Sicherheitskonzept



Technische Maßnahmen

Manuelles Schließsystem

Elektronisches Zugangssystem mit Protokollierung

Sicherheitsschlösser

Türen mit Knauf Außenseite

Organisatorische Maßnahmen

Schlüsselregelung / Liste

Besucher in Begleitung durch Mitarbeiter

Besucherregistrierung und Karte

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können.

Technische Maßnahmen

Login mit Benutzername + Passwort

Login mit biometrischen Daten

Anti-Viren-Software Server

Anti-Viren-Software Clients

Firewall

Verschlüsselung von Datenträgern

Verschlüsselung Smartphones

Automatische Desktopsperre​

Verschlüsselung von Notebooks /Tablets

Organisatorische Maßnahmen

Verwalten von Benutzerberechtigungen

Erstellen von Benutzerprofilen

Richtlinie „Sicheres Passwort“

Richtlinie „Löschen / Vernichten“

Allg. Richtlinie Datenschutz und / oder Sicherheit

Mobile Device Policy

Anleitung „Manuelle Desktopsperre“

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Technische Maßnahmen

Physische Löschung von Datenträgern

Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten

Verschlüsselung von Datenträgern

Verschlüsselung von Smartphones

Organisatorische Maßnahmen

Einsatz Berechtigungskonzepte

Minimale Anzahl an Administratoren

Verwaltung Benutzerrechte durch Administratoren

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen

Trennung von Produktiv- und Testumgebung

Physikalische Trennung (Systeme / Datenbanken / Datenträger)

Multi-Client-Fähigkeit relevanter Anwendungen

Organisatorische Maßnahmen

Steuerung über Berechtigungskonzept

Festlegung von Datenbankrechten

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Technische Maßnahmen

Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt)

Organisatorische Maßnahmen

Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren /pseudonymisieren

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Technische Maßnahmen

Einsatz von VPN

Protokollierung der Zugriffe und Abrufe

Sichere Transportbehälter

Bereitstellung über verschlüsselte Verbindungen wie sftp, https

Organisatorische Maßnahmen

Sorgfalt bei Auswahl von Transportpersonal und Fahrzeugen

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Technische Maßnahmen

Technische Protokollierung der Eingabe, Änderung und Löschung von Daten

Manuelle oder automatisierte Kontrolle der Protokolle

Organisatorische Maßnahmen

Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können

Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)

Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden

Klare Zuständigkeiten für Löschungen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Technische Maßnahmen

Organisatorische Maßnahmen

Backup & Recovery-Konzept

Kontrolle des Sicherungsvorgangs

Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Technische Maßnahmen

Organisatorische Maßnahmen

Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet

Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich

Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Technische Maßnahmen

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen

Organisatorische Maßnahmen

tesa 360 – Systemarchitektur

Security Concept graph
Systemarchitektur
  • Redundante Web- und Datenbankserver
  • Firewalls und sichere SSL-Verbindung
  • Lastverteilung, Sicherung und Zugriffsbeschränkung
  • Nur verschlüsselte ID-Codes gespeichert, Entschlüsselung nicht möglich
  • Intrusion Prevention & Detection System, Notstromaggregate
  • 24/7 Überwachung & Betriebszeit / Funktionskontrolle
  • Schneller und zuverlässiger Hochgeschwindigkeits-Internet-Hub
  • Zertifizierte Hochsicherheit: ISO 27001-Zertifizierung für Daten- und IT-Sicherheit
Mehr lesen