Dein GIRI-Server

Deine Sicherheit

Wir betreiben Server in Deutschland, Amerika, Indien und bei unseren Kunden - ganz so Du Dich sicher und komfortable fühlst.

 

TOM:

Technical and organizational measures

Deine Daten werden bei uns immer verschlüsselt und gesichert.

 

Organisatorisches

(Maßnahmen, die generelle Auswirkungen auf das Datenschutzniveau haben)

  • Die Mitarbeiter werden mit Eintritt in das Beschäftigungsverhältnis über den Datenschutz aufgeklärt sowie auf das Datengeheimnis verpflichtet.

  • Die Mitarbeiter werden durch regelmäßige Informationsrundschreiben / Intranet über aktuelle datenschutzrechtliche Entwicklungen sowie besondere zu berücksichtigende Maßnahmen des Datenschutzes, bezogen auf das Unternehmen, informiert.

  • Schulungen der Mitarbeiter werden nach Erforderlichkeit im Hinblick auf den jeweiligen Kenntnisstand der Mitarbeiter in regelmäßigen Abständen durchgeführt.

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.)

  • Die AR-Experts GmbH speichert oder verarbeitet keine direkten nutzerbezogenen Daten in der Unternehmensräumen oder auf eigenen Servern

  • Das operative Arbeiten erfolgt auf Servern, welche bei Top-Level Anbieter im jeweiligen Land oder beim Kunden direkt gehostet sind. Derzeit befinden sich unsere Server in Frankfurt a.M. (für Europa), in Iowa (für USA) und in Mumbai (für Indien).

Zugangskontrolle (Maßnahmen, die geeignet sind, zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.)

  • Das Passwort zur Administrationsoberfläche der Server wird von der AR-Experts GmbH selbst vergeben. Server-Passwörter werden nach erstmaliger Inbetriebnahme von AR-Experts GmbH selbst geändert und sind dem Serverbetreiber nicht bekannt. Server-Passwörter sind nur ausgewählten Mitarbeitern zugänglich.

  • Jeder Mitarbeiter verfügt über ein individuelles Login mit einem nur ihm bekannten individuellen Passwort (siehe auch „Zugriffskontrolle“).

  • Bei Pausen aktiviert sich nach einer bestimmten Zeit eine Bildschirmsperre.

  • An- und Abmeldungen werden protokolliert.

  • Verwendete Browser- und Antivirensoftware ist stets auf die neuste verfügbare Version aktualisiert.

  • Es wird innerhalb des Betriebs ein verschlüsseltes W-LAN eingesetzt.

Zugriffskontrolle (Maßnahmen, die geeignet sind, zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.)

  • Arbeiten mit personenbezogenen Daten erfolgen ausschließlich durch den Kunden /Auftragnehmer über die Giri Apps (z.B. iOS, Android, Hololens, Webbrowser)

  • Der Anmeldeprozess eines Mitarbeiters lokal vor Ort erfordert zunächst eine Anmeldung an seinem Arbeitsplatzrechner mittels individuellem Login und Passwort.

  • Beim Ausscheiden von Mitarbeitern werden deren Zugänge deaktiviert.

  • Die Mitarbeiter haben nur Zugriff auf die für ihre Tätigkeit relevanten Daten. Es erfolgt eine differenzierte Berechtigungsvergabe. Bei Vertriebsmitarbeitern ist der Zugriff auf reine vertriebsrelevante Daten beschränkt.

  • Mobile Datenträger werden nicht eingesetzt.

Trennungskontrolle (Maßnahmen, die geeignet sind, zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.)

  • Es erfolgt die logische Trennung der Kundendaten innerhalb des Datenbanksystems. Es bestehen mehrere Möglichkeiten:

    • Shared Server ( hosted )

    • Private Server ( hosted)

    • On Premisses ( In Ihrem Unternehmen)

  • Entwicklungs- und Produktivsysteme werden getrennt voneinander eingesetzt.

Pseudonymisierung (Die Verarbeitung personenbezogener Daten soll, sofern erforderlich und umsetzbar, in einer Weise erfolgen, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.)

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Maßnahmen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.)

  • Weitergaben physischer Datenträger erfolgen nicht. Mobile Datenträger werden nicht eingesetzt.

  • Die Datenablage erfolgt auf dem Server und nicht lokal. Die Kommunikation zwischen Arbeitsplatzrechner und Server erfolgt über sichere verschlüsselte Datenübertragung.

  • Alle Mitarbeiter sind auf die Einhaltung des Datengeheimnisses verpflichtet.

  • Nach Auftragsbeendigung erfolgt die datenschutzgerechte Löschung der nicht mehr

    erforderlichen Daten.

Eingabekontrolle (Maßnahmen, die geeignet sind, zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.)

  • An- und Abmeldungen werden systemintern protokolliert.

  • Veränderungen können z.T. in der Versionshistorie eingesehen und anhand derer

    nachgeprüft werden.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Verfügbarkeitskontrolle (Maßnahmen zu treffen, die geeignet sind, zu gewährleisten, dass

personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.)

  • Im gesamten Unternehmensgebäude sind Brandmelder installiert. Es sind ausreichend und gewartete Feuerlöscher vorhanden.

  • In den Büroräumlichkeiten herrscht Rauchverbot.

  • Der Betrieb der Server erfolgt unter Einsatz unterbrechungsfreier Stromversorgung.

  • Es besteht ein dauerhaft aktiver DDoS-Schutz.

  • Virenschutzsoftware sowie eine Firewall werden eingesetzt. Regelmäßige Aktualisierungen gewährleisten die stete Aktualität.

  • Es erfolgt die synchrone fortlaufende Spiegelung aller Daten auf Backup Server bei täglichen Backups aller Daten - optional.

  • Backups werden in einem gesichertem BackupSpace gespeichert und nach 14 Tagen automatische gelöscht.

Rasche Wiederherstellbarkeit

  • Wiedereinspielungstests der Backups in regelmäßigen Abständen.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

● Es wird ein internes Datenschutzkonzept vorgehalten mit Dokumentation zum Umgang mit personenbezogenen Daten. Die Überprüfung und Kontrolle erfolgt durch den Datenschutzbeauftragten.

Incident-Response-Management

● Im Rahmen des Notfallkonzepts als Bestandteil des Datenschutzkonzepts sind klare Prozesse zum Umgang mit IT-Sicherheitsvorfällen und Datenschutzvorfällen beschrieben.

Datenschutzfreundliche Voreinstellungen

● Abhängig vom jeweiligen Kundenauftrag.

Auftragskontrolle

(Maßnahmen, die geeignet sind, zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.)

  • AR-Experts arbeitet ausschließlich mit führenden Cloud Hosting Anbietern zusammen ( Google Cloud, AWS, MS Azure), die ebenfalls entsprechende ToCs implementiert haben

  • Zugangsdaten (Passwörter) der Server sind allein der AR-Experts GmbH oder alternative seinem autorisiertem Servicepartner bekannt.

  • Es werden Daten nur, wie vereinbart, verarbeitet. Zukünftige Datenverarbeitungsfeature müssen explizit nach Auftrag, aktiviert werden.