Technische und organisatorische Sicherheitsmaßnahmen

Beschreibung der technischen und organisatorischen Maßnahmen, die Quibim implementiert hat, um ein angemessenes Maß an Sicherheit und Schutz personenbezogener Daten (die „Sicherheitsmaßnahmen“) unter Berücksichtigung der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten der betroffenen Personen zu gewährleisten.

 

Vertraulichkeit und Zugriffskontrolle

  • Der Zugriff auf personenbezogene Daten durch Unbefugte ist zu verhindern. Zu diesem Zweck sorgt Quibims interne Clean Desk Policy dafür, dass personenbezogene Daten Dritten nicht zugänglich gemacht werden. Elektronische Medien und Papierdokumente sind an einem sicheren Ort (geschlossene Schränke oder Räume mit eingeschränktem Zugang) aufzubewahren. Bei Abwesenheit vom Arbeitsplatz wird der Bildschirm gesperrt oder die Sitzung beendet.
  • Um den unbefugten Zugriff auf Datenverarbeitungssysteme zu verhindern, wird eine physische Zugangskontrolle eingerichtet. Quibim hat ein automatisiertes Zugangskontrollsystem, ein Alarmsystem und andere Sicherheitsvorkehrungen wie Sicherheitsschlösser oder ein Protokoll zur Erfassung von Besuchern implementiert.
  • Dokumente oder elektronische Medien (CDs, USB-Sticks, Festplatten usw.) mit personenbezogenen Daten werden nicht entsorgt, ohne dass ihre Vernichtung garantiert ist. Dennoch dürfen Mitarbeiter grundsätzlich keine externen Speichergeräte gemäß der internen Richtlinie für unternehmenseigene Geräte und der Standardbetriebsprozedur (oder „SOP”) von Quibim zum Asset-Management g verwenden.
  • Es werden keine personenbezogenen Daten oder persönlichen Informationen an Dritte weitergegeben, ohne dass die in den geltenden Datenschutzbestimmungen festgelegten Verfahren eingehalten werden. Bei telefonischen Anfragen, in E-Mails oder Ähnlichem wird besonders darauf geachtet, keine persönlichen Daten preiszugeben.
  • Ein Passwortverwaltungssystem stellt sicher, dass hochwertige Passwörter verwendet werden und somit die angemessene Vertraulichkeit und Sicherheit der in elektronischen Systemen gespeicherten personenbezogenen Daten gemäß der internen Passwortrichtlinie von Quibim und den bewährten Praktiken im Bereich Cybersicherheit (SOP) gewährleistet ist. Soweit technisch möglich, müssen für den Zugriff auf Systeme und Plattformen zwei Authentifizierungsfaktoren bereitgestellt werden.
  • Die Vertraulichkeit von Passwörtern muss gewährleistet sein, damit sie nicht an Dritte weitergegeben werden können. Passwörter dürfen auf keinen Fall weitergegeben oder aufgeschrieben werden und der Zugriff durch andere Personen als den Benutzer ist nicht gestattet.
  • Es wird eine formale Benutzerregistrierung- und -abmeldung implementiert, um die Zuweisung und den Entzug von Zugriffsrechten für alle Benutzertypen auf alle Systeme und Dienste zu ermöglichen. Die Zuweisung und Verwendung privilegierter Zugriffsrechte ist eingeschränkt und kontrolliert. Zugriffsrechte werden bei Beendigung des Arbeitsverhältnisses, bei Beendigung der Bereitstellung von Diensten entzogen oder bei Änderungen angepasst.
  • Sollten personenbezogene Daten außerhalb der Räumlichkeiten, in denen sie verarbeitet werden, auf physischem oder elektronischem Wege extrahiert werden müssen, werden End-to-End-Verschlüsselungsmethoden eingesetzt, um die Vertraulichkeit der personenbezogenen Daten im Falle eines unzulässigen Zugriffs auf die Informationen zu gewährleisten.
  • Quibim verwendet kryptografische Techniken, um die Vertraulichkeit, Integrität und Authentizität von Informationen während ihrer Speicherung und/oder Übertragung zu schützen. Insbesondere werden Verschlüsselungstechniken für die folgenden Techniken eingesetzt: Fernzugriff über VPN, Kommunikation zwischen entwickelten Apps und Servern, Verschlüsselung von ruhenden Informationen (Datenbanken und Speicher) auf dem Microsoft Azure-Speichersystem mithilfe von Azure Storage Service Encryption (256-Bit-Verschlüsselung nach Advanced Encryption Standard (AES)), elektronische Signaturzertifikate, Laptop-Verschlüsselung oder Backup-Verschlüsselung.
  • Die Datenzugriffskontrolle erfolgt gemäß den internen Richtlinien von Quibim (nämlich der Zugriffsverwaltungsrichtlinie und der Zugriffskontroll-SOP), die unter anderem die Protokollierung des Zugriffs auf Anwendungen erfordern, insbesondere beim Eingeben, Ändern und Löschen von Daten.
  • Die getrennte Verarbeitung von zu unterschiedlichen Zwecken erhobenen Daten wird durch die Trennung von Entwicklungs-, Test- und Produktionsumgebungen ermöglicht (alle Client-Integrationen werden in einer Testumgebung entwickelt und getestet, und Updates werden erst nach ausreichenden Tests für die Produktion freigegeben), die physische Trennung von Systemen, Datenbanken und Datenträgern und die Festlegung von Datenbankrechten umgesetzt.
  • Wenn es zu einer Sicherheitsverletzung bei personenbezogenen Daten kommt, wie beispielsweise Diebstahl oder unrechtmäßiger Zugriff auf personenbezogene Daten, muss die spanische Datenschutzbehörde innerhalb von 72 Stunden über diese Sicherheitsverletzungen informiert werden und alle Informationen erhalten, die zur Aufklärung der Umstände erforderlich sind, die zum unrechtmäßigen Zugriff auf personenbezogene Daten geführt haben. Die Benachrichtigung erfolgt auf elektronischem Wege über die Website der spanischen Datenschutzbehörde unter der Adresse: https://sedeagpd.gob.es.

 

Integrität

  • Gemäß der internen Zugriffsverwaltungsrichtlinie von Quibim, den SOPs für Zugriffsverwaltung und den SOPs für Zugriffskontrolle sollen gemäß den Grundsätzen „Need-to-know“ und „Least Privilege“ so wenig Administrator-Benutzerkonten wie möglich vorhanden sein.
  • Wenn auf personenbezogene Daten von verschiedenen Personen zugegriffen wird, ist für jede Person mit Zugriff auf personenbezogene Daten ein spezifischer Benutzername und ein spezifisches Passwort erforderlich. Alle Benutzer müssen eine eindeutige Kennung verwenden, um auf alle Systeme und Anwendungen zugreifen zu können.
  • Geräte und Laptops, die zur Speicherung und Verarbeitung personenbezogener Daten verwendet werden, werden auf dem neuesten verfügbaren Stand gehalten.
  • Zur Identifizierung der mit Informationssystemen verbundenen Vermögenswerte und zur Feststellung der Verantwortlichkeit und des Eigentums an den Vermögenswerten wird ein Inventar für die Hardware und Software erstellt.
  • Die Übertragungskontrolle erfolgt, soweit möglich, durch den Einsatz eines virtuellen privaten Netzwerks (VPN), die Protokollierung von Zugriffen und Abrufen und die Bereitstellung über verschlüsselte Verbindungen wie HTTPS oder E-Mail-Verschlüsselung.
  • Die Zugangskontrolle wird mit Ereignisprotokollen umgesetzt, die Benutzeraktivitäten und Informationssicherheitsereignisse aufzeichnen. Protokollierungsfunktionen und Protokollinformationen sind vor Manipulation und unbefugtem Zugriff geschützt. Aktivitäten von Systemadministratoren und Systembetreibern werden protokolliert, und die Protokolle sind geschützt und werden regelmäßig überprüft.
  • Die Integrität der Daten wird unter anderem durch die Verwaltung und individuelle Kontrolle jeder Änderung, die Vergabe individueller Rechte zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts, die technische Protokollierung der Eingabe, Änderung und Löschung von Daten und entsprechende Maßnahmen zur Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten anhand individueller Benutzernamen sichergestellt.
  • Sämtliche Änderungen am Quellcode werden vor der Umsetzung in die Produktion durch eine statische Codeanalyse überprüft, um unter anderem sicherzustellen, dass der Code keine kritischen Schwachstellen oder Sicherheitslücken aufweist.

 

Verfügbarkeit und Belastbarkeit

  • Alle Computer und Geräte, auf denen die automatisierte Verarbeitung personenbezogener Daten erfolgt, verfügen über ein Antivirensystem oder vergleichbare Maßnahmen, die den Diebstahl und die Zerstörung personenbezogener Informationen und Daten weitgehend gewährleisten und die Erkennung und Verhinderung sowie die Wiederherstellung der Kontrolle über Schadsoftware sicherstellen.
  • Um einen unzulässigen Fernzugriff auf personenbezogene Daten zu verhindern, wird auf allen Laptops und Geräten (unter der Verwaltung von Quibim), auf denen personenbezogene Daten gespeichert und/oder verarbeitet werden, ein regelmäßig aktualisiertes Firewall-System eingesetzt.
  • Verschlüsselte Sicherungskopien aller Geschäfts-, Entwicklungs- und Produktionsinformationen, die in der Infrastruktur des Cloud-Dienstanbieters von Quibim (gehostet von Microsoft Azure) enthalten sind, werden regelmäßig gemäß den internen Sicherungsverfahren von Quibim erstellt. Azure Backup- und Azure Site Recovery-Dienste werden eingesetzt, um einen Notfallwiederherstellungsplan für den Azure-Dateifreigabespeicher sicherzustellen. Diese Dienste ermöglichen die Option des georedundanten Speichers (GRS) zur Speicherung von Sicherungen in einer von ihren Quelldaten getrennten Region. Dies wiederum ermöglicht die Verwendung der Sicherung im Falle eines regionalen Ausfalls oder Fehlers. Außerdem können Sicherungen für zusätzliche Sicherheit von Quelldaten getrennt werden.
  • Anwendungsdateien und Produktionsdaten werden gemäß etablierter Sicherungsrichtlinien gesichert.
  • Ein Betriebliches Kontinuitätsmanagement soll die erforderliche Kontinuität des Geschäftsbetriebs in einer widrigen Situation gewährleisten, die die Geschäftskontinuität beeinträchtigen könnte. Als Teil des Betrieblichen Kontinuitätsmanagements legt ein Notfallplan die Verfahren und Maßnahmen fest, um den Betrieb der wesentlichen Dienste in kürzester Zeit und unter den bestmöglichen Bedingungen wiederherzustellen.

 

Rechte der Datensubjekte

Alle Mitarbeiter von Quibim kennen ihre Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten und sind über das Verfahren zur Wahrnehmung der Rechte betroffener Personen informiert. Das interne Management der DSGVO-Rechte definiert klar die Mechanismen, mit denen die Rechte ausgeübt werden können, und erkennt an, dass der Datenverantwortliche den betroffenen Personen unverzüglich antworten muss.

  • Im Rahmen des Auskunftsrechts wird den Betroffenen eine Auflistung der im Besitz von Quibim befindlichen personenbezogenen Daten zusammen mit dem Zweck, zu dem sie erhoben wurden, der Identität der Empfänger der Daten, der Speicherfristen und der Identität des Verantwortlichen zur Verfügung gestellt, bei dem sie die Berichtigung oder Löschung der Daten sowie Widerspruch gegen die Verarbeitung der Daten verlangen können.
  • Im Rahmen des Berichtigungsrechts wird der Verantwortliche die Daten der betroffenen Personen, die unrichtig oder unvollständig waren, entsprechend den Zwecken der Verarbeitung ändern.
  • Im Rahmen des Rechts auf Löschung werden die Daten der betroffenen Personen gelöscht, wenn die betroffenen Personen der Verarbeitung ihrer Daten widersprechen oder widersprechen und keine gesetzliche Pflicht besteht, dem entgegenzuwirken.
  • Um das Recht auf Datenübertragbarkeit auszuüben, müssen die betroffenen Personen ihre Entscheidung mitteilen und den Verantwortlichen gegebenenfalls über die Identität des neuen Verantwortlichen informieren, dem ihre personenbezogenen Daten übermittelt werden sollen.
  • Im Rahmen des Widerspruchsrechts werden die Daten der betroffenen Personen nicht mehr zu den Zwecken verarbeitet, für die die betroffenen Personen der Verarbeitung widersprechen.
  • Um das Recht auszuüben, keiner automatisierten Einzelentscheidung unterworfen zu sein, wird der Verantwortliche die betroffene Person über die Nichtverarbeitung ihrer Daten in diesem Zusammenhang informieren und entsprechende Nachweise vorlegen.

 

Verfahren zur regelmäßigen Überprüfung, Beurteilung und Bewertung

  • Quibim verfügt über folgende Zertifizierungen:
    • ISO/IEC 27001:2022 – Informationssicherheits-Managementsystem
    • ISO 13485:2016 und EN ISO 13485:2016 – Qualitätsmanagementsystem
    • Nationales Sicherheitssystem, mittlere Kategorie (Esquema Nacional de Seguridad, categoría Media) gemäß dem spanischen Königlichen Dekret 311/2022
    • Cyber ​​Essentials-Programm.
  • Die gesamte Software wird unter dem nach ISO 13485 zertifizierten Qualitätsmanagementsystem von Quibim entwickelt.
  • Durch unabhängige interne Audits wird jährlich eine Prüfung aller im Rahmen des ISMS-Rahmenwerks festgelegten Bestimmungen zur sicheren Entwicklung durchgeführt und Quibim wird in regelmäßigen Abständen die Wirksamkeit der hierin enthaltenen Sicherheitsmaßnahmen prüfen.
  • Quibim führt regelmäßig Marktüberwachungsaktivitäten durch, um die Sicherheit und Leistung aller Produkte und Dienstleistungen von Quibim zu überwachen.
  • Alle Mitarbeiter werden regelmäßig zum Thema Datenschutz geschult und zur Einhaltung der Vertraulichkeit und des Datengeheimnisses verpflichtet, auch über die Beendigung bzw. Ablauf des Arbeitsverhältnisses der Mitarbeiter mit Quibim hinaus.
  • Quibim schließt mit allen Vertragspartnern Datenverarbeitungsverträge ab, in denen die jeweiligen Anforderungen an Datenschutz und -sicherheit dargelegt sind. Im Vorfeld des Einstellungsverfahrens wird eine sorgfältige Prüfung der Datensicherheit durchgeführt.
  • Gemäß den Artikeln 37, 38 und 39 der DSGVO hat Quibim einen Datenschutzbeauftragten ernannt (dpo@quibim.ai), der die Einhaltung der Datenschutzgesetze durch Quibim überwacht.

 

Quibim kann diese Sicherheitsmaßnahmen von Zeit zu Zeit aktualisieren oder ändern, vorausgesetzt, dass solche Aktualisierungen und Änderungen nicht zu einer Verschlechterung der allgemeinen Sicherheit führen.

Quibim Website
Erhöhte Sicherheit. Geringerer Aufwand. Nachhaltiger Erfolg.  Einhaltung der GDPR-Cookies
Datenschutzübersicht

Wenn Sie eine Website besuchen, kann diese Informationen in Ihrem Browser speichern oder abrufen, meist in Form von Cookies. Diese Informationen können sich auf Sie, Ihre Einstellungen oder Ihr Gerät beziehen und werden hauptsächlich verwendet, damit die Website so funktioniert, wie Sie es erwarten. Die Informationen identifizieren Sie nicht direkt, können Ihnen aber ein personalisierteres Web-Erlebnis bieten. Da wir Ihr Recht auf Privatsphäre respektieren, können Sie sich dafür entscheiden, bestimmte Arten von Cookies nicht zuzulassen. Klicken Sie auf die verschiedenen Kategorieüberschriften, um mehr zu erfahren und unsere Standardeinstellungen zu ändern. Das Blockieren einiger Arten von Cookies kann jedoch Ihre Erfahrung auf der Website beeinträchtigen. Weitere Informationen, einschließlich einer detaillierten Cookie-Erklärung, finden Sie auf unserer Cookie-Richtlinie.