Technische und organisatorische Maßnahmen des Auftragnehmers

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32DSGVO.

1. Vertraulichkeit

Zutrittskontrolle

  • Chipkarten-/Transponder-Schließsystem vom Vermieter gesteuert

  • Schlüsselausgabe ist über den Vermieter geregelt

  • Sorgfältige Auswahl von Wachpersonal (Dienstleister ist der Vermieter)

​​

Zugangskontrolle

  • Chipkarten-/Transponder-Schließsystem vom Vermieter gesteuert

  • Schlüsselausgabe ist über den Vermieter geregelt

  • Sorgfältige Auswahl von Wachpersonal (Dienstleister ist der Vermieter)

​​

Zugriffskontrolle

  • Umsetzung eines regelmäßig geprüften Berechtigungskonzepts

  • Verwaltung der Rechte durch Systemadministratoren

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert

  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel

  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

  • Interne physische Löschung von Datenträgern vor Wiederverwendung oder Aussonderung mittels gängiger Software

  • Ordnungsgemäße interne Vernichtung von Datenträgern (DIN 66399)

  • Protokollierung der Vernichtung

​​

Trennung

  • Logische Mandantentrennung (softwareseitig)

  • Strikte Trennung von Produktiv-und Entwicklungssystemen

​​

Pseudonymisierung & Verschlüsselung

  • Verschlüsselter Zugriff auf die Audit Cloud mittels https

  • Pseudonymisierung systembedingt nicht erforderlich

2. Integrität

Eingabekontrolle

  • Protokollierung der Eingabe, Änderung und Löschung von Daten

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Weitergabekontrolle

  • Im Rahmen des Kündigungs-und Backup-Prozesses wird die Audit Cloud Instanz des Kunden mitsamt der Kundendaten im Laufe von 4 Monaten endgültig gelöscht

  • Die Deaktivierung wird protokolliert, der anschließende Backup-Prozess zur Auslieferung der Datenund der Löschungsprozess ist automatisiert

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeit und Belastbarkeit wird durch die Dienstleister im Rechenzentrumsbereich gewährleistet

  • 14-Tage tägliche Backups, welche mindestens 14 Tage aufbewahrt werden

  • Durch einen definierten und geprüften Wiederherstellungsprozess ist sichergestellt, dass im Notfall die Verfügbarkeit zeitnah sichergestellt ist

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Die Unternehmensführung hat Leitlinien zum Datenschutz und Informationssicherheit formuliert und allen Mitarbeitern kommuniziert

  • Die Mitarbeiter werden bei Einstellung und darüber hinaus regelmäßig hinsichtlich Datenschutz und Informationssicherheit geschult

  • Im Rahmen der Schulungen werden die Verpflichtungen auf das Datengeheimnis erneuert

  • Die Umsetzung des Datenschutzes wird über die Leitlinien und durch Prozessvorgaben geregelt

  • Da Kundendaten ausschließlich vom Kunden in die Audit Cloud eingebracht werden, hat Art. 25 DSGVO in diesem Zusammenhang keine Relevanz

 

Adresse

Jülicherstraße 72a
52070 Aachen
Deutschland

Kontakt

+49 241 8943 7950

Folgen

©2019 nextAudit UG // Impressum // Datenschutzerklärung