Wie sicher ist be.ENERGISED?

Veröffentlicht
Kategorien
be.ENERGISED ENTERPRISE

Der Betrieb von Software-Infrastrukturen, die personenbezogene Daten verarbeiten, erfordern hohe Sicherheitsvorkehrungen, um die höchst möglichen Datenschutzstandards gewährleisten zu können. be.ENERGISED setzt auf bewährte Technologien auf um die Einhaltung der Datensicherheits-Standards zu gewährleisten.

Allgemeine Informationen zur Anwendungssicherheit

be.ENERGISED basiert auf einer Cloud-basierten Software-Lösung und speichert Daten zu Ladestationen, Ladevorgängen und Personen in einer Datenbank digital ab. Der Zugriff auf die Datenbank ist dabei der Software vorbehalten und wird durch Tier-Level Encryption und „Masked fields“ unterstützt, so dass auch bei einem Zugriff durch System-Administratoren personenbezogene Daten nicht über Administrations-Tools eingesehen werden können. Zudem werden alle Informationen in einem Sicherheits-Cluster georedundant gespeichert und so gegen Ausfälle geschützt.

IT-basierte Sicherheitsstruktur

be.ENERGISED wird in einer Cloud-Infrastruktur von has•to•be betrieben. Die derzeit bestehenden Infrastrukturen sind in Microsoft Azure Rechenzentren gespeichert und werden durch die has•to•be eigenständig betrieben. Die in der Microsoft Azure Cloud gespeicherten Daten werden auf höchsten Sicherheits-Standards verarbeitet und sind im Microsoft Trust Center detailliert dokumentiert.

Ausfallsicherheit

Die von has•to•be betriebenen Systeme werden in geografisch getrennten Rechenzentren betrieben und gewährleisten damit eine hohe Ausfallsicherheit. Im Zeitraum 2015 bis 2016 konnte eine gesamte Down-Time von 24 Minuten im gesamten Jahresverlauf erreicht werden, die bereits die notwendigen Wartungszyklen beinhaltete. Es ergab sich somit eine Verfügbarkeit im Jahresdurchschnitt in Höhe von 99,95%.

Security & Überwachung

Alle Systeme werden hinter einer intelligenten Firewall-Infrastruktur betrieben, die nach neusten Standards Angriffe abwehrt und erkennt. Für die kontinuierliche Überwachung der Sicherheit der Anwendung nutzen wir kontinuierliche Überprüfungen von „IBM Application Security on Cloud“, zudem lassen wir jährliche Überprüfungen durch ein unabhängiges Beratungsunternehmen durchführen.

Alle Infrastrukturen sind in einem VPN Netzwerk zusammengefasst. SIM Karten und externe Einwahlknoten werden über ein durch has•to•be betriebenes APN Netzwerk verwaltet und sind vom Internet vollständig abgeschottet. Werden Ladestationen im von has•to•be betriebenen Netzwerk betrieben, gewährleisten und garantieren wir Ihnen die bestmöglichen Sicherheits-Standards.

has•to•be überwacht und betreibt Infrastrukturen rund um die Uhr. Für eine Überwachung der Services steht unseren Kunden eine 24 Stunden Hotline zur Verfügung, um systemkritische Ausfälle bekannt geben zu können.

Informationen zur Datenverarbeitung im Auftrag

Mit der Beauftragung einer be.ENERGISED Mandanten-Instanz entstehen zwischen dem Mandanten und der has•to•be bestehen vertragliche Beziehungen aufgrund derer die has•to•be in Kontakt mit personenbezogenen Daten des Mandanten gelangt. Die has•to•be verpflichtet sich mit Abschluss dieser Vereinbarung die Vorgaben des Datenschutzgesetzes (BDSG) insbesondere des § 11 BDSG einzuhalten.

Art der Daten

  • Personenstammdaten
  • Kommunikationsdaten (z.B. Telefon oder E-Mail)
  • Vertragsstammdaten (Vertragsbezeichnungen, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten
  • Auskunftsangaben (von Dritten oder aus öffentlichen Verzeichnissen)

Kreis der Betroffenen

Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst insbesondere:

  • Kunden
  • Interessenten
  • Beschäftigte im Sinne des §3 Abs. 11 BDSG – Lieferanten
  • Ansprechpartner

Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitglieds- staat der Europäischen Union oder in einem anderen Verrtagsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§4b, 4c BDSG erfüllt sind.

Technische und organisatorische Maßnahmen zum Datenschutz

has•to•be gewährleistet die gleichen Prozesse und gleichen technischen und organisatorischen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten im Rahmen der Auftragsdurchführung, die er im Rahmen eigener Prozesse und eigener Bearbeitung vorsieht.

Insgesamt handelt es sich bei den zu treffenden Maßnahmen (vgl. § 9 BDSG und die Anlage zum BDSG (§ 9 Satz 1)) um nicht auftragsspezifische Maßnahmen hinsichtlich der

  • Organisationtskontrolle
  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle sowie des
  • Trennungsgebots

Hierzu gewährleistet has•to•be die folgenden technischen und organisatorischen Maßnahmen:

Räumliche Zutrittskontrolle

Der räumliche Zutritt zu allen Bereichen der has•to•be sowie dem/den Datacenter ist durch räumliche Zutrittskontrollen vollständig abgesichert. Dabei trifft has•to•be die folgenden technischen bzw. organisatorischen Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

  • Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte
  • Schlüssel / Schlüsselvergabe, Türsicherung (elektrische Türöffner usw.)

Zugangskontrolle zu Datenverarbeitungssystemen

Technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

  • Kennwortverfahren (u. a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
  • Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)
  • Verschlüsselung von Datenträgern
  • Masked-Fields für personenbezogene Daten auf Datenbankebene
  • Örtlich getrennte Speicherung

Zugriffskontrolle / Berechtigungskontrolle

Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:

  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
  • Auswertungen, Kenntnisnahme, Veränderung, Löschung

Weitergabekontrolle

Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

  • Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
  • Elektronische Signatur, Protokollierung, Transportsicherung

Eingabekontrolle

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind:

  • Protokollierungs- und Protokollauswertungssysteme

Auftragskontrolle

Maßnahmen (technisch / organisatorisch) zur Abgrenzung der Kompetenzen zwischen dem Mandanten und has•to•be:

  • Formalisierte Auftragserteilung (Auftragsformular)
  • Kriterien zur Auswahl des Auftragnehmers
  • Kontrolle der Vertragsausführung

Verfügbarkeitskontrolle

Maßnahmen zur Datensicherung (physikalisch / logisch):

  • Backup-Verfahren
  • Spiegeln von Festplatten, z. B. RAID-Verfahren
  • Unterbrechungsfreie Stromversorgung (USV)
  • Getrennte Aufbewahrung
  • Virenschutz / Firewall
  • Notfallplan

Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

  • „Interne Mandantenfähigkeit“ / Zweckbindung
  • Funktionstrennung /Produktion / Test

Zusätzliche Verpflichtungen zur Wahrung der Datensicherheit

In Ergänzung zu den allgemeinen Verpflichtungen zum Datenschutz nach den jeweils lokalen gesetzlichen Bestimmungen an den Unternehmenssitzen der has•to•be gewährleistet has•to•be die Einhaltung der Standards nach dem deutschen Bundesdatenschutzgesetzes in folgender Art und Weise:

  • Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann.
  • Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, werden auf das Datengeheimnis verpflichtet und über die besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt.
  • Die Umsetzung und Einhaltung aller notwendigen technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG.
  • Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der jeweils sachlich zuständigen Aufsichtsbehörde nach § 38 BDSG.
  • Die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.