TOM-Anlage
HOSTING-STATION55 - technische und organisatorische Maßnahmen
1. Zutrittskontrolle
Physische Server- und Rechenzentrumsbereiche sind durch Zutrittsregelungen, technische Sicherung, Protokollierung und kontrollierte Zugangsprozesse geschützt. Zutritt erhalten nur berechtigte Personen.
2. Zugangskontrolle
Administrative Zugänge sind passwortgeschützt. Wo möglich werden individuelle Benutzerkonten, starke Passwörter, Rollen-/Rechtekonzepte und zusätzliche Sicherheitsmaßnahmen eingesetzt.
3. Zugriffskontrolle
Zugriffe auf Kundenumgebungen, Verwaltungsoberflächen, Tickets, Backups und Systeme erfolgen nur durch berechtigte Personen und nur soweit für Betrieb, Support, Sicherheit oder Vertragsdurchführung erforderlich.
4. Mandantentrennung
Kundenumgebungen werden technisch getrennt verwaltet. Zugriffsrechte, Speicherbereiche, Benutzerkonten und Konfigurationen werden so gestaltet, dass ein unbefugter Zugriff auf andere Kundenumgebungen verhindert wird.
5. Weitergabekontrolle
Datenübertragungen erfolgen soweit möglich verschlüsselt. Zugriff und Weitergabe werden auf den erforderlichen Zweck beschränkt. Vertrauliche Informationen werden nicht unnötig offengelegt.
6. Eingabekontrolle und Protokollierung
Administrative Änderungen und sicherheitsrelevante Vorgänge können protokolliert werden. Protokolle dienen Betrieb, Nachvollziehbarkeit, Missbrauchsabwehr und Fehleranalyse.
7. Verfügbarkeitskontrolle
Es werden Maßnahmen zur Verfügbarkeit und Wiederherstellbarkeit eingesetzt, insbesondere Monitoring, Wartung, Backupkonzept, Schutz vor Malware/Spam, Systemaktualisierungen und Wiederherstellungsprozesse.
8. Backupkonzept
Backups werden nach dem jeweils geltenden Backup-Konzept erstellt. Als Richtwert gilt eine wöchentliche Sicherung mit Aufbewahrung bis zu 3 Monaten. Wiederherstellungen erfolgen nach technischer Möglichkeit und vereinbartem Leistungsumfang.
9. Verschlüsselung und Transport
Datenübertragungen werden soweit möglich per TLS geschützt. Passwörter und Zugangsdaten werden vertraulich behandelt. Kundenseitige Anwendungen und Inhalte müssen vom Kunden zusätzlich passend abgesichert werden.
10. Schwachstellen, Updates und Sicherheit
HOSTING-STATION55 pflegt die von ihr verantworteten Systeme nach angemessenem Stand der Technik. Für kundeneigene Anwendungen, Skripte, CMS, Plugins, Themes, Inhalte und Konfigurationen bleibt der Kunde verantwortlich, soweit kein abweichender Managed-Service vereinbart ist.
11. Auftragskontrolle
Support- und Wartungsvorgänge erfolgen auf Grundlage von Vertrag, Ticket, E-Mail oder sonstiger dokumentierter Weisung. Personen, die Zugriff auf personenbezogene Daten haben können, werden auf Vertraulichkeit verpflichtet.
12. Vorfallmanagement
Sicherheits- und Datenschutzvorfälle werden bewertet, dokumentiert und nach Relevanz bearbeitet. Betroffene Kunden werden informiert, soweit ihre Daten betroffen sind und eine Information erforderlich ist.