Informationssicherheit

Als ratiokontakt 1996 erste deutsche Unternehmen online brachte, war das Internet noch ein Spartenmedium. Seitdem hat sich viel getan im Netz und bei ratiokontakt. Effiziente Informations- und Internet-Technologien sind grundlegend für jedes Unternehmen geworden. Gleich geblieben ist hingegen unsere Liebe zum Medium und Begeisterung für innovative Produkte.

Kundenzufriedenheit ist für uns als Dienstleister stets das vorrangige Unternehmensziel. Qualität und Qualitätsmanagement sind deshalb wesentliche Bestandteile unserer Unternehmenspolitik. Die Geschäftsleitung und alle Mitarbeiter identifizieren sich mit dieser Leitlinie und der Verantwortung dem Kunden gegenüber. Informationssicherheit war für ratiokontakt nie Luxus, sondern die Basis unseres Handelns. Es ist die Kombination von intelligenter Infrastruktur, bewährten Prozessen und konsequenter Überwachung und Optimierung, die uns und unsere Kunden nachts ruhig schlafen lässt.

DIN ISO/IEC 27001

Verarbeitung personenbezogener Daten

Aufgabe des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten durch Dritte in seinem Persönlichkeitsrecht, d. h. seinem Recht auf informationelle Selbstbestimmung, beeinträchtigt wird. Mitarbeiter unserer Organisation dürfen Daten nur verarbeiten oder in sonstiger Weise nutzen, wenn und soweit dies zur Erfüllung der ihnen jeweils übertragenen Aufgaben erforderlich ist und wenn die Daten zu diesem Zweck erhoben oder von anderen Stellen übermittelt wurden. Jeder Mitarbeiter unterzeichnet nach vorheriger Schulung eine Verschwiegenheitserklärung, die interne Regelungen und die Handhabe sensibler Kundendaten erläutert.

Zusätzlich zum regulären Rahmenvertrag über unsere Hosting-Dienstleistungen kann für entsprechende Projekte ein Vertrag über Auftragsdatenverarbeitung geschlossen werden. In diesem werden Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck der vorgesehen Datenverarbeitung, Plichten und Rechte von Auftraggeber und Auftragnehmer sowie technische und organisatorische Maßnahmen festgehalten.
Verarbeitung personenbezogener Daten

Technische und organisatorische Maßnahmen

ratiokontakt gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die nach § 9 Bundesdatenschutzgesetz und Anlage gesetzlich geforderten technischen und organisatorischen Sicherheitsmaßnahmen. Die unten aufgeführten Maßnahmen werden nach Absprache mit dem Auftraggeber abhängig von den Anforderungen des Datenverarbeitungsauftrags im Detail festgelegt und umgesetzt.

Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird:
  • elektronische Schließanlage
  • 24/7 Videoüberwachung mit 14-tägiger Speicherung
  • Protokollierung der Besucher
  • Einbruchmeldeanlage mit Aufschaltung des Sicherheitsdienstes
  • Absicherung von Gebäudeschächten
  • Sorgfältige Auswahl von Reinigungspersonal
Maßnahmen mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird.

Technische Maßnahmen
  • Erstellen eines Berechtigungskonzeptes
  • Passwort-Richtlinien
  • Firewall-Konzept
  • Anti-Viren-Software
  • VPN-Technologie
  • Verschlüsselung von Datenträgern in PCs / Laptops / Notebooks der Mitarbeiter
  • Update- und Patch-Management

Organisatorische Maßnahmen
  • Gehäuseverriegelungen an den Serverracks
  • Private Besuche am Arbeitsplatz sind grundsätzlich untersagt
  • Geschäftliche Besuche unterliegen einer durchgängigen Aufsicht
  • Lieferanten werden persönlich vom Eingangsbereich abgeholt und stehen durchgängig unter Aufsicht
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können.
  • Erstellen eines Berechtigungskonzeptes
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Dateien
  • Passwort-Richtlinien
  • Sichere Aufbewahrung, physische Löschung und ordnungsgemäße Vernichtung von Datenträgern
  • Die Weisungskommunikation erfolgt auf Seiten des Auftragnehmers über ein ITIL-konformes Ticketsystem
  • Heimarbeitsplätze sind bei der Verarbeitung personenbezogener Daten unzulässig
  • Benachrichtigung und Kontosperrung bei Spamversand
  • Rootkit-Hunter (automatische Suche nach Sicherheitsrisiken)
  • Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Sofern der Kunde in seinen Systemen personenbezogene Daten verarbeitet, ist der Kunde primär selbst für die Absicherung der Daten zuständig. Wird diese Zuständigkeit abgetreten, so sind die Sicherungsmechanismen in unregelmäßigen Abständen durch den Kunden zu prüfen.
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Sicherer IPsec-Tunnel zwischen unseren Standorten in Bamberg und Nürnberg
  • Sicherer OpenVPN-Tunnel für Bereitschaftstechniker
  • Für Kunden-Services werden immer sichere Zugangskanäle angeboten
  • Sorgfältige Auswahl von Transportpersonal und -fahrzeugen beim physischen Transport
  • Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können.
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
  • Protokollierung der Systemaktivitäten durch ein Monitoringsystem
  • Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen Daten eingegeben, geändert und gelöscht werden können
  • Protokollierung aller Arbeiten im ITIL-konformen Ticketsystem
  • Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  • Vertrag zur Datenverarbeitung
  • Formalisierte Auftragserteilung
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust, gegen technische Störungen durch Versagen der Betriebs-/Anwendungssoftware, vor fahrlässigen/vorsätzlichen Handlungen, vor schadenstiftender Software geschützt sind.
  • Erstellung eines Backup- und Recovery-Konzeptes
  • Rootkit-Hunter (automatische Suche nach Sicherheitsrisiken)
  • Firewall-Konzept
  • Intrusion-Detection/Prevention-Systeme
  • Anti-Viren-Software
  • 24/7 Monitoring sämtlicher Dienste
  • 24/7 Bereitschaftstechniker auf Abruf verfügbar
  • Unterbrechungsfreie Stromversorgung
  • N + 1 redundante Klimatisierung
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in den Serverräumen
  • Feuer- und Rauchmeldeanlagen
  • Feuerlöschgeräte
  • Alarmmeldung bei unberechtigtem Zutritt zu den Serverräumen
  • Schutzsteckdosenleisten in den Server-Racks
  • Blitz- und Überspannungsschutz
  • Notfallpläne
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die zu unterschiedlichen Zwecken und für verschiedene Auftraggeber erhoben wurden, getrennt verarbeitet werden.
  • Datenverarbeitung erfolgt grundsätzlich auf je nach Zweck getrennten Systemen
  • Erstellung eines Berechtigungskonzeptes
  • Versehen der Datensätze mit Zweckattributen/Datenfeldern
  • Trennung von Produktiv- und Test-Systemen

img jhkvc@ojzsvcpemdlk.