TOM


Technische und organisatorische Maßnahmen (TOM) i.S.d. Art. 32 DSGVO

Präambel

Der LOY GmbH Webserver befindet sich in einem Rechenzentrum der PROFIHOST AG mit Standort Hannover (Deutschland). Die Dokumentation der technischen und organisatorischen Maßnahmen (TOM) zum Webserver können Sie entsprechend dem Dokument “Technische und organisatorische Maßnahmen” von PROFIHOST entnehmen.

 

1. Zutrittskontrolle

Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden bzw. in denen personenbezogene Daten gelagert werden.

Umzsetzung zur Maßnahme:

  1. Die Räumlichkeiten der LOY GmbH in denen Kunden-Daten erhoben, verarbeitet und/oder genutzt werden, werden ausschließlich von Mitarbeitern und entsprechend dieser Bestimmungen verpflichteten Vertragspartnern der LOY GmbH genutzt und betreten. Ausgenommen hiervon sind Personen, die sich zur Erfüllung der Verpflichtungen aus dem Rahmenvertrag in den Räumlichkeiten aufhalten müssen und die dabei während ihres gesamten Aufenthalts von Zutrittsberechtigten im Sinne des Satz 1 dieser Ziffer 1.1 begleitet werden.
  2. Die Eingänge zu den Räumlichkeiten sind mit Sicherheitsschlüsseln gegen Zutritt Unbefugter gesichert.
  3. Türen, Tore und Fenster werden außerhalb der Betriebszeiten fest verschlossen; Die Eingangstüre im Erdgeschoss sowie alle weiteren leicht zu erreichenden Zugänge zu den Räumen sind derart gesichert, dass diese Unbefugten nur erheblich erschwert zugänglich sind.
  4. Die Vergabe von Zutrittsberechtigungen und von Schlüsseln ist nachvollziehbar dokumentiert. Das Betreten der Räumlichkeiten wird unverzüglich beim Betreten und für jeweils einen Zeitraum von einem Monat nach Betreten der Räumlichkeiten protokolliert.
  5. Datensicherungen werden ständig in verschlossenen Sicherungsschränken aufbewahrt. Der Zugriff ist ausschließlich den zum Zweck der Vertragserfüllung von eingesetzten Mitarbeitern der LOY GmbH möglich.
  6. Webserver, siehe “Technische und organisatorische Maßnahmen” von PROFIHOST.

 

2. Zugangskontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Umsetzung zur Maßnahme:

  1. Schutz durch Authentifikations- und Autorisationssysteme; Wir verwenden Benutzerkennungen und komplexe Passwörter, sowie abgestufte Zugriffsrechte.
  2. Zugang zur Erhebung, Verarbeitung und Nutzung der Kunden-Daten mit den eingesetzten Systemen nur an die zur Leistungserbringung eingesetzten Mitarbeiter und nur für den erforderlichen Umfang.
  3. Personenspezifische Benutzerzugänge.
  4. Technische Einschränkung für Nutzung Dritter, z.B. für die technische Wartung. Kein Zugriff auf Kunden-Daten durch Dritte ohne schriftliche Genehmigung durch den Auftraggeber.
  5. Jede Vergabe von Zugängen und Zugriffsberechtigungen ist dokumentiert.
  6. Passwort-Regel: Sichere Passwörter mit Sonderzeichen und mind. 8 Zeichen.
  7. Passwörter-Änderung durch den Benutzer selbst alle 3 Monate.
  8. Passwörter werden gesichert gespeichert und nicht an Dritte weitergegeben.
  9. Übermittlung von Passwörtern wenn möglich verschlüsselt und ausschließlich an zur authentifizierte berechtigte Empfänger.
  10. Webserver, siehe “Technische und organisatorische Maßnahmen” von PROFIHOST.

 

3. Zugriffskontrolle

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Umsetzung zur Maßnahme:

  • Benutzerverwaltung mit Passwortschutz
  • Logisches Berechtigungskonzept mit Rollen und Rechten pro Anbieter
  • Verwaltung der Rechte durch den Anbieter selbst
  • Passwortrichtlinie inklusive Passwortlänge
  • Webserver, siehe “Technische und organisatorische Maßnahmen” von PROFIHOST.

 

4. Weitergabekontrolle

Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Umsetzung zur Maßnahme:

  • Zugriff ausschließlich über verschlüsselte Datenübertragung (SSL)

 

5. Eingabekontrolle

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Umsetzung zur Maßnahme:

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelles Loggen mit Benutzernamen.
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.

 

6. Auftragskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Umsetzung zur Maßnahme:

  • Gemäß den Regelungen der vorliegenden Vereinbarung zur Auftragsdatenverarbeitung.
  • Entsprechende Unterweisung des Personals des Auftragnehmers und vertragliche Gestaltungen mit Subunternehmern.
  • Regelmäßige Prüfungen durch den Auftragnehmer im Hinblick auf die Ausführung dieser Vereinbarung.

 

7. Verfügbarkeitskontrolle

Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Umsetzung zur Maßnahme:

  • Datensicherungskonzept, Datensicherungsfestplatte pro Arbeitsplatz.
  • siehe “Technische und organisatorische Maßnahmen” von PROFIHOST.
  • Regelmäßige Datensicherungen (Backup- und Recoverykonzept).
  • Notfallprozeduren zur Datenwiederherstellung (Desaster-Management).

 

8. Trennungskontrolle

Es ist zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Umsetzung zur Maßnahme:

 

© 2019 locaboo.com