Lassen Sie uns reden

Lassen Sie uns reden

Allgemein

Die in diesem Dokument beschriebenen Bedingungen legen die Sicherheitsverpflichtungen für die vom Anbieter erbrachten Dienstleistungen fest. Wenn im Rahmen dieser Dienstleistung personenbezogene Daten verarbeitet werden, umfassen diese Sicherheitsverpflichtungen die technischen und organisatorischen Maßnahmen (TOM), die der Lieferant als Datenverarbeiter personenbezogener Daten mindestens aufrechterhalten muss, um die Sicherheit der personenbezogenen Daten zu schützen, die im Rahmen der Vereinbarung erstellt, gesammelt, erhalten oder anderweitig erlangt wurden.

Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen der DPA und diesen Sicherheitsverpflichtungen sind diese Sicherheitsverpflichtungen maßgebend.

Abschnitt 1: Begriffsbestimmungen

Für die Zwecke dieses Artikels:

"Vereinbarung" bezeichnet die Vereinbarung (einschließlich aller Anhänge, Anlagen und Änderungen), der diese Informationssicherheitsbedingungen beigefügt sind.

"GDPR" bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

"Informationen des Begünstigten" sind alle Informationen, Daten, Aufzeichnungen, Software, Hardware, Geräte, Medien und persönlichen Daten, die dem Lieferanten gemäß dem Vertrag vom Begünstigten, von Mitarbeitern oder Beauftragten des Begünstigten oder von Dritten zur Verfügung gestellt oder zugänglich gemacht werden.

"Personenbezogene Daten" sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person; als bestimmbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

"Besondere Kategorien personenbezogener Daten" sind personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person verarbeitet werden, Gesundheitsdaten oder Daten über das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person.

"Datenschutz" bedeutet den Schutz personenbezogener Daten, insbesondere vor unbefugtem Zugriff, unbefugter Nutzung, Verarbeitung oder widerrechtlicher Aneignung.

"Sicherheitsverpflichtungen" sind die Prozesse, technischen und organisatorischen Maßnahmen, die dazu dienen, Daten, einschließlich der Informationen des Begünstigten, gegen versehentliche oder unbefugte Zerstörung oder versehentlichen Verlust, Änderung, unbefugte Weitergabe oder unbefugten Zugriff und gegen alle anderen unbefugten Formen der Verarbeitung zu schützen, wie in diesem Dokument dargelegt.

"Lieferant" bezeichnet eine Einrichtung, die eine Dienstleistung erbringt, die Daten, einschließlich Informationen des Begünstigten, im Auftrag des Begünstigten verarbeitet oder hostet. Wenn personenbezogene Daten verwaltet werden, ist der Lieferant der Datenverarbeiter ((Daten-)Verarbeiter im Sinne der DSGVO oder anderer anwendbarer Gesetze). 

"Unterauftragnehmer/Berater" ist jeder Lieferant, der vom Lieferanten beauftragt wird, bei der Verarbeitung oder dem Hosting von Daten, einschließlich der Informationen des Begünstigten, zu helfen (z. B. ein Datenunterauftragsverarbeiter).

Abschnitt 2: Risikobewertung und Behandlung

Allgemeines: Regelmäßiges Informationsrisikomanagement für Schlüsselaspekte des Dienstes in einer strengen und konsistenten Weise unter Verwendung einer strukturierten Methodik.

Der Lieferant wird:

  1. Verantwortung für die Identifizierung von Sicherheitsrisiken, einschließlich der Risiken in der Geschäftstätigkeit des Lieferanten sowie der vom Lieferanten in seiner eigenen Lieferkette identifizierten Risiken im Zusammenhang mit dem Auftrag/der Dienstleistung für den Begünstigten, und für die Ergreifung der erforderlichen Maßnahmen zur Kontrolle und Minderung dieser Risiken.
  2. Zuständig für die Ermittlung und Bewertung grenzüberschreitender/mehrere Länder betreffender gesetzlicher und aufsichtsrechtlicher Anforderungen, u. a. in Bezug auf den Schutz der Privatsphäre, den Datenschutz, die Ausfuhr von Verschlüsselungen und die Meldung von Datenschutzverletzungen

Abschnitt 3: Sicherheits- und Datenschutzrichtlinien

Allgemeines: Entwicklung und Verteilung umfassender und genehmigter Richtlinien zur Informationssicherheit und zum Datenschutz an alle Personen, die Zugang zu Informationen des Begünstigten und zu Systemen im Zusammenhang mit dieser Vereinbarung haben.

Der Lieferant wird:

  1. Umsetzung bewährter Verfahren in Bezug auf Informationssicherheit und Datenschutz.
  2. Sie verfügen über formale Richtlinien für Informationssicherheit und Datenschutz, die von der Geschäftsleitung genehmigt wurden und allen Mitarbeitern sowie allen beteiligten externen Parteien zur Verfügung stehen.
  3. Durchführung allgemeiner Schulungen zur Sicherheit und zum Datenschutz als Teil des Programms für Informationssicherheit und Datenschutz.

Abschnitt 4: Organisation der Informationssicherheit

Allgemeines: Bereitstellung einer Top-Down-Managementstruktur und eines Mechanismus zur Koordinierung von Sicherheitsaktivitäten und zur Unterstützung des Programms/Ansatzes für Informationssicherheit und Datenschutz.

Der Lieferant muss in der Lage sein zu demonstrieren:

  1. Die Zuständigkeiten für Informationssicherheit und Datenschutz innerhalb der Organisation des Lieferanten müssen klar definiert sein.
  2. über die erforderlichen Fachkenntnisse im Bereich der Informationssicherheit und des Datenschutzes verfügen, um die in diesen Sicherheitsverpflichtungen dargelegten Sicherheitsmaßnahmen umzusetzen. Diese Ressourcen arbeiten bei Bedarf mit dem Sicherheitspersonal des Begünstigten zusammen.
  3. Der Lieferant wird den Begünstigten im Voraus ordnungsgemäß über alle Änderungen bei seinen wichtigsten Unterauftragnehmern, z. B. bei den Hosting-Diensten, informieren.

Sofern sich aus dem Vertrag nichts anderes ergibt, ist für den Einsatz von Unterauftragnehmern durch den Lieferanten die vorherige schriftliche Zustimmung des Begünstigten erforderlich.

Abschnitt 5: Vermögensverwaltung und Vertraulichkeitskontrollen

Allgemeines: Dokumentieren und vereinbaren Sie Vertraulichkeitsverpflichtungen für Informationen im Zusammenhang mit der Vereinbarung und legen Sie ein angemessenes Schutzniveau fest, das zur Verhinderung einer unbefugten Offenlegung angewendet werden sollte.

  1. Etwaige Verpflichtungen aus Vertraulichkeits- oder Geheimhaltungsvereinbarungen werden ermittelt, eingehalten und regelmäßig überprüft.

Der Lieferant wird:

  1. keine Informationen des Begünstigten, die als Geschäfts- oder Berufsgeheimnisse angesehen werden können, offen zu legen oder zu verwenden, es sei denn, dies ist für die Erfüllung seines Auftrags im Rahmen des Vertrags und mit Zustimmung des Begünstigten erforderlich.
  2. Informationen über den Begünstigten ausschließlich zum Zweck der Erfüllung seiner Verpflichtungen aus dem Vertrag zu sammeln, zu verarbeiten, zu speichern oder anderweitig zu behandeln. Dementsprechend wird der Lieferant ohne die vorherige schriftliche Zustimmung des Begünstigten keine Informationen des Begünstigten an Dritte verkaufen, weitergeben oder anderweitig übertragen oder offenlegen.
  3. keine besonderen Kategorien personenbezogener Daten zu erheben, zu verarbeiten, zu speichern oder anderweitig zu verarbeiten, es sei denn, dies ist in der Vereinbarung mit dem Begünstigten ausdrücklich vorgesehen.
  4. Gehen Sie im Umgang mit Informationen über den Begünstigten sorgfältig vor.
  5. Gewährleistung der Sicherheit, Integrität und Kohärenz der vom Lieferanten verarbeiteten Informationen über den Begünstigten, unabhängig davon, ob sie auf Papier oder elektronisch vorliegen.
  6. Keine Kopien oder Reproduktionen von Informationen über den Begünstigten auf Dateien, Ausdrucken oder anderen materiellen Medien in einer Weise anzufertigen, die eine unbefugte Entfernung der Informationen des Eigentümers oder der Klassifizierung ermöglicht.
  7. auf Verlangen des Begünstigten alle mit dem Vertrag zusammenhängenden Begünstigteninformationen unmittelbar nach Ablauf oder Beendigung des Vertrags zurückzugeben oder zu vernichten, es sei denn, der Lieferant muss die Begünstigteninformationen aus rechtlichen oder behördlichen Gründen aufbewahren; in diesem Fall gilt Punkt i). Wenn die begünstigten Informationen verschlüsselt wurden, wird der Lieferant alle zur Entschlüsselung der begünstigten Informationen erforderlichen Verschlüsselungscodes übergeben. Wenn eine Rückgabe nicht möglich ist, aber alternativ eine Vernichtung möglich ist, wird der Lieferant ein Verfahren zur sicheren Vernichtung von Datenträgern mit begünstigten Informationen einrichten, z. B. durch Schreddern von Papierdokumenten oder physische Vernichtung (Mediensanierung) von Festplatten.
  8. Bewahren Sie alle Informationen über den Begünstigten, die aus rechtlichen oder regulatorischen Gründen aufbewahrt werden müssen ( z. B. Vorratsspeicherung von Daten), so lange auf, wie es gesetzlich oder regulatorisch erforderlich ist, und verwenden Sie sie nur für die erforderlichen Zwecke.
  9. Richtlinien für die Aufbewahrung von Sicherungskopien haben.

Abschnitt 6: Sicherheit der Humanressourcen

Allgemeines: Sicherstellen, dass das Personal sich in einer Weise verhält, die die Politik und Strategie für Informationssicherheit und Datenschutz unterstützt, und dass ein angemessener Schutz beim Umgang mit personenbezogenen Daten gewährleistet ist.

Der Lieferant wird:

  1. Sicherstellen, dass alle Informationen über den Begünstigten nur Mitarbeitern, Unterauftragnehmern und Beratern zugänglich gemacht werden, die einen legitimen geschäftlichen Grund für den Zugriff auf die Informationen über den Begünstigten haben.
  2. Sicherstellen, dass das gesamte Personal der Lieferanten, Unterauftragnehmer und Berater angemessen geschult wird und klare Anweisungen erhält, um den Anforderungen der Erbringung der vereinbarten Dienstleistungen für den Begünstigten gerecht zu werden, insbesondere im Hinblick auf den Umfang der Verarbeitung personenbezogener Daten.
  3. Sicherstellen, dass seine Mitarbeiter, Unterauftragnehmer und Berater, die Aufgaben für den Begünstigten ausführen, über die Vertraulichkeitsverpflichtungen des Lieferanten im Rahmen der Vereinbarung sowie über die zulässige Nutzung von Informationen, Einrichtungen und Systemen des Begünstigten informiert sind und entsprechende Vereinbarungen unterzeichnet haben.
  4. Freigabe von Informationen über den Begünstigten nur an autorisierte Personen.
  5. Wirksame und angemessene Disziplinarmaßnahmen gegen Personen, die unbefugt auf personenbezogene Daten zugreifen.
  6. in der Lage sein, jederzeit die Namen und Kontaktinformationen (z. B. Telefonnummer und E-Mail-Adresse) aller seiner Mitarbeiter, Berater, Unterauftragnehmer und sonstiger Personen, die unter der Verantwortung des Lieferanten arbeiten und Dienstleistungen im Rahmen des Vertrags erbringen, zu bestätigen und zu bescheinigen. Diese Informationen dürfen vom Begünstigten nur in Auditsituationen als Referenz verwendet werden, um die Gültigkeit der erteilten Zugangsrechte zu IT-Systemen oder Räumlichkeiten des Begünstigten zu überprüfen.
  7. Führen Sie eine aktualisierte Liste mit Angaben zur Identifizierung der Systemadministratoren (z. B. Name, Vorname, Funktion oder Organisationsbereich) und zugewiesenen Aufgaben und stellen Sie sie dem Begünstigten im Falle einer Prüfung auf Anfrage unverzüglich zur Verfügung.
  8. Er ist dafür verantwortlich, den Begünstigten unverzüglich über alle Änderungen in Bezug auf sein Personal in Schlüsselpositionen zu informieren, das an dem Auftrag arbeitet oder Teil der Vereinbarung ist, einschließlich der Funktion als Kontaktperson für den Begünstigten.
  9. Erlauben Sie dem Begünstigten, Teile der Personaldaten des Lieferanten an einen Dritten zu übermitteln, wenn dieser im Auftrag des Begünstigten einen Dienst hostet, zu dem der Lieferant Zugang benötigt.
  10. zustimmen, dass der Begünstigte berechtigt ist, von den Mitarbeitern, Beratern, Unterauftragnehmern und anderen Vertretern des Lieferanten individuelle Zusagen zu verlangen und zu erhalten, in denen erklärt wird, dass die betreffende Person bestimmte Verpflichtungen verstanden hat und einhalten wird und die Nutzung von Systemen und Einrichtungen akzeptiert.

Abschnitt 7: Physische Sicherheit und Umweltsicherheit

Allgemein: Schutz der IT-Einrichtungen und -Dienste vor böswilligen Angriffen, versehentlichen Beschädigungen, Naturkatastrophen und unbefugtem physischen Zugriff, um sicherzustellen, dass wichtige Geräte bei Bedarf verfügbar sind, und um zu verhindern, dass wichtige Dienste durch den Verlust oder die Beschädigung von Geräten oder Einrichtungen unterbrochen werden.

Lieferant Betriebsstätte

Der Lieferant wird:

  1. alle anwendbaren Gesetze und Vorschriften, einschließlich, aber nicht beschränkt auf Datenschutzgesetze und -vorschriften, einzuhalten und sicherzustellen, dass alle erforderlichen Genehmigungen von den zuständigen Behörden eingeholt werden, wenn er seinen Auftrag im Rahmen des Abkommens ausführt.
  2. Halten Sie die folgenden Bestimmungen zum Schutz von Informationen oder Vermögenswerten des Begünstigten ein, wenn diese in den Räumlichkeiten des Lieferanten, seines Unterauftragnehmers und/oder Beraters verarbeitet oder gespeichert werden:
  1. Sicherstellen, dass jedes Rechenzentrum, in dem Informationen, Anwendungen und Infrastrukturen des Begünstigten gehostet werden, über einen angemessenen physischen und umwelttechnischen Schutz verfügt, wie er in den geltenden Gesetzen, Vorschriften und bewährten Verfahren der Branche festgelegt ist.
  2. Verfügen Sie über angemessene Grenz- und Zugangskontrollen, die den Normen und örtlichen Vorschriften entsprechen, um sicherzustellen, dass nur befugtes Personal Zugang hat.
  • Es ist zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsanlagen erhalten, in denen Informationen über den Begünstigten verarbeitet oder verwendet werden:
  • Schutz und Beschränkung der Zugangswege.
  • Festlegung von Zugangsberechtigungsverfahren für Mitarbeiter und Dritte, einschließlich der entsprechenden Dokumentation.
  • Jeder Zugang zu den Rechenzentren, in denen die Informationen über die Begünstigten gespeichert sind, wird protokolliert und überwacht.
  • Einrichtung von Sicherheitsbereichen in Datenzentren, z. B. für Telefone und Personalcomputer.
  • Vorschriften und Einschränkungen für Kartenschlüssel.
  • Der Authentifizierungsnachweis muss individuell sein.
  • Die Eingänge zu den Datenverarbeitungsanlagen (die Räume, in denen die Computerhardware und die dazugehörigen Geräte untergebracht sind) müssen verschließbar sein.
  • Die Datenzentren, in denen die Informationen über die Begünstigten gespeichert werden, sind durch ein Alarmsystem und andere geeignete Sicherheitsmaßnahmen gesichert.
  1. Sicherstellen, dass alle Begünstigteninformationen vor Diebstahl, Manipulation oder Zerstörung geschützt sind.

Räumlichkeiten des Begünstigten

Der Lieferant wird (falls zutreffend):

  1. Sicherstellen, dass alle Mitarbeiter und Subunternehmer die Sicherheitsvorkehrungen des Begünstigten kennen und einhalten, während sie Arbeiten auf dem Gelände des Begünstigten ausführen. Der Lieferant ist dafür verantwortlich, sich selbst, seine Mitarbeiter und seine Nachunternehmer über die jeweils auf dem Gelände des Begünstigten geltenden Sicherheitsvorschriften zu informieren.
  2. Sicherstellen, dass der Zutritt zu den Räumlichkeiten und zum Eigentum des Begünstigten den besonderen Vorschriften unterliegt:
  1. Bei der Erbringung der vertragsgegenständlichen Leistungen durch den Lieferanten sind die örtlichen Vorschriften für die Räumlichkeiten des Begünstigten zu beachten.
  2. Bei Arbeiten auf dem Gelände des Begünstigten muss das Personal des Auftragnehmers einen Ausweis oder einen Besucherausweis jederzeit sichtbar tragen.
  • Das Antragsverfahren und die Zuständigkeitsbedingungen für den Zutritt zu den Räumlichkeiten des Begünstigten werden vom Begünstigten festgelegt und sind gemäß den Verfahren des Begünstigten abzuwickeln, wenn nicht ausdrücklich etwas anderes vereinbart wird.
  1. Nach Beendigung seines Auftrags im Rahmen des Vertrags oder wenn das Personal des Auftragnehmers mit anderen Aufgaben betraut wird, informiert der Auftragnehmer den Begünstigten unverzüglich über die Änderung und gibt die Schlüssel, Schlüsselkarten, Bescheinigungen, Besucherausweise und sonstiges ausgehändigtes Material zurück bzw. ändert die Verteilung.
  2. Der Verlust von Schlüsseln oder Schlüsselkarten des Begünstigten ist dem Begünstigten unverzüglich gemäß den im Vertrag festgelegten Anweisungen oder, falls nicht ausdrücklich vereinbart, gemäß den allgemeinen Zugangsrechtsverfahren des Begünstigten zu melden.
  3. Bei Nichteinhaltung des Vertrages durch den Lieferanten ist der Begünstigte berechtigt, den Zugang zu den Räumlichkeiten des Begünstigten mit sofortiger Wirkung zu verweigern und die unverzügliche Rückgabe aller ausgehändigten Schlüssel, Schlüsselkarten usw. zu verlangen.

Abschnitt 8: Kommunikation und Betriebsführung

Allgemeines: Schützen Sie kritische und sensible Informationen des Begünstigten, wenn sie vom Lieferanten bearbeitet oder zwischen Begünstigtem und Lieferanten übermittelt werden.

Der Lieferant wird:

  1. Über einen angemessenen Schutz der Informationssicherheit und des Datenschutzes an allen Standorten, an denen Informationen über die Begünstigten verarbeitet werden, gemäß den geltenden Gesetzen, Vorschriften und bewährten Verfahren der Branche verfügen. Dazu gehören unter anderem: Sicherheitsverwaltungsroutinen, Zugangskontrolle, Schutz vor Malware, Erkennung von Zwischenfällen, Protokollverwaltung, Schwachstellen-Scans, Penetrationstests, Notfallwiederherstellung, Schlüsselverwaltung, Netzwerksicherheitsmanagement, Firewalls nach dem neuesten Stand der Technik und physischer Schutz der IT-Ressourcen.
  2. Geeignete Maßnahmen zu ergreifen, um die Systemadministratoren zu überwachen und sicherzustellen, dass sie gemäß den erhaltenen Anweisungen handeln. Dies wird erreicht durch:
  3. Individuelle Ernennung von Systemadministratoren.
  4. Ergreifung geeigneter Maßnahmen, um die Zugriffsprotokolle der Systemadministratoren zu registrieren und sie sicher, korrekt und mindestens sechs Monate lang unverändert aufzubewahren.
  • Bei Systemadministratoren mit potenziellem Zugang zu sehr kritischen Informationen über den Begünstigten, einschließlich besonderer Kategorien personenbezogener Daten, sind alle zwei Monate Audits der Aktivitäten der Administratoren durchzuführen, um die Einhaltung der zugewiesenen Aufgaben, der vom Begünstigten oder dessen Stellvertreter erhaltenen Anweisungen und der geltenden Gesetze zu bewerten.
  1. Die vom Begünstigten als streng vertraulich eingestuften Informationen über den Begünstigten, einschließlich der besonderen Kategorien personenbezogener Daten, sind bei der Übermittlung und im Ruhezustand mittels modernster Verschlüsselungstechniken streng zu verschlüsseln.
  2. keine Dienstleistungen oder Software bereitstellen, die für den Umgang mit Informationen über den Begünstigten oder das System/die Systeme schädlich sind.
  3. ein formelles und genau definiertes Änderungsverfahren, einschließlich der Verwaltung von Sicherheitspatches, das mindestens ein formelles "Request for Change"-Verfahren (RFC), eine strukturierte Methode zum Testen von Änderungen vor ihrer Einführung in die Produktion, ein formelles Genehmigungsverfahren für vorgeschlagene Änderungen, die Mitteilung von Änderungen an alle relevanten Personen und Interessengruppen sowie eine Reihe definierter Verfahren zur Wiederherstellung nach erfolglosen Änderungen und unvorhergesehenen Ereignissen umfasst.
  4. die Datenübertragung von Informationen des Begünstigten auf sichere Weise durchzuführen (z. B. durch Verwendung einer starken Ende-zu-Ende-Verschlüsselung bei der Übertragung oder durch Verwendung von Kommunikationsverbindungen, denen der Begünstigte vertraut). Ausnahmen von dieser Regel bedürfen der schriftlichen Zustimmung des Begünstigten.
  5. Vermeiden Sie die Speicherung von Begünstigteninformationen auf mobilen Speichermedien für Transportzwecke und auf Laptops oder anderen mobilen Geräten oder nur mit starkem Verschlüsselungsschutz.
  6. Soweit möglich, werden alle Datenübertragungen, einschließlich der Informationen über den Begünstigten, protokolliert, um eine Überwachung zu ermöglichen.
  7. Der Zugang zu den Informationen des Begünstigten ist ausschließlich den Mitarbeitern des Lieferanten zu gestatten, die für die Aufgabe verantwortlich sind. Sollte einer der Mitarbeiter des Lieferanten unbefugten Zugang zu Informationen des Begünstigten erhalten, ist dies dem Begünstigten unverzüglich mitzuteilen.
  8. Sicherstellen, dass die Speicherung von Informationen des Begünstigten angemessen getrennt erfolgt, um eine versehentliche Vermischung mit Daten anderer Kunden auf verschiedenen Datenträgern zu vermeiden, und dass der Dienst für Ausfallsicherheit sorgt; dies gilt auch für Backups. Darüber hinaus muss der Anbieter geeignete Maßnahmen ergreifen, um sicherzustellen, dass die für unterschiedliche Zwecke erhobenen personenbezogenen Daten getrennt verarbeitet werden können. Dies wird erreicht durch:
  9. Der Zugriff auf personenbezogene Daten wird durch Anwendungssicherheit für die entsprechenden Benutzer getrennt.
  10. In den Modulen der Datenbank des Anbieters wird getrennt, welche personenbezogenen Daten für welchen Zweck verwendet werden (d. h. nach Funktionalität und Funktion).
  • Auf der Datenbankebene werden die personenbezogenen Daten in verschiedenen normalisierten Tabellen gespeichert, die nach Modulen oder den von ihnen unterstützten Funktionen getrennt sind.
  1. Sicherstellen, dass Schnittstellen, Batch-Prozesse und Berichte nur für bestimmte Zwecke und Funktionen konzipiert sind, so dass für bestimmte Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden.
  2. Sicherstellen, dass Sicherungskopien der im Auftrag des Begünstigten verarbeiteten Begünstigteninformationen erstellt werden und dass diese Sicherungskopien wiederherstellbar sind, wenn die Begünstigteninformationen in der Umgebung des Lieferanten verarbeitet werden.
  3. Es ist sicherzustellen, dass Sicherungskopien mit der gleichen Vertraulichkeit behandelt werden wie die ursprünglichen Informationen über den Begünstigten.
  4. Es ist sicherzustellen, dass Sicherungskopien getrennt von den Originaldaten aufbewahrt werden, um eine gleichzeitige Zerstörung der Originaldaten und der Sicherungskopie im Katastrophenfall zu verhindern.
  5. Es ist sicherzustellen, dass die täglichen Sicherungskopien mindestens 180 Tage lang aufbewahrt werden, sofern dies nicht ausdrücklich in der Vereinbarung vorgesehen ist.
  6. Sicherstellen, dass die vom Lieferanten betriebenen Systeme und Netze, die mit seinem Auftrag im Rahmen der Vereinbarung in Zusammenhang stehen, einheitlich und genau konfiguriert sind und genehmigte Sicherheitseinstellungen angewandt werden, um zu gewährleisten, dass die Systeme und Netze wie vorgesehen funktionieren, bei Bedarf verfügbar sind und keine unnötigen technischen Details preisgeben.
  7. Sicherstellen, dass die Umgebung, die für die in der Vereinbarung genannten Funktionen verwendet wird, so überwacht wird, dass alle Ereignisse, die die Informationen des Begünstigten und/oder die IT-Sicherheit verletzen, erkannt und zurückverfolgt werden können.
  8. Aufrechterhaltung der erforderlichen Prüfpfade, wie sie nach geltendem Recht oder anderweitig in der Vereinbarung vorgesehen sind.
  9. auf Anfrage des Begünstigten Prüfprotokolle und Protokolle von Sicherheitsereignissen, die Informationen des Begünstigten betreffen, zur Verfügung stellen.

Abschnitt 9: Zugangskontrolle

Allgemeines: Nur befugte Personen erhalten Zugang zu Geschäftsanwendungen, Informationssystemen, Netzwerken und Computergeräten. Es ist sicherzustellen, dass die Verantwortlichkeit des Einzelnen gewährleistet ist und dass befugte Benutzer über ausreichende Zugriffsrechte verfügen, um ihre Aufgaben erfüllen zu können, ohne ihre Befugnisse zu überschreiten.

Authentifizierung

Der Lieferant wird:

  1. Zugang zu den Informationen, Funktionen oder Räumlichkeiten des Begünstigten nur in dem Umfang, der in den zwischen dem Begünstigten und dem Lieferanten ausdrücklich schriftlich vereinbarten Verpflichtungen vorgesehen ist, und nach Erteilung der erforderlichen Genehmigung.
  2. Sicherstellung einer strengen Passwortpolitik für alle IT-Dienste, die im Rahmen dieser Vereinbarung genutzt werden.
  3. Bieten Sie Fernzugriff mit 2-Faktor-Authentifizierung für den IT-Administrator und für jeden Benutzer, der auf Begünstigteninformationen zugreift.
  4. Automatische Sperrung der Zugangsrechte nach mehreren fehlgeschlagenen Anmeldeversuchen oder Übermittlung eines Captcha nach einigen fehlgeschlagenen Anmeldeversuchen.
  5. Protokollieren Sie erfolgreiche und erfolglose Anmeldeversuche und stellen Sie diese Protokolle zur Überwachung und Nachverfolgung zur Verfügung.
  6. Automatische Abmeldung von Benutzer-IDs, die über einen längeren Zeitraum nicht benutzt wurden.

Autorisierung

Der Lieferant wird:

  1. über eine Genehmigungspolitik für den Zugang zu und die Eingabe von Empfängerdaten in die Dienste sowie für das Lesen, Ändern und Löschen von gespeicherten Empfängerdaten verfügen.
  2. Stellen Sie sicher, dass der Zugriff auf bestimmte Funktionen auf Rollen und/oder Attributen basiert, die jedem Benutzerkonto individuell zugewiesen werden.

Benutzerverwaltung für die IT-Ressourcen des Lieferanten

Der Lieferant wird:

  1. Stellen Sie sicher, dass der Umfang des Zugriffs immer auf dem Prinzip "geringstmöglicher Rechtebedarf" basiert.
  2. Aufzeichnungen über jede Änderung der Zugriffsrechte zu führen und diese Aufzeichnungen mindestens 18 Monate lang ab dem Tag der Änderung des Zugriffsrechts aufzubewahren.
  3. auf Anfrage eine aktuelle Liste aller Personen vorzulegen, die Zugang zu den Informationen oder Funktionen des Begünstigten haben und deren Zugriffsrechte vom Lieferanten kontrolliert werden.
  4. Sie verfügen über ein dokumentiertes Verfahren und stellen sicher, dass der Zugang zu Informationen oder Funktionen des Begünstigten auf individueller Basis kontrolliert wird und dass alle Aktivitäten gemäß geltendem Recht und bewährter Branchenpraxis protokolliert werden.
  5. Ereignisprotokolle in Bezug auf die Benutzerverwaltung des Zugriffs auf Begünstigteninformationen für den Begünstigten verfügbar machen.
  6. Stellen Sie sicher, dass alle Zugriffsrechte in Bezug auf Empfängerinformationen oder Funktionen mindestens alle sechs Monate überprüft werden.
  7. Stellen Sie sicher, dass alle Benutzerkennungen persönlich sind und nur von der/den ernannten Person(en) verwendet werden.
  8. Sie verfügen über ein Verfahren zur Kontrolle der Zugriffsrechte von Administratoren.
  9. Er ist dafür verantwortlich, dass der Zugang zu IT-Ressourcen, die im Rahmen der Vereinbarung genutzt werden, auf sichere Weise erfolgt.
  10. dem Begünstigten jederzeit zu gestatten, die Zugriffsrechte auf die Informationen des Begünstigten zu widerrufen oder den Widerruf zu veranlassen, falls der Lieferant diese Sicherheitsverpflichtungen oder die Vereinbarung nicht einhält oder aus anderen berechtigten Gründen.

Benutzerverwaltung für die IT-Ressourcen des Begünstigten

  1. Die Zugriffsrechte auf die IT-Ressourcen des Begünstigten werden nur dem Personal des Lieferanten gewährt, das für die im Vertrag genannten Dienstleistungen eingesetzt wird.
  2. Zugriffsrechte auf die IT-Ressourcen des Begünstigten werden dem Personal des Lieferanten gemäß den Verfahren des Begünstigten gewährt und entzogen.
  3. Die für den Fernzugriff auf die Umgebung des Begünstigten zu verwendenden Methoden werden in der Vereinbarung festgelegt. Andere Formen des Fernzugriffs auf Geräte oder Dienste des Begünstigten sind nicht zulässig.

Spezifische Anwendungskontrollen in Bezug auf personenbezogene Daten

Der Lieferant gewährleistet den korrekten Zugang zu den personenbezogenen Daten durch:

  1.  
  2. Schutzmaßnahmen für personenbezogene Daten, die in Anwendungen eingegeben werden, sowie für das Lesen, Ändern und Löschen gespeicherter personenbezogener Daten.
  3. Durchführung geeigneter Maßnahmen, um sicherzustellen, dass überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben oder entfernt worden sind.
  4. Bereitstellung von Überwachungsmöglichkeiten in Bezug auf Personen, die personenbezogene Daten löschen, hinzufügen oder ändern.
  5. Ermöglichung der Überprüfung und Feststellung, ob und von wem personenbezogene Daten in die Datenverarbeitungssysteme eingegeben, dort geändert oder aus ihnen gelöscht wurden

Abschnitt 10: Beschaffung, Entwicklung und Wartung von Informationssystemen

Allgemeines: Sicherstellen, dass Informationssicherheitsverpflichtungen als integraler Bestandteil von Geschäftsverpflichtungen behandelt und als Teil von Systembeschaffungs-, -entwicklungs- und -wartungsaktivitäten vollständig berücksichtigt und genehmigt werden.

Der Lieferant wird:

  1. Verwendung einer strukturierten und genehmigten Systementwicklungsmethodik, um die erforderlichen Funktionen für Informationssicherheit und Datenschutz während der Entwicklung in die Systeme zu integrieren.
  2. Beantragung und Anwendung einer vom Begünstigten genehmigten Systementwicklungsmethodik, wenn Systeme oder Anwendungen direkt für den Begünstigten entwickelt werden.
  3. Sicherstellen, dass in Anwendungen, die für die Erbringung von IT-bezogenen Dienstleistungen für den Begünstigten verwendet werden, einschließlich selbst entwickelter Anwendungen, geeignete Kontrollen vorgesehen sind, um eine korrekte Verarbeitung zu gewährleisten. Diese Kontrollen umfassen Authentifizierung, Sitzungsverwaltung, Zugriffskontrolle und Autorisierung, Eingabevalidierung, Ausgabeverschlüsselung/-entschlüsselung, Kryptografie, Fehlerbehandlung, Protokollierung, Datenschutz, Kommunikationssicherheit und Sicherheitskonfiguration.
  4. Einsatz geeigneter Verschlüsselungstechniken zum Schutz der als vertraulich und streng vertraulich eingestuften Informationen des Begünstigten (wenn eine Verschlüsselung nicht möglich ist, müssen geeignete Ausgleichskontrollen durchgeführt werden, um das Risiko einer unbefugten Offenlegung zu verringern).
  5. Sie sind dafür verantwortlich, dass die Verwaltung der Verschlüsselungsschlüssel gewährleistet ist, um die Anwendung autorisierter Verschlüsselungstechniken zu unterstützen.
  6. Unterstützung des Einsatzes von Kryptografie mit Verfahren und Protokollen für die Erzeugung, Änderung, den Widerruf, die Vernichtung, Verteilung, Zertifizierung, Speicherung, Verwendung und Archivierung von kryptografischen Schlüsseln, um den Schutz der Schlüssel vor Veränderung und unbefugter Offenlegung zu gewährleisten.
  7. Änderungen an bestehenden Systemen müssen einem formalen Prozess der Dokumentation, Spezifikation, Prüfung und Qualitätskontrolle sowie einer kontrollierten Umsetzung folgen.
  8. Stellen Sie sicher, dass bei jeder größeren Änderung an der Anwendung Verifizierungstests durchgeführt werden und dass diese Verifizierungstests auch Sicherheitstests der Anwendung umfassen.
  9. Es ist sicherzustellen, dass bei der Verwendung von Live-Informationen aus einer Produktionsumgebung zu Testzwecken in Verbindung mit der Systementwicklung die Informationen nach Möglichkeit nicht identifizierbar gemacht werden (d. h., es muss unmöglich sein, sie einer Person oder einem Nutzer zuzuordnen). Die Nicht-Identifizierbarkeit von personenbezogenen Daten muss ein einseitiger Prozess sein, d.h. es darf nicht möglich sein, die ursprünglichen personenbezogenen Daten auf irgendeine Weise aus nicht identifizierbaren personenbezogenen Daten zu generieren. Wenn nicht identifizierbare Testinformationen nicht verwendet werden können, sind bei der Verarbeitung der Testinformationen die Anweisungen des Empfängers zu befolgen. Die Gewinnung von Informationen zu Testzwecken aus einer Produktionsumgebung bedarf immer der vorherigen schriftlichen Zustimmung des Begünstigten.
  10. Falls vom Begünstigten vor der Unterzeichnung der Vereinbarung gefordert, garantieren Sie dem Begünstigten den Zugang zu jeglichem Quellcode, der als Lieferung oder Ergebnis der Vereinbarung entwickelt oder beibehalten wurde, durch eine Treuhandvereinbarung mit einer vertrauenswürdigen externen Partei (z. B. einer Anwaltskanzlei oder einer Handelskammer).

Abschnitt 11: Management von Informationssicherheitsvorfällen

Allgemeines: Rasche und wirksame Ermittlung und Behebung von Sicherheitsvorfällen, Minimierung ihrer Auswirkungen und Verringerung des Risikos, dass sich ähnliche Vorfälle in Zukunft ereignen.

Der Lieferant wird:

  1. Bereitstellung von Informationen über Vorfälle.
  2. Protokollieren Sie jeden festgestellten Sicherheitsvorfall zusammen mit den durchgeführten Datenwiederherstellungsmaßnahmen und der Identifizierung der Person, die sie durchgeführt hat.
  3. Unverzüglich alle schwerwiegenden Vorfälle, einschließlich Betrug, zu melden, die den Begünstigten oder seine Mitarbeiter, Kunden oder Geschäftspartner betreffen könnten. Der Lieferant wird in Absprache mit dem Begünstigten alle notwendigen Schritte unternehmen, um den möglichen Schaden, den solche Vorfälle verursachen können, zu mindern.
  4. mit dem Begünstigten bei der Behandlung eines solchen Vorfalls wie im obigen Absatz beschrieben zusammenzuarbeiten und dem Begünstigten vollen Einblick in die Ursache und die Folgen des Vorfalls zu geben.
  5. Erstellen Sie einen schriftlichen Bericht, in dem die Ursache des Vorfalls, die Folgen des Vorfalls und die Maßnahmen zur Vermeidung ähnlicher Vorfälle dargelegt werden.
  6. Unverzüglich jedes Ersuchen um Zugang zu Informationen des Begünstigten, einschließlich personenbezogener Daten, von Dritten, einschließlich Regierungsbeamten oder Datenaufsichtsbehörden, zu melden.

Hilfestellung und angemessene Unterstützung für den Begünstigten im Falle rechtlicher Schritte, die Informationen des Begünstigten betreffen oder erfordern (z. B. E-Discovery-Anfragen oder forensische Untersuchungen).

Abschnitt 12: Management der Geschäftskontinuität

Allgemeines: Bereitschaft für Störungen unter normalen Umständen und für Notfälle. Unterstützung bei der Ausrichtung von Business-Continuity-Zielen, um die Widerstandsfähigkeit gegen Störungen zu gewährleisten und die Auswirkungen auf den Begünstigten im Falle einer Katastrophe oder eines Notfalls zu minimieren.

Der Lieferant wird:

  1. Sicherstellung der Fähigkeit, den Betrieb aufrechtzuerhalten, und der ausreichenden Ressourcen im Falle von Störungen unter normalen Umständen und bei Notfällen.
  2. Entwicklung von Kontinuitätsvorkehrungen, einschließlich der Planung der Geschäftskontinuität, soweit dies im Zusammenhang mit dem Abkommen und gemäß den bewährten Sicherheitsverfahren angemessen ist.
  3. Durchführung von Risikobewertungen zur Ermittlung von Ereignissen, die zu einer Unterbrechung der Geschäftsabläufe führen können, und in angemessenem Umfang Festlegung gründlicher Kontinuitätsvorkehrungen zur Abmilderung der Auswirkungen solcher Ereignisse.
  4. Abmilderung des erheblichen Risikos der Abhängigkeit von Schlüsselpersonal (z. B. durch Wissenstransfer an anderes Personal), um die Kontinuität zu gewährleisten.
  5. Regelmäßige Überprüfung der Maßnahmen zur Sicherstellung der Erbringung von Dienstleistungen, sofern solche Maßnahmen eingeführt wurden.
  6. Es ist sicherzustellen, dass ein Testplan existiert, der im Einzelnen festlegt, wie und wann jedes Element der Kontinuitätsvorkehrungen getestet wird und wurde. Die Nachweise über die durchgeführten Tests sind vom Lieferanten aufzubewahren und dem Begünstigten auf Anfrage zur Verfügung zu stellen, um nachzuweisen, dass der Betrieb/die Dienstleistungen innerhalb des vereinbarten Zeitrahmens wieder aufgenommen werden können.

Sicherstellen, dass für alle zusätzlichen Unterauftragnehmer Kontinuitätsregelungen gemäß dem Kontinuitätsplan bestehen.

Abschnitt 13: Einhaltung der Vorschriften

Allgemeines: Verwaltung eines Compliance-Programms, das die Wirksamkeit der in der Vereinbarung festgelegten Kontrollen gewährleisten soll.

Der Lieferant wird:

  1. Sicherstellen, dass alle Mitarbeiter des Lieferanten sowie die Unterauftragnehmer und Berater und deren Mitarbeiter diese Sicherheitsverpflichtungen und alle zusätzlichen Sicherheitsverpflichtungen, die in der Vereinbarung festgelegt sind, einhalten.
  2. dem Begünstigten eine jährliche Mitteilung über die Einhaltung dieser Sicherheitsverpflichtungen zukommen zu lassen, einschließlich aufgetauchter Vorfälle mit Risiken für die Informationen des Begünstigten.
  3. Für den Fall, dass der Lieferant diese Sicherheitsverpflichtungen oder zusätzliche Sicherheitsverpflichtungen, die in der Vereinbarung festgelegt sind, nicht einhält und diese Nichteinhaltung nicht innerhalb von 30 Tagen nach Erhalt einer schriftlichen Mitteilung behoben wird, erklärt sich der Begünstigte damit einverstanden, dass er die Vereinbarung oder jede in ihrem Rahmen erteilte Bestellung nach einer weiteren Mitteilung an den Lieferanten ohne Vertragsstrafe ganz oder teilweise kündigen kann.
  4. dem Begünstigten die Durchführung von Audits zu gestatten, um die Einhaltung dieser Sicherheitsverpflichtungen und etwaiger zusätzlicher, in der Vereinbarung festgelegter Sicherheitsverpflichtungen durch den Lieferanten zu überprüfen, einschließlich der Beauftragung einer unabhängigen Drittpartei.
  5. Als Alternative zu d): Der Lieferant kann die Einhaltung dieser Sicherheitsverpflichtungen nachweisen, indem er dem Begünstigten Prüfberichte unabhängiger Dritter vorlegt.
  6. Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der in diesen Sicherheitsverpflichtungen festgelegten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung von Informationen des Begünstigten unterhalten.

Startseite
Lösungen

Fallstudien

Über uns

Blog