Information zur Datensicherheit und Übertragungssicherheit für Kunden des eurodata Rechenzentrums

Transkript

1 Information zur Datensicherheit und Übertragungssicherheit für Kunden des eurodata Rechenzentrums Datensicherheit Ihre Daten liegen in dem ISO zertifizierten Rechenzentrum der eurodata AG in Saarbrücken. Sie werden ausschließlich in Deutschland archiviert und unterliegen damit deutschem Recht und Datenschutz. Entsprechend sind auch die Mitarbeiter der eurodata AG vertraglich an die Einhaltung des Datenschutzes gebunden. Mit der Zertifizierung nach ISO werden IT- Sicherheitsverfahren etabliert, die zur nachhaltigen Optimierung der Sicherheit und Qualität der Systeme beitragen. Somit kann die eurodata AG ihren Kunden ein Höchstmaß an Sicherheit beim Betrieb ihrer Cloud- Lösungen garantieren. Die Kontrolle des Standards erfolgt durch ein jährliches Überwachungsaudit und ein Rezertifizierungsaudit alle drei Jahre. Darüber hinaus sorgt eine effiziente Infrastruktur mit Videoüberwachung, Zugangskontrollen, redundanter Stromversorgung, modernsten Firewall- und Intrusion Prevention/ Detection-Technologien sowie proaktivem Monitoring durch unsere Security- Experten u.v.m für Ausfallsicherheit und schützt Ihre Daten zuverlässig vor Angriffen jeglicher Art. eurodata beteiligt sich außerdem an der Initiative Cloud services - Made in Germany und erfüllt alle Kriterien, die für mehr Rechtssicherheit beim Einsatz von Cloud Computing- Lösungen sorgen. Wesentliche Kriterien für das Qualitätssiegel cloud services - made in Germany sind: Das Unternehmen des Cloud Service-Betreibers wurde in Deutschland gegründet und hat dort seinen Hauptsitz. Das Unternehmen schließt mit seinen Cloud Service-Kunden Verträge mit Service Level Agreements (SLA) nach deutschem Recht. Der Gerichtsstand für alle vertraglichen und juristischen Angelegenheiten liegt in Deutschland. Das Unternehmen stellt für Kundenanfragen einen lokal ansässigen, deutschsprachigen Service und Support zur Verfügung. Datenübermittlung eurodata sorgt neben der sicheren Archivierung der Dokumente über den gesetzlich vorgeschriebenen Zeitraum von mindestens 10 Jahren für einen sicheren Austausch der Daten mit den Behörden und Institutionen (Banken, Finanzämter, Sozialversicherungsträger, Krankenkassen und andere) Hierzu nutzt eurodata besonders abgesicherte Leitungen wie auch insbesondere eine Verschlüsselungstechnik, die den Standards von Banken und Institutionen entspricht. Kontakt: Petra Franzmann Leiterin Field Marketing Lösungen für Steuerberater und KMU field@eurodata.de 0681/

2 TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN der eurodata AG Großblittersdorfer Straße , Saarbrücken (Stand: ) nach DS-GVO Art. 32, ergänzt durch 64 BDSG-neu eurodata hat in ihrem Rechenzentrum u.a. folgende technische und organisatorische Maßnahmen getroffen: 1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS- GVO, ( 64 Abs. 3) BDSG-neu 1.1 Zutrittskontrolle. Der unbefugte Zutritt wird verhindert. Die Zutrittskontrolle wird im Empfang durch Empfangsmitarbeiter sichergestellt. Zusätzlich werden die folgenden technischen Maßnahmen insbesondere auch zur Legitimation der Berechtigten getroffen: - Zutrittskontrollsystem (z.b. durch Ausweisleser, Magnetkarte, Chipkarte) - Schlüssel/Schlüsselvergabe - Türsicherung (elektronische Türöffner usw.) - Überwachungseinrichtung (Alarmanlage, Video-/ Fernsehmonitor) 1.4. Trennungskontrolle. Daten, die zu unterschiedlichen Zwecken erhoben werden, werden auch getrennt verarbeitet. Folgende Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken werden ergriffen: - Zweckbindung - Funktionstrennung 1.5 Datenträgerkontrolle Daten werden ausschließlich auf verschlüsselten Speichersystemen in den speziell abgesicherten Rechenzentren der eurodata gespeichert. 1.6 Speicherkontrolle Durch ein umfangreiches Berechtigungskonzept wird sichergestellt, dass nur befugte Personen Zugang zu personenbezogenen Daten erhalten. 1.2 Zugangskontrolle. Zugang zu den DV-Anlagen erhalten ausschließlich berechtigte Personen. Das Eindringen Unbefugter in die DV- Systeme wird verhindert durch technische (Kennwort- /Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung: - Kennwortverfahren (z.b. Mindestlänge und regelmäßiger Wechsel des Kennworts) - Automatische Sperrung - Einrichtung eines Benutzerstammsatzes pro User - Verschlüsselung von Datenträgern 1.3 Zugriffskontrolle. Der Zugriff wird administrativ mittels Benutzerauthentifizierung über die Domain-Richtlinien geregelt. Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen werden durch bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung verhindert durch: - Differenzierte Berechtigung (Profile, Rollen, Transaktionen und Objekte) - Auswertung - Kenntnisnahme - Veränderung - Löschung 1.7 Benutzerkontrolle Die Datenübertragung erfolgt ausschließlich über verschlüsselte Datenverbindungen, Virtual Private Networks (VPN). 2 Integrität /Art. 32 Abs. 1 lit. b) DS-GVO 2.1 Weitergabekontrolle. Die Aspekte der Weitergabe personenbezogener Daten werden durch Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung geregelt: - Transportsicherung - Protokollierung - elektronische Signatur - Verschlüsselung/Tunnelverbindung 2.2. Eingabekontrolle. Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege wird durch Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, gewährleistet: - Protokollierungssysteme - Protokollauswertungssysteme eurodata Seite 1 von 2

3 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO 3.1 Verfügbarkeitskontrolle (Art. 32 Abs. 1 lit. c) Die Daten sind gegen zufällige oder mutwillige Zerstörung durch umfangreiche Backup-Strategien geschützt: - Spiegeln von Festplatten (z.b. RAID- Verfahren) - regelmäßiges Backup aller relevanten Daten. - Spiegelung der Backups in ein Off-Site Rechenzentrum. - Unterbrechungsfreie Stromversorgung (USV) und Notstromgeneratoren. - Firewall - Meldewege und Notfallpläne 4.4. Auftragskontrolle. Die weisungsgemäße Auftragsdatenverarbeitung wird durch technische und organisatorische Maßnahmen zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer gewährleistet: - Eindeutige Vertragsgestaltung - Formalisierte Vertragserteilung (Auftragsformular) - Kriterien zur Auswahl des Auftragnehmers - Kontrolle der Vertragsausführung - Statusbericht des Auftragnehmers 3.2 Rasche Wiederherstellung (Art. 32 Abs1 lit. c) DS- GVO Durch den Einsatz einer virtuellen Systemumgebung innerhalb einer redundanten Infrastruktur können personenbezogene Daten jederzeit rasch wiederhergestellt werden. 3.3 Zuverlässigkeit ( 64 Abs. 3 Nr. 10) BDSG-neu Die Verfügbarkeit und Funktion der für die Datenverarbeitung erforderlichen Systeme werden rund um die Uhr überwacht. Fehlfunktionen werden unverzüglich an den eurodata Bereitschaftsdienst gemeldet. 4. Verfahren zur regelmäßigen Überprüfung und Evaluierung (Art. 32 Abs. 1 lit. d; Art. 25 Abs. 1) DS-GVO 4.1 Datenschutz-Management Durch regelmäßige interne und externe Audits der ISO Zertifizierung wird die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung überprüft. 4.2 Incident-Response-Management Durch die ISO Zertifizierung wird ein effektives Managementsystem nachgewiesen um sich gegen Vorfälle mit Betriebsunterbrechung zu schützen, die Wahrscheinlichkeit ihres Auftretens zu vermindern, sich auf diese vorzubereiten, auf diese zu reagieren und sich von diesen zu erholen, sollten sie auftreten. 4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO) Die Voreinstellungen in den einzelnen Programmen stellen sicher, dass nur solche personenbezogenen Daten verarbeitet werden können, die für den jeweiligen Verarbeitungszweck erforderlich sind eurodata Seite 2 von 2

4

5 ZERTIFIKAT für das Managementsystem nach ISO/IEC 27001:2013 Der Nachweis der regelkonformen Anwendung wurde erbracht und wird gemäß TÜV PROFiCERT-Verfahren bescheinigt für eurodata AG Großblittersdorfer Straße D Saarbrücken Geltungsbereich: Bereitstellung hochverfügbarer Rechenzentrumskapazitäten inklusive der Netzwerkanbindung und deren Betrieb am Standort Saarbrücken. Statement of Applicability (SoA): Zertifikat-Registrier-Nr Zertifikat gültig von bis Auditbericht-Nr Erstzertifizierung D-ZM Darmstadt, Zertifizierungsstelle des TÜV Hessen Der Zertifizierungsstellenleiter SEITE 1 VON 2. Diese Zertifizierung wurde gemäß TÜV PROFiCERT-Verfahren durchgeführt und wird regelmäßig überwacht. Die aktuelle Gültigkeit ist nachprüfbar unter Originalzertifikate enthalten ein aufgeklebtes Hologramm. TÜV Technische Überwachung Hessen GmbH, Rüdesheimer Str. 119, D Darmstadt, Tel / Rev-DE-1301

6 ZERTIFIKAT für DIN EN ISO 22301:2014 Die Anforderungen hierfür sind in einem Kriterienkatalog für Systeme und Prozesse formuliert und die Konformität wurde in einem Audit überprüft. Dieses Zertifikat ist kein Nachweis für die Erfüllung aller gesetzlicher Vorschriften und / oder Produkteigenschaften. eurodata AG Großblittersdorfer Straße D Saarbrücken Geltungsbereich: Cloudbasierte Software- und Serviceleistungen Zertifikat-Registrier-Nr Zertifikat gültig von bis Auditbericht-Nr Erstzertifizierung Darmstadt, Zertifizierungsstelle des TÜV Hessen Der Zertifizierungsstellenleiter SEITE 1 VON 1. Diese Zertifizierung wurde gemäß TÜV PROFiCERT-plus-Verfahren durchgeführt und wird regelmäßig überwacht. Die aktuelle Gültigkeit ist nachprüfbar unter Originalzertifikate enthalten ein aufgeklebtes Hologramm. TÜV Technische Überwachung Hessen GmbH, Robert-Bosch-Straße 16, D Darmstadt, Tel / Rev-DE-1711