- Produkte
Featured
Compute
Storage
Network
Container
TV & Media
Outsourcing
Database
Featured
S3 Object Storage
Hochverfügbarer und flexibler Cloud Objektspeicher kompatibel zum S3-Standard
Virtual Machine
Mit Virtual Maschine erhalten Sie die dieselben Funktionen in der Cloud wie physische Server
Bare-Metal
Eine dedizierte Server-Infrastruktur für Ihr Unternehmen in unserem Rechenzentrum
VMware Tanzu (Kubernetes)
Kubernetes bereitgestellt und integriert in der VMware-Umgebung
Fallback-Infrastruktur
Bauen Sie eine zweite Infrastruktur in der Cloud auf und schalten Sie so bei einem Ausfall einfach um
TV-Signal
Mit dem TV-Signal von Netstream bieten Sie Ihren Kunden bestes TV-Erlebnis in SD, HD oder 4K
Compute
Storage
Network
Container
Container
TV & Media
Streaming
Outsourcing
Database
Database
In dieser Rubrik entstehen gerade neue Produkte. Haben Sie noch einen Moment Geduld oder kontaktieren Sie uns für mehr Informationen.
- Lösungen
Nach Herausforderung
Use Cases
Streaming
Cloud-Ansätze
Infrastructure
Business Continuity
Managed Services
Consulting
Nach Herausforderung
Ich möchte...
- meine on-premises Infrastruktur ablösen / ersetzen
- virtuelle Maschinen in der Schweiz nutzen
- eine dedizierte Infrastruktur in der Cloud
- das IT-Management oder Teile davon loswerden
- mehr VMware Knowledge im Unternehmen
- das Backup redundant sichern
- das Risiko für Ausfallzeiten verringern
- eine Disaster Recovery Strategie
- günstigen und einfachen Cloud-Storage
- von Cloud to Cloud migrieren
Use Cases
Streaming
Cloud-Ansätze
Cloud-Ansätze
Infrastructure
Modern Infrastructure
Business Continuity
Managed Services
Managed Services
Consulting
Consulting
Profitieren Sie von 25 Jahren Erfahrung im IT-Bereich.
Wir unterstützen Sie auf der Suche nach der perfekten IT-Strategie. Kontaktieren Sie uns für ein unverbindliches Angebot.
- Unternehmen
Über Uns
Technische und organisatorische Massnahmen (TOM)
Technische und organisatorische Massnahmen (TOM)
Version: 01.08.2023
Diese Dokumentation enthält die technischen und organisatorischen Massnahmen gemäss Art. 8 revDSG und Art. 24, 32 Abs. 1 DSGVO. Die Massnahmenkategorien werden den Schutzbedarfszielen Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit untergeordnet, wobei die Belastbarkeit als Unterkategorie der Verfügbarkeit betrachtet wird.
1. Vertraulichkeit
1.1 Zutrittskontrolle
Massnahmen Büroräumlichkeiten:
- Videoüberwachung
- Automatisches Zugangskontrollsystem
- Elektronisches Schliesssystem mit Berechtigungsmanagement
- Türen mit Knauf Aussenseite
- Klingelanlage mit Kamera
- Besucherregelung
- Besucherbegleitung durch Mitarbeitende
- Vertragliche Absicherung Servicepersonal (Reinigung)
Massnahmen Rechenzentren:
- Videoüberwachung
- Automatisches Zugangskontrollsystem
- Elektronisches Schliesssystem mit Berechtigungsmanagement
- Biometrische Zugangssperren
- Restriktive Zugangsrichtlinien
- Wachpersonal
- Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende
- Alarmsystem Eingänge
- Vertragliche Absicherung mit Dienstleistern (Wartung)
- Sicherheitsschlösser
1.2 Zugangskontrolle
Massnahmen:
- strikte Fernzugriffsrichtlinien
- wo möglich Zwei-Faktor-Authentifizierung
- Firewall
- regelmässige Überprüfung von Berechtigungen
- verpflichtende Verschlüsselung von Datenverbindungen
- Verhaltensrichtlinien für Mitarbeitende im Umgang mit schützenswerten Daten
- Passwortrichtlinien
- Zentrales Passwortmanagement
- restriktive Berechtigungsregelung für besonders schützenswerte Daten
- Mobile und Telearbeit Policy
1.3 Zugriffskontrolle
Massnahmen:
- professionelle, externe Vernichtung von Datenträgern
- Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten
- Einsatz Berechtigungskonzepte
- Minimale Anzahl an Administratoren
- Verhaltensrichtlinien Administratoren
- Verwaltung Benutzerrichtlinien durch Administratoren
1.4 Trennungskontrolle
Massnahmen:
- Trennung von Produktiv- und Testumgebung
- Physikalische Trennung (Systeme / Datenbanken / Datenträger)
- Mandantenfähigkeit relevanter Anwendungen
- Steuerung über Berechtigungskonzept
- Festlegung von Datenbankrechten
- restriktives Berechtigungskonzept
1.5 Pseudonymisierung
Massnahmen:
- Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren
- Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten
2. Integrität
2.1 Weitergabekontrolle
Massnahmen:
- Einsatz VPN
- Protokollierung der Zugriffe und Abrufe
- Verschlüsselte Übertragung von Daten
- Dokumentation der Datenempfänger sowie der Dauer der geplanten Über- lassung bzw. der Löschfristen
- Weitergabe in anonymisierter oder pseudonymisierter Form
- Lieferantenmanagement nach ISO 27001
2.2 Eingangskonrolle
Massnahmen:
- Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
- Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
- Klare Zuständigkeiten für Löschungen
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Massnahmen:
- Zusätzlicher Sicherheitsstandard durch ISO 27001 Zertifizierung
- Feuer- und Rauchmeldeanlage
- Automatisches Feuerlöschsystem
- Klimaüberwachung Serverräume
- USV
- Notstromgenerator
- Redundante Stromversorgung
- RAID Systeme
- Videoüberwachung
- Alarmanlage
- Backup- und Recoverykonzept (Business Continuity Policy)
- Monitoringsysteme
- Offsite Backups
- Existenz eines Notfallplans
- Redundante Netzzuleitung
- Regelmässige Überprüfung und Tests der Notfallpläne
- Incident-Management-Policy
4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung
4.1 Datenschutzmassnahmen
Massnahmen:
- Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
- Sicherheitszertifizierung nach ISO 27001
- regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen
- Interner Datenschutzbeauftragte
- Datenschutzpolicy für Mitarbeitende und Awarenesstraining
- Sensibilisierung der Mitarbeitenden
- CISO / interner Informationssicherheitsbeauftrage
- Externe Audits
- Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach
4.2 Incident-Response-Managment
Massnahmen:
- Einsatz von Firewall
- regelmässige Aktualisierung
- regelmässige Überprüfung nach Sicherheitslücken
- Risikomanagement
- Spamfilter
- Virenscanner
- Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
- Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
- Incident-Management-Policy
4.3 Datenschutzfreundliche Voreinstellungen
Massnahmen:
- Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
4.4 Auftragskontrolle
Massnahmen:
- Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmass- nahmen und deren Dokumentation
- Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit
- Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus
- Sorgfalt bei Auswahl von Lieferanten