- Produkte
Compute
Storage
Network
Container
Media
Outsourcing
Database
Artificial Intelligence (AI)
Compute
Storage
Network
Container
Container
Media
Media
Outsourcing
Database
Database
In dieser Rubrik entstehen gerade neue Produkte. Haben Sie noch einen Moment Geduld oder kontaktieren Sie uns für mehr Informationen.
Artificial Intelligence (AI)
Artificial Intelligence (AI)
Alle Produkte im Überblick
- Lösungen
Nach Herausforderung
Use Cases
Cloud-Ansätze
Modern Infrastructure
Business Continuity
Managed Services
Consulting
Nach Herausforderung
Use Cases
Cloud-Ansätze
Cloud-Ansätze
Modern Infrastructure
Modern Infrastructure
Business Continuity
Managed Services
Managed Services
Consulting
Consulting
Profitieren Sie von 25 Jahren Erfahrung im IT-Bereich.
Wir unterstützen Sie auf der Suche nach der perfekten IT-Strategie. Kontaktieren Sie uns für ein unverbindliches Angebot.
Alle Lösungen im Überblick
- Unternehmen
Über Uns
Netstream AG
Richtistrasse 4
8304 Wallisellen
SchweizLinks über das Unternehmen
Technische und organisatorische Massnahmen (TOM)
Technische und organisatorische Massnahmen (TOM)
Version: 01.11.2022
Diese Dokumentation enthält die technischen und organisatorischen Massnahmen gemäss Art. 24, 32 Abs. 1 DSGVO. Die Massnahmenkategorien werden den Schutzbedarfszielen Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit untergeordnet, wobei die Belastbarkeit als Unterkategorie der Verfügbarkeit betrachtet wird.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Massnahmen Büroräumlichkeiten:
- Videoüberwachung
- Automatisches Zugangskontrollsystem
- Elektronisches Schliesssystem mit Berechtigungsmanagement
- Türen mit Knauf Aussenseite
- Klingelanlage mit Kamera
- Besucherregelung
- Besucherbegleitung durch Mitarbeitende
- Vertragliche Absicherung Servicepersonal (Reinigung)
Massnahmen Rechenzentren:
- Videoüberwachung
- Automatisches Zugangskontrollsystem
- Elektronisches Schliesssystem mit Berechtigungsmanagement
- Biometrische Zugangssperren
- Restriktive Zugangsrichtlinien
- Wachpersonal
- Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende
- Alarmsystem Eingänge
- Vertragliche Absicherung mit Dienstleistern (Wartung)
- Sicherheitsschlösser
1.2 Zugangskontrolle
Massnahmen:
- strikte Fernzugriffsrichtlinien
- wo möglich Zwei-Faktor-Authentifizierung
- Firewall
- regelmässige Überprüfung von Berechtigungen
- verpflichtende Verschlüsselung von Datenverbindungen
- Verhaltensrichtlinien für Mitarbeitende im Umgang mit schützenswerten Daten
- Passwortrichtlinien
- Zentrales Passwortmanagement
- restriktive Berechtigungsregelung für besonders schützenswerte Daten
- Mobile und Telearbeit Policy
1.3 Zugriffskontrolle
Massnahmen:
- professionelle, externe Vernichtung von Datenträgern
- Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
- Einsatz Berechtigungskonzepte
- Minimale Anzahl an Administratoren
- Verhaltensrichtlinien Administratoren
- Verwaltung Benutzerrichtlinien durch Administratoren
1.4 Trennungskontrolle
Massnahmen:
- Trennung von Produktiv- und Testumgebung
- Physikalische Trennung (Systeme / Datenbanken / Datenträger)
- Mandantenfähigkeit relevanter Anwendungen
- Steuerung über Berechtigungskonzept
- Festlegung von Datenbankrechten
- restriktives Berechtigungskonzept
1.5 Pseudonymisierung
Massnahmen:
- Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
- Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten
2. Integrität
2.1 Weitergabekontrolle
Massnahmen:
- Einsatz VPN
- Protokollierung der Zugriffe und Abrufe
- Verschlüsselte Übertragung von Daten
- Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen
- Weitergabe in anonymisierter oder pseudonymisierter Form
- Lieferantenmanagement nach ISO 27001
2.2 Eingangskonrolle
Massnahmen:
- Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Klare Zuständigkeiten für Löschungen
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Massnahmen:
- Zusätzlicher Sicherheitsstandard durch ISO 27001 Zertifizierung
- Feuer- und Rauchmeldeanlage
- Automatisches Feuerlöschsystem
- Klimaüberwachung Serverräume
- USV
- Notstromgenerator
- Redundante Stromversorgung
- RAID Systeme
- Videoüberwachung
- Alarmanlage
- Backup- und Recoverykonzept (Business Continuity Policy)
- Monitoringsysteme
- Offsite Backups
- Existenz eines Notfallplans
- Redundante Netzzuleitung
- Regelmässige Überprüfung und Tests der Notfallpläne
- Incident-Management-Policy
4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung
4.1 Datenschutzmassnahmen
Massnahmen:
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
- Sicherheitszertifizierung nach ISO 27001
- regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
- Interner Datenschutzbeauftragte
- Datenschutzpolicy für Mitarbeitende und Awarenesstraining
- Sensibilisierung der Mitarbeitenden
- CISO / interner Informationssicherheitsbeauftrage
- Externe Audits
- Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
4.2 Incident-Response-Managment
Massnahmen:
- Einsatz von Firewall
- regelmässige Aktualisierung
- regelmässige Überprüfung nach Sicherheitslücken
- Risikomanagement
- Spamfilter
- Virenscanner
- Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
- Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
- Incident-Management-Policy
4.3 Datenschutzfreundliche Voreinstellungen
Massnahmen:
- Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
4.4 Auftragskontrolle
Massnahmen:
- Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmass- nahmen und deren Dokumentation
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
- Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
- Sorgfalt bei Auswahl von Lieferanten