de Deutsch
English French Deutsch Português Español Русский
Anmelden
Register
de Deutsch
English French Deutsch Português Español Русский
Anmelden
Register

Technische und organisatorische Maßnahmen

Dieses Dokument beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen, die DEVAR zum Schutz der Daten einsetzt, die uns die Kunden im Rahmen des DEVAR-Dienstleistungsangebots anvertrauen.

  • „Entwickler“ bezeichnet eine Person mit einem DEVAR-Konto und gilt als Datenverantwortlicher gemäß GDPR, sofern nicht anders angegeben.
  • „Entwicklerdaten“ bezeichnet alle vom Entwickler bereitgestellten oder übermittelten Informationen, die von DEVAR verarbeitet werden.
  • „Endnutzer“ bezeichnet eine Person, die eine vom Entwickler erstellte App oder Webseite ansieht, die auf der DEVAR-Plattform gehostet werden kann oder auch nicht.
  • „Endnutzerdaten“ bezeichnet alle vom Endnutzer bereitgestellten oder übermittelten Informationen, die von DEVAR verarbeitet werden.
  • „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  • „Personal“ bedeutet DEVAR-Mitarbeiter, Berater und autorisierte Unterverarbeiter.
  • „Starke Verschlüsselung“ bedeutet die Verwendung von dem Industriestandard entsprechenden Verschlüsselungsmaßnahmen.
  • „DEVAR“ bedeutet DEVAR Inc. mit Hauptsitz in Marlton, New Jersey, USA.
ORGANISATION DER INFORMATIONSSICHERHEIT
  • DEVAR beschäftigt hauptamtliches technisches Personal, das für die Aufrechterhaltung der Informationssicherheit verantwortlich ist.
  • Alle Mitarbeiter, die für die Informationssicherheit verantwortlich sind, unterstehen direkt dem Director of Engineering oder dem Chief Executive Officer.
  • Alle Mitarbeiter haben rechtlich geprüfte Vertraulichkeitsvereinbarungen unterzeichnet.
  • Alle Mitarbeiter erhalten bei ihrer Einstellung eine Schulung zum Datenschutz und zur Informationssicherheit.

Physischer Zugang

  • Die DEVAR-Plattform wird von mehreren führenden Cloud-Anbietern betrieben, die in zertifizierten Produktionsrechenzentren von Drittanbietern mit geschützter physischer Umgebung, strengen physischen Kontrollen, elektronischer Zugangskontrolle, menschlichem Sicherheitspersonal, Videoüberwachung und elektronischen Einbruchserkennungssystemen arbeiten.
  • Die Strom- und Telekommunikationskabel, die Entwicklerdaten und Endnutzerdaten oder unterstützende Informationsdienste in den Produktionsrechenzentren transportieren, sind vor Abhören, Störungen und Schäden geschützt.
  • Die Produktionsrechenzentren und ihre Ausrüstung sind physisch gegen Naturkatastrophen, unbefugtes Eindringen, böswillige Angriffe und Unfälle geschützt.
  • Die Ausrüstung des Produktionsrechenzentrums ist vor Stromausfällen und anderen durch Ausfälle der Versorgungseinrichtungen verursachten Störungen geschützt und wird angemessen gewartet.
  • Der physische Zugang zum DEVAR-Unternehmensstandort wird rund um die Uhr durch gesicherte Zugangsausweise, elektronische Einbruchserkennungssysteme und Videoüberwachung kontrolliert.
SYSTEMZUGANG
  • Der Zugang zu den DEVAR-Systemen wird nur dem Personal gewährt, und der Zugang ist streng auf die Personen beschränkt, die ihn zur Erfüllung ihrer Aufgaben benötigen.
  • DEVAR hat eine Passwortpolitik, die die Weitergabe von Passwörtern verbietet und verlangt, dass Passwörter regelmäßig geändert werden. Alle Passwörter müssen bestimmte Mindestanforderungen an die Komplexität erfüllen und werden in verschlüsselter Form gespeichert.
  • Der Zugriff auf Systeme, die Entwicklerdaten und Endbenutzerdaten enthalten, erfordert eine Zwei-Faktor-Authentifizierung und/oder eine Kontenföderation über offene Standards (OAuth2, SAML 2.0 oder ähnlich) von einem zertifizierten Identitätsdienst eines Drittanbieters mit Zwei-Faktor-Authentifizierung.
  • Die gesamte Kommunikation mit Systemen, die Entwickler- und Endbenutzerdaten enthalten, erfordert die Verwendung von starker Verschlüsselung über Protokolle wie HTTPS, SSL/TLS und ähnliche.
  • Der Zugriff auf Entwicklerdaten und Endbenutzerdaten wird beendet, wenn Mitarbeiter das Unternehmen verlassen.
  • Der Zugriff des Personals auf Cloud-Dienste, die Entwicklerdaten und Endbenutzerdaten enthalten, wird protokolliert und überwacht.
DATENZUGANG
  • DEVAR beschränkt den Zugriff des Personals auf Entwickler- und Endbenutzerdaten auf der Grundlage des „Need-to-know“-Prinzips.
  • Jeder dieser Zugriffe und die darauf folgenden Vorgänge werden protokolliert und überwacht.
  • Die Schulung des Personals umfasst Zugriffsrechte und allgemeine Richtlinien zur Definition und Verwendung von Entwickler- und Endbenutzerdaten.
VERFÜGBARKEITSKONTROLLEN
  • Quellcode und Konfigurationsdaten werden kontinuierlich bei einem führenden Cloud-Anbieter für Quellcodekontrolle gesichert.
  • Datenbanken und kompilierter Code unterliegen regelmäßigen automatischen Backups.
KONTROLLEN ZUR AUFGABENTRENNUNG
  • Mehrschichtige Umgebungen trennen Entwicklungs-, Staging- und Produktionsserver in isolierte Systeme.
  • Die aktive Entwicklung erfolgt auf Testdatenbanken in der Entwicklungsumgebung, die von den tatsächlichen Entwickler- und Endbenutzerdaten isoliert sind.
  • Die Staging-Umgebung ermöglicht es dem DEVAR-Personal, neue Softwareversionen zu testen und Fehler zu beheben, bevor sie in der Produktionsumgebung freigegeben werden.
Diese Seite drucken