Vertrauen
Sicherheitszertifikate
Name des Zertifikats
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Audits
Durch den Anwender selbst; Durch Dritte
Ja
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 5
Maximale Downtime in Stunden
05:16 Minuten/Jahr
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Die gesamte IT-Anlage (Cloud ) ist mindestens 3 x redundant, mit getrennten Rechenzentrumsbereichen, ausgelegt. Es können 2 Teile, z.B. Storage, parallel ausfallen und dennoch bleibt das Gesamtsystem online verfügbar. Zusätzlich werden alle Daten off-Site in ein weiteres, georedundatnes Rechenzentrum geschützt abgelegt.
Über ein Proaktives Monitoring-System werden Fehler oder Ausfälle direkt beim Eintreffen den zuständigen Mitarbeiter gemeldet.
Der Zugang zu unserem Notdienst auch außerhalb unserer Geschäftszeiten über eine 0800 Rufnummer gewährleistet.
Support
Garantierte Antwortzeit des Kunden-Supports
1 Arbeitstag
Garantierte Antwortzeit des Kunden-Supports bezüglich kritischer Anfragen
4 Stunden
Was ist die durchschnittliche Zeit bis zur Problemlösung bezüglich geringfügiger Geschäftsbeeinträchtigungen?
< 1 Arbeitstag
Was ist die durchschnittliche Zeit bis zur Problemlösung bezüglich erheblicher Geschäftsbeeinträchtigungen
< 1 Arbeitstag
Verfügbarkeit des Kunden-Supports
Übliche Arbeitszeit (5x8)
Beschreibung der Supportleistungen
1. per Ticket über Ticketsystem
2. per Mail an Ticketsystem
3. Anruf beim first level Support
4. Störungshotline außerhalb der Geschäftszeiten
Gibt es eine vollumfängliche Benutzerdokumentation?
Die Dokumentation wird regelmäßig aktualisiert und dem Kunden bereitgestellt.
Gibt es eine vollumfängliche Systemdokumentation?
Es ist eine vollumfängliche und aktuelle Systemdokumetation vorhanden.
Werden Trainings angeboten?
nein, nicht erforderlich
Angabe von Trainingspartnern
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch den Anwender selbst; Durch Dritte;
Besteht die Möglichkeit der Durchführung von Audits auf Antrag durch den Anwender?
Ja
Welche Audits wurden bereits durchgeführt?
Audit Rechenzentrum, ISM DSM sowie Arbeitsabläufe und Support
Serviceverfügbarkeit
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Backups
Beschreibung der Backup-Optionen
Kundensnapshots von Storage oder ganzen Workloads Vollbackups von Workloads und VMs Inkrementelle Backups von Workloads und VMs Backups in Georedundates RZ Kunde kann, wenn gewünscht, auch eigene Backupsoftware nutzen
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
zwingende Verschlüsselung der Backups mit Password des Kunden
Service Level Agreements
Sind Service-Level-Agreements Bestandteil des Vertrags?
Ja
Kann die Einhaltung der SLAs vom Kunden überprüft werden?
Ja
Beschreibung der SLAs und Prüfverfahren
SLA ist als gesondertes Dokument beigefügt.
Sind die Rechtsfolgen bei Verstoß gegen die SLAs im Vertrag beschrieben?
Ja
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Notfallplan ist im DSMS hinterlegt. Das DSMS kann jederzeit dem Auditor auf Anforderung zugänglich gemacht und erläutert werden. Beschreibung und Umfang DSMS hier: https://www.datenschutz-management.software/
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Kunden-UI und API werden über SSL verschlüsselt, optional können Kunden VMS und Kundenstorage über xts-aes 256/luks selbst und vollverschlüsseln
Optionen für das Key-Management
Encrpytion-Keys werden durch den Kunden verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
Es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet.
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch schriftlichen Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO, regelmäßige Prüfung der Maßnahmen durch den DSB
Weitere Details zu den umgesetzten technischen und organisatorischen Maßnahmen
siehe DSMS - TOMs sind in Kurzform beigefügt
Formale Datenschutzanforderungen
Werden die durch die EU-DSGVO vorgeschriebenen Formalanforderungen erfüllt?
Maßnahmen zur Erfüllung sind im Vertrag dokumentiert
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
Ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten.
Wird vertraglich Pseudonymisierung und/oder Verschlüsselung personenbezogener Daten zugesichert?
Ja
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Wird vertraglich die Umsetzung der Betroffenenrechte zugesichert?
Ja
Wird vertraglich die Löschung der Daten inkl. Links auf die betreffenden Daten und Datenkopien in der Cloud zugesichert?
Ja, sofern das von uns beeinflusst werden kann, Kundendaten werden durch den Kunden selbst in der Umgebung verwaltet, auf diese haben wir keinen Zugriff.
Wird im ADV-Vertrag eine Angabe des Auftraggebers zur Art der personenbezogenen Daten sowie die Kategorien der betroffenen Personen abgefragt?
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Ist ein effizientes Management der Informationssicherheit gewährleistet, z.B. durch Zertifizierung nach ISO 27001/ IT-Grundschutz?
Gemäß anerkanntem Vorgehen in Orientierung an IT Grundschutz und Securepoint Cert+ Zertifizierung
Weitere Details zum Vorgehen im IT-Sicherheitsmanagement.
Eigene Entwicklung auf Basis Redaxo Contentmanagemantsystem, dabei werden die Vorderungen entsprechend DIN SPEC 27076 umgesetzt
Wird ein Verzeichnis zu den vom Kunden in Auftrag gegebenen Verarbeitungstätigkeiten basierend auf Art. 30 EU-DSGVO erstellt?
Ja, Art. 30 Abs. 2 DSGVO
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Löschkonzept, Plan zur Umsetzung Artikel 15 DSGVO Informationspflichten nach Artikel 13/14 und Umsetzung Vorgaben Artikel 12
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Löschkonzept
Wird eine durchgängige Mandantentrennung gewährleistet?
Die Mandantentrennung wird gewährleistet und kann durch geeignete Maßnahmen nachgewiesen werden.
Wie erfolgt die Mandantentrennung?
Mittels VLAN oder bare metal
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja
Qualität
Service Management
Ist ein effizientes Service-Management gewährleistet, z.B. nach ITIL?
Gemäß anerkanntem Vorgehen, Abarbeitung und Dokumentation erfolgt über unser internes Ticketsystem
Weitere Details zum Vorgehen im Service-Management
Geht es im Speziellen um Services rundum die Bereitstellung/Unterstützung/Wartung oder Verwaltung von IT, orientieren wir uns am Modell ITIL. Alle grundlegenden Regelungen sind in den Servicebedingungen beschrieben.
Interoperabilität & Portabilität
Ist die Administration des Services über standardisierte APIs bzw. eine Weboberfläche möglich?
Es werden dokumentierte und standardisierte APIs zur Administration angeboten
Werden standardisierte APIs zur Integration des Services in die bestehende IT-Landschaft des Kunden angeboten?
Es werden standardisierte APIs zur Service-Integration angeboten
Verwendet der Service standardisierte Formate für virtuelle Maschinen und Container?
Es wird ein standardisiertes Format verwendet
Beischreibung der angebotenen APIs zur Integration des Services
Es werden APIs zur Automatisierung und deployen von IaaS, PaaS, SaaS und Backups angeboten.
Beschreibung der Standards, auf denen der Service-Stack basiert.
Die Cloud der Mitteldeutschen IT basiert auf einem rein Open-Source-Verwaltungssystem für Infrastructure as a Service (IaaS)-Ressourcen, welches auf virtualisieren Servern redundant läuft.
Es dient dazu, mehrere Clouds, VPCs sowie Hybridsysteme aufzusetzen, anzuordnen und zu betreiben.
Gedacht ist das Ganze als Unterstützung für IT-Abteilungen oder auch Administratoren, Softwarehäuser und Managed Service Providern.
Die mitteldeutsche IT richtet sich mit dieser Lösung an mittelständische Unternehmen die Ihre Daten und Ihre gesamte IT-Infrastruktur sicher in deutschen Rechenzentren laufen lassen wollen.
Das Augenmerk liegt dabei an einem Höchstmaß an IT-Sicherheit, Skalierbarkeit und den Zugang zu neusten Technologien über eine Cloud-Plattform, angepasst für den deutschen Markt.
Beschreibung der technischen Voraussetzungen zur Nutzung des Services
Es ist lediglich ein handelsüblicher Internetbrowser notwendig.
Beschreibung der organisatorischen Voraussetzungen zur Nutzung des Services
Unterschreiben von AV-Vertrag und AGB
Kann der Anwender uneingeschränkt und jederzeit auf Kundendaten zugreifen?
Datenexporte können vom Kunden selbst jederzeit angestoßen werden
Sind der Zugriff auf die Kundendaten sowie der Schutz der Kundendaten im Fall einer Insolvenz des Anbieters oder einer außerordentlichen Beendigung des Vertrags gewährleistet und vertraglich geregelt?
Es liegen eindeutige Regelungen vor, die eine angemessene Rücküberführung von Daten im Fall einer Insolvenz oder außerordentlichen Beendigung des Vertrags oder Unterbrechung der Serviceleistungen garantieren.
Angabe der vertraglich zugesicherten Regelungen zur Rücküberführung von Kundendaten
Der Kunde kann sich bei Vertragsbeendigung die in der Umgebung erstellten Daten eigenständig mit den Tools herunterladen, die seine genutzte Software bereitstellt. Für den Fall das Backups mit dem von uns bereitgestellten Services erstellt wurden, kann er diese vor Vertragsende exportieren.
Beschreibung des Verfahrens zur Datenrücküberführung, inkl. der unterstützten Dateiformate
Die Daten können mit Hilfe von handelsüblichen sicherungs oder Datentransfersoftware zum Kunden transportiert werden. Für größere Datenmengen können NAS-System durch uns zur Abholung bereitgestellt werden. (z.B. vbk, vmdx, qemu, usw.)
Betrieb
Sind die Skalierungsarten und -faktoren der technischen Infrastruktur definiert?
Die Skalierungsmöglichkeiten sind definiert und vertraglich zugesichert.
Weitere Angaben zu den definierten Skalierungsmöglichkeiten
Nahezu alle von uns angeboten Ressourcen wie CPU, Ram, Storage, Netzwerk, IT-Sicherheit und Automatisierung können zu jeder Zeit skaliert werden. Es erfolgt eine nach Stunden genaue Abrechnung. Als Cloudprovider mit dem Fokus auf den deutschen Mittelstand, ist eine garantierte Zusicherung der gebuchten Leistungen Bestandteil unseres Angebots. Die technische Absicherung dazu erfolgt über unser internes NOC.
Kann der Kunde den Service eigenständig provisionieren?
Der Service kann vom Kunden über eine Weboberfläche eigenständig provisioniert werden und wird automatisiert bereitgestellt.
Kosten
Kosten
Angaben zum verwendeten Preismodell
Ist das Preismodell für alle Kunden öffentlich verfügbar?
Das Preismodell für alle Standartprodukte ist öffentlich verfügbar.
Link zum Preismodell
Werden Verträge vorab dem Kunden zur Verfügung gestellt?
Sämtliche Vertragsunterlagen sind für den Anwender auf Nachfrage einsehbar und in Bezug gestellt (AGB-Nutzungsvertrag-SLA-Datenschutz)
Webverweis auf AGB
Angabe von Vertragslaufzeiten
Normalerweise eine Stunde je gebuchten Service oder Ressource; bei größeren IT-Projekten: 24, 36 oder 48 Monate
Werden Änderungen im laufenden Vertrag dem Kunden vorab mitgeteilt?
Alle Änderungen im laufenden Vertrag werden vorab mitgeteilt und dem Kunden wird ein Sonderkündigungsecht eingeräumt.
Werden Regelungen zum Change-Management vertraglich definiert?
Der Vertrag enthält klare Regelungen nach denen die Vertragsparteien während der Vertragslaufzeit Änderungen vorschlagen und vereinbaren können.
Sind alle Mitwirkungspflichten (technische, organisatorische) und Beistellungen des Kunden im Vertrag definiert?
Ja
Ist der Kunde von allen Ansprüchen Dritter im Rahmen der vertragsgemäßen Service-Nutzung vertraglich freigestellt?
Ja
Angabe von Kündigungsmodalitäten und -fristen
je Stunde oder 3 Monate zum Ende der Vertragslaufzeit
Sind Regelungen und Maßnahmen zur Beendigungsunterstützung vertraglich definiert?
Ja
Beschreibung der Regelungen und Maßnahmen zur Beendigungsunterstützung
frühzeitige (gestaffelte) Herausgabe von Datenbeständen in geeigneten Formaten in Absprache mit den Kunden,
Vermittlung von Know-how zur weiteren Verarbeitung der Daten auf Wunsch des Kunden,
Einräumung von urheberrechtlichen Nutzungsrechten an Software, sofern dies die Lizenzbestimmungen des jeweiligen Herstellers erlauben (Endgeldpflichtig),
Migrationsunterstützung und übergangsweise Leistungserbringung auch nach dem eigentlichen Vertragsende (Endgeldpflichtig)
Kann das Hosting von Kundendaten auf eine bestimmte Lokation eingeschränkt werden?
Das Hosting kann auf Deutschland beschränkt werden.
Kann durch den Provider die Administration von Kundendaten auf eine bestimmte Lokation eingeschränkt werden?
kann auf Deutschland beschränkt werden
Optionen der GEO-Regionen
Deutschland
Wird eine kostenlose Testphase angeboten?
Ja
Werden in der kostenlosen Testphase die gleichen Datenschutzanforderungen wie in der kommerziellen Leistung angewandt?
Ja