RemotePC DPA - Anlage 2

    Anlage 2 – Sicherheitskontrollen

    RemotePC wird während der Laufzeit dieser DPA die unten aufgeführten Kontrollen oder gleichwertige Maßnahmen umsetzen:

    1. Zugangskontrollen. Der Datenverarbeiter wird geeignete Maßnahmen umsetzen, um zu verhindern, dass unbefugte Personen Zugang zu den Datenverarbeitungsgeräten erhalten. Dies wird erreicht durch:

    • Zugangsberechtigung für Mitarbeiter und Dritte
    • Schlüsselkarten und Zutrittsausweise
    • Beschränkung der Schlüsselvergabe
    • Anforderungen für Dritte
    • Identifizierung der Personen mit autorisiertem Zugang
    • Schutz und Einschränkung von Ein- und Ausgängen
    • Einrichtung von Sicherheitsbereichen
    • Sicherung des Gebäudes (z. B. Alarmanlagen)

    2. Zugriffskontrolle auf Daten. Der Datenverarbeiter verpflichtet sich, dass Personen, die zur Nutzung der Datenverarbeitungssysteme berechtigt sind, nur im Rahmen und Umfang der jeweiligen Zugriffsrechte/Berechtigungen auf personenbezogene Kundendaten zugreifen.

    • Sperrung von Arbeitsstationen
    • Anforderungen an Benutzerberechtigungen
    • Vertraulichkeitsverpflichtungen
    • Kontrollierte Vernichtung von Datenträgern
    • Prozesse für die Entwicklung und Freigabe von Programmen

    3. Benutzerkontrollen. Der Datenverarbeiter wird geeignete Maßnahmen umsetzen, um zu verhindern, dass seine Datenverarbeitungssysteme von unbefugten Personen genutzt werden, einschließlich unbefugtem Lesen, Kopieren, Verändern oder Entfernen der gespeicherten Daten und Datenträger. Dies wird erreicht durch:

    • Anforderungen an Zugangsberechtigungen
    • Protokollierung von Ereignissen und Aktivitäten
    • Spezielle Arbeitsstationen und/oder Benutzer
    • Authentifizierung autorisierten Personals
    • Einsatz von Verschlüsselung, sofern vom Verarbeiter als angemessen erachtet
    • Kontrolle der Entfernung von Datenträgern
    • Absicherung der Bereiche, in denen sich Datenträger befinden
    • Die Authentifizierungsanforderungen umfassen starke Passwörter und deren regelmäßige Änderung.
    • Deaktivierung inaktiver Konten innerhalb von 60 Tagen.
    • Wenn eine Sitzung länger als 15 Minuten inaktiv war, muss sich der Benutzer erneut authentifizieren, um das Terminal oder die Sitzung wieder zu aktivieren.
    • Authentifizierungsanforderungen für den Fernzugriff.