1. Datenspeicherung... 2 1.1 Speicherung von Daten auf administrativen Systemen... 2 1.1.1 Firmenbezogen... 2 1.1.2 Kundenbezogen... 2 1.2 Speicherung von Daten auf online Systemen... 2 1.2.1 Firmenbezogen... 2 1.2.2 Kundenbezogen... 2 2. Datenbackups... 3 2.3 Recovery... 3 3. Verfügbarkeit... 3 3.1 Datenverfügbarkeit... 3 3.2 Stromversorgung... 3 4. Zugriffskontrollen... 3 4.1 Administrative Systeme... 3 4.2 Zutrittskontrollen... 3 5. Passwortvergabe Richtlinien... 4 5.1 Administrative Systeme... 4 5.2 Online Systeme... 4 6. Verschlüsselung... 4 6.1 Administrative Systeme... 4 6.2 Online Systeme... 4 7. Datentransfer... 4 7.1 Kundendaten im Auftrag... 4 8. Transport von Daten in Form von Datenträgern... 5 8.1 Backups... 5 9. Auftragskontrollen... 5 9.1 Verträge... 5 10. Sicherheitssoftware... 5 10.1 Virenschutzsoftware... 5 10.2 Spam-Filter / Phishing-Filter... 5 1
1. Datenspeicherung Die Datenspeicherung beschreibt die Art und den Zweck der Speicherung von Daten Firmenbezogen als auch Kundenbezogen zum Betrieb des Kerngeschäftes, dem Versand von Emails im Kundenauftrag. 1.1 Speicherung von Daten auf administrativen Systemen 1.1.1 Firmenbezogen Administrative Systeme speichern Kundendaten lediglich zum Zweck der Kommunikation und zur Abwicklung von Arbeitsprozessen in der Hauptsache in einem E-Mail-Programm. 1.1.2 Kundenbezogen Vom Kunden zur Verarbeitung zugesendete Daten werden maximal über einen Zeitraum von 24 Stunden gespeichert. E-Mails die zu verarbeitende Kundendaten enthalten werden zur Protokollierung ohne Anhang gespeichert und anschließend gelöscht. Die Mitarbeiter sind angewiesen Systemweit nicht mehr als von einem Vorgang / Kunden Daten für maximal 24 Stunden zu speichern, mit der Beendigung eines Vorganges oder dem Start eines anderen Vorgangs müssen zur Verarbeitung übergebene Kundendaten gelöscht werden. 1.2 Speicherung von Daten auf online Systemen 1.2.1 Firmenbezogen Es werden lediglich Account spezifische Daten gehalten, welche dem Kunden bekannt sind. Benutzername, E- Mail-Adresse und Passwort plus entsprechende Personendetails zur Nutzung der vollen Funktionalität. 1.2.2 Kundenbezogen Mitarbeiter sind angewiesen nur im Rahmen des dem Kunden vertraglich zur Verfügung stehenden Supports Daten anzunehmen und zu verarbeiten. Jeder Eingriff im Onlinesystem wird aufgezeichnet. 2
2. Datenbackups 2.1 Tägliche Backups zur Verfügbarkeitsgewährleistung Alle 24 Stunden werden alle Kundendaten gesichert und komprimiert abgelegt. Diese Backups werden täglich recycelt. 2.2 Monatliche Backups Jeden Monat wird ein Vollbackup erstellt und auf Backupmedien gespeichert. Die Backups werden direkt nach dem Speichern in einen Safe zur katastrophensicheren Aufbewahrung gebracht. 2.3 Recovery Recovery von Datenbackups geschieht nur durch Autorisierung der Geschäftsführung nach Kommunikation mit dem Kunden. Hierzu wird ein Systemadministrator von der Geschäftsführung direkt und schriftlich über die Art des die notwendige Zeit für den Zugriff auf den Safe, das entpacken der Daten und das Transferieren der Daten auf das Livesystem zu beachten. 3. Verfügbarkeit 3.1 Datenverfügbarkeit Online Systeme zur Datenspeicherung haben zur Datensicherheit und Verfügbarkeit Festplattenspiegelungen. 3.2 Stromversorgung Die Stromversorgung der Server ist Unterbrechungsfrei. 4. Zugriffskontrollen 4.1 Administrative Systeme Alle Systeme sind mit aktueller Virenschutzsoftware gesichert um Fremdzugriffe zu verhindern. Jeder Mitarbeiter hat einen eigenen Account und ist angewiesen dessen Passwort monatlich zu wechseln. Mitarbeiter sind angewiesen beim Verlassen des Arbeitsplatzes den passwortgeschützten Screensaver zu aktivieren. 4.2 Zutrittskontrollen Die Büroräumlichkeiten am Standort Frankfurt verfügen über keine gesonderten Zutrittskontrollsysteme. Die Mitarbeiter sind entsprechend im Umgang mit Besuchern und Kunden geschult. Die Eingangstüren sind generell verschlossen, jeder Gast wird grundsätzlich von einem Mitarbeiter begleitet. 3
5. Passwortvergabe Richtlinien 5.1 Administrative Systeme Passwörter haben eine Mindestlänge von 8 Zeichen und müssen aus Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Reihenfolgen der Buchstaben und Zahlen alphabetisch und dem Tastaturprofil nach sind nicht gestattet. Die Mitarbeiter sind angewiesen Änderungen der Kundendaten und Zugänge des Onlinesystems nur in verschlüsselten Verbindungen vorzunehmen. Das System protokolliert alle Vorgänge. Die administrativen Systeme erinnern automatisch nach 30 Tagen an die Änderung des Passwortes. Kundenpasswörter werden nach Spezifikation mit dem Kunden entsprechend geprüft, dokumentiert und geändert. 5.2 Online Systeme Administrative Passwörter haben eine Mindestlänge von 14 Zeichen und müssen aus Buchstaben, Zahlen und mindestens drei Sonderzeichen bestehen. Reihenfolgen der Buchstaben und Zahlen alphabetisch und dem Tastaturprofil nach sind nicht gestattet. Buchstaben müssen sowohl in Groß- als auch Kleinschreibung verwendet werden. 6. Verschlüsselung 6.1 Administrative Systeme E-Mailverkehr mit Kunden ist wenn möglich verschlüsselt zu senden, falls dies nicht möglich ist sind die Mitarbeiter angewiesen den Kunden darauf aufmerksam zu machen. 6.2 Online Systeme Administrative Vorgänge auf den Online Systemen sind verschlüsselt vorzunehmen. Kunden sind darauf hinzuweisen das die Verwendung unserer Onlinesysteme verschlüsselt erfolgen sollte. Kunden sind darauf hinzuweisen das Ihre Mitarbeiter durch das Onlinesystem auf die Verwendung des verschlüsselten Kanales gezwungen werden können. 7. Datentransfer 7.1 Kundendaten im Auftrag Im Auftrag des Kunden zu bearbeitende Daten werden per SSL Verschlüsselung verarbeitet. Der Transfer vom Kunden oder zum Kunden hat mit Sorgfalt und möglichst Verschlüsselung zu Erfolgen. Mindestens die Datenpakete (Archive) sollen verschlüsselt und Passwortgeschützt sein. 4
8. Transport von Daten in Form von Datenträgern 8.1 Backups Die Systemverwaltung ist angewiesen Backups über verschlüsselte Kanäle zu Übertragen und anschließend sofort zu brennen und in den dafür vorgesehenen Safe einzubringen. Nach der Verifikation des Brennresultats werden die Daten auf der Festplatte mit Hilfe von Sicherheitssoftware mindesten acht Mal gelöscht und überschrieben. 9. Auftragskontrollen 9.1 Verträge Der Vertrag enthält detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers. Der Vertrag enthält detaillierte Angaben über die Zweckbindung der personenbezogenen Daten des Auftraggebers sowie ein Verbot der Nutzung durch den Dienstleister außerhalb des schriftlich formulierten Auftrags. Auf Kundenwunsch kann im Vertrag eine verantwortliche Person beim Auftraggeber benannt werden, die in Bezug auf die vereinbarte Auftragsdatenverarbeitung gegenüber dem Dienstleister weisungsbefugt ist. 10. Sicherheitssoftware 10.1 Virenschutzsoftware Auf administrativen Systemen ist Virenschutzsoftware installiert und konfiguriert zwei Mal täglich die Virendefinitionsdatenbank zu aktualisieren. Der Virenscanner agiert als Echtzeitscanner und zusätzlich wird wöchentlich das komplette System gescannt. 10.2 Spam-Filter / Phishing-Filter Auf administrativen Systemen sind die Mailprogramme zusätzlich durch Spamfilter undphishing Filter geschützt. 5