Technisch-organisatorische Maßnahmen zur Umsetzung der Sicherheits- und Schutzanforderungen des BDSG bei Papershift

Ähnliche Dokumente
Technisch organisatorische Maßnahmen zur Umsetzung der Sicherheits und Schutzanforderungen des BDSG bei Papershift

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

HeadSetup Pro Manager

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

am Mittwoch, dem 30 Januar 2013 in den Räumen von mailingwork/w3work in Oederran Herr Arnold (Geschäftsführer mailingwork GmbH / w3work GbR) teilweise

Auftragsdatenverarbeitung. vom

DATENSICHERHEIT BEI AUTODESK BIM 360

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. Art. 32 Abs. 1, Art. 25 Abs.

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Erklärung zur Datensicherheit

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

Human Centric Innovation

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Den Datenschutz nicht vergessen

Datenverarbeitungsverzeichnis nach Art 30 Abs 1 DSGVO (Verantwortlicher)

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

DATEN SCHUTZ MASS NAHMEN

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Leitlinie zur Informationssicherheit

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)


Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

Datenschutzerklärung Apps

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Anlage zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO. zwischen. FIO SYSTEMS AG Ritter-Pflugk-Str Leipzig. - im Folgenden "FIO SYSTEMS" und

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

it-recht kanzlei münchen

Datenschutzerklärung digipen technologies GmbH ein Unternehmen der EITCO

Technische und organisatorische Maÿnahmen

Technische & organisatorische Maßnahmen der erecruiter GmbH

Sichere Bürokommunikation am Beispiel von Fax, Kopierern, Druckern, Scannern und Mail Tag der IT-Sicherheit, 2. Februar Torsten Trunkl

Office 365 datenschutzkonform nach deutschem Recht?

Medizinische Universität Wien ITSC Handbuch

Beschreibung der technischen und organisatorischen Maßnahmen

Datenschutzerklärung digipen technologies GmbH

Admin-System zur Benutzerverwaltung

IT-Grundschutz-Methodik im Kontext von Outsourcing

AGENDA. Das Gesundheitswesen im digitalen Umbruch Online-Praxis-Seminar

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Corporate Networks. Ihre Vorteile

Kurzanleitung für Installation und Betrieb Ersteinrichtung der Berner Secure Mobile App und Berner Box für den Administrator

Stand: Februar IT-Sicherheitsrichtlinie Externe Dienstleister

ABB MEASUREMENT & ANALYTICS SYSTEMHANDBUCH CEM-DAS Connect Sicherer Zugang zu CEM-DAS Systemen über ein öffentliches Netzwerk. Measurement made easy

Cloud managed Network

Windows 10 Einsetzbar an den Berliner Hochschulen? Personalrat Personalversammlung 13. Juni 2018

SICHERES WHATSAPP FÜR UNTERNEHMEN

Was jetzt zu tun ist.

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Informationssicherheit an der RWTH

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Informationsblatt zum Umgang mit mobilen Geräten

Nutzungshinweise Abacus Hosting und AbaWebTreuhand

Technisch-organisatorische Maßnahmen

Ausstattung von Krankenanstalten mit dem e-card-system Leitfaden

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Die targeting360 GmbH setzt für ihre Kunden Retargeting- und Display-Kampagnen um.

Anlage 3 Technische und organisatorische Maßnahmen des Auftragnehmers

Bestellsoftware ASSA ABLOY Matrix II

Benutzerhandbuch GI CLOUD box

ICT-Sicherheitsleitlinie vom 11. August 2015

Informationssicherheit für den Mittelstand

ADV nach Art. 28 DSGVO

Ja, ich möchte ab (Datum) Förderspender im Deutschen Roten Kreuz, Kreisverband Dresden e.v. werden. Ich zahle einen Beitrag von: Verwendungszweck:

Datenschutzerklärung der Firma Gasthaus - Pension Sonne

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Remote Support Datenschutz-

Papershift GmbH vertreten durch die Geschäftsführer Michael Emaschow & Florian Suchan Lange Str Karlsruhe - Auftragnehmerin -

VERBINDLICHE IT- SICHERHEITSVORGABEN FÜR DIENSTLEISTER

Kundeninformation Köln, Verzeichnis der Datenverarbeitungstätigkeit Der Firma Der Kölner GassiKönig

Apple ios EXTRAblatt iphone Update. DIE einfache ANLEITUNG. Update. Die Themen

Grundlagen des Datenschutzes und der IT-Sicherheit

Hosted SharePoint 2013: Paket- und Leistungsübersicht

VALUE ADDED IT-DISTRIBUTOR. AUS ÜBERZEUGUNG. SicherheIT für Systemhäuser

Technische Voraussetzungen

GANZView ios Guide v1.01. GANZView ios App. für iphone 3GS, ipod Touch 3. & 4. Generation und ipad

Die Datenschutzgruppe

DER HESSISCHE DATENSCHUTZBEAUFTRAGTE

DATENSCHUTZHINWEISE UND EINWILLIGUNG ZUR DATENVERARBEITUNG FÜR DIE AXA WAYGUARD-APP. Allgemeiner Hinweis. Datenschutzhinweise

So verkaufen Sie StorageCraft Cloud Backup for Office 365

[accantum].hosted Übersicht

Rolle der Körperschaften und Aktivitäten der KBV

HANA CLOUD CONNECTOR

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Informationen zu Datenschutz und Sicherheit mit CYS Feedback Monitor (CFM)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Auftrag gemäß 11 BDSG Auftragsdatenverarbeitung

Klopotek goes Cloud computing Peter Karwowski. Frankfurt, 14. Oktober 2015

Transkript:

Technisch-organisatorische Maßnahmen zur Umsetzung der Sicherheits- und Schutzanforderungen des BDSG bei Papershift Datum: 29.05.2017 Autoren: Florian Suchan (fs@papershift.com) Michael Emaschow (me@papershift.com)

Seite 2 von 10 Inhaltsverzeichnis Inhaltsverzeichnis 1. Einleitung 2. Papershift Büro 3. Rechenzentrum in Frankfurt 4. Web-Applikation app.papershift.com 5. ios-app Papershift Stempeluhr 6. Cloud Dienste 6.1. Sendgrid

Seite 3 von 10 1. Einleitung Die IT-Infrastruktur besteht hauptsächlich aus Cloud-Diensten die über das Internet miteinander verknüpft sind. Alle Verbindungen die über das Internet hergestellt werden sind bezüglich Integrität und Verfügbarkeit ausreichend durch die jeweiligen ISP geschützt. Bild 1: Übersicht Dienste und Systeme In den folgenden Kapiteln werden die einzelnen Untersystem hinsichtlich der Sicherheitsund Schutzanforderungen des BDSG untersucht.

Seite 4 von 10 2. Papershift Büro Das Papershift Büro, das Stockwerk sowie das gesamte Gebäude sind jeweils mit Schließanlagen gesichert. Laptops mit Zugriff auf Cloud-Anwendungen und RZ Irland sind mit Passwörtern gesichert. Minimalprinzip bei Zugriffsberechtigung der Mitarbeiter von Papershift Nur Entwicklung kann auf Quellcode zugreifen. Nur Geschäftsleitung kann auf IT-Infrastruktur zugreifen. Support & Sales kann auf Cloud-Anwendungen zur Analyse des Nutzerverhaltens und Kunden-Kommunikation zugreifen WLAN verschlüsselt Router mit Firewall ausgestattet Laptops mit Viren-Scanner und Personal Firewall ausgestattet Verbindungen zu Cloud-Anwendungen TLS-gesichert Nicht relevant in Bezug auf Papershift Büro. Siehe unter Cloud-Anwendungen. Jegliche Daten werden nach Weisung des Auftraggebers durch den bestehenden Nutzungsvertrag verarbeitet. Eine Datenverarbeitung ohne vorliegender Weisung des Auftraggebers erfolgt nicht. Nicht relevant, da keine personenbezogenen Daten im Papershift Büro aufbewahrt werden.

Seite 5 von 10 Nicht relevant, da keine personenbezogenen Daten im Papershift Büro aufbewahrt werden.

Seite 6 von 10 3. Rechenzentrum in Frankfurt Die Zertifizierung gemäß ISO 27001 gewährleistet dass alle notwendigen technisch-organisatorischen Maßnahmen der Sicherheits- und Schutzanfoderungen des 1 BDSG von Amazon umgesetzt werden. Optional kann der Kunde einen ADV direkt mit AWS abschließen. 1 https://aws.amazon.com/de/compliance/iso-27001-faqs/ (Siehe Anlagen)

Seite 7 von 10 4. Web-Applikation app.papershift.com Siehe RZ Frankfurt. 2 Benutzerauthentifikation gemäß OWASP Empfehlung. Benutzerauthentifikation gemäß OWASP Empfehlung. Administrator kann auf Standort- und Accountebene individuelle Rechte festlegen. Übertragung aller Daten erfolgt TLS-verschlüsselt. Papershift.com protokolliert mithilfe von Logentries alle eingehenden HTTP-Requests. Durch Anlegen eines Accounts wird Papershift mit der Verabeitung personenbezogener Daten beauftragt. Alle Datenverarbeitung innerhalb durch papershift.com geschieht demnach gemäß den Vorgaben des Auftraggebers. Siehe RZ Frankfurt. Das System ist Mandantenfähig, d.h. es Kunden oder Auftraggeber, bedienen kann, ohne dass diese gegenseitigen Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben. Zudem gibt es ein Test- und Produktivsystem, die jeweils mit einer eigenen Datenbank betrieben werden und es somit zu keiner Vermischung von Produktiv- und Testdaten geben kann. 2 https://www.owasp.org/index.php/ruby_on_rails_cheatsheet#authentication (siehe Anhang)

Seite 8 von 10 5. ios-app Papershift Stempeluhr Siehe RZ Frankfurt. liegt in der Verantwortung des Zeiterfassenden. Admin-Bereich ist mit PIN geschützt. Admin-Bereich ist mit PIN geschützt. Zeiterfassungen werden mit Unterschrift bestätigt. PIN-Schutz des ios-geräts. Wenn mit Papershift synchronisiert, dann Datenübertragung mit TLS verschlüsselt. Zeiterfassungen werden mit Unterschrift bestätigt. Änderungen durch Administrator werden protokolliert. Mit der Installation der ios-app erteilt der Kunde Papershift dem Auftrag zur Datenverarbeitung gemäß dem Funktionsumfang der Stempeluhr. Die Verfügbarkeit ist an die Verfügbarkeit des ios-geräts gebunden. Falls verbunden mit papershift.com, siehe RZ Frankfurt. Das System ist Mandantenfähig, d.h. es Kunden oder Auftraggeber, bedienen kann, ohne dass diese gegenseitigen Einblick in ihre Daten, Benutzerverwaltung und Ähnliches haben.

Seite 9 von 10 Zudem gibt es ein Test- und Produktivsystem, die jeweils mit einer eigenen Datenbank betrieben werden und es somit zu keiner Vermischung von Produktiv- und Testdaten geben kann.

Seite 10 von 10 6. Cloud Dienste 6.1. Sendgrid Sendgrid versendet Emails an Nutzer. Dabei können personenbezogene Daten übertrage werden. Mit Sendgrid (Sitz in USA) besteht ein Vertrag auf Grundlage der EU Standardvertragsklauseln.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback