Sicherheitszertifikate
Name des Zertifikats
ISO/IEC 27001:2013
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Datenschutz
Geografischer Standort des Rechenzentrums
Deutschland
Vereinigte Staaten
Singapur
Brasilien
Datenschutzzertifizierung
ISO/IEC 27018:2014
Trusted Cloud Data Profile v1.0
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Beschreibung
bspw. Datacenter Audits, ansonsten nach Absprache
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 3 - 99,9 % ? 43:48 Minuten/Monat oder 8:45:58 Stunden/Jahr
Maximale Downtime in Stunden
RTO von 2 Stunden. Zeitraum, in dem bei einem Notfall in einem Rechenzentrum u. U. kein Zugriff auf den Service möglich ist.
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
< 1 Arbeitstag
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
SaaS mit 1st Line Helpdesk als optionale Komponente
Werden Trainings angeboten?
Ja
Trainingspartner
Bei Bedarf wird der Trainingsumfang und die Art individuell mit dem Kunden abgestimmt.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch Dritte
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Entsprechende SLAs sind Teil der Leistugnsbeschreibung.
Backups
Beschreibung der Backup-Optionen
Der DCS-Service wird in zwei Rechenzentren („Twin-Core“) mit zertifizierter Sicherheit betrieben, die für jeden Service eine Failover-Funktion bereitstellen. Serversysteme und Systeme für Betriebsmanagement und Überwachung, Sichern und Wiederherstellen werden in Räumen betrieben, die für diese Zwecke zugelassen sind. Backup-Daten werden zu der alternativen Rechenzentrumslokation geschrieben.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Alle Server sind mit Bitlocker verschlüsselt.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Nein
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Nein
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Im Falle von Sicherheitsvorfällen, die Daten eines Kunden betreffen, wird dieser Standardmäßig darüber informiert, sobald der Vorfall entdeckt wurde.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
HTTPS/TLS, S/MIME , PGP, BitLocker
Optionen für das Key-Management
Encryption-Keys können durch einen externen Service verwaltet werden
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Nein
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Im Rahmen eines jeden Projektes innerhalb des Deutsche Telekom Konzerns wird ein Standardisiertes Sicherheits- und Datenschutzkonzept erstellt, welches durch Konzernsicherheit und Konzerndatenschutz geprüft und freigegeben werden muss.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Es existieren keine Links auf die personenbezogenen Daten.
Es werden lediglich Sicherheitskopien zur Gewährleistung der ordnungsgemäßen Verabeitung. der personen bezogenen Daten erstellt. Diese Sicherheitskopien werden ebenfalls bei Beendigung des Vertragsverhältnisses gelöscht.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja