Versions Compared

Old Version 7

changes.mady.by.user b2c

Saved on

compared with

New Version Current

changes.mady.by.user b2c

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

1. Räumlichkeiten

wien.rocks (im Folgenden „wir“, „uns“ oder „der Dienst“) betreibt seine Server, Anwendungen und Systeme in privaten und gesicherten Rechenzentren in Wien, Österreich. Alle Daten werden physisch in Wien Österreich gespeichert und nicht an Dritte oder externe Datenverarbeiter weitergegeben.

Das Dokument beschreibt weiters alle technischen und organisatorischen Maßnahmen (TOMs) um die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO, die wien.rocks für seine Betriebsstätten ergreift.

2. Technische Sicherheitsmaßnahmen

2.1 Vertraulichkeit

2.1.1 Physische Zugangskontrolle

Diese Maßnahmen sollen verhindern, dass Unbefugte auf Datenverarbeitungssysteme zugreifen, mit denen personenbezogene Daten verarbeitet oder genutzt werden.

2.1.1.1 Schlüsselkontrolle

  • Das Rechenzentrum kann nur mit einem vereinbarten Termin betreten werden. Nur das Betriebsteam von wien.rocks oder autorisiertes Rechenzentrumspersonal haben die Erlaubnis, auf das Rechenzentrum zu betreten. wien.rocks hat im Rechenzentrum dedizierte Server-Racks zugewiesen.

2.1.1.2 Manuelles Schließsystem

  • Außerhalb der Geschäftszeiten sind alle Räumlichkeiten verschlossen.

2.1.1.3 Regelungen für externe Personen

  • wien-rocks-fremde Personen können das Rechenzentrum nur betreten, wenn sie von einem wien.rocks Mitarbeiter Zutritt erhalten. Dabei müssen sie jederzeit von wien.rocks-Mitarbeitern oder einem Mitarbeiter des Rechenzentrums beaufsichtigt sein.

2.1.2 Systemzugangskontrolle und Authentifizierung

  • Die hier beschriebenen Maßnahmen sind geeignet, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. Diese Maßnahmen gelten für den gesamten Betrieb von wien.rocks.

2.1.2.1 Vergabe von Benutzerrechten

Für alle Services und Prozesse werden den Mitarbeitern persönliche, passwortgeschützte Benutzerkonten zugewiesen. Alle persönlichen Geräte (computer, laptops, etc.), die für den Zugriff auf IT-Dienste verwendet werden, sind mit einem persönlichen Benutzerkonto geschützt.

  • Auf den Servern ist genau geregelt, welcher Client auf welche Daten Zugriff hat. Ebenso haben die Nutzer der Systeme nur Zugriff auf die Teile der Systeme, auf die sie Zugriff benötigen (Need-to-Know-Prinzip). Benutzerkonten und Administratorkonten werden getrennt behandelt.
  • Es wird dokumentiert, welche Funktion mit welchem Recht gesteuert werden kann.
  • Rollenbasiertes Berechtigungskonzept.
  • Außerdem wird dokumentiert, welche Rechte welchen Datenzugriff erlauben.
  • Benutzerkonten sind Benutzern eindeutig zugeordnet. Es gibt keine unpersönlichen Sammelkonten.
  • Benutzerkonten und Zugriffsrechte werden regelmäßig durch das Betriebsteam von wien.rocks geprüft.
  • Alle Systeme verwenden eine verschlüsselte Speicherung von Benutzerkennwörtern.

Administratorpasswörter dürfen unter keinen Umständen an Dritte weitergegeben werden.


2.1.2.2 Passwortanforderungen

Alle Konten müssen die folgenden Passwortregeln einhalten:

  • Das Passwort muss mindestens 12 Zeichen lang sein und folgende Merkmale enthalten:
  • Mindestens 1 Großbuchstabe
  • Mindestens 1 Kleinbuchstabe
  • Mindestens 1 Nummer
  • Nach Möglichkeit wird eine Multi-Faktor-Authentifizierung implementiert

Alternativ können Zertifikate verwendet werden, um sich an schützenswerten Konten anzumelden (z. B. SSH-Schlüssel, TLS-Zertifikate). Eine Pflicht zur regelmäßigen Änderung des Passwortes besteht in diesem Fall nicht. Es ist jedoch wichtig, einen sicheren Umgang mit dem privaten Schlüssel zu gewährleisten. Diese darf nicht unverschlüsselt gespeichert oder weitergegeben werden. Keinesfalls dürfen Passwörter, Zertifikate oder Schlüssel an Dritte weitergegeben werden. Darüber hinaus dürfen alle Zugangsdaten und/oder Schlüsselmaterialien nicht unverschlüsselt gespeichert oder weitergegeben werden.

2.1.3 Schutz der Netzwerkinfrastruktur

  • Der administrative Zugriff auf die wien.rocks-Server erfolgt ausschließlich über einen Site-to-Site-VPN-Tunnel
  • Der Zugriff auf das Netzwerk wien.rocks ist durch eine Firewall geschützt
  • Zugriffsbeschränkungen für bestimmte Dienste werden über IP-Adressbeschränkungen implementiert. Nur explizit zugelassene Ports sind zugänglich
  • Regelmäßige Software- und Systemupdates werden durchgeführt.
  • Ein Reverse-Proxy ist vorhanden, um die Sicherheit zu erhöhen und Zugriffskontrollen auf von wien.rocks gehostete Dienste sicherzustellen
  • wien.rocks unterhält dedizierte Netzwerkgeräte innerhalb der Rechenzentrumsumgebung, um Datenschutz und Mandantenfähigkeit zu gewährleisten
  • Die Segmentierung von Netzwerken wird innerhalb der Netzwerkinfrastruktur verwendet
  • Wireless-Netzwerk und LAN-Netzwerke sind getrennte Netzwerke. Alle drahtlosen Netzwerke verfügen über angemessene Zugangsbeschränkungen.
  • Überwachung und Protokollierung von administrativen Systemzugriffen und Konfigurationsänderungen.

2.1.4 Datenzugriffskontrolle

Maßnahmen, um sicherzustellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, nur Zugriff auf die Daten haben, zu denen sie berechtigt sind, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

2.1.4.1 Regelung der Zugangsberechtigung

  • Zugriffsberechtigungen werden nach dem Prinzip der geringsten Rechte vergeben. Das bedeutet, dass die Personen, die personenbezogene Daten verarbeiten, nur Zugriff auf die Daten haben, die sie tatsächlich benötigen.
  • Alle einmal autorisierten Benutzerrollen und -rechte werden mindestens einmal jährlich von den zuständigen Systembetreibern überprüft und angepasst.
  • Die Mitarbeiterprozesse für Neueinsteiger, Umsteiger und Aussteiger sorgen dafür, dass alle Benutzerkonten und Zugriffe auf alle IT-Dienste nach Bedarf gewährt oder entzogen und alle Ausstattungen (PC, Laptop, Smartphone etc.) ausgegeben oder neu bezogen werden.
  • Alle Personal Computer müssen gesperrt werden, sobald sie unbeaufsichtigt sind.

2.1.4.2 Auswertung von Protokollen

  • Protokollprotokolle inklusive Zugriffe auf die Systeme können ausgewertet und Abweichungen festgestellt werden. Je nach Anwendungsfall erfolgt dieser Vorgang gegebenfalls automatisiert.

2.1.5 Trennungsregel

Maßnahmen, um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden.

  • Logische Mandantentrennung (softwareseitig).
  • Strikte administrative Aufgabentrennung.
  • Die Datenverarbeitung für den Mandanten ist logisch von anderen Mandanten getrennt.
  • Physische Trennung von Test- und Produktionsumgebung und Daten.
  • Logische Datentrennung: getrennte Datenbanken oder strukturierte Dateiablage
  • Separate Instanzen für Entwicklungs-, Test- und Produktionssysteme (Sandboxen).
  • Protokollierung von externen Supportprozessen.
  • Spezifische Genehmigungsregeln für den Datenbank- und Anwendungszugriff / Berechtigungskonzept.

2.1.6 Datenschutzkonzept

  • Die Systeme von wien.rocks sind so konzipiert, dass nur die gesetzlich notwendigen Daten gespeichert und/oder verarbeitet werden.


2.2 Integrität

2.2.1 Transfer von Daten

Maßnahmen, um sicherzustellen, dass personenbezogene Daten während der elektronischen Übermittlung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten durch Speichermedien übermittelt werden.

2.2.1.1 Kontrollierte Vernichtung von Datenträgern

  • Fehldrucke oder andere nicht mehr benötigte Unterlagen werden mit einem Aktenvernichter vernichtet. Es ist sichergestellt, dass die Aktenvernichtung mit einem Aktenvernichter erfolgt.
  • Wenn Datenträger von einem Lieferanten gelöscht werden, muss ein vertragliches und Auditverfahren die vollständige Vernichtung der Informationen sicherstellen. Von wien.rocks muss eine Bescheinigung über die erfolgte Vernichtung eingeholt werden.
    • Vernichtung von physischen Datenträgern nach DIN 32757.

2.2.1.2 Regelungen zum Umgang mit Kopien

  • Von Kundendaten dürfen keine Kopien angefertigt werden, mit Ausnahme von Sicherungskopien. Mitarbeiter sind vertraglich verpflichtet, keine Kopien anzufertigen oder Daten an Unbefugte weiterzugeben.

2.2.1.3 Verschlüsselte Verbindungen

  • Der administrative Zugriff auf die Server erfolgt über einen VPN-Tunnel.
  • Alle Kommunikationswege über Netzwerkgrenzen hinweg zwischen Servern sind TLS-verschlüsselt.

2.2.1.4 Verschlüsselte Speicherung

  • Personenbezogene Daten werden auf verschlüsselten Speichermedien vorgehalten ("data-at-rest encryption")

2.2.2 Protokollierung von Server- und Systemzugriffen und Benutzeraktivitäten

Es werden Maßnahmen ergriffen, um alle Zugriffsanfragen und Aktivitäten auf wien.rocks-Server und -Systeme, die im Rechenzentrum gehostet werden, zu protokollieren. Zentrale Gateway-Geräte mit Zwei-Faktor-Authentifizierung regeln den Zugriff auf die zugrunde liegenden Systeme, die alle Zugriffsprotokolle speichern und an ein Log-Management-System weiterleiten.

2.3 Verfügbarkeit und Ausfallsicherheit

Maßnahmen zum Schutz personenbezogener Daten vor versehentlicher Zerstörung oder Verlust:

  • Die Daten werden täglich automatisch gesichert und mindestens 30 Tage aufbewahrt.
  • Alle Server sind durch Firewalls vor unbefugtem Zugriff geschützt.
  • Die Systeme sind redundant ausgelegt, sodass ein Ausfall schnell kompensiert werden kann.
  • Feuer- und/oder Rauchmelder.
  • Kühlsystem im Rechenzentrum.
  • Disaster-Recovery-Mechanismen zur Datenwiederherstellung

1. Premises

wien.rocks (hereafter “we”, “us” or “the service”) operates its servers, applications and systems in private and secured data centers in Vienna, Austria. All data is physically stored in Vienna Austria and is not transferred are shared to any third parties or external data processors.

The document furthermore describes all technical and organizational measures (TOMs) and security of processing pursuant to Article 32 GDPR wien.rocks takes for its operational facilities.

2. Technical security measures

2.1 Confidentiality

2.1.1 Physical access control

This measures are aimed to prevent unauthorized persons from accessing data processing systems with which personal data is processed or used.

2.1.1.1 Key control

  • The data center can only be accessed with a scheduled appointment. Only the wien.rocks operations team or authorized data center personnel have the permission to access the data center. wien.rocks has allocated designated server racks at the data center.

2.1.1.2 Manual locking system

  • Outside business hours, all premises are locked.

2.1.1.3 Regulations for external persons

wien.rocks-external persons can only enter the data center if they are granted access by a wien.rocks employee. Thereby they must be supervised by wien.rocks employees or a data center employee at all times.

2.1.2 System access control and authentication

Measures described here are suitable to prevent data processing systems from being used by unauthorized personnel. These measures apply to the whole of the wien.rocks operations.

2.1.2.1 Assignment of user rights

For all services and processes, employees are assigned personal password protected user accounts. All personal devices (computers, laptops, etc.) used to access IT services are protected with a personal user account.

  • On the servers it is precisely regulated which client has access to which data. Likewise, the users of the systems only have access to those parts of the systems to which they need access (need-to-know principle). User accounts and administrative accounts are handled separately.

  • It is documented which function can be controlled by which right.

  • Role-based authorization concept.

  • It is also documented which rights allow which data access.

  • User accounts are uniquely assigned to users. There are no impersonal collective accounts.

  • User accounts and access rights are regularly audited by the wien.rocks operations team.

  • All systems use encrypted storage of user passwords.

Under no circumstances may administrator passwords be disclosed to third parties.

2.1.2.2 Password requirements

All accounts must adhere to the following password rules:

The password must be at least 12 characters long and contain the following characteristics:

  • at least 1 capital letter

  • at least 1 lowercase letter

  • at least 1 number

  • multi-factor authentication is implemented where possible

Alternatively, certificates can be used to log into accounts worth protecting (e.g. SSH keys, TLS certificates). In this case, there is no obligation to change the password regularly. However, it is important to ensure safe handling of the private key. This must not be stored unencrypted or passed on. Under no circumstances may passwords, certificates or keys be disclosed to third parties. Furthermore all credential data and/or key material must not be stored unencrypted or passed on.

2.1.3 Protection of the network infrastructure

  • Administrative access to the wien.rocks servers is granted exclusively via a site-to-site VPN tunnel

  • Access to the wien.rocks network is protected by a firewall

  • Access restrictions for certain services are implemented via IP address restrictions. Only ports explicitly allowed are accessible

  • Regular software and system updates are performed.

  • A reverse proxy is in place to enhance security and enforce access controls to wien.rocks-hosted services

  • wien.rocks maintains dedicated network equipment within the data center environment to ensure data protection and multi-tenancy

  • Segmentation of networks are used within the network infrastructure

  • Wireless network and LAN networks are separated networks. All wireless networks have proper access restrictions in place.

  • Monitoring and logging of administrative system access and configuration changes.

2.1.4 Data access control

Measures to ensure that persons authorized to use a data processing system have access only to the data they are authorized to access and that personal data cannot be read, copied, changed or removed without authorization during processing, use and after storage.

2.1.4.1 Regulation of access authorization

  • Access authorizations are assigned according to the principle of least privilege. This means that the persons who process personal data only have access to data that they actually need.

  • All once authorized user roles and rights are checked and adjusted at least once a year by the appropriate system operators.

  • The employee processes for newcomers, movers and leavers ensure that all user accounts and access to all IT services are granted or revoked as necessary, and all equipment fit-out (PC, Laptop, Smartphone, etc.) is handed out or redrawn.

  • All personal computers must be locked as soon as they are unattended.

2.1.4.2 Evaluation of logs

  • Protocol logs including access to the systems can be evaluated and deviations can be identified. Depending on the application, this process may be automated.

2.1.5 Separation rule

Measures to ensure that data collected for different purposes are processed separately.

  • Logical client separation (on the software side).

  • Strict administrative separation of tasks.

  • The data processing for the client is logically separated from other clients.

  • Physical separation of test and production environments and data.

  • Logical data separation: separate databases or structured file storage

  • Separate instances for development, test and production systems (sandboxes).

  • Logging of external support processes.

  • Specific approval rules for the database and application access / authorization concept.

2.1.6 Privacy by design

wien.rocks’s systems are designed in a way that only the regulatory necessary data is stored and/or processed.

2.2 Integrity

2.2.1 Transfer of data

Measures to ensure that personal data cannot be read, copied, altered or removed without authorization during electronic transmission or during their transport or storage on data carriers, and that it is possible to verify and establish to which bodies personal data are intended to be transmitted by data transmission equipment.

2.2.1.1 Controlled destruction of data media

  • Misprints or other documents that are no longer needed are destroyed with a shredder. It is ensured that the document destruction is done with a shredder.

  • When Data media is wiped by a supplier a contractual and audit procedure has to ensure the complete destruction of the information. wien.rocks has to receive a certification that the destruction has occurred.

    • Destruction of physical media according to DIN 32757.

2.2.1.2 Regulation regarding handling of copies

  • No copies may be made of client data, except for back-ups. Members of staff are contractually obliged not to make copies or to hand over data to unauthorized persons.

2.2.1.3 Encrypted connections

  • Administrative access to the servers is implemented via a VPN tunnel.

  • All communication channels across network boundaries between servers are TLS encrypted.

2.2.1.4 Encrypted storage

  • All media containing personal identifiable data is encrypted at rest

2.2.2 Logging of server and system access and user activities

Measures are in place to log all access requests and activities to wien.rocks servers and systems hosted at the data center. Central gateway devices with two-factor authentication regulate access to the underlying systems which store and forward all access logs to a log management system.


2.3 Availability and resilience

Measures to ensure that personal data is protected against accidental destruction or loss:

  • The data is automatically backed up daily and kept for at least 30 days.

  • All servers are protected by firewalls against unauthorized access.
  • The systems are designed redundantly, so that a failure can be compensated quickly.

  • Fire and/or smoke detectors.

  • Cooling system in data center.

  • Disaster recovery mechanisms for data recovery.