Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Ähnliche Dokumente
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Datenschutz und Systemsicherheit

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Checkliste: Technische und organisatorische Maßnahmen

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Leseprobe zum Download

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

BYOD Bring Your Own Device

Aufstellung der techn. und organ. Maßnahmen

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Technische und organisatorische Maßnahmen der

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Brüssel, Berlin und elektronische Vergabe

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

IT-Sicherheit: So schützen Sie sich vor Angriffen

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Datenschutz-Vereinbarung

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Prüfliste zu 9 Bundesdatenschutzgesetz (BDSG)

D DATENSCHUTZ-NACHWEIS

Continum * Datensicherheitskonzept

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Fragen an den Auftraggeber. Name der Firma 0.1. Anschrift der Firma 0.2. Ansprechpartner <Freitext> adresse Ansprechpartner <Freitext> 0.

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

EDV & DATENSCHUTZ "AKTUELL"

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung. Erstprüfung und Folgeprüfung

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit der. des VOI Verband Organisations- und Informationssysteme e. V.

Checkliste zum Umgang mit Personalakten

Kassenzahnärztliche Vereinigung Bayerns KZVB

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Sicher elektronisch und physisch kommunizieren mit der E-Post Business Box

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Quick Check Datenschutzkonzept EDV und TK

VORLESUNG DATENSCHUTZRECHT

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Datenschutz in Rechnernetzen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutzvereinbarung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 BDSG Anlage C zum Nutzervertrag E-POSTBUSINESS BOX. Muster. Zwischen. (im Folgenden Auftraggeber)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vertrag Auftragsdatenverarbeitung

Checkliste zur Rechtssicherheit

Auftragsdatenverarbeitung. gemäß 11 BDSG. Datenerhebungsgrundlage gemäß 11 Abs. 2, Satz1(BDSG).

Anlage zum Scanauftrag. Regelungen zur Auftragsdatenverarbeitung

Umweltschutz. Qualität. Arbeitssicherheit

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in Frankfurt am Main ("Auftragnehmer") stellt

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Cloud Computing & Datenschutz

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH

Transkript:

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Post AG Charles-de-Gaulle-Straße 20 53250 Bonn für das System E-POST Plattform die Erfüllung aller Anforderungen der Kriterien Trusted Site Privacy, Version 2.1 der TÜV Informationstechnik GmbH. Die Prüfanforderungen sind in der Anlage zum Zertifikat zusammenfassend aufgelistet. Die Anlage ist Bestandteil des Zertifikats und besteht aus 7 Seiten. Dieses Zertifikat gilt nur in Verbindung mit dem zugehörigen Prüfbericht bis zum 30.09.2017. Privacy TSP5525.15 17 Zertifikat-Registrier-Nr.: TUVIT-TSP5525.15 Essen, 16.12.2015 Dr. Christoph Sutter Leiter Zertifizierungsstelle TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen www.tuvit.de

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf Basis des folgenden Produktzertifizierungsprogramms durch: Zertifizierungsprogramm (nicht akkreditierter Bereich) der Zertifizierungsstelle der TÜV Informationstechnik GmbH, Version 1.0 vom 24.08.2015, TÜV Informationstechnik GmbH Prüfberichte Trusted Site Privacy Gutachten Technik E-POST Plattform Rel. 3.44, Version 1.0 vom 12.11.2015, TÜV Informationstechnik GmbH, Prüfstelle für Datenschutz Trusted Site Privacy Gutachten Recht E-POST Plattform Rel. 3.44, Version 1.0 vom 12.11.2015, TÜV Informationstechnik GmbH, Prüfstelle für Datenschutz Prüfanforderungen TÜViT Trusted Site Privacy, Version 2.1, Dokumentenversion 2.10 vom 06.02.2014, TÜV Informationstechnik GmbH Prüfgegenstand Der Prüfgegenstand, das System E-POST Plattform der Deutsche Post AG, ist festgelegt in dem Dokument: Trusted Site Privacy Target of Evaluation E-POSTBRIEF Kern, Rel. 2.2 Deutsche Post AG, Version 1.0 vom 31.03.2011, TÜV Informationstechnik GmbH, Prüfstelle für Datenschutz, sowie den Ergänzungen in den Kapiteln 1.5 Wesentliche Änderungen, 2.1 Strukturelemente und 2.2 Externe Schnittstellen des aktuell vorgelegten Gutachten Technik.

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 2 von 7 Verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes ist die Deutsche Post AG (DPAG). Mit dem E-POSTBRIEF bietet die DPAG Unternehmen, Behörden und Privatpersonen einen Dienst zur digitalen Schriftkommunikation an, der einen verbindlichen, verlässlichen und vertraulichen Austausch von Nachrichten und Dokumenten eröffnet. Eine Individual-Schnittstelle ermöglicht Geschäftskunden und deren Mitarbeitern das Senden und Empfangen der E-Postbriefe aus ihrer existierenden E-Mail-Infrastruktur heraus. Zusätzlich wird Geschäftskunden eine massentaugliche Schnittstelle zur Verfügung gestellt. Folgende Funktionen und unterstützende Prozesse sind Teil des Prüfgegenstandes E-POST Plattform: E-POST Mailer zum Versand von Briefen über das Druckmenü E-POSTIDENT zur Online Identifikation von E-POST Nutzern gegenüber anderen Diensteanbietern auf deren Internetseiten E-POSTBUSINESS BOX, eine Lösung für Geschäftskunden für den täglichen Postversand E-POSTZAHLUNG zur Bezahlung von Rechnungen direkt aus dem Portal E-POSTBRIEF END-TO-END, ein Verschlüsselungsdienst für Berufsgruppen mit Geheimhaltungspflicht, der eine Endezu-Ende-Verschlüsselung von Dateianhängen zur Wahrung der Geheimhaltungspflicht realisiert. Die Dateianhänge werden in den E-POSTBRIEF integriert. E-POST CLOUD, ein Onlinespeicher für Dateien

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 3 von 7 Mitbetrachtet wurden ferner die Komponenten zur Unterstützung von Billing- und Support-Prozessen. Nicht zum Prüfgegenstand gehören die klassische Zustellung, Druckdienstleistungen, E-POSTSCAN und die Überprüfung der Identität im POSTIDENT-Verfahren. Die Datenverarbeitungen zum E-POSTBRIEF erfolgen in redundanten Rechenzentren in Deutschland. Prüfergebnis Der Prüfgegenstand erfüllt alle anwendbaren Anforderungen aus den Prüfkriterien TÜViT Trusted Site Privacy, Version 2.1. Zusammenfassung der Prüfanforderungen 1 Datenschutz-Audit Rechtliche Anforderungen Auf der Grundlage des festgelegten Prüfgegenstands ist zu überprüfen, welche rechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten zur Anwendung kommen und wie diese in den Anwendungszusammenhang des Prüfgegenstands eingebunden werden. Dabei muss der Datenschutz auch dort genügen, wo Gesetze, Verordnungen und Rechtsprechung Lücken und Gestaltungsspielräume lassen. Zulässigkeit der Verarbeitung Nach Identifikation der prüfungsrelevanten Datentypen wird für jeden Datentyp untersucht, ob die Verarbeitung im Hinblick auf den Zweck der Datenverarbeitung zulässig ist. Dabei werden auch die Anforderungen an die Datensparsamkeit im Hinblick auf den Stand der Technik berücksichtigt.

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 4 von 7 Betroffenenfreundlichkeit Hier wird die Berücksichtigung der schutzwürdigen Belange der Personen, deren Daten verarbeitet werden, überprüft. Die Betroffenen haben ein Recht darauf zu erfahren, was mit ihren personenbezogenen Daten geschieht, wie sie weiterverarbeitet werden und ob es eine Möglichkeit zum Selbstdatenschutz, d. h. eine Einflussnahme auf die Verarbeitung der Daten, gibt. Die Betroffenen sollten darüber informiert werden, welche ihrer Daten mit welchen Prozessen verarbeitet werden. Den Betroffenen muss transparent gemacht werden, welche Rechte und welche Auskunftsmöglichkeiten sie haben und wie ihre personenbezogenen Daten gesichert werden. Dabei muss der Datenschutz auch schon bei der Vertragsgestaltung eine wichtige Rolle spielen. Bei Einsatz eines IT-Produktes muss der Anwender darüber informiert sein, welche Funktionen das Produkt hat, um personenbezogene Daten sicher und datenschutzkonform verarbeiten zu können. Dazu gehören z. B. geeignete Produktbeschreibungen und Installationsanleitungen oder auch entsprechende Einarbeitung bzw. Auskunftsmöglichkeit durch ein Unternehmen, das ein Produkt der Informationsverarbeitung einführt und einsetzt. Transparenz Die Datenschutz Policy, die Datenschutzkonzepte und auch die technischen und organisatorischen Maßnahmen, mit denen der Datenschutz im Unternehmen oder Prozess verwirklicht wird, sollten allen Betroffenen transparent und verständlich gemacht werden. Der Untersuchungsfokus ist darauf ausgerichtet, dass die getroffenen Maßnahmen zur Gewährleistung eines dauerhaften Datenschutzes durch-

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 5 von 7 schaubar gestaltet sein müssen. Datenschutz-Qualitätsmanagement Veränderungen im Bereich der Informationstechniken und der Rechtsgrundlagen haben in der Regel Auswirkungen auf das Konzept zur Erfüllung der Datenschutzanforderungen. Sie müssen regelmäßig und rechtzeitig im Hinblick auf die Datenschutzauswirkungen untersucht und umgesetzt werden. Gegebenenfalls sind Analysen und Handlungsmodelle anzupassen. Die darauf aufbauenden Maßnahmen des Qualitätsmanagements sind Gegenstand der Betrachtung. Datensicherheit Die eingesetzten Informationssysteme können Datenschutzanforderungen nur dann genügen, wenn entsprechende technische und organisatorische Maßnahmen in Bezug auf Datensicherheit ergriffen wurden. Es müssen entsprechende Konzepte vorliegen und es sollten entsprechende vertrauenswürdige Komponenten beim Aufbau der Systeme eingesetzt werden. Zutrittskontrolle Der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, ist Unbefugten durch geeignete Maßnahmen wirksam zu verwehren. Zugangskontrolle Die Nutzung von Datenverarbeitungssystemen durch Unbefugte ist durch geeignete Maßnahmen wirksam zu verhindern.

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 6 von 7 Zugriffskontrolle Die zur Benutzung eines Datenverarbeitungssystems Berechtigten sollen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Weitergabekontrolle Personenbezogene Daten dürfen bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es muss überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Eingabekontrolle Es muss nachträglich überprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Auftragskontrolle Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Ein Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Verfügbarkeitskontrolle Personenbezogene Daten müssen durch geeignete Maßnahmen gegen zufällige Zerstörung oder Verlust geschützt sein.

Anlage zum Zertifikat TUVIT-TSP5525.15 Seite 7 von 7 Trennungsgebot Durch geeignete Maßnahmen muss sichergestellt werden, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 2 Sicherheitstechnische Untersuchung Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit Für alle Teilkomponenten, die Sicherheitsfunktionalitäten realisieren, konnte anhand von bereits durchgeführten formalen Evaluationen und/oder öffentlich zugänglichen Informationen nachvollzogen werden, dass sie als vertrauenswürdig eingestuft werden können. Die Netzwerk- und Transport-Sicherheit entsprechen dem Stand der Technik. Mittel des Systemmanagements Es existieren geeignete Konfigurationsmöglichkeiten, sowie ein angemessenes Monitoring und Logging, die zu einem sicheren Betriebszustand beitragen. Dafür eingesetzte Werkzeuge unterliegen denselben Sicherheitsanforderungen, wie das IT-Produkt / das IT-System selbst. Tests und Inspektionen Umfangreiche Penetrationstests auf ausnutzbare Schwachstellen, sowie Analysen der Abwehrmechanismen auf Applikationsebene und Prüfungen der eingesetzten Authentifizierungs-/Autorisierungs-Verfahren werden durchgeführt. Die bei den Tests und den Analysen ermittelten Schwachstellen werden entsprechend ihres Risikogrades bewertet.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback