Technische und organisatorische Massnahmen der Datensicherheit

Art. 32 DSGVO und das nDSG verpflichtet jedes Unternehmen, die Integrität und Vertraulichkeit der Datenverarbeitung zu gewährleisten. Die in diesem Dokument aufgeführten Punkte, sind durch die AEB Sicherheitsdienst GmbH ergriffenen Massnahmen, um den bestmöglichsten Schutz und Integrität de Daten im Unternehmen gewährleisten zu können.

Zugangskontrolle

Die Zugangskontrolle so verhindern, dass Unbefugte Zugang zu Verarbeitungslangen erhalten, mit denen die Verarbeitung durchgeführt wird:

  • Alarmanlagen an den Hauptverarbeitungsstandorten.
  • Chip-/Transponder-Schliesssystem
  • Abschliessbare Serverschränke.
  • Kontrolle über die Schliessmedien (Schlüssel).
  • Sorgfältige Auswahl des Reinigungspersonals.
  • Kontrollen der Räumlichkeiten ausserhalb normaler Nutzungszeiten durch Sicherheitspersonal.
Datenträgerkontrolle

Die Datenträgerkontrolle soll verhindern, dass Unbefugte Datenträger lesen, kopiert, verändern oder löschen können:

  • Sichere Aufbewahrung von Datenträgern.
  • Abschliessbare Aktenschränke.
  • Alle digitalen Datenträger müssen über eine Hard- und Softwareverschlüsselung verfügen.
  • Sichern von Netzwerkverbindungen über moderne Technologien (z.B. VPN).
  • Weitergabe von Daten kontrollieren und wo möglich in anonymisierter oder pseudonymisierter Form
  • Kontrolle und Einschränkung von mobilen Datenträgern inkl. Verschlüsselung.
  • Ordnungsgemässe Vernichtung der Datenträger gemäss DIN 32757.
  • Einsatz von Aktenvernichtern.
  • Protokollierung der Vernichtung
Speicherkontrolle

Die Speicherkontrolle soll verhindern, dass unbefugte von gespeicherten personenbezogenen Daten Kenntnis nehmen sowie diese eingeben, verändern und löschen können:

  • Arbeiten mit Berechtigungen in den IT-Systemen
  • Differenzierte Berechtigungen für lesen, löschen und ändern.
  • Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
  • Verwaltung der Rechte durch Systemadministratoren.
Benutzerkontrolle

Die Benutzerkontrolle soll verhindern, dass Unbefugte automatisierte Verarbeitungssysteme mit Hilfe von Datenübertragung nutzen können:

  • Festlegen zugangsberechtigter Mitarbeiter
  • Erstellen von Benutzerprofilen
  • Passwortvergabe
  • Authentifikation mit Benutzername/Passwort
  • Regelmässige Kontrolle von Berechtigungen
  • Sperrung von Berechtigungen ausscheidender Mitarbeiter
  • Zuordnung von Benutzerprofilen zu IT-Systemen
  • Einsatz von Verschlüsselungs-Technologie
  • Einsatz von Anti-Viren-Software und Firewall
  • Gezielter Einsatz von Multi-Faktor-Authentifizierungen
Zugriffskontrolle

Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschliesslich zu den von ihren Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben:

  • Festlegung von Berechtigungen in IT-Systemen
  • Differenzierte Berechtigungen für lesen, löschen und ändern
  • Differenzierte Berechtigungen für Daten, Anwendungen und Betriebssystem
  • Verwaltung der Rechte durch Systemadministratoren
  • Anzahl privilegierter Benutzer (Administratoren) auf ein Minimum reduzieren.
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen.
Übertragungskontrolle

Die Übertragungskontrolle soll gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurde oder werden können:

  • Einrichtungen von Standleitungen beziehungsweise Verschlüsselungs-Technologien.
  • Erstellen einer Übersicht von regelmässigen Abruf- und Übermittlungsvorgängen
  • Dokumentation der Empfänger von Daten und der Zeitspanne der geplanten Überlassung beziehungsweise vereinbarter Löschfristen.
 Transportkontrolle

Die Transportkontrolle soll gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten schützt werden:

  • Einrichtung von Standleitungen beziehungswiese Verschlüsselung-Technologien
Wiederherstellbarkeit

Die Wiederherstellbarkeit soll gewährleisten, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können:

  • Erstellen eines Backup- und Recoverykonzepts
  • Spiegelung von Speichermedien mittels RAID-Technologie
  • Testen der Datenwiederherstellung
  • Erstellen eines Notfallplans
Zuverlässigkeit

Die Zuverlässigkeit soll gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden:

  • Unabhängig von einander funktionierende Systeme
  • Automatisierte Meldung von Fehlfunktionen
  • Einsatz von Endpunktschutz und Firewall
Datenintegrität

Die Datenintegrität soll gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können:

  • Erstellen eines Backup- und Recoverykonzepts
Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle soll gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind:

  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Feuerlöschgeräte
  • Aufbewahren von Datensicherungen an einem sicheren, ausgelagerten Ort
  • Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
  • Videoüberwachung von Serverräumen
  • Erstellen eines Notfallplans

Winterthur, 01.03.2023