Technische und organisatorische Maßnahmen zur Datensicherheit

Die nachfolgend aufgeführten Sicherungsmaßnahmen dienen der Einhaltung der Datensicherheit und zur Einhaltung der Datenschutzvorschriften aus den Vorgaben des Art. 32 DSGVO. Sie sind in der jeweils aktuellen Fassung Bestandteil der mit unseren Kunden abgeschlossenen Rahmenverträge. SmartWork wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Bei Änderungen oder ggf. notwendigen Optimierungen der technischen und organisatorischen Maßnahmen, welche die Vertraulichkeit oder die Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, informieren wir unsere Kunden per E-Mail über den im Vertrag hinterlegten Kontakt.

  1. Vertraulichkeit
    1. Zutrittskontrolle
      1. Die Mitarbeiter wurden intern geschult und ​auf die Vertraulichkeit der sensiblen Daten hingewiesen.
      2. Die Räumlichkeiten von SmartWork sind mit einem Schließsystem gesichert.
      3. Die Schlüssel werden von der Geschäftsleitung nur an Mitarbeiter ausgegeben. Die Ausgabe wird protokolliert.
      4. Die Geschäftsräume sind verschlossen und können nur durch berechtigte Personen mit einem Schlüssel betreten werden.
      5. Besucher werden am Eingang von einem Mitarbeiter abgeholt und jeder Besucher muss sich in einer Liste eintragen.
      6. Alle wichtigen Dokumente werden in verschließbaren Schränken aufbewahrt, die Schlüssel erhalten nur berechtigte Personen.
    2. Zugangskontrolle
      1. Alle Systeme sind durch eine Benutzerauthentifizierung über die Active Directory gesichert.
      2. Alle Mitarbeiter erhalten ein personalisiertes Benutzerkonto.
      3. Die Passwörter werden nicht mit anderen Personen geteilt.
      4. Die Kennwörter müssen eine Komplexitätsrichtline entsprechen und mindestens 8 Zeichen umfassen.
      5. Das Unternehmensnetzwerk und die vom Kunden gemieteten Server werden mittels einer regelbasierten Firewall vor fremdem Zugriff geschützt. Die Protokolle werden regelmäßig überprüft.
      6. Es sind diverse Spamfilter und Antivirenprogramme aktiv. Die Signaturen werden mehrmals täglich aktualisiert.
      7. Mobile Systeme enthalten entweder keine personenbezogene Daten oder die Daten werden verschlüsselt gespeichert.
      8. Auf mobilen Datenträgern werden keine personenbezogenen Daten gespeichert.
      9. Nur Dienstleister welche einem Vertrag zur Auftragsverarbeitung mit SmartWork abgeschlossen haben, werden als externe Dienstleister eingesetzt.
    3. Zugriffskontrolle
      1. Für alle Systeme und Ablagen gibt es ​ein Berechtigungskonzept mit Benutzerrollen.
      2. Die Benutzerkonten von ausgeschiedenen Mitarbeitern werden direkt nach der Beendigung des Arbeitsverhältnisses gesperrt und nach einer Übergangszeit gelöscht.
      3. Die Zugriffe auf Anwendungen mit personenbezogenen Daten werden protokolliert, die Protokolle werden für 14 Tage aufbewahrt.
    4. Trennung
      1. Die von unseren Systemen verarbeiteten Daten unterschiedlicher ​Kunden werden durch in den Switches hinterlegten VLANs voneinander getrennt.
      2. Die Kundennetze werden über eine Firewall an das Internet angekoppelt. Zwischen den Kundennetzen werden die Verbindungen blockiert.
      3. Die produktiven Systeme sind von der Test- und Enwicklungsumgebung getrennt.
    5. Pseudonymisierung & Verschlüsselung
      1. ​Alle personenbezogenen Daten werden bei der Übertragung vom Kunden zu SmartWork durch geeignete Maßnahmen (SSL, VPN) verschlüsselt.
      2. Die Mailserver von SmartWork unterstützen die Transportverschlüsselung über SSL.
      3. Bei Smartwork gespeicherte Kennwörter und Zugangsdaten des Kunden werden in einem Passwort-Safe gespeichert und verschlüsselt.
  2. Integrität
    1. Eingabekontrolle
      1. Bei SmartWork eingegebene, veränderte oder gelöschte Daten können über ein Mutations- oder Änderungsprotokoll nachträglich überprüft werden.
      2. SmartWork selbst erhebt, verändert oder löscht personenbezogene Daten ausschließlich im Rahmen von Kundenbeziehungen (Ansprechpartner der Kunden).
    2. Weitergabekontrolle
      1. Von SmartWork werden ohne Erlaubnis des Kunden keine Daten an Dritte weitergegeben.​
      2. Der Zugriff von Mitarbeitern über mobile Arbeitsplätze oder vom Heimarbeitsplatz auf die internen Systeme von SmartWork erfolgt ausschließlich über verschlüsselte Verbindungen (SSL/VPN).
    3. Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit
      1. Alle Serverräume sind klimatisiert​.
      2. Alle Server werden durch eine USV vor einem Stromausfall abgesichert.
      3. Die Datenspeicher sind durch redundante Festplattensysteme (RAID 5/6) vor einem Ausfall gesichert.
      4. Die relevanten Server sind als virtuelle Maschinen und einem Cluster vor dem Ausfall von Serverhardware gesichert.
      5. Alle Systeme werden regelmäßig gesichert, Anwendungsserver als gesamtes System und zusätzlich als Anwendung zur granularen Wiederherstellung.
      6. Alle Sicherungen werden verschlüsselt an 2 räumlich getrennten Orten gespeichert.
      7. Alle Systeme werden durch einen aktuellen Viren-/Malwarescanner geschützt und die Signaturen werden mehrmals täglich aktualisiert.
    4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
      1. Die Geschäftsführung von SmartWork ist für alle datenschutzrechtlichen Vorgaben verantwortlich.
      2. Es wurden entsprechende Leitlinien an Mitarbeiter herausgegeben.Mit allen Kunden wurden oder werden Rahmenverträge abgeschlossen. In den Rahmenverträgen wird festgelegt, welche Personen sicherheitsrelevante Änderungen beauftragen dürfen.
      3. Die Mitarbeiter von SmartWork sind angehalten, die Berechtigung bei jeder Anfrage zu überprüfen.
      4. Alle Mitarbeiter haben eine Vertraulichkeitsvereinbarung unterzeichnet.
      5. Es wurde ein Verzeichnis der Verarbeitungstätigkeiten erstellt und dieses wird laufend überprüft und gepflegt.

    Stand: 01.05.2018