Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Wir bei Xpertus halten uns intern an den folgenden Codex, den wir uns selbst als Richtlinie auferlegt haben.

 

Xpertus Mitarbeiter Codex

  1. keine einfachen Passwörter verwenden
    Unsere Passwörter sind mind. 10 Zeichen lang, enthalten jeweils Nummern, Sonderzeichen und Buchstaben.

  2. immer ein Backup machen vor einem Update
    Es werden keine Änderungen am System gemacht, ohne das ein aktuelles valides Backup des System vorhanden ist.

  3. keine unverschlüsselten Verbindungen
    Wir übertragen keine Daten über unverschlüsselte Verbindungen. SFTP, SSL und passwortgeschütze Dateien sind Pflicht.

  4. keine Auskunft an unbekannte Dritte Personen
    Nur mit Vollmacht, Legitimation oder uns als Berechtigter bekannte Personen erhalten von uns eine Auskunft über befugte Kundendaten.

  5. den Kunden proaktiv informieren
    Systemwartungen, Software Updates und geplante Neustarts von Systemen werden dem Kunden vorab mitgeteilt


  6. der Kunde muss produktiv arbeiten können
    Wartungs- und Pflegearbeiten an den Systemen sind so zu planen, dass für den Kunden die Unterbrechnung so gering wie möglich ist.

Maßnahmen gemäß Art. 32 DSGVO bzw. § 9 BDSG

Im folgenden möchten wir Ihnen beschreiben und aufzeigen, wie wir unsere innerbetriebliche Organisation gestaltet haben, damit sie den besonderne Anforderungen Ihrer Datensicherheit gerecht wird. Hierbei möchten wir Ihnen unsere Maßnahmen kurz Auflisten:

 

Nummer    Titel der Maßnahme                Beschreibung der Maßnahme
     
 1.0             Verschlüsselung             Verschlüsselte Datenübertragung gemäß Industriestandart
   und Anonymisierung      Nur VPN oder lokale Kommunikation
   personenbezogener Daten       Verschlüsselung von Datenträgern, die extern gehen
     Löschung der Protokolle gemäß Löschkonzept
     
 1.1  Vertraulichkeit  Rechenzentrum ist gesichert mit Sicherheitstüren
     Anlage ist mit Videoüberwachung
     Alarmanlage gesichertes Gebiet
     Umzäuntes Geländes des RZ
     Werkschutz-dienst und Empfang
     Personifizierte Magnetkarten
     Nur Begleitung im RZ möglich
     Physikalischer Transport in sichere Verpackung
     Vernichtung von Datenträgern nach Abschluss
     Nur Zutritt mit vorheriger Anmeldung
     Vernichtung von Papierunterlagen gemäß Din 66399
     Schulung gemäß Datenschutz Verordnung
     Automatische und Passwortgesicherte PC-Sperre
     Begrenzte Rechte für Mitarbeiter
     Protokollierung über Anmeldungen und Zugriffe
     Verwaltung der Rechte durch die Geschäftsleitung
     Logische Kundentrennung innerhalb unserer Systeme
     
 1.2  Integrität  Firewall Absicherung und Portkontrolle 
     OpenSource VPN Router
     Endpoint Security der Arbeitsplätze und Workstation
     Protokollierung der Zugriffe der Systemdienste
     Sichere Aufbewahrung von Kunden-Datenträgern
     Sichere Aufbewahrung von Kunden-Systeme
     Einspielung von Hersteller Updates Sicherheitsupdates
     Automatische Sperre bei falschem Login
     
 1.3      Verfügbarkeit  Einsatz von USV Systemen
     Einsatz von Überspannungsschutz
     Brandmeldesysteme im RZ
     Verfügbare Handfeuerlöscher
     Einsatz von Monitoring Software
     Einsatz von Fernwartungstools
     Verschlossene Serverschränke
     Klimatisierung der Serverräume
     Einsatz von RAID Konfigurationen
     Redundanter Datenspeicher zum Schutz vor Datenverlust
     Redundante Hardwareauslegung
     Temperaturüberwachung der Systeme und Server-Räume
     
 1.4  Belastbarkeit  Zutrittskonzept für Zutritt zum RZ
     Einstellungsprozesse bei Personaleinarbeitung
     24h Verfügbarkeit des Netzwerk Operationsteam des RZ
     
 2.0              Wiederherstellbarkeit  Regelmäßige Datensicherung der Systeme
     Monitoring zur Verhinderung von Datenverlust
     Reaktionsvereinbarungen mit Unterauftragnehmer
     Trennung von Life System und Backup
     24h Störungsbereitschaft im RZ
     
3.0  Selbstkontrolle  Führung Organisationshandbuch
     Schulung der Xpertus Mitarbeiter
     Vertragliche Gestaltung mit Subunternehmer
     Prüfung und Test der Funktionen
     Verpflichtung der Mitarbeiter auf Vertraulichkeit
     Stellung eines internen Datenschutzbeauftragten