Sicherheitszertifikate
Name des Zertifikats
ISAE 3402 Typ II
ISO/IEC 27001:2013
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Das Unternehmen EWERK RZ hat für den Geltungsbereich Entwicklung und Erbringung von IT-Services gemäß Servicekatalog für externe Kunden einschließlich Beratungsleistungen ein Informationssicherheitsmanagementsystem gemäß „Erklärung zur Anwendbarkeit“ eingeführt und angewendet. Version der Erklärung zur Anwendbarkeit: V 05.00; 2016-06-09.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Nein
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 3 - 99,9 % ? 43:48 Minuten/Monat oder 8:45:58 Stunden/Jahr
Maximale Downtime in Stunden
2
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
1 Arbeitstag
Verfügbarkeit des Kunden-Supports
Übliche Arbeitszeiten (5x8)
Beschreibung der Supportleistungen
Managed Services für Private Cloud umfasst, je nach Ausprägung des Vertrags:
- Operations Management
- Service Level Management
- Security Management
- Incident Management
- Problem Management
- Change Management
- Configuration Management
- Availability Management
Werden Trainings angeboten?
Ja
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Keine Angabe
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
EWERK überwacht seine technische Infrastruktur 24/7/365. Außerhalb der Kernarbeitszeiten (Mo.-Fr., 7:00h-19:00h) ist eine ständige Bereitschaft im Einsatz, die zuverlässig automatisch über Ausfälle informiert wird und -für entsprechende SLAs- auch telefonisch erreichbar ist.
Für besondere Erfordernisse kann auch ein bedienter Betrieb angeboten werden.
Backups
Beschreibung der Backup-Optionen
Das Backup ist als Asynchrones Desaster Recovery Backup ausgelegt.
In zweitem Rechenzentrum oder in anderem Brandabschnitt befindet sich ein Zielsystem mit einem zweiten Cluster.
Je nach Kundenanforderung können lediglich Snapshots des Storage-Systems für ein schnelles Backup, differentielle oder Full Backups konfiguriert werden. Werden Bandsicherungen und/oder -archivierungen benötigt, so kann auch dies individuell konfiguriert werden.
Vorhaltezeiten können individuell festgelegt werden.
Der Kunde selbst kann auch ein Agenten-basiertes Backup aller Maschinen einrichten.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Es existiert ein definiertes Konzept zu Zutritt, Zugang und Zugriff auf das System und in die Datacenterabschnitte. Backups werden verschlüsselt angelegt und bei Bandsicherungen verschlüsselt aufbewahrt.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Nein
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Nein
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Sicherheitsvorfälle werden im Rahmen des Incidentmanagements behandelt. Darüber hinaus werden sämtliche Regelungen der europäischen DS-GVO befolgt und in Abstimmung mit dem Auftraggeber und dem Datenschutzbeauftragten an die zuständigen Behörden gemeldet.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Die benötigten Verschlüsselungstechniken werden nach den Bedürfnissen und Erfordernissen des Kunden bestimmt und eingesetzt. Üblicherweise werden TLS, IPSec und SSL/VPN eingesetzt.
Das Key Management wird ebenso individuell verhandelt und ist flexibel.
Optionen für das Key-Management
Encrpytion-Keys werden durch den Kunden verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Die Umsetzung der Betroffenheitsrechte ist eindeutig im AVV, der zwischen Auftraggeber und Auftragnehmer abgeschlossen wird, geregelt. Die Anfragen, die an den Clouddienstnutzer gestellt werden, werden -soweit technisch möglich- durch EWERK unterstützt.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Sämtliche Kundendaten befinden sich in einem abgeschlossenen "Datencontainer". D.h. der jeweilige Service ist gekapselt und kann nach Bedarf vollständig gelöscht werden.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja