Zertifizierung der Rechenzentren

Die Vertraulichkeit, Verfügbarkeit und die Integrität Ihrer Daten hat bei uns höchste Priorität.

Um den Schutz Ihrer Daten sicherzustellen, überprüfen wir in regelmäßigen Abständen die Sicherheitsstandards unserer Rechenzentren , unserer Prozesse und unserer Mitarbeiter. Dabei bedienen wir uns der Methodik und den Anforderungen aus verschiedenen Normen. Diese Überprüfungen werden durch unseren Datenschutzbeauftragten, externen Experten und Beratern (z.B. TÜV Nord) begleitet. Eventuelle Abweichungen werden so schnell identifiziert und im Rahmen von kontinuierlichen Verbesserungsmaßnahmen nachhaltig beseitigt. Um up-to-date zu bleiben, schulen wir unsere Mitarbeiter fortlaufend auf Einhaltung geltender Datenschutzgesetze und Sicherheitsstandards, dabei werden Auswirkungen von Gesetzesänderungen und -anpassungen umgehend an unsere Mitarbeiter kommuniziert.

Unsere Standards entnehmen Sie bitte dieser Aufstellung:

Vertraulichkeit:
Unsere Rechenzentrumsstandorte sind durch folgende Maßnahmen gesichert:
Alarmanlagen
Elektronische Zutrittskontrollsysteme mit Chipkarten und Ausgabelisten
Absicherung der Gebäudeschächte
Videoüberwachungsanlage im Außen- und Innenbereich mit Klingelanlage
Empfang von Besuchern ausschließlich während der Geschäftszeiten nach vorheriger Anmeldung mit Besucherbuch und Personenkontrolle
Empfang von Besuchern an der Eingangstür und Aufenthalt im Gebäude nur in Begleitung eines Mitarbeiters
Sorgfalt bei der Auswahl von Wartungsfirmen, Reinigungs- und Wachdiensten
Dienstanweisung zur Kontrolle aller Räumlichkeiten und Prüfung auf Verschluss sämtlicher Fenster und Türen bei Verlassen der Räumlichkeiten

Sicherheitsmaßnahmen, für den Zugriff auf unsere internen Systeme:
Login mit Benutzername und Passwort
Verwendung von Benutzerprofilen
Benutzerberechtigungen
Verwendung von sicheren Passwörtern
2FA (2-Faktor-Authentifizierung)
Automatische Sperrmechanismen mit erneuter Passworteingabe
Firewalls
Remote-Zugriffe über VPN abgesichert

Zugriffskontroll-Maßnahmen auf unseren internen Systemen:
Die Sicherheit der Systeme wird durch die regelmäßige Überprüfung und das Einspielen von Systemupdates gewährleistet
Berechtigungskonzepte regeln den Zugriff der Mitarbeiter
Die Verwaltung von Benutzerrechten erfolgt ausschließlich durch geschulte Administratoren
Es erfolgt eine Protokollierung des Zugriffes. Die Protokollierung umfasst dabei den Anmeldeprozess, die Dateneingabe, Datenänderung und Datenlöschung
Einsatz von internen Aktenvernichtern
Physische Zerstörung von Datenträgern

Maßnahmen für die Erhöhung der Sicherheit auf Internen Systeme:
Trennung von Produktiv- und Testsystemen / Produktiv- und Testdaten (logische und physische Trennung)
Anonymisierung der Daten auf Testsystemen
Der Zugriff auf Test-, Entwicklungssysteme, Produktivumgebungen und Datenbanken wird über ein Berechtigungskonzept gesteuert und auf ein Minimum von verantwortlichen Mitarbeitern beschränkt
Hostserversysteme sind mandantenfähig, so dass Instanzen (Webhosting, Storage, VPS, VDS) von Verantwortlichen unabhängig voneinander bedient werden, Daten logisch getrennt sind und Daten getrennt verarbeitet werden

Integrität:
Umgang mit Daten:
Verschlüsselte Übertragung von E-Mails
Verschlüsselte Verbindungen über HTTPS und SSH
Einsatz von VPN bei Remote-Zugriffen
Transport der Hardware erfolgt pseudonymisiert
Sorgfalt bei Auswahl von Transport-Personal und -fahrzeugen
Die Mitarbeiter sind unterwiesen und angewiesen, sich datenschutzkonform im Umgang mit personenbezogenen Daten zu verhalten

Verfügbarkeit:
Rechenzentrumsinfrastruktur:
Serverräume des Auftragnehmers sind durch Schutzmaßnahmen gesichert
Feuerlöscher in den Serverräumen
Serverräume werden klimatisiert und Temperatur und Feuchtigkeit überwacht
Absicherung eines Stromausfalls durch den Einsatz einer unterbrechungsfreien Stromversorgung (USV) und Generator an allen Serverstandorten außer München (EU1); am Serverstandort München (EU1) Absicherung per USV von wichtigen Infrastrukturkomponenten
Überspannungsschutz an allen Serverstandorten außer München (EU1) per USV; in München (EU1) per Überspannungsschutzsteckdosenleisten
Serverräume des Auftragnehmers sind gegen unbefugten Zutritt alarmgesichert
Serverräume des Auftragnehmers werden durch eine Videoanlage überwacht

Interne Systeme:
Die Datensicherheit wird durch täglich durchgeführte Backups sichergestellt
Infrastruktursysteme für die Steuerung der Produktivumgebungen sind hochverfügbar
Die Systeme werden dauerhaft durch Firewallsysteme und eine Anti-DDoS-Lösung geschützt
Ein Monitoringsystem überwacht und alarmiert bei Auffälligkeiten
Regelmäßige Wartungsmaßnahmen
In den Systemen werden zum Schutz der Daten gegen Hardwarefehler RAID-Systeme verwendet
Georedundanter Aufbau von wichtigen Infrastruktursystemen
Getrennte Partitionen für Betriebssysteme und Daten

Wiederherstellung von Daten
Notfallpläne und Prozesse mit Eskalationsgruppen stellen eine schnelle Wiederherstellung der Daten sicher

Datenschutz-Maßnahmen
Zentrale Wissensdatenbank aller Verfahrensanweisungen und Regelungen zum Datenschutz
Mitarbeiter sind geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet
Ein externer Datenschutzbeauftragter ist bestellt und in die internen Prozessabläufe eingebunden:
Alle Mitarbeiter werden mindestens einmal pro Jahr über Datenschutz und Datenschutzänderungen geschult
Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO nach, es gibt einen formalisierten Prozess zur Bearbeitung von Auskunftsanfragen
Einsatz von Firewalls, Spamfilter und Virenscanner zum Schutz der Systeme, die regelmäßig aktualisiert werden.

Mit den getroffenen Maßnahmen und den kontinuierlichen Verbesserungen erfüllen wir die gesetzlichen Vorgaben zum Datenschutz, dem IT Sicherheitsgesetz und andere Vorschriften. Eine Zertifizierung nach ISO27001 haben wir nicht geplant.