Child pages
  • Technische und Organisatorische Maßnahmen (TOMs)

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: ISO-Zertifizierung und Ubuntu enigearbeitet

TOMs der ITEG IT-Engineers GmbH

Version 1.0 vom

...

18.

...

6.

...

2021

Hinweis: PDF-Downloads aller veröffentlichten Versionen finden sich am Beginn von Vereinbarungen über ITEG-Hosting als Auftragsverarbeitung nach Art. 28 DSGVO.

Einleitung

...

Im Jahr 2018 hat ITEG IT-Engineers GmbH wurde intuitiv immer schon sicher und am Stand der Technik gearbeitet. Dies werden wir durch eine Zertifizierung nach ISO 27001 im Lauf des Jahres 2018 auch offiziell bestätigt bekommen. Sobald dies erfolgt ist werden wir hier die ISO-Zertifizierten TOMs einarbeiten bzw. auf ISMS-Maßnahmen verweisen.Um auch in der Zwischenzeit DSGVO-konforme Auftragsverarbeitungs-Vereinbarungen abschliessen zu können finden sich folgend unsere wichtigsten Technischen und Organisatorischen Maßnahmen: auf Basis der immer schon gelebten sicheren Prinzipien ein formelles Informationssicherheitsmanagement eingeführt. Dazu gehört diese DSGVO-konforme Liste der Technischen und Organisatorischen Maßnahmen (TOMs).

Am 18.12.2028 wurden unser Informationssicherheitsmanagement erfolgreich nach ISO-27001 zertifiziert.

Zugangskontrolle

Alle Hosting-Server befinden sich in versperrten Racks in Datencentern mit elektronischer Zutrittskontrolle sowie Videoüberwachung.

...

Unverschlüsselt werden die Hosting-Daten werden nur auf den internen Festplatten der jeweiligen Server sowie am primaren Backup-Space (ebenfalls im Datacenter) gespeichert.

Der Alle 3 Backup-Spiegel auf einem NAS (NAS-Systeme in 2 Datacentern und im ITEG-Büro ist ) sind verschlüsselt.

Die einzigen mobilen Datenträger, die externen Backup-Medien, sind verschlüsselt und werden in einem versperrten Stahlschrank gelagert.

...

Über Administratorenrechte auf physischen Hosts und virtuellen Server verfügen ITEG-seitig nur die beiden Geschäftsführer sowie ein angestellter System-Administrator, die sich alle ausschliesslich mit PIN-geschützten Hardware-Token (yubikey) einloggen können. Der Zugriff auf physische Hosts ist außerdem auf bestimmte Client-IP-Adressen (ITEG-Büro, Wohnung des CTOCIO, ...) eingeschränkt.

Auf virtuellen Root-Hosts haben teilweise auch die jeweiligen Kunden (die Verwantwortlichen) bzw. von den Verantwortlichen beauftragte volle Administratorenrechte und sind für die Benutzerkontrolle mitverantwortlich.

...

Disclaimer Alt-Software Betriebssysteme

Beim den für Hosting eingesetzten BetriebssystemBetriebssystemen, Debian Linux und Ubuntu Linux, wird jede Generation nur für ca. 2-5 Jahre mit Updates versorgt. Gehostete Kundendienste (Webanwendungen, ...) müssen daher regelmäßig auf neuere virtuelle Server migriert werden um weiterhin sicher genug zu sein.

...