Zu Content springen
Deutsch
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.

Nutzungsbedingungen, Datenschutzbestimmungen und Datenverarbeitungsvereinbarung des VERSO Supply Chain Hubs

INHALTSVERZEICHNIS


I. Nutzungsbedingungen

Terms of Service 

II. Datenschutzrichtlinie

Privacy Policy

III. Auftragsverarbeitungsvertrag (AVV) & technische und organisatorische Maßnahmen zum Datenschutz

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle Der Supply Chain Hub wird ausschließlich auf der Open Telekom Cloud (OTC) betrieben. Physischer Zugang zu den Rechenzentren der OTC ist auf autorisiertes Betriebspersonal beschränkt und durch Zutrittskontrollsysteme gesichert.

Zugangskontrolle Alle Mitarbeiterzugänge zur Plattforminfrastruktur sind durch Zwei-Faktor-Authentifizierung (TOTP via Authenticator-App) gesichert. Passwörter werden ausschließlich über den Passwortmanager 1Password generiert und verwaltet (Mind. 50 Zeichen für kritische Secrets wie den Django SECRET_KEY). Festplattenverschlüsselung auf allen Entwickler-Laptops mittels FileVault (XTS-AES-128, 256 Bit). Zugangsdaten zu GitLab (dort liegt unser Code-Repository) erfordern zwingend 2FA. Sammelkonten sind auf ein Minimum beschränkt und bedürfen der Freigabe durch den ISO.

Zugriffskontrolle Der Zugriff auf Plattform, Infrastruktur und Code-Repositories folgt einem rollenbasierten Berechtigungskonzept (RBAC). Benutzerkonten werden zentral über den Director Producst beantragt und dokumentiert. Jede Identität erhält ein eigenes, eindeutig identifizierbares Benutzerkonto. Zugriffsberechtigungen werden mindestens einmal jährlich überprüft, ob die vergebenen Rechte noch notwendig sind und nicht missbraucht wurden. Alle sicherheitsrelevanten Ereignisse werden geloggt (An-/Abmeldungen, Änderungen an Benutzerkonten, Berechtigungsänderungen) und mindestens 6 Monate aufbewahrt. Für den VERSO Supply Chain Hub wird monatlich automatisch ein Task zur Log-Prüfung erstellt.

Trennungskontrolle Entwicklungs-, Test- und Produktionsumgebungen sind strikt voneinander getrennt. Kundendaten verschiedener Mandanten werden logisch isoliert verarbeitet. Produktive Kundendaten dürfen nicht als Testdaten verwendet werden; Ausnahmen bedürfen der ausdrücklichen Genehmigung des DPO.

Pseudonymisierung Sensible und personenbezogene Daten werden gemäß der Entwicklungssicherheits-Richtlinie maskiert. Es werden je nach Einsatzfall geeignete Techniken eingesetzt: Anonymisierung, Pseudonymisierung, Verschlüsselung (AES-256) oder Hashing.


2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle Die gesamte Kommunikation mit und innerhalb des Supply Chain Hubs erfolgt ausschließlich über HTTPS/TLS (SSL mit AES 128/256 Bit, RSA 256 Bit). TLS-Zertifikate werden über Let's Encrypt ausgestellt (SHA256withRSA, 2048 Bit). E-Mail-Kommunikation ist durch DKIM (SHA256withRSA, 1024–4096 Bit) abgesichert. Secrets der Plattform werden über Sealed Secrets verschlüsselt übertragen (AES-256-GCM, RSA-OAEP mit SHA-256).

Eingabekontrolle Alle Änderungen am Quellcode werden über das GitLab-Versionskontrollsystem lückenlos protokolliert (Git-Versionshistorie, Merge Requests, Changelogs). Änderungen an Produktivsystemen durchlaufen einen formalen Merge-Request-Prozess mit Genehmigung durch den Development Lead sowie automatisierten Sicherheitsprüfungen (SAST, Secret Detection, Dependency Checks). Änderungen an kritischen Cloud-Diensten werden immer im Vier-Augen-Prinzip durchgeführt.


3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b/c DS-GVO)

Verfügbarkeitskontrolle Die Plattform verfügt über ein aktives Monitoring-System mit automatischem Alerting über Grafana / ElasticSearch. Eingehende Alerts werden unverzüglich geprüft. Auf der Open Telekom Cloud werden täglich vollständige Datenbank-Backups sowie inkrementelle Backups alle 5 Minuten erstellt; zusätzlich tägliche Cluster-Backups über den „Cloud Backup and Recovery"-Service der OTC. Backups werden 31 Tage vorgehalten. CVE-Berichte zu eingesetzten Softwarekomponenten (Docker, Kubernetes, etc.) werden automatisiert über OpenCVE überwacht; der Security Newsletter von heise.de und des BSI wird regelmäßig ausgewertet.

Rasche Wiederherstellbarkeit Backup-Kopien und Wiederherstellungsprozesse werden mindestens quartalsweise auf dem Test-Server geprobt und dokumentiert. Die Ergebnisse werden in GitLab-Issues im IT-Security-Projekt festgehalten. Quellcode ist vollständig in GitLab versioniert und jederzeit auf einen früheren Stand rücksetzbar (Semantic Versioning, Git-Tags).


4. Verfahren zur Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO)

Datenschutz-Management Der ISO ist Eigentümer aller ISMS-Richtlinien und verantwortet deren jährliche Überprüfung. Neue Schwachstellen werden als Security-Issues in Confluence erfasst und nach Schweregrad, Auswirkung und potenziellem Risiko bewertet und priorisiert abgearbeitet. Privilegierte Benutzerkonten werden mindestens einmal jährlich überprüft.

Incident-Response-Management Alle Sicherheitsvorfälle im Zusammenhang mit dem Supply Chain Hub oder Lieferanten/Dienstleistern sind unverzüglich an den ISO zu melden. Für Cloud-Dienste sind klare Verfahren zur Reaktion auf Sicherheitsvorfälle vertraglich mit der Open Telekom Cloud vereinbart. Das Monitoring-System der Plattform löst bei kritischen Ereignissen automatisch Alarme aus.

Auftragskontrolle Cloud-Dienstleister werden vor Beauftragung einer Risikobewertung unterzogen, wobei die Einhaltung relevanter Normen (ISO 27001, SOC 2 etc.) geprüft wird. Die Open Telekom Cloud als primärer Infrastrukturdienstleister ist ISO 27001-zertifiziert. Verträge mit Dienstleistern enthalten verpflichtende Klauseln zu Vertraulichkeit, Datenschutz (DSGVO-konform), Datensicherung, Rückgabe von Daten bei Vertragsende sowie Unterstützung bei Sicherheitsvorfällen. Unterauftragnehmer des Cloud-Dienstleisters sind durch Weitergabeklauseln an dieselben Anforderungen gebunden. Die Qualität und Sicherheitskonformität der Dienstleister wird mindestens jährlich überprüft.