Datenschutz

Die Einhaltung aller Datenschutzbestimmungen nach deutschen und europäischen Standards ist für DOCUBYTE eine Selbstverständlichkeit und bietet die Basis für eine vertrauensvolle Zusammenarbeit. Aus diesem Grund sind wir zertifiziert und lassen unsere Datenverarbeitungs-Räumlichkeiten von einem externen Dienstleister rund um die Uhr überwachen.

Zertifikat_DSaudit Konzept_Datenschutz Öffentliches Verfahrensverzeichnis
Zertifikat Datenschutz-Audit Konzept Datenschutz & Datensicherheit Öffentliches Verfahrensverzeichnis

 

Die acht Gebote der Datensicherheit und deren Umsetzung bei DOCUBYTE

NR
Bezeichnung
Inhalt
Umsetzung bei Docubyte
1ZutrittskontrolleGewährleistung, dass Unbefugten der Zutritt zum Unternehmen und zu Datenverarbeitungsanlagen verwehrt wirdDer Zutritt ist tagsüber über einen offenen Haupteingang in die Flurbereiche möglich, von denen im 2. Geschoss das Unternehmen DOCUBYTE nur über die stets geschlossene Haupteingangstüre betreten werden kann. Die Zutrittskontrolle ist über ein Codeschloss mit numerischer Tastatur gewährleistet. Die zentralen Datenverarbeitungsanlagen (Server, Datenspeichersysteme, Firewall, USV, zentrale Alarmanlage etc.) befinden sich in einem verschlossenen Serverraum, der nur mit entsprechendem Schlüssel betreten werden kann. Nur der dedizierte Personenkreis hat eine Zutrittsberechtigung zum Serverraum. Zu den Zeiten, in denen die Büroräume nicht besetzt sind, ist eine Alarmanlage aktiv. Die Anlage wird täglich automatisch auf uneingeschränkte Funktion überprüft. Bei unbefugtem Eindringen wird die Polizei alarmiert.
2ZugangskontrolleGewährleistung, dass Unbefugten der Zugang zu und die Nutzung von Datenverarbeitungssystemen verwehrt wirdDie Zugangskontrollsysteme von DOCUBYTE sind nach folgendem Grundsatz aufgebaut: zentrale Benutzervergabe mit Benutzerkennung und Passwort. Für die Vergabe von Anmeldepasswörtern am internen Netzwerk existieren unterschiedliche Verfahren, ebenso für die regelmäßige Änderung der Passwörter. Zudem gibt es weitere Maßnahmen, die den Zugang zum Unternehmensnetzwerk regeln (externer Zugriff erfolgt ausschließlich über sichere VPN-Verbindungen in Zusammenspiel mit Zertifikats-Dateien; Internetzugang ist für die Produktionsräume vollständig gesperrt; FTP, TCP, HTTP, SMTP, etc. sind nur für definierte Rechner im Netzwerk freigegeben; nicht benötigte Ports sind sowohl nach außen als auch nach innen deaktiviert). Die Zugangskontrollmaßnahmen unterliegen einer stetigen Überprüfung hinsichtlich der aktuellen Gefahrensituation.
3ZugriffskontrolleGewährleistung eines angemessenen Zugriffskontrollsystems; d.h., dass jeder nur über die Rechte verfügt, die er zu seiner Arbeit brauchtDas Arbeiten im Netzwerk erfordert Zugänge zu unterschiedlichen, dem Aufgabenbereich zugeordneten Systemen. Die Qualität der einzelnen Passwörter ist durch entsprechend hohe Anforderungen wie Vorgaben zu Komplexität, Mindestlänge, Gültigkeitsdauer, Eindeutigkeit innerhalb der Änderungsintervalle und automatischer Sperre nach fehlerhaften Anmeldeversuchen bzw. ausbleibender Nutzung bestimmt. Zudem kann jeder Anwender nur die Aufgaben und Transaktionen durchführen, die gemäß einem abgestimmten Berechtigungskonzept seiner Aufgabe zugeordnet sind.
4WeitergabekontrolleGewährleistung, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden könnenDie elektronische Übertragung von vertraulichen und personenbezogenen Daten von und zum Auftraggeber findet über verschlüsselte Datenleitungen statt. Zum Einsatz kommen u. a. Verfahren wie S-FTP. Papierdokumente werden entweder durch unternehmenseigene Fahrdienste oder durch geprüfte Dienstleister transportiert. Je nach Vertragssituation können Papierdokumente auch durch zertifizierte Dienstleister entsprechend der vereinbarten Sicherheitsstufe DIN 32575 nachweisbar vernichtet werden.
5EingabekontrolleGewährleistung der nachträglichen Überprüf­barkeit hinsichtlich der Eingabe, Veränderung oder Entfernung personenbezogener Daten; Gewährleistung einer nutzerbezogenen Zuordnung von AktivitätenAusschließlich autorisierter Zugriff auf Daten über eindeutige Benutzeridentitäten. Protokollierung von Zugriffen und Veränderungen an personenbezogenen Daten. Es ist bei jedem Verarbeitungsschritt nachweisbar, wer welchen Arbeitsschritt vollzogen hat. Damit kann nachträglich überprüft werden, von welchem Mitarbeiter wann welche Daten des Kunden vorbereitet, gescannt, erfasst, geliefert, verändert oder gelöscht worden sind.
6AuftragskontrolleGewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werdenMit den Dienstleistern werden im Rahmen der Auftragsdatenverarbeitung klare Absprachen bezüglich Rollendefinitionen, Aufgabenumfang, -inhalt sowie vor allem Weisungs- und Kontrollbefugnisse getroffen.
7VerfügbarkeitskontrolleGewährleistung, dass personenbezogene Daten vor Zerstörung und Verlust geschützt sindAlle personenbezogenen Daten sind im Hinblick auf Verfügbarkeit und Wiederherstellbarkeit besonders gesichert. Hierfür werden redundant ausgelegte Backup-Systeme und zusätzlich auch Systeme mit ausgelagerter Datenhaltung genutzt.
8DatentrennungGewährleistung, dass Daten, die zu unterschiedlichen Zwecken erhoben worden sind, getrennt verarbeitet werdenDie Erhebung und Verarbeitung von personenbezogenen Daten erfolgt stets zweckgebunden und sofern für die Aufgabenerfüllung erforderlich in getrennten Systemen. Insbesondere ist durch organisatorische Maßnahmen und sauberste logische Datentrennung sichergestellt, dass Daten unterschiedlicher Kunden getrennt erhoben und verarbeitet werden.