Technische und Organisatorische Sicherheitsmaßnahmen

AtWorkStudio verfügt über eine von der Geschäftsleitung formell genehmigte Informationssicherheitsrichtlinie, die dem Personal und den Lieferanten kommuniziert und in geplanten Abständen sowie bei wesentlichen Änderungen des operativen Kontexts überprüft wird. Die Richtlinie steht im Einklang mit den Anforderungen der ISO/IEC 27001:2022, der ISO/IEC 27017:2015 und der ISO/IEC 27018:2025 und stellt die formelle Verpflichtung des Anbieters gegenüber den Kunden und interessierten Parteien im Bereich der Informationssicherheit dar.

Die Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit liegen bei der Geschäftsleitung, die sämtliche Tätigkeiten des Informationssicherheits-Managementsystems direkt steuert, umsetzt und überprüft. In den Beziehungen zu den Kunden handelt AtWorkStudio als Auftragsverarbeiter im Sinne des Art. 28 der Verordnung (EU) 2016/679 (DSGVO).

Die Geschäftsleitung unterhält Kontakte zu den für die Erbringung der Dienste zuständigen Behörden, darunter die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali), die Agentur für nationale Cybersicherheit (ACN, Agenzia per la Cybersicurezza Nazionale), die Postpolizei und die Justizbehörde. Die institutionelle Kommunikation erfolgt über offizielle Kanäle (PEC bzw. zertifizierte Post). Die Meldung etwaiger Verletzungen personenbezogener Daten an die Datenschutzbehörde erfolgt innerhalb von 72 Stunden gemäß Art. 33 DSGVO.

Im Rahmen seines Managementsystems sammelt und analysiert AtWorkStudio Informationen über Bedrohungen der Informationssicherheit, wobei es auf offizielle Quellen (CVE, Vendor-Portale, Threat-Intelligence-Center) und spezialisierte Aggregatoren zurückgreift. Die relevanten Informationen werden auf die Betriebsumgebung des Anbieters bezogen und führen, sofern erforderlich, zur Aktualisierung der Risikobewertung und der technischen Maßnahmen. Dienste der maßgeschneiderten Threat Intelligence oder der für den Kunden bestimmten Berichterstattung werden auf gesonderter vertraglicher Grundlage erbracht.

Die Informationen werden nach ihrer Vertraulichkeit, Integrität und Verfügbarkeit sowie nach den anwendbaren rechtlichen, regulatorischen und vertraglichen Anforderungen klassifiziert. Der angewendete technische und organisatorische Schutz ist der Klassifizierung angemessen. Die Schutzniveaus werden regelmäßig in Abhängigkeit von der Relevanz der Informationen und der normativen Konformität überprüft.

Die Kennzeichnung von Informationen wird mittels Cloud-Werkzeugen zur Klassifizierung und zum Schutz von Daten umgesetzt, in Übereinstimmung mit dem angewendeten Klassifizierungsschema. Informationen mit kontrolliertem Zugriff werden auf geschützten Plattformen verwaltet und unterliegen der Nachvollziehbarkeit.

Die Steuerung des physischen und logischen Zugangs zu Informationen und Unternehmensassets erfolgt nach dem Prinzip der geringsten Rechte. Die logischen Zugänge werden über eine zentralisierte Cloud-Plattform für Identity Management verwaltet, mit nach Rolle differenzierten Zugriffen, die von der Geschäftsleitung autorisiert und durch obligatorische Multi-Faktor-Authentifizierung geschützt sind. Die Zugangsprofile werden regelmäßig überprüft und bei Beendigung des Verhältnisses unverzüglich widerrufen.

Der Lebenszyklus der Identitäten wird zentral über eine Cloud-Plattform für Identity Management verwaltet. Erstellung, Änderung und Deaktivierung der Konten erfolgen auf formelle Autorisierung der Geschäftsleitung. Die Eindeutigkeit der Anmeldedaten ist sichergestellt, gemeinsam genutzte Konten sind nicht zulässig und bei Beendigung des Verhältnisses werden die Identitäten unverzüglich deaktiviert.

Die Zugangsdaten werden zentral mit obligatorischer Multi-Faktor-Authentifizierung verwaltet. Die Passwörter werden nicht im Klartext kommuniziert und, sofern erforderlich, in verschlüsselten Vaults aufbewahrt. Die Vergabe und der Widerruf der Anmeldedaten erfolgen auf formelle Autorisierung der Geschäftsleitung.

Die Zugangsrechte werden ausschließlich auf Autorisierung der Geschäftsleitung und in Abhängigkeit von der operativen Rolle vergeben, mit Trennung der Privilegien und Nachvollziehbarkeit der Tätigkeiten. Bei Beendigung des Auftrags werden die Rechte unverzüglich widerrufen. Die Selbständerung der Zugriffsniveaus durch die Benutzer ist nicht zulässig.

Die Lieferanten werden nach einem formellen Verfahren klassifiziert, bewertet und verwaltet, das eine Unterteilung in drei Kategorien (Cloud, Systembetrieb, gelegentlich) anhand der Relevanz des Dienstes, der Kritikalität für das Managementsystem und des Vorliegens von Zertifizierungen vorsieht. Die strategischen Lieferanten werden in einer eigenen Liste erfasst, und für die nicht nach ISO/IEC 27001 zertifizierten wird mindestens alle zwei Jahre ein dokumentiertes Audit durchgeführt.

Die Vereinbarungen mit den Lieferanten enthalten spezifische Sicherheitsklauseln: Vertraulichkeitsvereinbarungen (NDA), Logging-Anforderungen, nachvollziehbare Zugriffe, Multi-Faktor-Authentifizierung, Verschlüsselung, Wiederherstellung und Vertraulichkeit, im Einklang mit den Leitfäden ISO/IEC 27017 und ISO/IEC 27018. Der logische Zugriff der Lieferanten auf die Systeme ist durch MFA geschützt und in den Systemprotokollen erfasst.

Die kritischen Lieferanten werden mindestens jährlich durch die Überprüfung der Liste und die Prüfung des Fortbestands der Sicherheits-, Normen- und Vertragsanforderungen überwacht. Änderungen in der Gesellschaftsstruktur, im Standort der Rechenzentren oder in der DSGVO-Qualifikation (z. B. Auftragsverarbeiter / Unterauftragsverarbeiter) sind Gegenstand einer punktuellen Bewertung und führen, sofern relevant, zur Aktualisierung der vertraglichen und technischen Dokumentation.

AtWorkStudio überwacht die Änderungen der Sicherheitspraktiken und der Servicebedingungen der Lieferanten über offizielle Portale, technische Feeds und vertragliche Mitteilungen. Die relevanten Änderungen werden von der Geschäftsleitung bewertet und führen, sofern erforderlich, zu Aktualisierungen der technischen Konfigurationen, der Schutzmaßnahmen oder der Vertragsklauseln gegenüber den Kunden.

Der Erwerb, die Nutzung und der Ausstieg aus den für die Kunden erbrachten oder verwalteten Cloud-Diensten sind vertraglich geregelt. AtWorkStudio wendet in allen Phasen des Lebenszyklus des Cloud-Dienstes Sicherheitskriterien an, die mit dem eigenen Managementsystem im Einklang stehen, einschließlich Zugangssteuerung, Verschlüsselung, Logging und Trennung der Verantwortlichkeiten. Die Konformitätsnachweise der Cloud-Anbieter (Zertifizierungen ISO/IEC 27017, ISO/IEC 27018, DPA) stehen den Kunden auf Anfrage zur Verfügung.

Die Handhabung von Sicherheitsvorfällen ist durch ein formelles Verfahren geregelt, das Rollen, operative Phasen, eingesetzte Werkzeuge und Modalitäten der Nachverfolgung festlegt. Die Aktivierung kann auf Meldung des Kunden oder durch Alarme der Überwachungssysteme (SIEM, EDR) erfolgen. Die Klassifizierung der Ereignisse umfasst die Bewertung der Auswirkungen auf personenbezogene Daten und die etwaigen Meldepflichten an die Datenschutzbehörde gemäß DSGVO.

Die Reaktion auf Vorfälle erfolgt unverzüglich und in einem der festgestellten Schwere angemessenen Umfang. Alle durchgeführten Maßnahmen werden nachverfolgt, und bei Auswirkungen auf erbrachte Dienste oder personenbezogene Daten wird die Kommunikation an den Kunden gemäß den anwendbaren vertraglichen und normativen Regeln aktiviert. Die Vorfälle werden auf den folgenden vier Stufen klassifiziert:

Die Nachweise zu den Vorfällen werden über die aktiven Sicherheitssysteme (SIEM, EDR, MDM) gesammelt und aufbewahrt. Die Protokolle und Ereignisse werden automatisch erfasst und im Bedarfsfall exportiert und in digitaler Form archiviert, um interne, disziplinarische oder rechtliche Tätigkeiten unter Beachtung der geltenden Vorschriften zu unterstützen. Der Dienst der Erhebung forensischer Nachweise auf Systemen des Kunden ist nicht in der Grundleistung enthalten und kann auf Anfrage aktiviert werden.

Die Informationssicherheit ist auch bei betrieblichen Störungen dank des Einsatzes resilienter Cloud-Plattformen und technischer Maßnahmen, die nicht von lokalen Infrastrukturen abhängen, gewährleistet. Alle kritischen Assets bleiben durch Verschlüsselung, Multi-Faktor-Authentifizierung und Trennung der Zugriffe geschützt. Ein Business-Continuity- und Disaster-Recovery-Plan legt die im Notfall zu ergreifenden Maßnahmen fest.

Die Kontinuität der IKT-Dienste ist durch resiliente Cloud-Lösungen sichergestellt, die auf zertifizierten und in der Europäischen Union gelegenen Rechenzentren verteilt sind. Die kritischen Systeme des Anbieters sind so konfiguriert, dass sie dank automatischem Failover und geografischer Replikation auch bei lokalen Störungen zugänglich sind. Die IKT-Bereitschaft des Anbieters wird regelmäßig getestet. Für Kunden, die den Backup-Dienst vertraglich vereinbart haben (Maßnahme 8.13), werden die Wiederherstellungstests an den Daten des Kunden gemäß den vereinbarten Modalitäten durchgeführt und dokumentiert.

Die Erstellung eines detaillierten, auf die Systeme des Kunden zugeschnittenen Disaster-Recovery-Plans — mit Festlegung von RTO und RPO, Wiederherstellungs-Runbooks, Szenarien und regelmäßigen Tests — ist nicht in der Grundleistung enthalten und stellt eine vertraglich aktivierbare Leistung dar.

Die für die Informationssicherheit relevanten rechtlichen, normativen und vertraglichen Anforderungen werden identifiziert, dokumentiert und in das Managementsystem in Übereinstimmung mit der DSGVO, der ISO/IEC 27001:2022 und den mit Kunden und Lieferanten unterzeichneten Klauseln integriert. Die Überprüfung der Konformität erfolgt im Rahmen der Überprüfung des Systems oder bei einer Änderung des technischen oder organisatorischen Geltungsbereichs.

Alle Unternehmensaufzeichnungen, einschließlich Verfahren, Verträge, Protokolle und Dokumentation des Managementsystems, werden in digitaler Form auf Cloud-Plattformen aufbewahrt, die durch Multi-Faktor-Authentifizierung und eine granulare Berechtigungsverwaltung geschützt sind. Die Aufzeichnungen sind nur autorisierten Personen zugänglich und vor Manipulation, unbefugter Offenlegung und unbeabsichtigtem Verlust geschützt. Es werden keine Papierarchive verwendet.

AtWorkStudio verarbeitet personenbezogene Daten ausschließlich für die Erbringung der vertraglich vereinbarten Dienste, in seiner Eigenschaft als Auftragsverarbeiter im Sinne des Art. 28 DSGVO. Der Schutz der personenbezogenen Daten ist durch Verschlüsselung, Multi-Faktor-Authentifizierung, Trennung der Zugriffe, Nachvollziehbarkeit und Aufbewahrung in zertifizierten, in der Europäischen Union gelegenen Cloud-Umgebungen gewährleistet.

Der Ansatz und die Wirksamkeit des Managementsystems werden durch jährlich geplante interne Audits überprüft, die im Falle von Vorfällen oder wesentlichen Änderungen außerordentlich aktiviert werden können. Die Audits werden von einem zertifizierten, externen und von der Geschäftsleitung unabhängigen ISO/IEC-27001-Lead-Auditor durchgeführt. Der Anbieter unterliegt darüber hinaus periodischen Drittparteien-Audits durch die Zertifizierungsstelle sowie regelmäßigen Überprüfungen durch seinen DSB (Datenschutzbeauftragten) gemäß Art. 39 Abs. 1 lit. b) DSGVO.

Die Mitarbeiter und Lieferanten, die im Auftrag von AtWorkStudio tätig sind, werden über die Unternehmensrichtlinien und die mit der Informationssicherheit verbundenen operativen Verantwortlichkeiten geschult und informiert. Die Schulungs- und Aktualisierungstätigkeiten werden dokumentiert. Die Aktualisierungen werden bei Überprüfungen von Verfahren oder bei relevanten Änderungen im Geltungsbereich des Managementsystems kommuniziert.

Es steht ein Kanal zur unverzüglichen Meldung von Sicherheitsereignissen zur Verfügung, der Kunden, Mitarbeitern und internem Personal über E-Mail, Ticket oder direkte Kommunikation an die Geschäftsleitung offensteht. Alle Meldungen werden erfasst, analysiert und gemäß dem Incident-Management-Verfahren behandelt, ohne hierarchische Filterebenen, um Reaktionsfähigkeit und Transparenz zu gewährleisten.

Die Erbringung der Dienste von AtWorkStudio beruht auf einer vollständig cloudbasierten Architektur: die Verarbeitung und die Aufbewahrung der Kundendaten erfolgen in Rechenzentren von Anbietern, die nach ISO/IEC 27001, ISO/IEC 27017 und ISO/IEC 27018 zertifiziert sind und über mehrfache physische Sicherheitsperimeter, eine Mehr-Faktor-Zugangssteuerung, eine kontinuierliche 24-Stunden-Überwachung und eine dokumentierte Konformität verfügen. Der physische Produktionsperimeter wird daher durch die ausgewählten Rechenzentren bestimmt, gemäß den den Kunden zur Verfügung gestellten vertraglichen Nachweisen. Die Betriebsstandorte des Anbieters beherbergen weder Verarbeitungsinfrastrukturen noch Wechselmedien mit Kundendaten; die Arbeitsplätze des Personals sind zentral verwaltete Geräte, die auf Betriebssystemebene verschlüsselt und durch Multi-Faktor-Authentifizierung geschützt sind.

Die angewendete Cloud-First-Architektur gewährleistet den Schutz vor physischen und umweltbedingten Bedrohungen durch ausgewählte Anbieter mit georedundanten zertifizierten Rechenzentren. Die Unternehmensgeräte sind verschlüsselt, und im Falle von Beschädigung, Verlust oder Diebstahl ist kein Unternehmensdatum im Klartext zugänglich. Die Betriebskontinuität bei umweltbedingten Ereignissen ist durch den Business-Continuity- und Disaster-Recovery-Plan geregelt.

AtWorkStudio verwendet keine physischen Wechselspeichermedien für die Verarbeitung oder Aufbewahrung von Unternehmens- oder Kundendaten. Alle Informationen befinden sich auf Cloud-Systemen oder Unternehmensgeräten, die durch Verschlüsselung, MFA und zentralisierte Verwaltung geschützt sind. Die Nutzung nicht autorisierter externer Medien ist durch die interne Richtlinie untersagt.

Die Außerbetriebnahme der Assets sieht das vollständige Zurücksetzen aus der Ferne über MDM mit sicherer Entfernung aller Daten vor. Es werden keine Geräte an Dritte abgegeben, ohne dass zuvor die Unternehmensinformationen gelöscht wurden. Die operativen Daten befinden sich auf Cloud-Plattformen, und es sind keine dauerhaften lokalen Kopien auf den Geräten vorhanden.

Die privilegierten Zugangsrechte sind auf das von der Geschäftsleitung autorisierte Personal beschränkt. Die administrativen Konten sind von den operativen Konten getrennt und durch Multi-Faktor-Authentifizierung geschützt. Die Tätigkeiten in den administrativen Umgebungen (Cloud-Produktivitätsplattformen, Infrastruktur, Backup, MDM und Netzwerkverwaltung) werden nachverfolgt und unterliegen einem zentralisierten Logging. Es sind weder gemeinsam genutzte Konten noch dauerhaft erhöhte Privilegien für gewöhnliche Benutzer vorgesehen.

Der Zugriff auf die Informationen ist nach dem Prinzip der geringsten Rechte beschränkt. Die Berechtigungen werden spezifischen operativen Rollen zugewiesen und von der Geschäftsleitung autorisiert. Die Konten werden über die Cloud-Plattform für Identity Management mit obligatorischer MFA verwaltet, und alle Tätigkeiten werden in den Protokollen der Cloud-Plattformen nachverfolgt. Gemeinsam genutzte Konten oder nicht nachvollziehbare Zugriffe sind nicht zulässig.

Der Zugriff auf die Cloud-Dienste und die Steuerungskonsolen ist durch obligatorische Multi-Faktor-Authentifizierung geschützt. Die mobilen Geräte nutzen biometrische Authentifizierung und automatische Sperrung. Die Anmeldedaten sind personenbezogen, nachvollziehbar und werden bei Beendigung des Verhältnisses widerrufen.

Die Kapazitätssteuerung ist durch die skalierbare Cloud-Architektur der eingesetzten Anbieter gewährleistet. Der Speicher und das Backup erfolgen verbrauchsabhängig gemäß den mit dem Kunden festgelegten vertraglichen Bedingungen. Die aktive Überwachung der Infrastrukturressourcen kann als optionaler Dienst angeboten werden.

Auf den Geräten und Systemen des Anbieters folgt der Schutz vor Malware einem mehrschichtigen Ansatz: Endpoint-Detection-and-Response-Lösungen (EDR) mit verhaltensbasierter Erkennung, automatischer Eindämmung der Bedrohungen und zentralisierter Telemetrie; native Mechanismen des Betriebssystems, die ausschließlich die Installation von durch zertifizierte Entwickler signierter Software zulassen; automatische Aktualisierungen der Definitionen und Sicherheitsrichtlinien, die über MDM verteilt werden; Korrelation der Ereignisse und Reaktion auf die Alarme über SIEM. Das Bewusstsein des Personals wird durch fortlaufende Schulung und periodische Sensibilisierungskampagnen gestärkt.

Die Ausweitung derselben Maßnahmen auf die Geräte, Endpoints und Systeme des Kunden (verwaltetes Anti-Malware/EDR, MDM, Schulung) stellt einen Zusatzdienst dar, der auf gesonderter vertraglicher Grundlage erbracht wird.

Die technischen Schwachstellen auf den Systemen des Anbieters werden über die EDR-Konsole und offizielle Quellen (CVE, Vendor-Feeds) identifiziert und gemäß einem formellen Patch-Management-Verfahren gehandhabt. Die Cloud-Infrastruktur unterliegt den Sicherheits-, Aktualisierungs- und Vulnerability-Management-Richtlinien der nach ISO/IEC 27001 zertifizierten Vendoren.

Für Kunden, die einen verwalteten Dienst des Patch-Managements oder Vulnerability-Assessments vertraglich vereinbart haben, werden die Tätigkeiten gemäß den vereinbarten Modalitäten erbracht, und die Nachweise der Aktualisierung der Systeme werden in den dedizierten Verwaltungsportalen archiviert, die dem Kunden zugänglich sind.

Die Sicherheitskonfigurationen der Geräte und Systeme des Anbieters werden gemäß dokumentierten Baselines verwaltet (Verschlüsselung, automatische Sperrung, automatische Aktualisierungen, MFA, Backup, Remote Wipe). Die Konformität mit den Baselines wird im Rahmen der Überprüfung durch die Geschäftsleitung verifiziert. Für Kunden, die einen verwalteten Dienst der Cloud- oder Systemadministration vertraglich vereinbart haben, werden die Konfigurationen ihrer Systeme über die spezifischen Werkzeuge jeder Umgebung administriert und über das Change-Management nachverfolgt.

Die Unternehmens- oder Kundeninformationen werden gelöscht, sobald sie nicht mehr erforderlich sind, in Übereinstimmung mit den Verträgen, den Datenschutzvereinbarungen (DPA) und den Grundsätzen der Verordnung (EU) 2016/679. Die Daten werden ausschließlich auf Cloud-Plattformen aufbewahrt, die über eine automatische Retention und eine sichere Löschung verfügen. Bei der Außerbetriebnahme werden die Geräte gemäß Verfahren initialisiert, mit Zerstörung des kryptografischen Schlüssels bei Geräten, die über einen dedizierten Sicherheitschip verfügen.

Die Maßnahmen zur Verhinderung von Datenverlust (DLP) werden durch Gerätekonfigurationen, Trennung der Zugriffe, Verschlüsselung und verwaltete Cloud-Werkzeuge umgesetzt. Spezifische DLP-Richtlinien können über Werkzeuge zur Klassifizierung und zum Schutz der Daten, die auf den Cloud-Plattformen des Kunden verfügbar sind, auf vertragliche Anfrage aktiviert werden. Das Verhalten der Benutzer ist durch die interne Richtlinie geregelt.

Die Backup-Dienste werden über ausgewählte Enterprise-Cloud-Backup-Plattformen gemäß vertraglich vereinbarten Modalitäten erbracht. Die Backups sind mit AES-256 verschlüsselt und in zertifizierten Rechenzentren der Europäischen Union repliziert. Die Integrität ist durch zentralisierte Überwachung, Retention-Richtlinien und die Möglichkeit der Wiederherstellung auf verschiedenen Ebenen gewährleistet. Der Backup-Dienst ist nicht in der Grundleistung enthalten und kann auf Anfrage aktiviert werden, wobei mit dem Kunden Gegenstand, Periodizität, Verschlüsselung, Retention, Modalitäten der Integritätsprüfung, Zeitvorgaben für die Wiederherstellung und Standort der Backups festgelegt werden.

Die kritischen Systeme sind auf Cloud-Infrastrukturen mit Hochverfügbarkeit, automatischem Failover und geografischer Replikation gehostet. Die cloud-native Architektur eliminiert interne Single Points of Failure. Die Verfügbarkeitsanforderungen sind in den Verträgen mit den Kunden mit einem vertraglichen SLA von nicht weniger als 99,9 % erklärt.

Die relevanten Aktivitätsprotokolle werden über zentralisierte Systeme (SIEM, Identity-Management-Plattform, EDR, Backup, Netzwerkverwaltungskonsole) gesammelt und aufbewahrt. Die nachverfolgten Ereignisse umfassen Zugriffe, kritische Änderungen, Fehler, administrative Operationen und Anomalien. Die Protokolle sind vor unbefugten Zugriffen geschützt und werden für die Analyse von Sicherheitsereignissen genutzt. Der Dienst der Erfassung und Aufbewahrung der Zugriffsprotokolle auf den Systemen des Kunden (in Übereinstimmung mit den Verfügungen der italienischen Datenschutzbehörde zu den Systemadministratoren) ist nicht in der Grundleistung enthalten und kann auf Anfrage aktiviert werden.

Auf den Systemen und Netzen des Anbieters wird die kontinuierliche Überwachungstätigkeit über SIEM zur Erkennung anomaler Verhaltensweisen und potenzieller Vorfälle betrieben sowie über eine Netzwerksicherheitskonsole zur Überwachung des lokalen Netzes. Die nativen Konsolen der Cloud-Dienste liefern weitere Meldungen zu relevanten Ereignissen.

Verwaltete Dienste zur Überwachung der Systeme des Kunden (SIEM-as-a-Service, MDR, individuelles Alerting) werden auf gesonderter vertraglicher Grundlage erbracht.

Der Gebrauch von Hilfsprogrammen mit privilegierten Rechten ist auf das autorisierte Personal beschränkt und in den Protokollen der Plattformen nachverfolgt. Die Systemwerkzeuge mit hoher Auswirkung sind nur mit durch MFA geschützten administrativen Konten zugänglich, und ihre Nutzung unterliegt dem Logging und der direkten Autorisierung der Geschäftsleitung. Sofern es erforderlich ist, mit Hilfsprogrammen (Antivirus, IDS, IPS, Software für Vulnerability Assessment) auf die Cloud-Systeme zuzugreifen, behält sich der Anbieter vor, dies ohne vorherige Mitteilung an den Kunden zu tun.

Die internen Netze sind durch Verschlüsselung, Segmentierung und kontrollierte Authentifizierung über eine zentralisierte Netzwerkverwaltungskonsole geschützt. Die Geräte werden einzeln autorisiert und über MDM verwaltet. Die Daten in Übertragung sind durch TLS/HTTPS-Verschlüsselung geschützt.

Die zugänglichen Cloud-Dienste gewährleisten den Schutz des Datenverkehrs über TLS und Mechanismen der sicheren Authentifizierung. Die Service-Levels der Konnektivitäts- und Cloud-Anbieter werden über die jeweiligen Konsolen überwacht.

Die Trennung der Netze wird über konfigurierte VLAN und getrennte SSID für Verwaltung, Unternehmensgeräte und Dienste umgesetzt. Der Datenverkehr zwischen den Segmenten ist über Firewalls und zentralisierte Regeln beschränkt. Der Zugriff ist nur verwalteten und autorisierten Geräten gestattet. Das Netz, in dem die die Dienste erbringenden Maschinen angesiedelt sind, ist virtuell und/oder physisch von den übrigen Netzen des Anbieters getrennt.

Die Kryptografie wird auf die ruhenden und auf die in Übertragung befindlichen Daten angewendet. Die Unternehmensgeräte sind nativ auf Betriebssystemebene und über einen dedizierten Sicherheitschip verschlüsselt. Die Daten in Übertragung laufen über TLS/HTTPS-Kanäle, und die Backups sind mit AES-256 geschützt. Auf Anfrage des Kunden können Bring-Your-Own-Key-Lösungen (BYOK) aktiviert werden. Die E-Mails, die vertrauliche Daten enthalten, können über Cloud-Werkzeuge zum Schutz von Nachrichten verschlüsselt werden. Die Verschlüsselung der ruhenden Daten für die Dienste des Kunden ist nicht in der Grundleistung enthalten und kann auf Anfrage aktiviert werden. Der Anbieter und seine Partner verwahren die Verschlüsselungsschlüssel an einem sicheren Ort.

Die Änderungen an den Konfigurationen, den Cloud-Systemen, den Geräten und den Diensten werden über ein formelles Change-Management-Modell gesteuert. Jede Änderung wird dokumentiert, von der Geschäftsleitung genehmigt und mit etwaigen Bewertungen der Auswirkungen auf die Sicherheit verknüpft. Die Änderungen, die Auswirkungen auf den Kunden haben können, werden unter Angabe der Art der Änderung, des Datums und der voraussichtlichen Zeiten, einer technischen Beschreibung und einer Benachrichtigung über Beginn und Ende des Eingriffs kommuniziert. Im Falle eines nachgewiesenen Notfallproblems, auch im Zusammenhang mit der Datensicherheit, hat der Anbieter das Recht, die Erbringung der Dienste ganz oder teilweise zu unterbrechen, um die Struktur, den Dienst und die Daten des Kunden zu schützen.

Die für die Nutzung der Cloud-Dienste erforderlichen Rollen, Verantwortlichkeiten und Fähigkeiten sind dokumentiert und werden den Kunden in den Serviceverträgen kommuniziert, die klar festlegen, was beim Anbieter und was beim Kunden für jedes erbrachte Servicemodell (IaaS, PaaS, SaaS) verbleibt.

Die Serviceverträge sehen eine Exit-Strategie vor, die Zeiten und Modalitäten der Rückgabe der Daten, die der Rückgabe unterliegenden Assets und das Verfahren zur Mitteilung der Löschung oder Rückgabe festlegt. Die Anfragen zur Außerbetriebnahme werden im Ticketing-System erfasst, und die Ausführungszeiten werden im Verhältnis zu den vertraglichen Fristen überwacht. Der Kunde kann einen kostenpflichtigen Dienst der Exit-Strategie anfragen, der eingeschlossene Komponenten, durchzuführende Tätigkeiten, beteiligte Parteien, Freigabedaten und Zeitraum definiert. Im Falle der Außerbetriebnahme führt der Anbieter die vollständige Löschung aller Daten innerhalb von 30 Tagen ab der Anfrage des Kunden durch und weist dies mittels eines Außerbetriebnahmeprotokolls nach.

Jeder Kunde verfügt über einen eigenen, von den anderen logisch getrennten Tenant bzw. eine eigene Resource Group. Der Anbieter gewährleistet die Trennung der internen Administrationsumgebungen von den für die Erbringung der Dienste an den Kunden genutzten Ressourcen und implementiert Sicherheitsmaßnahmen, die eine angemessene Isolierung der von den verschiedenen Tenants genutzten Ressourcen sicherstellen.

Die Härtung der virtuellen Maschinen erfolgt anhand der im Vertrag des Kunden dokumentierten Spezifikationen, wobei die Standard-Sicherheitseinstellungen des Anbieters als Ausgangsbasis verwendet werden (minimale Ports, minimale Dienste, Anti-Malware, Protokollüberwachung). Die Sicherheitskonfigurationen werden für jeden Kunden definiert und aufrechterhalten.

Die Verfahren für die kritischen administrativen Operationen (Installation, Änderung oder Löschung virtueller Ressourcen, Verfahren zur Vertragsbeendigung, Backup und Wiederherstellung) sind in den Serviceverträgen und in den Betriebsabläufen dokumentiert. Für Kunden, die die operative Verwaltung ihrer Cloud-Umgebungen vertraglich vereinbart haben, werden, soweit technisch anwendbar, Schutzmechanismen (Resource Lock) aktiviert, um unbefugte Löschungen oder Änderungen der kritischen Ressourcen zu verhindern.

Die Funktionalitäten zur Überwachung der Cloud stehen den Kunden über die nativen Konsolen der Anbieter zur Verfügung, mit ausschließlichem Zugriff auf die eigenen Daten. Der von AtWorkStudio verwaltete Überwachungsdienst wird als optionaler Dienst auf vertraglicher Grundlage angeboten. Die Dokumentation zu den verfügbaren Überwachungsfunktionalitäten ist direkt über die Administrationspanels jedes Dienstes zugänglich.

Die Konfiguration der virtuellen Netze wird für jeden Kunden anhand der vereinbarten Anforderungen und der Projektspezifikationen maßgeschneidert entworfen, wenn der Dienst vertraglich vereinbart ist. Die Abstimmung zwischen virtueller und physischer Konfiguration ist durch den Entwurfsprozess gewährleistet und wird im Lauf der Zeit über das Change-Management aufrechterhalten.

Die in der Cloud vorhandenen personenbezogenen Daten werden ausschließlich für die vom Kunden in der Bestellung zum Auftragsverarbeiter festgelegten Zwecke verarbeitet. Der Anbieter führt keine weiteren oder anderen Verarbeitungen durch als die vom verantwortlichen Kunden angewiesenen.

Die im Rahmen der Erbringung der Dienste verarbeiteten personenbezogenen Daten werden vom Anbieter in keinem Fall für Zwecke des Marketings oder der Werbung genutzt. Die Bestellung zum Auftragsverarbeiter schließt ausdrücklich jede Nutzung der Daten außerhalb der Anweisungen des verantwortlichen Kunden aus.

Im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach) benachrichtigt der Anbieter den verantwortlichen Kunden unverzüglich und stellt alle erforderlichen Informationen bereit, damit der Kunde seinen Meldepflichten an die zuständigen Behörden innerhalb der von der DSGVO vorgesehenen Fristen nachkommen kann. Das Verfahren zur Handhabung von Sicherheitsereignissen legt die Klassifizierung, die Zeitvorgaben und die Modalitäten der Kommunikation fest.

Die Verträge zwischen AtWorkStudio und den Kunden legen die technischen und organisatorischen Mindestmaßnahmen fest, die auf die Verarbeitung der personenbezogenen Daten angewendet werden, in Übereinstimmung mit den Anweisungen des Verantwortlichen. Die Maßnahmen unterliegen keiner einseitigen Reduzierung durch den Anbieter.

Der etwaige Rückgriff auf Unterauftragnehmer, die personenbezogene Daten verarbeiten, ist durch die Bestellung zum Auftragsverarbeiter oder durch die vertraglichen Vereinbarungen mit den Lieferanten geregelt, die Sicherheits- und Datenschutzpflichten auferlegen, die nicht geringer sind als die vom Anbieter gegenüber dem Kunden angewendeten. Die Unterauftragnehmer werden innerhalb des Prozesses zur Verwaltung der Lieferanten bewertet und überwacht.

Die für die Kunden verarbeiteten personenbezogenen Daten werden in Rechenzentren gehostet, die in der Europäischen Union liegen. Die Exposition gegenüber der außereuropäischen Gerichtsbarkeit der eingesetzten Cloud-Anbieter ist Gegenstand einer spezifischen und im Managementsystem dokumentierten Bewertung. Der Kunde wird über die Länder, in denen die Daten verarbeitet werden können, durch die vertraglichen Nachweise und die Bestellung zum Auftragsverarbeiter informiert.