Das Datensicherheitskonzept
Die SHD erfüllt die vorgegebenen datenschutzrechtlichen Verpflichtungen der „Auftragsdatenverarbeitung“ gemäß § 11 des Bundesdatenschutzgesetzes (BDSG) in vollem Umfang. Wir bieten dazu im Rahmen der Vertragsanbahnung einen komplett erarbeiteten Vertrag zum Abschluss an, welcher bei Bedarf entsprechend ergänzt werden kann.
Besonders wichtig ist in diesem Zusammenhang die Umsetzung der technisch-organisatorischen Maßnahmen nach § 9 BDSG zur angemessenen Sicherung der Daten des Kunden vor Missbrauch und Verlust. Dies beinhaltet insbesondere die:
- Zutritts- und Zugangskontrolle
- Weitergabekontrolle
- Zugriffkontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungskontrolle
Damit Sie als Kunde eine hohe Sicherheit erhalten, dass SHD vertrauensvolle und gesetzeskonform mit den Kundendaten umgeht, haben wir unser Data Center mit den dort angebotenen Managed Services von einem deutschlandweit anerkannten, zertifizierten und unabhängigen Sicherheitsspezialisten auditieren bzw. begutachten lassen. Dieses Ergebnis liegt als Testat vor und kann von Kunden eingesehen werden.
Auszug aus der Umsetzung des §9 des BDSG
Bereich Zugriffskontrolle
SHD dokumentiert alle Zugriffs-Informationen (Nutzernamen, Passworte) in einer geschützten Passwort-Datenbank. Der Zugriff auf diese wird nur den berechtigten Personen erteilt. Jeder Zugriff auf die Passworte (lesend oder schreibend) wird protokolliert. Besonders sensible Passworte für Notfälle können dort durch zusätzliche Maßnahmen (Versiegelung, Siegelbruch nur nach Zustimmung mehrerer Personen – Vier-Augen-Prinzip) extra geschützt werden.
- Jeder Benutzer des SHDMSS-Systems erhält einen eigenen Domain-Account in dieser Umgebung. Dieser Account bildet die Grundlage aller Aufzeichnung und rollenbasierter Aufgabendurchführung.
- folgende Systeme werden rollenbasiert verwaltet:
• Active Directory
• VMware vCenter
• SHDMSS Management-System
Die rollenbasierte Verwaltung bildet die Grundlage für benutzerbezogene Zugriffsprotokollierung.
Beispiele für weitere technische Maßnahmen
- Managed Storage befindet sich in professionellen Data Centern mit jeweiligen Zugangs- und Überwachungsstandards nach TIA-942
Einsatz von professionellem Markenstorage mit SHD eigenem Störreservepool für 24x7x4h Wiederherstellungszeit) - Spiegelung der Daten in zweite SHD Data Center mit Failoveroption im DR-Fall eines Data Centers
24x7 Proaktives Monitoring mittels SHD-SM-BOX-Software - Optional Monitoring von angeschlossenen SHD-Kunden-Serversystemen
- Physische Trennung von Storageproduktions- und Testsystemen
- Dedizierte Storage Systeme je Service (SLA)
- Erhöhte Sicherheitsstufen für Banken etc. sind möglich (Datenverschlüsselung)
