Allgemeine technische und organisatorische Maßnahmen laut BDSG §9

INSIGMA als Rechenzentrumsbetreiber mit eigener IT berücksichtigt im Rahmen des §9 des BDSG nachfolgende allgemeine technische und organisatorische Maßnahmen und bietet seinen Kunden diese Leistungen gegen Entgelt entsprechend an. Alle getroffenen Maßnahmen können kundenspezifisch angepasst werden. Der Umgang mit Kundendaten im Rahmen der Datenverarbeitung durch INSIGMA selber in eigenen Systemen unterliegt in jedem Fall den unten angegeben Maßgaben.

1) Zutrittskontrolle

Alle Serverräume verfügen über eine geeignete Zutrittskontrolle. Details hierzu teilen wir unseren Kunden entsprechend mit.

Regelmäßig erfolgt eine Überprüfung der Notwendigkeit der Zutrittsberechtigungen der Mitarbeiter. Die gesamten Maßnahmen orientieren sich an der DIN/ISO 27002 Punkt 9.1.2.

2) Zugangskontrolle

Die Zugangskontrolle zu DV-Systemen orientiert sich an der DIN/ISO 27002 Punkt 11.1.1 bis 11.6.2. Hierunter fallen unter anderem Benutzerverwaltung, Rechtemanagement, Passwortverwendung, Netzzugangskontrolle, Zugriffskontrolle auf Betriebssysteme, Zugangskontrolle zu Anwendungssystemen und Informationen. Die entsprechenden organisatorischen Anweisungen werden von den Mitarbeitern des INSIGMA-Rechenzentrums umgesetzt und regelmäßig geprüft. Daten werden wo notwendig verschlüsselt gespeichert.

3) Zugriffskontrolle

Es erfolgt eine kundenindividuelle bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung des jeweiligen Kundensystems. Die Systeme verschiedener Kunden sind technisch voneinander getrennt, so dass kein direkter Datenaustausch zwischen diesen möglich ist. Details werden kundenspezifisch festgelegt.

4) Weitergabekontrolle

Wie bei Punkt 3) werden die Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung kundenspezifisch gestaltet. Die Weitergabekontrolle im Bereich von DV-Systemen orientiert sich an der DIN/ISO 27002 Punkt 10.8 „Informationsaustausch“. Berücksichtigt werden können hierbei folgende Hauptpunkte:

• Prozeduren für den Schutz sensitiver Informationen durch separate zusätzliche Kennwörter. Externe Lagerung von Backupmedien, Spiegelung wesentlicher Informationen für den Zugriff auf Daten in ein separates Rechenzentrum.
• Individuelle Verfahren, um auszutauschende Informationen vor Abhören, Kopieren, Veränderung und Zerstörung zu schützen. Hier kommen gesicherte Verbindungen geschützt durch aktuelle Firewall-Systeme nach Kundenbedarf zum Einsatz.

Die Datenübertragungen werden durch separate Systeme im Rahmen der zulässigen Speicherung protokolliert und automatisch ausgewertet. Fernzugriffe werden ausschließlich über gesicherte Verbindungen ermöglicht.

5) Eingabekontrolle

Die Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind, orientieren sich an den Möglichkeiten der jeweils eingesetzten Anwendungen / Systeme (siehe kundenspezifischer Leistungsschein).

6) Auftragskontrolle

Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen den Auftraggebern (Kunden) und INSIGMA als Auftragnehmer werden ggfls. in zusätzlichen Verträgen in Abhängigkeit der eingesetzten Anwendungen / Systeme (Genaue Regelung erfolgt im kundenspezifischen Leistungsschein) geregelt.

7) Verfügbarkeitskontrolle

Die Sicherstellung der Verfügbarkeit von identifizierten geschäftskritischen Daten orientiert sich an der DIN/ISO 27002 Punkt 14 „Prozess zur Sicherstellung des Geschäftsbetriebes“ –Business Continuity Management.

8) Trennungskontrolle

Kundensysteme werden auf Wunsch in die Einheiten Entwicklungssystem (wenn erforderlich), Qualitätsprüfungssystem und Produktivsystem unterteilt. Zugriffsberechtigungen werden aufgabenbezogen vergeben. Verschiedene Systeme werden in unterschiedlichen Instanzen oder unterschiedlichen physikalischen Umgebungen gehalten. Alle entsprechenden Daten werden zu den jeweiligen Zwecken getrennt gehalten und getrennt verarbeitet. Die Maßnahmen werden kundenspezifisch vereinbart.

Bei Fragen zu den Datenschutzmaßnahmen bei INSIGMA oder zu Dienstleistungen von INSIGMA zum Datenschutz können Sie sicher jederzeit gerne an Ihren Ansprechpartner wenden.