Technisch organisatorische Maßnahmen zur Umsetzung der Sicherheits und Schutzanforderungen des BDSG bei Papershift

Größe: px

Ab Seite anzeigen:

Download "Technisch organisatorische Maßnahmen zur Umsetzung der Sicherheits und Schutzanforderungen des BDSG bei Papershift"

Tobias Fertig
vor 6 Jahren
Abrufe

1 Technisch organisatorische Maßnahmen zur Umsetzung der Sicherheits und Schutzanforderungen des BDSG bei Papershift Datum: Autoren: Florian Suchan Markus Schlegel Michael Emaschow Sebastian Richter ( sr@papershift.com )

2 TOMs Papershift GmbH Seite 2 von 9 Inhaltsverzeichnis Inhaltsverzeichnis 1. Einleitung 2. Papershift Büro 3. Rechenzentrum in Irland 4. Web Applikation papershift.com 5. ios App Papershift Stempeluhr

TOMs Papershift GmbH Seite 3 von 9 1. Einleitung Die IT Infrastruktur besteht hauptsächlich aus Cloud Diensten die über das Internet miteinander verknüpft sind.

3 TOMs Papershift GmbH Seite 3 von 9 1. Einleitung Die IT Infrastruktur besteht hauptsächlich aus Cloud Diensten die über das Internet miteinander verknüpft sind. Alle Verbindungen die über das Internet hergestellt werden sind bezüglich Integrität und Verfügbarkeit ausreichend durch die jeweiligen ISP geschützt. Bild 1: Übersicht Dienste und Systeme In den folgenden Kapiteln werden die einzelnen Untersystem hinsichtlich der Sicherheitsund Schutzanforderungen des BDSG untersucht.

4 TOMs Papershift GmbH Seite 4 von 9 2. Papershift Büro Das Papershift Büro, das Stockwerk sowie das gesamte Gebäude sind jeweils mit Schließanlagen gesichert. Laptops mit Zugriff auf Cloud Anwendungen und RZ Irland sind mit Passwörtern gesichert. Minimalprinzip bei Zugriffsberechtigung der Mitarbeiter von Papershift Nur Entwicklung kann auf Quellcode zugreifen. Nur Geschäftsleitung kann auf IT Infrastruktur zugreifen. Support & Sales kann auf Cloud Anwendungen zur Analyse des Nutzerverhaltens und Kunden Kommunikation zugreifen WLAN verschlüsselt Router mit Firewall ausgestattet Laptops mit Viren Scanner und Personal Firewall ausgestattet Verbindungen zu Cloud Anwendungen TLS gesichert Nicht relevant in Bezug auf Papershift Büro. Siehe unter Cloud Anwendungen. Jegliche Daten werden nach Weisung des Auftraggebers durch den bestehenden Nutzungsvertrag verarbeitet. Eine Datenverarbeitung ohne vorliegender Weisung des Auftraggebers erfolgt nicht. Nicht relevant, da keine personenbezogenen Daten im Papershift Büro aufbewahrt werden.

5 TOMs Papershift GmbH Seite 5 von 9 Nicht relevant, da keine personenbezogenen Daten im Papershift Büro aufbewahrt werden.

6 TOMs Papershift GmbH Seite 6 von 9 3. Rechenzentrum in Irland Die Zertifizierung gemäß ISO gewährleistet dass alle notwendigen technisch organisatorischen Maßnahmen der Sicherheits und Schutzanfoderungen des 1 BDSG von Heroku umgesetzt werden. 1 (Siehe Anlage: Heroku_Security_Heroku)

7 TOMs Papershift GmbH Seite 7 von 9 4. Web Applikation papershift.com Siehe RZ Irland. 2 Benutzerauthentifikation gemäß OWASP Empfehlung. Benutzerauthentifikation gemäß OWASP Empfehlung. Administrator kann auf Standort und Accountebene individuelle Rechte festlegen. Übertragung aller Daten erfolgt TLS verschlüsselt. Papershift.com protokolliert mithilfe von Logentries alle eingehenden HTTP Requests. Durch Anlegen eines Accounts wird Papershift mit der Verabeitung personenbezogener Daten beauftragt. Alle Datenverarbeitung innerhalb durch papershift.com geschieht demnach gemäß den Vorgaben des Auftraggebers. Siehe RZ Irland. Das System ist Mandantenfähig, d.h. es Kunden oder Auftraggeber, bedienen kann, ohne dass diese gegenseitigen Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben. Zudem gibt es ein Test und Produktivsystem, die jeweils mit einer eigenen Datenbank betrieben werden und es somit zu keiner Vermischung von Produktiv und Testdaten geben kann. 2 (siehe Anhang)

8 TOMs Papershift GmbH Seite 8 von 9 5. ios App Papershift Stempeluhr Siehe RZ Irland. liegt in der Verantwortung des Zeiterfassenden. Admin Bereich ist mit PIN geschützt. Admin Bereich ist mit PIN geschützt. Zeiterfassungen werden mit Unterschrift bestätigt. PIN Schutz des ios Geräts. Wenn mit Papershift synchronisiert, dann Datenübertragung mit TLS verschlüsselt. Zeiterfassungen werden mit Unterschrift bestätigt. Änderungen durch Administrator werden protokolliert. Mit der Installation der ios App erteilt der Kunde Papershift dem Auftrag zur Datenverarbeitung gemäß dem Funktionsumfang der Stempeluhr. Die Verfügbarkeit ist an die Verfügbarkeit des ios Geräts gebunden. Falls verbunden mit papershift.com, siehe RZ Irland. Das System ist Mandantenfähig, d.h. es Kunden oder Auftraggeber, bedienen kann, ohne dass diese gegenseitigen Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben.

9 TOMs Papershift GmbH Seite 9 von 9 Zudem gibt es ein Test und Produktivsystem, die jeweils mit einer eigenen Datenbank betrieben werden und es somit zu keiner Vermischung von Produktiv und Testdaten geben kann.

Ähnliche Dokumente

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage Für Auftragsnehmer Seitens des Auftragnehmers wurden nachfolgend aufgeführte Maßnahmen zum