Verzeichnis der allgemeinen
technisch-organisatorischen Maßnahmen

 

nach Artikel 32 Absatz 1 DSGVO und den Hinweisen der Arbeitsgruppe der unabhängigen Datenschutzaufsichtsbehörden (Düsseldorfer Kreis)

 

Angaben zum Verantwortlichen/Auftragsverarbeiter

 

Firma

Cision Germany GmbH

Straße

Westhafenplatz 1

PLZ/Ort

60327 Frankfurt am Main

Telefon

E-Mail-Adresse

Internet-Adresse

069 244 32 88 3900

Info.de@cision.com

www.cision.de

 

Gesetzliche/r Vertreter

Abe Smith

 

 

Datenschutzbeauftragter

Thomas Gutte

Thomas Gutte Datenschutzberatung

Telefon

E-Mail-Adresse

0611 – 71186990

Thomas.Gutte@gutte-datenschutzberatung.de

Straße (* nur bei Externen)

PLZ/Ort (* nur bei Externen)

Hochstraße 2

65195 Wiesbaden

 

Verzeichnis der allgemeinen technisch-organisatorischen Maßnahmen

Verschlüsselung

  • Der Zugriff auf die Datensätze findet ausschließlich über HTTPS-Sites verschlüsselt statt.
  • Die Server von Cision befinden sich hinter einer Firewall. CisionPoint bietet Zugriff über HTTPS-Sites. Durch die Nutzung der HTTPS-Site werden Passwörter beim Login vom Nutzer-PC in Cision verschlüsselt.
  • Verwendung eindeutiger IDs und Passwörter für alle Benutzer, regelmäßige Überprüfung und sofortige Widerrufung/Änderung des Zugriffs bei Beendigung des Arbeitsverhältnisses oder bei Änderungen von Auftragsfunktionen

 

Vertraulichkeit

  • Die Server von Cision befinden sich an einem sicheren Standort bei CenturyLink. Der Zutritt wird nur nach einem definierten Sicherheitsverfahren gewährt. Cision verfügt des Weiteren an diesem Standort über eine eigene verschlossene Suite bei CenturyLink.
  • Logische Zugriffskontrollen zur Verwaltung des elektronischen Zugriffs auf Daten und Systemfunktionen auf der Grundlage von Berechtigungsebenen und Auftragsfunktionen (z. B. Gewährung von Zugriffsrechten auf der Basis von "need-to-know" und "least privilege").
  • Kennwortkontrollen zur Verwaltung und Kontrolle der Kennwortstärke und der Verwendung, einschließlich des Verbots der gemeinsamen Nutzung von Kennwörtern.
  • Auf die Server von Cision kann nur im Rahmen des definierten Berechtigungskonzeptes zugegriffen werden. Der Zugriff auf das Netzwerk ist auf spezifische Administrator-Konten mit komplexen und regelmäßig ablaufenden Passwörtern beschränkt.
  • Wie ist die Passwort-Regelung?

- Passwort muss 4-75 Zeichen lang sein und muss Kleinbuchstaben und Nummern oder Sonderzeichen enthalten

- User müssen alle 90 Tage ihr Passwort ändern

- Nach 10 fehlgeschlagenen Passwort-Eingabeversuchen wird der Account gesperrt

- Nutzer können Passwörter nicht wiederverwenden (letzte drei Passwörter)

 

Integrität

  • Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung von Benutzerzugriffen und Systemaktivitäten zur routinemäßigen Überprüfung
  • Betriebsverfahren und Kontrollen zur Konfiguration, Überwachung und Wartung von Technologie und Informationssystemen gemäß vorgeschriebenen internen und angenommenen Industriestandards, einschließlich der sicheren Entsorgung von Systemen und Medien, um alle darin enthaltenen Informationen oder Daten vor der endgültigen Entsorgung oder Freigabe aus dem Besitz von Cision als nicht entzifferbar oder nicht wiederherstellbar zu machen.

 

Verfügbarkeit

  • Die Kommunikation mit Cision-Anwendungen nutzt kryptographische Protokolle wie TLS zum Schutz von Informationen bei der Übertragung über öffentliche Netze. Am Netzwerkzugang werden zustandsorientierte Firewalls, Web Application Firewalls und DDoS-Schutz eingesetzt, um Angriffe zu filtern. Innerhalb des internen Netzwerks folgen Anwendungen einem mehrschichtigen Modell, das die Möglichkeit bietet, Sicherheitskontrollen zwischen den einzelnen Schichten anzuwenden.
  • Netzwerksicherheitskontrollen, die den Einsatz von Unternehmens-Firewalls und geschichteten DMZ-Architekturen sowie Angriffserkennungssystemen und anderen Verkehrs- und Ereigniskorrelationsverfahren vorsehen, um Systeme vor Eindringlingen zu schützen und den Umfang eines erfolgreichen Angriffs einzuschränken.
  • Datensicherheitskontrollen, die mindestens eine logische Trennung der Daten, eingeschränkten (z.B. rollenbasierten) Zugriff und Überwachung sowie gegebenenfalls die Verwendung kommerziell verfügbarer und branchenüblicher Verschlüsselungstechnologien umfassen.

 

Physischer oder technischer Zwischenfall

  • Schwachstellenbewertung, Patch-Management und Technologien zum Schutz vor Bedrohungen sowie geplante Überwachungsverfahren zur Identifizierung, Bewertung, Abschwächung und zum Schutz vor identifizierten Sicherheitsbedrohungen, Viren und anderen bösartigen Codes.
  • Business Resiliency/Continuity und Disaster Recovery Verfahren zur Aufrechterhaltung von Service und/oder Wiederherstellung nach vorhersehbaren Notfallsituationen oder Katastrophen.
  • Physische und ökologische Sicherheit von Rechenzentren, Serverräumen und anderen Bereichen, die vertrauliche Kundeninformationen enthalten: (i) Schutz von Informationsbeständen vor unbefugtem physischen Zugriff, (ii) Verwaltung, Überwachung und Protokollierung der Bewegungen von Personen in und aus Cision-Einrichtungen und (iii) Schutz vor Umweltgefahren wie Hitze, Feuer und Wasserschäden.

 

Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

  • Ein Organisationsmanagement und dedizierte Mitarbeiter, die für die Entwicklung, Implementierung und Wartung von Cision Information Security verantwortlich sind.
  • Audit- und Risikobewertungsverfahren zur periodischen Überprüfung und Bewertung der Risiken für die Cision-Organisationen, zur Überwachung und Aufrechterhaltung der Einhaltung der Cision-Richtlinien und -Verfahren sowie zur Meldung des Zustands der Informationssicherheit und der Einhaltung an das obere interne Management.
  • Pflegen der Richtlinien zur Informationssicherheit und sicherstellen, dass Richtlinien und Maßnahmen regelmäßig überprüft und gegebenenfalls verbessert werden.
  • Systemaudit oder Ereignisprotokollierung und damit verbundene Überwachungsverfahren zur proaktiven Aufzeichnung von Benutzerzugriffen und Systemaktivitäten zur routinemäßigen Überprüfung.
  • Change-Management-Verfahren und Tracking-Mechanismen zum Testen, Genehmigen und Überwachen aller Änderungen an der Cision-Technologie und den Informationsbeständen.
  • Vorfall-/Problemmanagementverfahren, die es Cision ermöglichen, Ereignisse im Zusammenhang mit der Cision-Technologie und Informationsbeständen zu untersuchen, darauf zu reagieren, zu mildern und zu melden.
AddThis Sharing Sidebar
Share to LinkedIn
, Number of shares2
Share to Pinterest
, Number of shares
Share to Google+ More AddThis Share options
, Number of shares28
Hide
Show
AddThis Sharing