schutzwürdigen Belange der Personen, deren Daten verarbeitet werden, überprüft. Die Betroffenen haben ein Recht darauf zu erfahren, was mit ihren personenbezogenen Daten geschieht, wie sie weiterverarbeitet werden und ob es eine Möglichkeit zum Selbstdatenschutz, d. h. eine Einflussnahme auf die Verarbeitung der Daten, gibt. Die Betroffenen sollten darüber informiert werden, welche ihrer Daten mit welchen Prozessen verarbeitet werden. Den Betroffenen muss transparent gemacht werden, welche Rechte und welche Auskunftsmöglichkeiten sie haben und wie ihre personenbezogenen Daten gesichert werden. Dabei muss der Datenschutz auch schon bei der Vertragsgestaltung eine wichtige Rolle spielen. Bei Einsatz eines IT-Produktes muss der Anwender darüber informiert sein, welche Funktionen das Produkt hat, um personenbezogene Daten sicher und datenschutzkonform verarbeiten zu können. Dazu gehören z.b. geeignete Produktbeschreibungen und Installationsanleitungen oder auch entsprechende Einarbeitung bzw. Auskunftsmöglichkeit durch ein Unternehmen, das ein Produkt der Informationsverarbeitung einführt und einsetzt. Trusted Site Privacy Seite 7 20

10 2.1.4 Transparenz Die Datenschutz-Policy, die Datenschutzkonzepte und auch die technischen und organisatorischen Maßnahmen, mit denen der Datenschutz im Unternehmen oder Prozess verwirklicht wird, sollten allen Betroffenen transparent und verständlich gemacht werden. Der Untersuchungsfokus ist darauf ausgerichtet, dass die getroffenen Maßnahmen zur Gewährleistung eines dauerhaften Datenschutzes durchschaubar gestaltet sein müssen Datenschutz-Qualitätsmanagement Veränderungen im Bereich der Informationstechniken und der Rechtsgrundlagen haben in der Regel Auswirkungen auf das Konzept zur Erfüllung der Datenschutzanforderungen. Sie müssen regelmäßig und rechtzeitig im Hinblick auf die Datenschutzauswirkungen untersucht und umgesetzt werden. Gegebenenfalls sind Analysen und Handlungsmodelle anzupassen. Die darauf aufbauenden Maßnahmen des Qualitätsmanagements sind Gegenstand der Betrachtung Datensicherheit Die eingesetzten Informationssysteme können Datenschutzanforderungen nur dann genügen, wenn entsprechende technische und organisatorische Maßnahmen in Bezug auf Datensicherheit ergriffen wurden. Es müssen entsprechende Konzepte vorliegen und es sollten entsprechende vertrauenswürdige Komponenten beim Aufbau der Systeme eingesetzt werden. Zutrittskontrolle Der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, ist Unbefugten durch geeignete Maßnahmen wirksam zu verwehren. Zugangskontrolle Die Nutzung von Datenverarbeitungssystemen durch Unbefugte ist durch geeignete Maßnahmen wirksam zu verhindern. Trusted Site Privacy Seite 8 20

11 Zugriffskontrolle Die zur Benutzung eines Datenverarbeitungssystems Berechtigten sollen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weitergabekontrolle Personenbezogene Daten dürfen bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Eingabekontrolle Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Auftragskontrolle Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Ein Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Verfügbarkeitskontrolle Personenbezogene Daten müssen durch geeignete Maßnahmen gegen zufällige Zerstörung oder Verlust geschützt sein. Trennungsgebot Durch geeignete Maßnahmen muss sichergestellt werden, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Trusted Site Privacy Seite 9 20

12 2.2 Sicherheitstechnische Untersuchung Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit Für alle Teilkomponenten, die Sicherheitsfunktionalitäten realisieren, kann anhand von bereits durchgeführten formalen Evaluationen und/oder öffentlich zugänglichen Informationen nachvollzogen werden, dass sie als vertrauenswürdig eingestuft wurden. Die Netzwerk- und Transport-Sicherheit müssen dem Stand der Technik entsprechen Mittel des Systemmanagements Es existieren geeignete Konfigurationsmöglichkeiten sowie ein angemessenes Monitoring und Logging, die zu einem sicheren Betriebszustand beitragen. Dafür eingesetzte Werkzeuge unterliegen denselben Sicherheitsanforderungen wie das IT-Produkt / das IT-System selbst Tests und Inspektionen Umfangreiche Penetrationstests auf ausnutzbare Schwachstellen sowie Analysen der Abwehrmechanismen auf Applikationsebene und Prüfungen der eingesetzten Authentifizierungs-/Autorisierungs-Verfahren werden durchgeführt. Die bei den Tests und Analysen ermittelten Schwachstellen werden entsprechend ihres Risikogrades bewertet. Trusted Site Privacy Seite 10 20

13 3 Bewertungskriterien für Trusted Site Privacy, Version 2.1 Für jeden Bewertungsaspekt gibt es jeweils eine Reihe von Prüfaspekten, die im Folgenden stichwortartig zusammengefasst sind. Bewertungsaspekte Rechtliche Anforderungen Zulässigkeit der Verarbeitung Prüfaspekte Rechtliche Einordnung des Prüfgegenstandes Formale Anforderungen Anforderungen an die verschiedenen Verarbeitungsphasen Grenzüberschreitender Betrieb Verantwortlichkeiten Beschreibung der Anforderungen an den Prüfgegenstand Zweckbestimmung Ermächtigungsgrundlagen für die Datenverarbeitung, z.b.: Vertrag und vertragsähnliche Vertrauensverhältnisse Berechtigtes Interesse der verantwortlichen Stelle Berechtigtes Interesse eines Dritten Berechtigte öffentliche Interessen Allgemein zugängliche Quellen Listenmäßige Übermittlung Einwilligung des Betroffenen Andere Rechtsvorschrift Einhaltung der Datenschutzgrundsätze Einhaltung der Betroffenenrechte technische und organisatorische Maßnahmen strukturelle Bedingungen Verhältnismäßigkeit Verpflichtungserklärung Trusted Site Privacy Seite 11 20

14 Bewertungsaspekte Betroffenenfreundlichkeit Transparenz Datenschutz- Qualitätsmanagement Datensicherheit Sicherheitstechnische Untersuchung Prüfaspekte Datenschutz-Hinweise Partizipation Möglichkeit zum Selbstdatenschutz Akzeptanz der technischen und organisatorischen Maßnahmen geeignete Produktbeschreibung Installationsanleitung Einarbeitungs- bzw. Auskunftsmöglichkeit Transparenz der Datenschutz-Policy Transparenz der technischen und organisatorischen Maßnahmen Datenschutz-Policy Risikoanalyse Datenschutzverantwortlichkeit Datenschutz-Qualifikation Datenschutz-Hinweis Dokumentation Kontinuierlicher Verbesserungsprozess Systemadministration Dokumentation Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungsgebot Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit Mittel des Systemmanagements Tests und Inspektionen Trusted Site Privacy Seite 12 20

15 4 Zertifizierung Abbildung 2: Zertifizierungsschema Die Bewertung der Datenschutzqualität erfolgt durch Auditoren, die von der Zertifizierungsstelle akkreditiert sind. Das Auditteam wird in der Vorbereitungsphase aussagekräftige Unterlagen bzgl. des Prüfobjekts (Datenschutz-Policy, Datenschutzrichtlinien, Datenschutzerklärungen, Handbücher, Risikoanalysen usw.) bewerten und das Vor-Ort-Audit vorbereiten. Vor Ort wird von den Auditoren die Datenerhebung in Interviews und Stichproben zum technisch-organisatorischen Umfeld des Prüfgegenstandes durchgeführt. In der ergänzenden Sicherheitstechnischen Untersuchung wird die Realisierung der technischen Trusted Site Privacy Seite 13 20

16 Datenschutzanforderungen überprüft. Abschließend wird ein Auditbericht verfasst, der die Erfüllung der Anforderungen dokumentiert und ggf. auch Verbesserungspotenzial in Bezug auf den Datenschutz herausarbeitet. Nach Vorlage des Auditberichts, der die Erfüllung der Bewertungsaspekte bestätigt, wird von der Zertifizierungsstelle ein Zertifikat ausgestellt, das zur Verwendung des Trusted Site Privacy Zeichens in der Öffentlichkeitsarbeit und im Marketing berechtigt. Die Gültigkeitsdauer des Zertifikats beträgt zwei Jahre. Trusted Site Privacy Seite 14 20

17 5 Trusted Site Zertifizierungs-Familie (Auszug) Die TÜV Informationstechnik GmbH vergibt Trusted Site Prüfzeichen, die die Erfüllung von Sicherheits- und Qualitätseigenschaften für IT-Systeme bestätigen. Trusted Site Infrastructure untersucht die Infrastruktur (Gebäude, Energieversorgung, Sicherheitssysteme, Brandmelde- und Löschtechnik, etc.) und bestätigt die Eignung für Sicherheitsbereiche, für die eine hohe Verfügbarkeit verlangt wird. Trusted Site Security untersucht im Rahmen einer Sicherheitstechnischen Qualifizierung die IT-Sicherheit von (typischerweise vernetzten) IT-Installationen und bestätigt die Erfüllung von geeigneten Sicherheitszielen. Trusted Site ITSM untersucht die IT Service Management- Prozesse des ITIL-Referenzmodells in Bezug auf die Qualität, Vollständigkeit und Implementierungstiefe in Bezug auf die in der ISO dargelegten Vorgaben für die Organisation. Trusted Site PK-DML untersucht die technischen und organisatorischen Maßnahmen von Dokumentenmanagement-Lösungen sowie die Sicherheitsvorkehrungen für eine revisionssichere Archivierung. Die TÜViT-Prüfzeichen können bei übereinstimmender Laufzeit und gleichem Untersuchungsbereich im Unternehmen auch als Kombinationsprüfzeichen vergeben werden. Trusted Site Privacy Seite 15 20

18 6 Über TÜViT Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT- Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Mobile Security, Industrial Security, Penetrationstests, Bewertung von Informationssicherheits-Managementsystemen nach ISO/IEC sowie Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR , BSI-TR , BSI-TR 03132, BSI TR und BSI TR Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC Lizenzierte Auditoren für D Trusted Site Privacy Seite 16 20

19 Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO , DIN EN ISO , ISO/IEC 25051, DIN EN ISO und ISO Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN / / / , ETSI TS / / , DIN EN :2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC 17065:2013 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten, Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013 und ETSI EN V2.2.2 im Bereich qualifizierte Vertrauensdiensteanbieter und die von ihnen erbrachten qualifizierten Vertrauensdienste im Anwendungsbereich der VERORDNUNG (EU) Nr. 910/2014 (eidas) Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) Trusted Site Privacy Seite 17 20

20 Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: ) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory Trusted Site Privacy Seite 18 20

21 In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. Trusted Site Privacy Seite 19 20

22 7 Ansprechpartner Jörg Schlißke, LL.B. Produktmanager Datenschutzqualifizierung TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße Essen Tel.: Fax: Version: 3.0 Trusted Site Privacy Seite 20 20