Technische und organisatorische Maßnahmen

DocuPool sorgt für angemessene administrative, physische und technische Sicherheitsvorkehrungen, um die Vertraulichkeit, Sicherheit und Integrität der personenbezogenen Daten zu schützen, die demUnternehmen für die Erbringung seiner Dienstleistungen gegenüber den Kunden zur Verfügung gestellt werden.

1. Verschlüsselung

Interne Systeme – im Ruhezustand

o Mobile Geräte

* Wir verwenden modernste Verschlüsselung für alle tragbaren Geräte und deren Laufwerke. Der Zustand der Verschlüsselung wird regelmäßig überprüft und sichergestellt.

o Backups

* Alle Backups werden nach aktuellen Sicherheitsstandards und gemäß SOC 2-Zertifizierung verschlüsselt.

o Online-Speicherung

* Unternehmensdaten werden gelegentlich auf OneDrive und anderen Microsoft-Diensten gespeichert und dort verschlüsselt.

Interne Systeme – bei Übertragung

o Rechenzentrum

* Die Daten werden nach aktuellen Sicherheitsstandards (z. B. AES-256) zwischen DocuPool-Netzwerk und unserem Rechenzentrum verschlüsselt.

o Fernzugriff

* Der Fernzugriff auf das Firmennetzwerk erfolgt ausschließlich über einen verschlüsselten VPN-Tunnel mit Benutzer- und Multi-Faktor-Authentifizierung.

o Online-Speicherung

* Unternehmensdaten werden gelegentlich auf OneDrive und anderen Microsoft-Diensten gespeichert und dort verschlüsselt.

2. Gewährleistung der Vertraulichkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen ist zu reduzieren.

Mitarbeiter unterzeichnen Vertraulichkeitserklärungen, deren Geltungsdauer über den Beschäftigungszeitraum bei DocuPool hinausreicht.

Physische Zugangskontrolle

o Regelung zur Besucherlenkung

* Registrierung

* Besucher werden in die Besucherliste eingetragen.

* Persönliche Besucherlenkung

o Weitere Schutzmaßnahmen

* Sicherheitsrelevante IT-Systeme werden in abgeschlossenen Bereichen untergebracht, zu denen nur befugtes Personalzugang hat.

Zugangskontrolle: Interne Systeme bei DocuPool

o Zugangskontrolle zu Rechnern des DocuPool Netzwerks und cloudbasierten Accounts

* Userkennung

* Verpflichtende Zwei-Faktor-Authentifizierung

* Sichere Passwörter nach aktuellen Sicherheitsstandards

o Zeitgesteuerte, Passwort-geschützte Pausenschaltung (Bildschirmschoner) Es existiert eine Regelung, nach der die  Mitarbeiter verpflichtet sind, ihre Rechner beim Verlassen des Arbeitsplatzes manuell zu sperren. Nach 5 min. wird der Bildschirm automatisch gesperrt.

o Absicherung der vernetzten Systeme gegen unbefugtes Eindringen

* Firewall

*Endpoint Protection

o Verschlüsselte Festplatten in Notebooks

Zugangskontrolle: Zugriffsbeschränkungen nach Benutzerprofilen

o Berechtigungsprofil für Mitarbeiter

* Benutzerverwaltung

o Zugriffsbefugnis abhängig von

* Verantwortlichkeiten

* Aufgabenstellung

o Soweit erforderlich, auch differenziert nach

* Leseberechtigung

* Schreibberechtigung

o Berechtigungen für externe Mitarbeiter werden in der IT-Log dokumentiert. Alle Anfragen für Berechtigungsänderungen werden im IT-Log dokumentiert.

o Dieselben Regeln gelten für die Arbeit im Home Office im Rahmen der Richtlinie für mobiles Arbeiten.

o Firewalls werden so eingerichtet, dass sie eingehenden Datenverkehr einschränken.

o Klare Regeln zur Anpassung der Rechteverwaltung

* Bei Veränderung des Aufgabengebietes eines Mitarbeiters werden nicht mehr benötigte Rechte zeitnah angepasst.

* Änderungen werden über ein Formular der IT abgehandelt und dokumentiert.

* Berechtigungen externer Mitarbeiter und Zugriff auf geschäftskritische Anwendungen werden regelmäßig geprüft.

o Maßnahmen zur Risikominderung

* Überprüfung und Genehmigung der Software vor der Bereitstellung/Installation. Dadurch wird das Risiko, dass ein Benutzerprofil aufgrund von Sicherheitslücken in der Software missbraucht wird, erheblich reduziert.

* Protokollierung und Auswertung von sicherheitsrelevanten Vorfällen

3. Gewährleistung der Integrität

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen durch unbeabsichtigte oder unbefugte Veränderung oder unrechtmäßiges oder fahrlässiges Handeln im Bezug auf im Auftrag verarbeiteter Daten ist zu reduzieren.

Weitergabekontrolle

o Die Übertragung von Daten über interne Kanäle erfolgt immer in verschlüsselter Form.

o Die Übertragung von Daten über das Internet erfolgt immer in verschlüsselter Form.

* VPN: zwischen verschiedenen Standorten des Firmennetzwerks und Rechenzentren

o Schutz der Daten bei der Übertragung

* TeamViewer wird von DocuPool Professional Service zur Fernwartung genutzt (verschlüsselte Verbindung).

* Zugangsdaten (auch zu Kundensystemen) werden in Passwort-Tools verwaltet.

Wichtig:

- Geben Sie nie Test-Accounts oder Zugangsdaten per E-Mail an DocuPool weiter.

- Test-Accounts oder Zugangsdaten für den DocuPool Supportsollten nach Abschluss des Supportfalls oder des Projekts deaktiviert bzw. die Passwörter geändert werden.

o Zugriff auf Kundendaten und Kundensysteme bei Fernwartung

* Der Kunde startet TeamViewer. Dieser zeigt ihm eine Nummer an. Diese Nummer teilt der Kunde dem DocuPool Mitarbeiter mit, damit dieser die Verbindung aufbauen kann.

* In Absprache mit dem Kunden verwendet DocuPool Professional Serviceteilweise auch einen Modus, indem der Kunde die Verbindung auf seiner Seite nicht bestätigen muss.

* TeamViewer verwendet eine gesicherte Verbindung.

* Protokollierung und Protokollauswertung während der Fernwartung

TeamViewer erzeugt ein Video zur Fernwartung. Eine Auswertung erfolgt nur im Verdachtsfall.

Eingabekontrolle

o Zugriff auf Kundendaten und Kundensysteme bei Fernwartung

* TeamViewer Fernwartungszugang muss vom Kunden aktiv gestartet werden.

* In Absprache mit dem Kunden verwendet DocuPool Professional Service teilweise auch einen Modus, in dem der Kunde die Verbindung auf seiner Seite nicht bestätigen muss.

* TeamViewer Fernwartungen werden auf der Kundenseite protokolliert.

4. Gewährleistung der Verfügbarkeit und Belastbarkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten betroffener Personen wegen Nichtverfügbarkeit von im Auftrag verarbeiteten Daten auch durch unrechtmäßiges oder fahrlässiges Handeln ist zu reduzieren.

Verfügbarkeitskontrolle

o Interne IT

* Backup: Wichtige Daten werden regelmäßig in einem Backup-System gesichert und nach festgelegten Zeitplänen mit einem externen Standort synchronisiert (Cloud-Backup).

* Backup-Häufigkeit: Die Systeme werden abhängig von ihrer Relevanz täglich, wöchentlich oder monatlich gesichert.

* Meldewege bei Ausfall oder Betriebsunterbrechungen sind bekannt und dokumentiert und werden regelmäßig getestet.

Belastbarkeit der Systeme

o Interne IT

* Wichtige Hintergrundserver können jederzeit dynamisch herauf- und herabskaliert werden.

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen

Es sind Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzuhalten.

Auftragskontrolle

o Regelmäßige Überprüfung

* „Technische und organisatorische Maßnahmen“ werden mindestens einmal jährlich überprüft.

o Überwachung der Durchführung des Kundenauftrags/der Servicemaßnahme

* DocuPool Professional Services beschreibt vor Durchführung des Auftrages einen User Acceptance Test (Testplan, der nach Auftrag funktionieren muss) oder verwendet in Absprache mit dem Kunden die genehmigte Prozessbeschreibung der Funktionsspezifikation als Testplan. Die Abnahme durch den Kunden wird im Abnahmeprotokoll festgehalten.

o Protokollierung- und Auswertungsmechanismen beim Zugriff auf Kundensysteme und Kundendaten

* Der Fernwartungszugriff erfolgt über TeamViewer. Dieser kann auch vor Ort verwendet werden, wenn der Kunde dies wünscht.

6. Innerbetriebliche Organisation von Datensicherheit und Datenschutz

Datenschutzmanagement

o Die Mitarbeiter unterzeichnen bei der Einstellung eine Vertraulichkeitserklärung.

o Alle Mitarbeiter werden in regelmäßigen Abständen (mindestens einmal jährlich) per E-Learning oder mit anderen Mitteln zum Thema Datenschutz geschult und sensibilisiert.

o Die Verantwortlichkeiten und Befugnisse der einzelnen Mitarbeiter sind in einem Organigramm sowie in den Stellenbeschreibungen festgelegt und werden im Unternehmen bekannt gemacht. Dies wird in regelmäßigen Abständen von der obersten Leitung überprüft.

Störfallmanagement

o Die Einhaltung der technischen und organisatorischen Maßnahmen wird jährlich überprüft und gegebenenfalls angepasst.

o In regelmäßigen Zeitintervallen wird das Störfallmanagement überprüft.

* Unser Störfallmanagement-Prozess steht bei Verdacht auf Vorfälle jedem Mitarbeiter offen, und unser 24/7-Bereitschaftsdienst wird sofort alarmiert. Bestätigte Vorfälle werden den Kunden unverzüglich mitgeteilt.

Risikomanagement

o Bei Bedarf führt DocuPool eine Risikobewertung durch.

* Jährliches IT-Sicherheitsrisikomanagement

* Jährliches allgemeines Risikomanagement

Dokumentation

o Verhaltensrichtlinien

o Interne Aufzeichnungen über die Datenverarbeitung

o Interne IT-Sicherheits- und Datenschutzverordnung

o Schulungen, Dokumentation und Folgemaßnahmen

7. Datenschutz und Technologie-Design

o Interne Systeme

* Auswahl datenschutzfreundlicher Technologien bei der Beschaffung

* Jede neue Software wird vor dem Kauf auf Sicherheit und Compliance geprüft.