Überprüfung der technisch-organisatorischen Maßnahmen der Firma mailingwork GmbH

Transkript

1 Überprüfung der technisch-organisatorischen Maßnahmen der Firma mailingwork GmbH Herausgeber: SIZ GmbH Simrockstraße Bonn Handelsregister: AG Bonn HRB 5383 Geschäftsführer: Alexander von Stülpnagel (Sprecher), Thomas Krebs Aufsichtsratsvorsitzender: Dr. Rolf Gerlach Ansprechpartner: Wolfgang Schubert Dipl Soz. Dipl. Betrw. ISO Auditor BSI IT-Service Manger DSB (udis-zert.) Version: 1.0 Stand:

2 Inhaltsverzeichnis 1 Prüfungsgrundlagen Bundesdatenschutzgesetz Vorgaben der Anlage zu 9 Satz 1 BDSG Prüfungsstandard Allgemeine Daten zur durchgeführten Prüfung Aufgaben der beteiligten Dienstleister Sicherheitinfrastruktur der mailingwork GmbH Sicherungssysteme des RZs der e-shelter facility services GmbH Übergreifende Sicherheitsmerkmale Stromversorgung Brandschutz und Löschanlagen Technisch-organisatorische Maßnahmen der mailingwork GmbH Organisatorische Maßnahmen Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle Ergebnis der Prüfung... 18, Bonn Seite: i

3 Bonn, 2014 Diese Dokumentation einschließlich aller seiner Teile ist urheberrechtlich geschützt und darf nur entsprechend der vertraglichen Vereinbarung genutzt werden. Jegliche darüber hinausgehende Veröffentlichung, Bearbeitung, Nachdruck, Vervielfältigung oder Speicherung - gleich in welcher Form, ganz oder teilweise - ist nur mit Zustimmung der SIZ GmbH zulässig., Bonn Seite: ii

4 1 Prüfungsgrundlagen 1.1 Bundesdatenschutzgesetz 11 Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 1.2 Vorgaben der Anlage zu 9 Satz 1 BDSG 9 BDSG verlangt von datenverarbeitenden Stellen die Umsetzung solcher organisatorischer und technischer Maßnahmen, die erforderlich sind, um den Schutz personenbezogener Daten zu gewährleisten. Werden personenbezogene Daten automatisiert verarbeitet, konkretisiert die Anlage zu Satz 1 der Vorschrift die im Rahmen der geforderten datenschutzgerechten Organisation umzusetzenden Maßnahmen mittels einer nicht abschließenden Aufzählung von acht Kontrollgeboten. Die umzusetzenden Maßnahmen sind dem Bereich des technischen Datenschutzes zuzuordnen. Die Umsetzung der Maßnahmen muss selbstverständlich stets mit Blick auf die weiteren im Datenschutzrecht geltenden Grundsätze, insbesondere der Datensparsamkeit gem. 9 Satz 2 BDSG, der Datenvermeidung sowie dem Erfordernis einer Rechtsgrundlage erfolgen. 1.3 Prüfungsstandard Die Überprüfung der Vorgaben der Anlage zu 9 Satz 1 BDSG erfolgte auf Basis der FI Checkliste Datenschutz Auftragsdatenverarbeitung., Bonn Seite: 1

5 1.4 Allgemeine Daten zur durchgeführten Prüfung Datum der Prüfung mit Unterbrechungen Auftraggeber Sparkassen-Finanzportal GmbH Friedrichstraße Berlin Bezeichnung des Vertrags Dienstleistungsvertrag Mandantensystem für mailingwork Anlage: Auftragsdatenverarbeitung nach 11BDSG Anlage: Technische und organisatorische Maßnahmen Interviewpartner Markus Haubold, Datenschutzbeauftragter Marcel Fritzsche, Administrator Danilo Speck, Adminstrator Robert Langer, Produkt Manager Jörg Arnold, Geschäftsführer (teilweise) Art der Prüfung Audit vor Ort mit Überprüfung der technischorganisatorischen Maßnahmen der Firma mailingwork GmbH Stichproben zu vorgelegten Organisationsanweisungen Erläuterung der wichtigsten Sicherungssysteme Prüfungsunterlagen Dienstleistungsvertrag Mandantensystem für mailingwork Anlage: Auftragsdatenverarbeitung nach 11BDSG, Anlage: Technische und organisatorische Maßnahmen Auditunterlagen der Firma YUNICON (Betrieb Server und Kundenplattform) IT-Sicherheitszertifikat der Firma e-shelter ISO (Rechenzentrumsdienstleister) und weitere Zertifikate Programmfreigabe nach OPDV für EMMA Datenschutzgutachtung durch Fa. Kohnle-IT Datenschutzbericht mailingwork, Bonn Seite: 2

6 2 Aufgaben der beteiligten Dienstleister Die Sparkassen Finanzportal GmbH nutzt die webbasierte Versandlösung mailingwork unter dem Label EMMA. Unter Einbeziehung dieses Software-Programmes betreibt die Firma mailingwork GmbH über das Internet einen crossmedialen ASP-Dienst. Die physischen Datensätze liegen bei der Firma YUNICON, Nonnendamm 22, Berlin. YUNICON bietet Infrastructure as a Service an. Unternehmen können Rechenleistung, Speicherkapazität Server Management nach dem Baukastenprinzip beziehen. Die Firma YUNICON wiederum nutzt ein Rechenzentrum der e-shelter facility services GmbH, Datacenter Berlin, Nonnendammallee 15, Berlin. e-shelter entwickelt und betreibt hochverfügbare Rechenzentren ( Als Anwendungsdienstleister stellt mailingwork GmbH die Anwendung EMMA zum Informationsaustausch über das Internet zur Verfügung. Diese wird unter der Internet-Adresse zur Verfügung gestellt. Mailingwork GmbH kümmert sich um die gesamte Softwareadministration zur Bereitstellung des Dienstes, Datensicherung, Einspielen von Patches etc.. Die Dienstleistung umfasst also die Datenanbindung, die technische Bereitstellung der Plattform und den technischen Support. S-Finanzportal GmbH mietet die Software unter dem Label EMMA für die eigene Nutzung an. Die Nutzung durch S-Finanzportal GmbH erfolgt als Reseller und wird als Leistung an Dritte (Sparkassen) in eigenen Namen weiterverkauft. Die Benutzerbetreuung wie Anlegen eines neuen Mandanten, Betreuung der -Versendung erfolgt durch S-Finanzportal GmbH Sicherheitinfrastruktur der mailingwork GmbH Das Sicherheitskonzept der mailingwork GmbH wurde stichprobenhaft auf Basis von Arbeitsanweisungen und weiteren Unterlagen geprüft. Stichprobenhaft wurden folgende Maßnahmen überprüft: Speicherung von Passworten Protokollierungskonzept bei der Verarbeitung personenbezogener Daten im Auftrag Löschen und Vernichten von Datenträgern Prozess zur Übermittlung von Adressdateien (Adressdateien werden von S-Finanzportal an Yunicon übermittelt). Löschen von Kundenaccounts bei Vertragsende / Vertragskündigung Konzept zur Protokollierung von Zugriffen auf mailingwork (EMMA) Das Ergebnis der Überprüfung von mailingwork ist in Punkt 3 der Dokumentation zusammengefasst., Bonn Seite: 3

7 2.2 Sicherungssysteme des RZs der e-shelter facility services GmbH Übergreifende Sicherheitsmerkmale Überwachung durch eigenen 24/7 Leitstellen Eigenes Sicherheitspersonal von der e-shelter security GmbH Redundantes Monitoring aller kritischen Funktionen Risikomanagement für alle kritischen Prozesse Vier-Augen-Prinzip für alle kritischen und sicherheitsrelevanten Prozesse Standardisierte Betriebsprozesse Präventive Risikobewertung sowie kontinuierliche Prüfung und Training des e-shelter Betriebspersonals Überwachung aller ausfallkritischen Infrastruktursysteme standardisierte Sicherheitsprozesse und das mehrstufige Sicherheitssystem Integriertes Alarmmanagement Lückenlos dokumentiertes Zutrittsmanagement Zugangskontrollen per berührungsloser Chipkarte und PIN Lückenlose Videoüberwachung von Türen und Zugängen Gesicherte Grundstücksgrenzen mit elektronisch überwachter Sicherheitszaunanlage mit Übersteig- und Untergrabchutz Gesicherte Zufahrt mit Sicherheitstor und Durchfahrsperren Stromversorgung Die gesamte Stromversorgung wird als duale Strom- und Notstromversorgungmit einer unterbrechungsfreien A- und B-Versorgung für die IT-Systeme und mit einer zusätzlichen redundanten Versorgung für alle kritischen technischen Gebäudeanlagen wie Klima-, Kälte-, Lüftungs- und Sicherheitsanlagen ausgeführt. Der Campus wird über zwei Einspeisungen mit 10 kv versorgt, die Gesamtleistung beträgt 26 MVA. Die Stromversorgung Ihrer IT-Systeme wird somit über eine aktive A- und B-Versorgung bis ins Rack sichergestellt. Eine höchstmögliche Ausfallsicherheit wird durch die Bereitstellung von A- und B-seitigen USV- Systemen in 2(n + 1) Konfiguration gewährleistet. Beide Seiten können somit unabhängig voneinander 100 Prozent der Last übernehmen. Alle versorgungskritischen haustechnischen Anlagen sind ebenfalls USV-gestützt. Darüber hinaus stehen zur Überbrückung längerfristiger Netzausfälle je Bauteil Netzersatzanlagen mit Dieselgeneratoren zur Verfügung, welche in n + 2 ausgelegt sind und die gesamte Versorgung des Rechenzentrums übernehmen. Die Dieselbevorratung ist für einen autonomen Betrieb von 72 Stunden ausgelegt., Bonn Seite: 4

8 2.2.3 Brandschutz und Löschanlagen Baulichen Brandschutz, Brandmelde- und Löschanlagen haben wir so ausgelegt, dass sie größtmögliche Sicherheit gewährleisten. Für den Ausbau der Mietflächen werden ausschließlich spezielle, nicht brennbare oder nur schwer entflammbare Materialien verwendet. Die einzelnen RZ-Flächen sind in separate Brandabschnitte unterteilt. Innerhalb jedes Mietbereichs sind zusätzlich umfassende Brandbekämpfungs- und Brandschutzsysteme installiert.brandfrühesterkennungssysteme (Rauchansaugsystem RAS), die in eine Brandmeldeanlage eingebunden sind, gewährleisten eine frühestmögliche Detektion schon vor der Entstehung von Brand- und Rauchgasen bzw. Feuer. Die Brandbekämpfung erfolgt durch ein Gaslöschsystem mit Argongas., Bonn Seite: 5

9 3 Technisch-organisatorische Maßnahmen der mailingwork GmbH 3.1 Organisatorische Maßnahmen, Bonn Seite: 6

10 , Bonn Seite: 7

11 3.2 Zutrittskontrolle, Bonn Seite: 8

12 3.3 Zugangskontrolle, Bonn Seite: 9

13 , Bonn Seite: 10

14 3.4 Zugriffskontrolle, Bonn Seite: 11

15 3.5 Weitergabekontrolle, Bonn Seite: 12

16 , Bonn Seite: 13

17 3.6 Eingabekontrolle, Bonn Seite: 14

18 3.7 Auftragskontrolle, Bonn Seite: 15

19 3.8 Verfügbarkeitskontrolle, Bonn Seite: 16

20 3.9 Trennungskontrolle, Bonn Seite: 17

21 4 Ergebnis der Prüfung Der Datenschutzbeauftragte des Auftraggebers konnte sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Die nach 9 BDSG Anlage zu Satz 1 verlangte Umsetzung solcher organisatorischer und technischer Maßnahmen, die erforderlich sind, um den Schutz personenbezogener Daten werden vom Auftragnehmer gewährleistet. In der Prüfung konnten keine Verstöße gegen das BDSG und entsprechende Regelungen im festgestellt werden. Auf Basis vorhandener Zertifikate und weiterer Unterlagen wurden Kontrollen bei Subunternehmern vorgenommen, aus denen sich ebenfalls keine negativen Feststellungen ergaben. Im Ergebnis ergibt sich die Feststellung, dass bei der Firma mailingwork GmbH die datenschutzrechtlichen Bestimmungen ausreichend beachtet wurden. Im Einzelnen wird der positive Eindruck dadurch gestützt, dass mailingwork GmbH in besonderer Weise den Datenschutz-Risiken Beachtung schenkt. Feststellung Die Ergebnisse der Prüfung werden ohne Risiko oder mit nur geringem Risiko klassifiziert. Die Ergebnisse der Prüfung werden als Risiko ohne Handlungsbedarf klassifiziert. Die Ergebnisse der Prüfung werden als Risiko mit Handlungsbedarf klassifiziert. Handlungsbedarf Kein Handlungsbedarf. Kein Handlungsbedarf. (Begründung s. Bewertung/Kommentar) Handlungsbedarf s. Bewertung / Kommentar. gez. Wolfgang Schubert Datenschutzbeauftragter der S-Finanzportal GmbH , Bonn Seite: 18