Allgemeine Beschreibung der technischen und organisatorischen Massnahmen

 

1.    Vertraulichkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen ist zu reduzieren.

>> Zutrittskontrolle

Technische und organisatorische Massnahmen:

  • Regelung zur Besucherführung
  • Anmeldung am Empfang
  • Besucher wird vom Empfang in die Besucherliste eingetragen
  • Persönliche Besucherführung
  • Weitere Schutzmassnahmen
    • Security Überwachung
    • Kameraüberwachung

 

>> Zugangskontrolle

Technische und organisatorische Massnahmen:

  • Zugangskontrolle zu Rechnern des DocuWare Netzwerkes und cloudbasierten Accounts
    • Userkennung
    • Verpflichtende Zwei-Faktor-Authentifizierung
    • Ortbasierte Login-Blockade (Länder Blacklist)
    • Sicheres Passwort
      • Passwortwiederholungssperre nach 3 Fehlversuchen
      • Komplexität, 9 Zeichen, keine Passwortwiederholungen
      • Änderungszyklus
    • Zeitgesteuerte passwort-geschützte Pausenschaltung (Bildschirmschoner)
      • Es existiert eine Regelung, in welcher die Mitarbeiter darauf verpflichtet wurden, die Rechner beim Verlassen des Arbeitsplatzes manuell zu sperren. Nach 15 min. wird der Bildschirm automatisch gesperrt
    • Absicherung der vernetzten Systeme gegen unbefugtes Eindringen
      • Firewall
      • Endpoint Protection
      • Auditing and Threat Detection
      • Externe Penetration Tests zur Schwachstellenfindung und Behebung
      • Festplatten in Notebooks sind verschlüsselt

 

>> Zugriffskontrolle

Technische und organisatorische Massnahmen:

  • Berechtigungsprofil für Mitarbeiter
  • Benutzerverwaltung
  • Zugriffsbefugnis abhängig von
    • Verantwortlichkeiten
    • Aufgabenstellung
  • Soweit erforderlich auch differenziert nach
    • Leseberechtigung
    • Schreibberechtigung
  • Berechtigungen für externe Mitarbeiter werden in der IT Datenbank dokumentiert. Alle Anfragen für Berechtigungsänderungen werden von der IT im Ticketsystem
  • Klare Regeln zur Anpassung der Rechteverwaltung
    • Bei Veränderung des Aufgabengebietes eines Mitarbeiters werden nicht mehr benötigter Rechte zeitnahe angepasst.
    • Änderungen werden über Ticketsystem der IT abgehandelt und
    • Berechtigungen der externen Mitarbeiter und Zugriff auf business-kritische Applikationen werden regelmässig geprüft.
  • Massnahmen für die Zugriffskontrolle
    • Programmprüfungs- und Freigabeverfahren
    • Protokollierung und Auswertung von sicherheitskritischen Vorfällen
    • Änderungen an Firewall Einstellungen

 

>> Trennungskontrolle

Technische und organisatorische Massnahmen:

  • DocuWare Cloud Systeme
    • Logische Trennung der Daten (Dokumente) und der Datenbanken pro Kunden
      • Dokumente: jeder Kunde hat einen eigenen File Share, in dem seine Dokumente abgelegt werden
      • Datenbank: jeder Kunde hat eine eigene Datenbank
        • Enthält Indexdaten für Dokumente in Briefkörben und Archiven
        • Enthält auch Organisationsdaten wie Benutzer und Rollen
      • DocuWare System Datenbank
        • Enthält Daten, die für den Betrieb des Systems benötigt werden (nicht kundenspezifisch)

 

 

2.   Integrität

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten für betroffene Personen durch unbeabsichtigte oder unbefugte Veränderung oder unrechtmässiges oder fahrlässiges Handeln von im Auftrag verarbeiteten Daten ist zu reduzieren.

>> Weitergabekontrolle

Technische und organisatorische Massnahmen:

  • Übertragung der Daten über das Internet erfolgt immer im verschlüsselten Format
    • VPN: zwischen verschiedenen Standorten des Firmennetzwerkes und Datenzentren
    • SSL: Zugriff auf die DocuWare Cloud Systeme für Kunden
  • Schutz der Daten bei ihrer Übertragung
    • Passwortschutz
    • TeamViewer wird von Support und Professional Service zur Fernwartung genutzt (verschlüsselte Verbindung)
    • Zugangsdaten (auch zu Kundensystemen) werden in Password Tools verwaltet
      • Wichtig:
        • Geben Sie nie Test Accounts oder Zugangsdaten in Emails an DocuWare weiter
  • Test Accounts oder Zugangsdaten für den DocuWare Support oder Professional Services sollten nach Abschluss des Supportfalles oder des Projektes deaktiviert werden bzw. die Passwörter geändert werden
  • Absicherung von PCs und externen Laufwerken (mobile Festplatten, USB-Sticks etc.) gegen Missbrauch
    • Sicherheitsrichtlinien für den verschlüsselten Transport befinden sich im Datenschutz Handbuch
  • Nutzung mobiler Datenträger ist in einer Richtlinie geregelt
  • Sichere Löschung / Entsorgung von Datenträgern
    • Ausgemusterte Datenträger werden in der IT Abteilung gesammelt und dort fachgerecht gelöscht und danach entsorgt
  • Zugriff auf die Kundendaten und Kundensysteme in einer Fernwartung
    • Auftraggeber startet TeamViewer. Dieser zeigt ihm eine Nummer an. Diese Nummer teilt er dem DocuWare Mitarbeiter mit, damit dieser die Verbindung aufbauen
    • In Absprache mit dem Kunden verwendet Professional Service teilweise auch einen Modus, indem der Kunde die Verbindung auf seiner Seite nicht bestätigen
    • TeamViewer verwendet eine gesicherte Verbindung
    • Protokollierung der Fernwartung

 

>> Eingabekontrolle

Technische und organisatorische Massnahmen:

  • Zugriff auf die Kundendaten und Kundensysteme in einer Fernwartung
    • TeamViewer Fernwartungszugang muss vom Auftraggeber aktiv gestartet
    • In Absprache mit dem Kunden verwendet Professional Service teilweise auch einen Modus, indem der Kunde die Verbindung auf seiner Seite nicht bestätigen muss
    • Teamviewer Fernwartungen werden auf beiden Seiten (Kunde/Auftragnehmer) protokolliert

 

3.   Verfügbarkeit und Belastbarkeit

Das Risiko physischer, materieller oder immaterieller Schäden bzw. das Risiko der Beeinträchtigung der Rechte und Freiheiten auch durch unrechtmässiges oder fahrlässiges Handeln für betroffene Personen durch Nichtverfügbarkeit von im Auftrag verarbeiteten Daten ist zu reduzieren.

>> Verfügbarkeitskontrolle

Technische und organisatorische Massnahmen:

  • Backup: Wichtige Daten werden turnusmässig in einem Backup System gesichert und nach festgelegten Zeitplänen an einen externen Ort synchronisiert (Cloud Backup).
  • Server und Infrastrukturgeräte im lokalen Netzwerk hängen an einer Bei Servern in den Rechenzentren kümmert sich darum der Datacenter Provider.
  • Meldewege sind bekannt und einzuhalten
  • Notfallpläne existieren für zentrale Systeme
    • Wichtige Server der DocuWare Cloud Systeme können jederzeit per Script erneut aufgesetzt werden (Skalierung/Ausfallsicherheit)
  • Restore von zentralen Systemen in der IT wird regelmässig

 

 

4.   Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

Es sind Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Massnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu betreiben.

>> Auftragskontrolle

Technische und organisatorische Massnahmen:

  • Regelmässige Überprüfung
    • „Technische und organisatorische Massnahmen“ werden mindestens einmal jährlich überprüft.
  • Überwachung der Durchführung des Kundenauftrags / der Serviceaktion
    • Professional Services beschreibt vor Durchführung des Auftrages einen User Acceptance Test (Testplan, der nach Auftrag funktionieren muss). Die Abnahme durch Kunden wird im Abnahmeprotokoll
  • Protokollierung beim Zugriff auf Kundensysteme und Kundendaten
    • Fernwartungszugriff erfolgt über Dieser kann auch vor Ort verwendet werden, wenn der Kunde dies wünscht.

 

 

>>    Innerbetriebliche Organisation Technische und organisatorische Massnahmen:

  1. Datenschutzmanagement
    • Nur Mitarbeiter, die auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet wurden, dürfen die für ihren Aufgabenbereich entsprechenden Daten
    • Es existieren interne Verhaltensrichtlinien sowie ein Datenschutz
    • Alle Mitarbeiter werden in regelmässig Abständen (min. jährlich) zum Thema Datenschutz per ELearning oder mit anderen Mitteln geschult und
    • In einem Organigramm sowie in Stellenbeschreibungen sind Verantwortlichkeiten und Befugnisse der einzelnen Mitarbeiter festgelegt und im Unternehmen bekannt Dieses wird in regelmässigen Abständen von der obersten Leitung im Rahmen überprüft.
  2. Störfallmanagement
    • Die Einhaltung der technisch- organisatorischen Massnahmen werden jährlich (Audit) durch den Datenschutzbeauftragten überprüft und gegebenenfalls
    • Im Rahmen der Zertifizierungen wird das Störfallmanagement überprüft.
  1. Datenschutz durch Technikgestaltung
    • Auswahl datenschutzfreundlicher Technologie bei der Beschaffung