Sicherheitsmaßnahmen Datenmanagement

Der Schutz Ihrer Daten (nachfolgend „Kundendaten“)

In diesem Abschnitt werden die derzeit geltenden Sicherheitsmaßnahmen zum Schutz aller in unserem Master PIM Cloud-Service gespeicherten Daten beschrieben. Die Master PIM GmbH (im Folgenden: „MASTERPIM“, „wir“) unterhält umfassende Sicherheitsmaßnahmen, die in diesen Zusatzbedingungen („Sicherheitsmaßnahmen Cloud Datenmanagement“) festgelegt sind. MASTERPIM behält sich vor, diese Sicherheitsmaßnahmen Kundendaten ohne vorherige Ankündigung zu ändern, wenn sich Standards oder gesetzliche Vorgaben oder technische Anforderungen an Sicherheitslösungen ändern.

Hosting

Microsoft Corporation ist verantwortlich für das Hosting von Master PIM Cloud-Services. Alle Hardware-, Infrastruktur-, Datenspeicherungs- und Kommunikationsleitungen werden von Microsoft Corporation verwaltet und bereitgestellt. Microsoft Corporation verfügt über die folgenden Zertifizierungen: ISO 27001 und ISO 27018.

Details können Sie hier eingesehen werden.

https://azure.microsoft.com/mediahandler/files/resourcefiles/microsoft-azure-compliance-offerings/Microsoft%20Azure%20Compliance%20Offerings.pdf

Maßnahmen

Wir prüfen unsere Netzwerke, Systeme und Dienste, die Organisation und Reaktion auf Sicherheitsvorfälle fortwährend und benennen Verantwortlichkeiten. Unsere Mitarbeiter werden regelmäßig geschult.

Zum Schutz von Kundendaten ergreifen wir angemessene administrative, physische und technische Sicherheitsvorkehrungen. Geschützt werden die Sicherheit, Vertraulichkeit und Integrität von Kundendaten treffen. Dazu zählt unter anderem die Verschlüsselung von Kundendaten auf unseren Systemen und bei der Übertragung während der Nutzung unserer Services oder dem Austausch mit den Kundensystemen via Schnittstellen. Ausgenommen ist die Verwendung von externen Diensten durch Kunden, die keine Verschlüsselung unterstützen,

Auf Nachfrage stellen wir Kunden Informationen über die Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen durch MASTERPIM zur Verfügung.

MASTERPIM hat einen Prozess für den Fall eines die die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Systeme oder Daten beeinträchtigenden Vorfalls. Darin haben wir eine Reaktionszeit, zur Kontaktaufnahme und Information des Kunden sowie Handlungsabläufe zur Eindämmung und Dokumentation etwaiger Vorfälle festgelegt. Die Meldepflicht sicherheitsrelevanter und auf personenbezogene Daten bezogener Vorfälle beträgt 72 Stunden. MASTERPIM versucht Kunden schnellstmöglich, spätestens jedoch innerhalb von 72 Stunden zu unterrichten.

Über unsere Berechtigungsverwaltung gewähren wir nur autorisierten Mitarbeitern Zugang zu unseren IT-Systemen, insbesondere beschränken wir den administrativen Zugang zu Kundendaten.

Auf dem von uns auf dem Gebiet der Bundesrepublik Deutschland genutzten Rechenzentren pflegen wir eine redundante und sichere Netzwerkarchitektur mit ausreichender Übertragungsbandbreite. Dabei kommen Werkzeuge und Methoden nach Branchenstandard zum Einsatz.

Bei der Auswahl des Rechenzentrums haben wir die Einhaltung unserer Sicherheitsstandards, hier die Beschränkung des physischen Zugriffs auf Bereiche, in denen Systeme oder Systemkomponenten installiert oder in Datenzentren gespeichert werden, geprüft sowie den Anbieter auf die Einhaltung der datenschutzrechtlichen und den folgenden Vorgaben hin verpflichtet:

  • Vorhalt einer physischen und an 24x7x365 Tagen erreichbaren Sicherheitsorganisation
  • Sicherstellung von der Zugriffsbeschränkung auf Bereiche, in denen Systeme oder Systemkomponenten installiert oder in Datenzentren gespeichert werden
  • Sicherstellung einer unterbrechungsfreien Stromversorgung und HLK-Systeme, Backup-Stromgeneratorarchitektur
  • Vorhalt einer Brandvermeidungs- und Löschanlage

MASTERPIM verpflichtet Dienstleister

Zugriff auf Konto- und Servicedaten erhalten Dienstleister von MASTERPIM nur wenn dies für die Bereitstellung unserer Services erforderlich ist und der Dienstleister sich zur Einhaltung der nachfolgenden Vorgaben vertraglich verpflichtet hat (Auftragsverarbeitung). Vor der Einschaltung prüfen wir die Leistungen vor der Nutzung des Dienstleisters auf potenzielle Risiken.

Dienstleister sind verpflichtet, Datenverarbeitungssysteme mit angemessenen Maßnahmen wie z.B. Sicherheitspersonal gegen den unbefugten physischen Zugriff zu schützen.

Dienstleister sind verpflichtet, Datenverarbeitungssysteme mit angemessenen Maßnahmen wie gegen die nicht genehmigte Nutzung zu schützen (Authentifizierung über Passwörter und/oder Zwei-Faktor-Authentifizierung, dokumentierte Autorisierungs- und Änderungsmanagementprozesse und/oder die Protokollierung jeglichen Zugriffs auf mehreren Ebenen).

Dienstleister sind verpflichtet, mit angemessenen Maßnahmen sicherzustellen, dass Kundendaten auf den Datenverarbeitungssysteme des Dienstleisters nur ordnungsgemäß autorisiertem Personal zugänglich sind und der direkte Datenbankzugriff so eingeschränkt ist, dass nur autorisierte Personen Zugang haben, so dass  Kundendaten im Laufe der Verarbeitung nicht ohne Autorisierung gelesen, kopiert, geändert oder entfernt werden können.

Dienstleister sind verpflichtet, mit angemessenen Maßnahmen sicherzustellen und festzustellen, wann und an wen die Übermittlung von Kundendaten mittels Datenübertragungseinrichtungen vorgesehen ist, so dass Kundendaten während der elektronischen Übermittlung oder Beförderung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können und ob und von wem Kundendaten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden

Dienstleister sind verpflichtet, Kundendaten mit angemessenen Maßnahmen vor versehentlicher Zerstörung oder Verlust zu sichern.

Dienstleister sind verpflichtet, Kundendaten mit angemessenen Maßnahmen von eigenen und Daten anderer Kunden zu trennen, um sicherzustellen, dass Kundendaten ausschließlich gesondert verarbeitet werden.