Schaubild 2 - Sicherheitskontrollen
RemotePC will implement the controls listed below or their equivalent during the term of this DPA:
1. Zugangskontrollen. Der Datenverarbeiter ergreift geeignete Maßnahmen, um zu verhindern, dass Unbefugte Zugang zu den Datenverarbeitungsanlagen erhalten. Dies wird erreicht durch:
- Zugangsberechtigung für Mitarbeiter und Dritte
- Keycards und Ausweise
- Einschränkung der Schlüssel
- Anforderungen an Dritte
- Identifizierung der zugangsberechtigten Personen
- Schutz und Beschränkung der Ein- und Ausgänge
- Einrichtung von Sicherheitszonen
- Sicherung des Gebäudes (z. B. Sicherheitsalarmanlagen)
2. Zugriffskontrolle auf Daten. Der Datenverarbeiter verpflichtet sich, dass die zur Nutzung der Datenverarbeitungssysteme berechtigten Personen nur im Rahmen und Umfang der jeweiligen Zugriffsberechtigung auf die personenbezogenen Daten des Kunden zugreifen.
- Verriegelung von Arbeitsplätzen
- Anforderungen an die Benutzerberechtigung
- Vertraulichkeitsverpflichtungen
- Kontrolle der Vernichtung von Datenträgern
- Prozesse für die Entwicklung und Freigabe von Programmen
3. Benutzerkontrollen. Der Datenverarbeiter ergreift geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von unbefugten Personen genutzt werden, einschließlich des unbefugten Lesens, Kopierens, Änderns oder Entfernens der gespeicherten Daten und Datenträger. Dies wird erreicht durch:
- Anforderungen an die Zugangsberechtigung
- Protokollierung von Ereignissen und Aktivitäten
- Dedizierte Arbeitsplätze und/oder Benutzer
- Authentifizierung von autorisiertem Personal
- Verwendung von Verschlüsselung, wenn der Auftragsverarbeiter dies für angemessen hält
- Kontrolle der Entnahme von Datenträgern
- Sicherung von Bereichen, in denen sich Datenträger befinden
- Zu den Authentifizierungsanforderungen gehören starke Passwörter und regelmäßige Änderungen der Passwörter.
- Deaktivierung von inaktiven Konten innerhalb von 60 Tagen.
- Wenn eine Sitzung länger als 15 Minuten inaktiv war, muss sich der Benutzer erneut authentifizieren, um das Terminal oder die Sitzung wieder zu aktivieren.
- Authentifizierungsanforderungen für den Fernzugriff.