Januar 2024

Technische und Organisatorische Maßnahmen (TOMs).

Präambel

Die branchly GmbH, im Folgenden auch “branchly” genannt, trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO:

1. Vertraulichkeit

Zutrittskontrolle

Maßnahmen in den Rechenzentren (Azure Cloud Services-Plattform Frankfurt (Germany West Central) und Amsterdam (Europe West)): Der Zugang ist stark reguliert. Nur Personen, welche aus operativen Gründen physischen Zugang benötigen, haben Zugang. Zutrittsrechte werden regelmäßig nach diesem Kriterium überprüft und Recht ggfs. unverzüglich entzogen. Externe Besucher haben keinen Zutritt zum Datencenter, die Sicherheit der Anlagen wird jedoch durch externe Auditoren zertifiziert. Die Anlagen sind rund um die Uhr videoüberwacht und die Anlage alarmgesichert. Das Wachpersonal ist sorgfältig selektiert worden und stets auf dem Gelände. Der Zugang zu dem Datencenter ist durch biometrische Zugangssperren beschränkt.

Maßnahmen am Firmensitz: Der Zugang ist reguliert. Besucher haben ohne Begleitung keinen direkten Zugang. Beschäftigte haben Zutritt durch Schlüssel. Die Ausgabe dieser ist geregelt und protokolliert. Das Reinigungspersonal ist sorgfältig selektiert worden.

Zugangskontrolle Zugängen zu Daten und Systemen werden nachdem “Principle of least privilege” vergeben: Mitarbeiter haben nur Zugriff auf Informationen, Daten und Systeme, die sie zwingend benötigen, um ihre Arbeit zu verrichten. Dies wird sichergestellt, indem das Führungspersonal nur Zugänge zu Systemen und Berechtigungen in Systemen verteilt, wenn sie für die Ausführung der Tätigkeiten nötig sind. Diese Beurteilung erfolgt auf einer Fall-zu-Fall Basis. Die Erteilung und Entzug von Berechtigungen werden von unserem Führungspersonal protokolliert. Die Berechtigungen werden bei Veränderungen von Rollen und Verantwortlichkeiten neu evaluiert.

Der Zugang zu Systemen erfolgt grundsätzlich durch personenbezogene Accounts mit Username und Passwort. Es gibt Passwortvorgaben (u.a. Länge minimal 20 Zeichen), die technisch erzwungen wird. Zudem werden Mitarbeiter geschult Passwörter sicher zu wählen, so dass Attacken mit Hilfe von Wörterbüchern minimiert werden können. Die Passwörter müssen regelmäßig (alle 90 Tage) geändert werden. Dies wird technisch vorgegeben durch Verwendung eines Passwort-Management-Systems.

Alle relevanten Systeme inkl. Notebooks sind verschlüsselt mit einem starken Passwort (minimal 20 Zeichen, minimum alle 90 Tage gewechselt, Vorbeugung gegen Wörterbuchattacken). Ebenso sind mobile Datenträger verschlüsselt. Eine regelmäßiger Sicherheitscheck (u.a. Viren und Schadsoftware) wird durchgeführt.

Der Remote-Zugriff auf sicherheitsrelevante Systeme kann nur per VPN-Zugang erfolgen.

Diverse Systeme und Maßnahmen wie die Verwendung von Firewalls, restriktive Rechteverwaltung, Verschlüsselung, “Threat Detection Software” und “Intrusion Detection Systemen” werden in der Cloud eingesetzt, um Zugriffe von Dritten auf die Server zu verhindern. Unsere sorgfältig ausgewählten Sub-Dienstleister, die in Kontakt mit personenbezogenen Daten gelangen sind extern zertifiziert und haben einen ADV mit uns geschlossen. Insbesondere ist Microsoft für die von uns verwendeten Azure-Services gemäß ISO27001 zertifiziert.

Die Mitarbeiter werden angehalten per IT-Sicherheitsschulung, welche beim Mitarbeiter-Eintritt und in regelmäßigen Abständen darauf erfolgt, eine automatische Bildschirmsperre einzurichten und manuell den Bildschirm zu sperren beim Verlassen des Arbeitsplatzes.

Zugriffskontrolle

Zugängen zu Daten und Systemen werden nachdem “Principle of least privilege” vergeben: Beschäftigte haben nur Zugriff auf Informationen, Daten und Systeme, die sie zwingend benötigen, um ihre Arbeit zu verrichten. So wird die Anzahl der Zugriffsberechtigten und Administratoren in jedem System minimiert. Die Erteilung und Entzug von Berechtigungen werden vom Führungspersonal protokolliert. Die Berechtigungen werden bei Veränderungen von Rollen und Verantwortlichkeiten neu evaluiert.

Zugriffe auf lokale Systeme als auch Zugriffe auf Cloud-Server werden protokolliert. Grundsätzlich werden Speichermedien durch unsere zertifizierten Cloud-Anbieter gemanagt. Von uns verwaltete, nicht mehr verwendete Datenträger werden durch einen externen Anbieter sicher vernichtet. Im operativen Betrieb fallen keine analogen Unterlagen an.

Trennung

Kundendaten und sämtliche anderen Daten sind systemisch komplett isoliert. Innerhalb der Kundendaten-Datenbank werden durch technische Methoden wie “tagging” ein übergreifender Zugriff (von Kunden mit Zugang auf das System auf Daten anderer Kunden) ausgeschlossen.

Entwicklungs-, Test und Produktionsumgebungen sind komplett isoliert voneinander durch Verwendung von getrennten Umgebungen mit eigenständigen Ressourcen.

Pseudonymisierung & Verschlüsselung

Alle Daten werden im Transport durch moderne Verschlüsselungstechnologien (HTTPS, SSL/TLS) verschlüsselt. Ebenso werden alle Sicherungskopien verschlüsselt, um Datensicherheit zu gewährleisten. Protokollierte IP-Adressen werden anonymisiert.

Urheberrecht

Die Inhalte dieser Website unterliegen dem Urheberrecht, sofern nicht anders gekennzeichnet, und dürfen nicht ohne vorherige schriftliche Zustimmung der branchly GmbH weder als Ganzes noch in Teilen verbreitet, verändert oder kopiert werden. Die auf dieser Website eingebundenen Bilder dürfen nicht ohne vorherige schriftliche Zustimmung der branchly GmbH verwendet werden. Auf den Websites enthaltene Bilder unterliegen teilweise dem Urheberrecht Dritter. Soweit die Inhalte auf dieser Seite nicht vom Betreiber erstellt wurden, werden die Urheberrechte Dritter beachtet. Insbesondere werden Inhalte Dritter als solche gekennzeichnet. Sollten Sie trotzdem auf eine Urheberrechtsverletzung aufmerksam werden, bitten wir um einen entsprechenden Hinweis. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Inhalte umgehend entfernen.

2. Integrität

Eingabekontrolle
Durch gezielte Benutzerrollenvergabe kann nachvollzogen werden, welche Nutzer die Möglichkeit haben personenbezogenen Daten einzugeben, zu verändern oder zu löschen. Einzelne Aktionen innerhalb der Systeme werden nicht protokolliert.
Weitergabekontrolle
Alle Daten werden in einer digital verschlüsselten Übertragung nach modernen Sicherheitsstandards (HTTPS; SSL/TLS) transportiert. Ein physischer Transport der Daten findet nicht statt, da es sich um eine rein digitale Lösung handelt.
Nach Beendigung des Auftrags werden alle dem Auftraggeber zugeordneten Accounts gelöscht und sämtliche ihm zugehörigen Daten aus den Systemen gelöscht. Dies kann auf Wunsch des Auftraggebers schriftlich von branchly bestätigt werden.

3. Verfügbarkeit und Belastbarkeit

Redundante Serversysteme an unterschiedlichen geographischen Orten (sogenannten Verfügbarkeitszonen) sorgen für eine hohe Verfügbarkeit. Die Serverräume sind klimatisiert und mit Feuer- und Rauchmeldeanlagen, Temparutur- und Feuchtigkeitssensoren, und Feuerlöschern ausgestattet. Zudem existiert eine USV. Der Zutritt zu den Serverräumen ist videoüberwacht und alarmgesichert.

Sämtliche Systeme und Datenbanken sind redundant aufgebaut, um einem Datenverlust vorzubeugen. Regelmäßige Datensicherungen sowohl in der Cloud (Anbieter: Microsoft Azure Cloud Services-Plattform) als auch lokal sind die Grundlage für eine rasche Datenwiederherstellung im unwahrscheinlichen Fall eines kompletten Systemausfalls. Die Backups in der Cloud werden im 30 Minuten Intervall automatisch durchgeführt. Alle Datensicherungen werden verschlüsselt gelagert.

Es existiert ein IT-Notfallplan.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Beschäftigte werden vertraglich zum sorgfältigen Umgang mit personenbezogenen Daten verpflichtet.

Ein interner Verantwortlicher für den Datenschutz (Herr Markus Linnenberg,  Auerfeldstraße 18, 81541 München, E-Mail: datenschutz@branchly.io) ist bestellt.

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind. Subunternehmer werden ausgewählt unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit).

Es wird jeweils eine Vereinbarung zur Auftragsverarbeitung mit den Sub-Unternehmern geschlossen.