Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Entwicklung und Betrieb von Internetprodukten und Internetdienstleistungen, sowie der dazugehörigen Rechenzentren ein Informationssicherheitsmanagementsystemgemäß „Erklärung zur Anwendbarkeit“ eingeführt hat und anwendet. Durch ein Audit, Auftrags-Nr.70002654,wurde der Nachweis erbracht, dass die Forderungen derISO/IEC 27001:2013erfüllt sind.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Nein
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 2 - 99 % ? 438 Minuten/Monat bzw. 7:18:18 Stunden/Monat = 87,7 Stunden/Jahr, d. h. 3 Tage und 15:39:36 h
Maximale Downtime in Stunden
Plattformspezifisch sind nicht alle Kunden von einer Downtime betroffen. Maximal 4 Stunden
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
< 4 Arbeitstage
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
Umfang von Supportleistungen variiert. Nutzer hat Möglichkeit 24/7 Support zu nutzen via Mail / Telefon.
Social Media Kanäle (Twitter / Facebook)
Werden Trainings angeboten?
Nein
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch Dritte
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Das Rechenzentrum ist 24 / 7 besetzt und bearbeitet Störungsmeldung sofort ab.
Backups
Beschreibung der Backup-Optionen
Backupkonzept (Minimalstandard)
- DSGVO Konform
- relevanten Daten vor Verlust schützen bzw. bei Verlust wiederherstellen
- Backup auf Basis von Filesystem-Snapshots (zfs,netapp,etc.)
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Verschlüsselung wenn Zutritts-, Zugangs- oder Zugriffschutz des Backup nicht gleichwertig zum Schutz bei Live-Daten
sichere Übertragung der Backup-Daten im sofern Übertragung zwischen Standorten
regelmäßige Überprüfung / Monitoring ob Backup korrekt hergestellt
regelmäßig Wiedereinspielen testen
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Das Handbuch Notfall- und Krisenmanagement der STRATO AG beschreibt grundlegend den Prozess mit dem Umgang mit Informationssicherheitsvorfällen, sowie jeder Art von Notfällen und Krisen von der Entdeckung bis zur Behebung. Es klärt die verwendeten Begriffe, beschreibt notwendige Definitionen undlegt die Verantwortungen, Aufgaben und Befugnisse fest. Die Gültigkeit des Handbuchs erstreckt sich auf den Tätigkeitsbereich der STRATO AG. Die Umsetzung des Prozesses setzt voraus, dass die Kenntnisse über den Prozess bei den Mitarbeiterinnen und Mitarbeitern bekannt gemacht und angewendet werden können. Das Handbuch erörtert die Grundlagen hierfür und gibt konkrete Unterstützungen bei der Umsetzung. Der Prozess selbst wird auf verschiedenen Ebenen zwischen Mitarbeiterinnen und Mitarbeitern, Vorgesetzten, dem Vorstand und weiteren Funktionen umgesetzt. In seiner Beschreibung werden die unterschiedlichen, Verantwortungen, Aufgaben und Befugnisse festgelegt.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
STRATO speichert alle Daten, die unsere Kunde auf ihr HiDrive hochladen auf unseren Servern im ESSIV-Verfahren verschlüsselt ab. Der dabei zum Einsatz kommende Verschlüsselungsstandard ist AES-128. Der Transportweg ist über TLS oder SSH verschlüsselt.
Optionen für das Key-Management
Encryption-Keys werden durch den Anbieter verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Die Maßnahmen sind zertifiziert und werden regelmäßig überprüft
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Die Kunden werden in der Datenschutzerklärung der STRATO AG auf ihre Rechte hingewiesen. Die Mitarbeiter sind im Datenschutz geschult, auch hinsichtlich manueller Prozesse. Weitestgehend sind die Prozesse aber automatisiert. Hierzu gehört zum Beispiel die elektronische Datenauskunft nach Art. 15 DSGVO oder der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, die sich Kunden selbst in Ihrem Kundenlogin runterladen bzw. abschließen können. Nach Vertragsbeendigung werden automatisch alle Kundendaten gelöscht, soweit sie nicht den Aufbewahrungsfristen unterliegen. Hiervon umfasst sind alle Arten von Daten (z.B Stamm-, Inhalts oder Metadaten).
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Die Kundennutzdaten werden nach Ablauf der geltenden Löschfristen (https://www.strato.de/datenschutz/ -> Dauer der Speicherung) von der Plattform (HiDrive) gelöscht.
Auf der Plattform (HiDrive) existierende Links auf diese Daten verlieren damit folglich ebenfalls ihre Gültigkeit. Datenkopien, die möglicherweise außerhalb der Plattform (HiDrive) angelegt wurden, entziehen sich unserem Einflussbereich.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja