Sicherheitsrichtlinien

Ähnliche Dokumente
Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Technisch-organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOM) i.s.d. Art. 32 DSGVO. Der Firma avanti GreenSoftware GmbH Blumenstr Stuttgart

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Anlage 2 zum ADV. Technische und organisatorische Maßnahmen der lblu AG

Technische und organisatorische Maßnahmen

Anlage 1 zum Auftragsverarbeitungsvertrag (Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art.

Checkliste: Kontrollpflichten im Datenschutz Stand: Bearbeiter: Tim Brettschneider

Technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit

Technische und organisatorische Maßnahmen. der Personalkanzlei Hindenburg

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) MUSTER

Technische und organisatorische Maÿnahmen

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Self-Audit Datenschutz in der Arztpraxis/Zahnarztpraxis/MVZ

I. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO) (Stand: April 2018) 1. Zutrittskontrolle

Technische und organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen, Stand Seite 1 von 5. Technisch-organisatorische Maßnahmen

ANLAGE./1 TECHNISCH-ORGANISATORISCHE MASSNAHMEN

Leitlinie zur Informationssicherheit

Anlage 2 zum Auftrag gemäß Art. 28 DS-GVO: Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO und Anlage

Auftragsdatenverarbeitung. vom

Client Communication Platform (CCP) Technische und organisatorische Sicherheitsmaßnahmen

Technisch-organisatorische Maßnahmen zum Datenschutz nach Art. 32 DSGVO

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Technisch-organisatorische Maßnahmen der EWS GmbH Besselstraße 10, Mannheim nach Art. 25 Abs. 1 und Art. 32 Datenschutz-Grundverordnung (DSGVO)

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen,

TOM Technische und organisatorische Maßnahmen nach 64 BDSG neu und Art. 32 DS-GVO

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Technische und organisatorische Maßnahmen nach 28 DSGVO und Anlage

Anlage 2 zum Vertrag zur Auftragsverarbeitung: Technische und organisatorische Maßnahmen beim Auftragsverarbeiter

MUSTER 4 Technische und organisatorische Maßnahmen

Vereinbarung. gemeinsame Verarbeitung von Personenbezogenen Daten nach Art 26

Je mehr Punkte mit JA beantwortet werden, desto besser wird auch das Datenaudit, evtl. durch Behörden ein besseres Ergebnis bringen.

Art. 32 DSGVO Sicherheit der Verarbeitung (BDSGneu)

Auftragsverarbeitervereinbarung gemäß Art. 28 DS-GVO. vom

2. Zugangskontrolle Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

SELBSTAUSKUNFT DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO

Auftragsverarbeitervereinbarung

Datenschutz und Systemsicherheit

ADV AUFTRAGSDATENVEREINBARUNG. Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG. zwischen dem / der

Auftragsdatenverarbeitung

Technische und organisatorische Maßnahmen (TOM) des Auftragnehmers i.s.d. Art. 32 DSGVO der Firma blau direkt GmbH & Co. KG

Datenschutz ist für Casa d'óbidos Turismo Rural, Lda, vor CASA D'ÓBIDOS wichtig.

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 5. Übungsblattes Bedrohungen der IT-Sicherheit

Technische und organisatorische Maßnahmen Anlage 2

Laboratoriumsmedizin Dortmund Dr. Eberhard & Partner

Technische und organisatorische Maßnahmen (nach 9 BDSG und Anlage)

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 1 Datenschutz-Grundverordnung DSGVO

Bestellschein Vereins-ID: Aktionscode:

Technische und organisatorische Maßnahmen (TOM) der CONCEPTNET GmbH - Stand

Erklärung zur Datensicherheit

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

DATENSICHERHEIT BEI AUTODESK BIM 360

Datenschutz Management System

Information zur Datensicherheit und Übertragungssicherheit für Kunden des eurodata Rechenzentrums

Vereinbarung. (im folgenden Auftraggeber) HALE electronic GmbH Eugen-Müller.-Str Salzburg. (im folgenden Auftragnehmer)

Checkliste. Technische und organisatorische Maßnahmen der Datensicherheit (TOMs)

Cloud und Datenschutz


Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenverarbeitungsverzeichnis nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO)

Technische und organisatorische Maßnahmen der KONTENT GmbH

conjectmi Sicherheitskonzept

IV. Der technisch-organisatorische Datenschutz

VEREINBARUNG ÜBER EINE AUFTRAGSVERARBEITUNGSVERTRAG NACH ART 28 DSGVO

Technisch-organisatorische Maßnahmen zur Einhaltung des Datenschutzes

Informationen zu Datenschutz und Sicherheit mit CYS Feedback Monitor (CFM)

Beschreibung der technisch-organisatorischen Sicherheitsmaßnahmen

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Vertrag über die Auftragsdatenverarbeitung (ADV)

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Verfahrensverzeichnis Europäische Meldeauskunft RISER (RISER-Dienst)

QM-System. Bericht des Datenschutzbeauftragten der Arztsysteme Rheinland GmbH (ASR)

Anlage 2 Technisch-organisatorische Maßnahmen der Roche Diagnostics Deutschland GmbH

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Datenschutzerklärung. der Firma

Vereinbarung. zwischen Verantwortlicher - nachstehend Auftraggeber genannt - und. CROSSSOFT.GmbH Knooper Weg 126/128, Kiel

Dokumentation: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Transkript:

Sicherheitsrichtlinien Zuletzt aktualisiert: 14. März 2017 Die Sicherheit Ihrer Daten liegt uns genauso am Herzen wie Ihnen. Die Wahrung der Vertraulichkeit, der Verfügbarkeit und des Schutzes Ihrer Daten hat für uns oberste Priorität. Alle in Meisterplan hinterlegten Kundendaten werden durch strenge Infrastruktur- und Verwaltungsabläufe geschützt. Um das höchste, von Ihrem Unternehmen verlangte Niveau an physischer Sicherheit und Datenschutz zu gewährleisten, unterhält Meisterplan (meisterplan.com- und meisterplan.net-infrastrukturen) eine robuste und umfangreiche mehrstufige Sicherheitsumgebung. 1 Physische Sicherheit Die Meisterplan-Anwendung wird auf AWS EC2-Servern in SOC1-3 getestet und nach ISO27001 zertifizierten Rechenzentren in Oregon, USA, und Frankfurt, Deutschland, gehostet. Die Compliance-Details der AWS-Rechenzentren entnehmen Sie bitte der Seite https://aws.amazon.com/de/compliance/. Eine robuste Firewall stellt eine starke Barriere für die Netzwerksicherheit gegen Bedrohungen aus dem Internet dar. Außerdem greifen wir auf AWS S3-Dienste zurück, um Backup-Dateien zu speichern und zu pflegen. Meisterplan ist vor Distributed Denial of Service (DDoS)-Angriffen geschützt: AWS Shield schützt vor den meist verbreiteten DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Webseiten oder Anwendungen richten. 2 Datenverschlüsselung Für die Verschlüsselung der zwischen Ihrem Gerät und unseren Servern übertragenen Daten stützt sich Meisterplan auf die bewährte TLS-Technologie. TLS-Technologie (Transport Layer Security) schützt Ihre Daten folgendermaßen: Zuerst wird durch vertrauenswürdige Dritte Vertrauen in unsere Server aufgebaut, danach wird ein sicherer Kanal geschaffen, durch den Ihre Daten vor kriminellen Akteuren geschützt in unseren Service gelangen. Darüber hinaus bietet TDE (Transparent Data Encryption) Verschlüsselung auf Dateiebene. Zusätzlich sind Ihre Daten AE2 256 verschlüsselt auf AWS EBS Volumes, auch als Dataat-Rest Verschlüsselungslösung bekannt.

3 Anwenderauthentifizierung Jeder Anwender in Ihrer Meisterplan-Umgebung hat einen eindeutigen Anwendernamen. Wir bieten formularbasierte Authentifizierung (Anwendername und Passwort), Google- Authentifizierung und AzureAD-Authentifizierung. Bei einer Authentifizierung durch Google oder AzureAD muss der Anwendername mit der E-Mail-Hauptadresse des Google- oder Microsoft-Kontos übereinstimmen. Meisterplan erstellt ein Sitzungscookie, mit dem nur die verschlüsselten Authentifizierungsdaten für die Dauer einer bestimmten Sitzung aufgezeichnet werden. Meisterplan verwendet keine Cookies, um andre vertrauliche Anwender- und Sitzungsdaten zu speichern, sondern implementiert stattdessen modernere Sicherheitsmethoden, die dynamische Daten und verschlüsselte Sitzungs-IDs nutzen. Das Sitzungscookie enthält entweder nur den Anwendernamen oder das Passwort des Anwenders. Alle Anmeldeversuche am Konto werden protokolliert und das Konto nach einer bestimmten Anzahl gescheiterter Anmeldeversuche automatisch gesperrt, um mit roher Gewalt vorgehende Angriffe abzuwehren. 4 Betriebsmanagement Die von uns implementierten Richtlinien und Verfahren zielen darauf ab, Ihre Daten zu schützen und an mehreren physischen Standorten zu sichern. Auf die Produktionssysteme und daten von Meisterplan haben nur autorisierte Mitglieder des Technical-Operations-Team von Meisterplan Zugriff. Wir werten neue Sicherheitsbedrohungen fortwährend aus und implementieren aktualisierte Gegenmaßnahmen, die darauf abzielen, unberechtigten Zugriff oder ungeplante Ausfallzeiten zu verhindern. 5 Datenschutzbeauftragter Meisterplan hat einen ständigen und unabhängigen Datenschutzbeauftragten wie in Paragraph 4 des Bundesdatenschutzgesetzes im Falle der Verarbeitung personenbezogener Daten vorgeschrieben. 6 Audit und Gewährleistung Jeglicher administrativer Zugriff auf geschützte Daten wird vierteljährlich durch interne Prüfer überprüft, um zu bestätigen, dass wir diesen Zugriff nur im Rahmen des Kundenservices ausüben. Meisterplan unterhält vertragliche Vereinbarungen mit externen Sicherheitsexperten, um einmal im Jahr Netzwerk- und Anwendungspenetrationstests durchzuführen und in Eigenregie neue Bedrohungsvektoren und Sicherheitslücken zu entdecken.

7 Meisterplan-Partner In demselben Maße erwartet Meisterplan von all seinen Partnern die Einhaltung höchster Sicherheitsstandards. Unternehmen, die eine Partnerschaft mit Meisterplan eingehen möchten, werden in einem gründlichen Auswahlverfahren dahingehend geprüft. 8 Offenlegung Sollten Kundendaten betreffende, sicherheitsrelevante Ereignisse eintreten, vertritt Meisterplan eine Politik der vollständigen Offenlegung. In dem unwahrscheinlichen Fall eines sicherheitsrelevanten Ereignisses, das möglicherweise Ihre Daten betrifft, wird Ihr Kontoadministrator benachrichtigt. 9 Bundesdatenschutzgesetz (insbesondere 9,11) Meisterplan implementiert und unterhält verschiedene technische und organisatorische Maßnahmen, um für einen angemessenen Schutz Ihrer Daten zu sorgen ( 11 BDSG zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag). Diese Maßnahmen stehen im Einklang mit und erfüllen die hohen Anforderungen des Bundesdatenschutzgesetzes. Diese Maßnahmen sind gemäß Definition in der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes implementiert. Folgende technische und organisatorische Maßnahmen wurden gemäß 9 und der Anlage (zu 9 Satz 1) des Bundesdatenschutzgesetzes ergriffen: 1. Zutrittskontrolle Zur Zutrittskontrolle wurden die folgenden Maßnahmen ergriffen: Zugangskontrolle Eingeschränkte Schlüsselvergabe Türverriegelungsmechanismen Überwachungsvorrichtungen 2. Zugangskontrolle Es wurden die folgenden Maßnahmen zur Nutzerauthentifizierung ergriffen:

Passwortsicherheit (i.e. regelmäßige Änderung des Passworts, Mindestanzahl Zeichen, Vorgaben in Bezug auf Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) Automatische Pause nach einer bestimmten Zeit der Inaktivität (z.b. Passwort) Anlegen eines Benutzerstamms pro Nutzer 3. Zugriffskontrolle Das Autorisierungsschema und Zugriffsrechte wurden entsprechend ihrer Protokollierungsanforderungen implementiert: Dedizierte Zugriffsebenen (Profile, Rollen, Transaktionen und Objekte) Auswertung Benachrichtigung 4. Weitergabekontrolle Es wurden alle Maßnahmen ergriffen um sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. In Bezug auf personenbezogene Daten zu beachtende Punkte: Maßnahmen während der Übertragung, des Transports und der Speicherung personenbezogener Daten (manuell oder elektronisch); Überprüfung: Verschlüsselung / VPN (Virtual Private Network) Protokollierung 5. Eingabekontrolle Es wurden alle Maßnahmen ergriffen um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Die Überprüfung und Dokumentation der Datenverarbeitung wird sichergestellt durch: Protokollierung und Analysesysteme

6. Auftragskontrolle Es wurden alle Maßnahmen ergriffen um zu gewährleisten, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unmissverständliche Vertragsgestaltung Formalisierte Auftragserteilung zur Verarbeitung personenbezogener Daten 7. Verfügbarkeitskontrolle Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt durch Backup-Systeme Spiegelung von Festplatten, z.b. RAID-Technik Unterbrechungsfreie Stromversorgung (USV-Anlagen) Separate Speicherung von Daten Antivirusmaßnahmen / Firewall-Technik 8. Trennungskontrolle Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet. Zu den ergriffenen Maßnahmen gehören: Interne Multi-Mandantenfähigkeit / Zweckbindung Funktionstrennung / Produktivumgebung / Testumgebung 10 Penetrationstests und Sicherheitsübersichtsbericht Penetrationstests der Meisterplan-Internetanwendung wurden und werden regelmäßig von externen Sicherheitsexperten durchgeführt. Nachfolgend finden Sie den neuesten Bericht.

11 Selbstverpflichtung Sollten Sie bei Meisterplan auf ein Sicherheitsproblem stoßen, zögern Sie bitte nicht, uns unter support@meisterplan.com zu kontaktieren und einen sicherheitsrelevanten Vorfall zu melden. Selbiges gilt auch, wenn Sie vermuten oder fürchten, dass Ihre Meisterplan- Identität kompromittiert oder gestohlen wurde.

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback