Technische und organisatorische Sicherheitsmaßnahmen

EN - DE - ES - FR - NL

Zweck dieses Dokuments

Procaryote implementiert geeignete Sicherheitsmaßnahmen zum Schutz der von ihr verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff, Änderung oder Zerstörung. Datensicherheit, Vertraulichkeit und Datenschutz der Patienten entsprechen den geltenden Gesetzen, einschließlich der europäischen Datenschutz-Grundverordnung (DSGVO). Procaryote folgt den strengsten Verfahren, um die bestmögliche Informationssicherheit zu gewährleisten, einschließlich der Informationen, die wir über Sie sammeln, wie in dieser Richtlinie beschrieben. Dies bedeutet, dass Procaryote über ein weltweit führendes Informationssicherheitsmanagementsystem verfügt, das einen strengen Schutz der verarbeiteten Daten gewährleistet.

Diese Technischen und Organisatorischen Sicherheitsmaßnahmen (Sicherheitsmaßnahmen) erklären, wie Procaryote die Sicherheit der von ihr verarbeiteten personenbezogenen Daten gewährleistet. Sie beschreiben das Gesamtsystem von Maßnahmen, Verfahren und Prozessen, das Procaryote implementiert hat, um die Verfügbarkeit, Integrität und Vertraulichkeit aller Informationsformen zu gewährleisten, die Kontinuität der Informationen und der Informationsbereitstellung sicherzustellen, einschließlich der zugrunde liegenden IT-Infrastruktur, und die möglichen Folgen von Sicherheitsvorfällen auf ein akzeptables und vorherbestimmtes Niveau zu begrenzen.

Wenn Sie eine Vereinbarung mit Procaryote als Gesundheitsfachkraft, als Patient oder als registrierter Benutzer haben, sind diese Sicherheitsmaßnahmen Teil dieser Vereinbarung.

Technische Maßnahmen

Technische Maßnahmen beziehen sich auf die Maßnahmen und Kontrollen, die Procaryote für ihre Systeme und alle technologischen Aspekte der Organisation implementiert, einschließlich Geräte, Netzwerke und Hardware.

Datenaufbewahrung

Alle von Procaryote verarbeiteten personenbezogenen Daten und Informationen werden in der Cloud gespeichert und nicht auf einem Standort, der im Besitz von oder betrieben von Procaryote ist. Die Cloud-Dienstanbieter von Procaryote sind für die Sicherheit ihrer Rechenzentren verantwortlich. Procaryote führt regelmäßig, mindestens einmal im Jahr, eine Due Diligence bei ihren Cloud-Dienstanbietern durch, einschließlich des Erhalts und der Überprüfung von Sicherheitskonformitätszertifikaten.

Verfügbarkeit

Unsere Infrastruktur ist so konfiguriert, dass sie eine hohe Verfügbarkeit bietet. Die Datenbanken und Server von Procaryote sind in mehreren Rechenzentren bereitgestellt. Wenn eines der Rechenzentren ein Problem hat, bleiben unsere Dienste verfügbar. Unsere Anwendungen werden auch hinter einem Content Delivery Network (CDN) gehostet.

Das Content Delivery Network ist entscheidend für die Verbesserung der Geschwindigkeit, Zuverlässigkeit und Sicherheit von Internetdiensten und stellt Inhalte effektiv und zuverlässig für Endbenutzer weltweit bereit. Die Hauptvorteile sind:

• Latenzreduzierung: Das CDN platziert Server an den geografisch nächstgelegenen Standorten zu den Endbenutzern. Dies verkürzt die Zeit, die benötigt wird, damit Daten zwischen dem Server und dem Benutzer reisen, und verbessert so die Ladegeschwindigkeit von Webseiten und anderen Inhalten.

• Verkehrsverteilung: Ein CDN verteilt die Verkehrsbelastung auf mehrere Server, wodurch eine Überlastung eines einzelnen Servers vermieden wird, was zu Ausfällen oder Verlangsamungen führen kann.

• Leistungsverbesserung: Durch das Caching von Kopien von Inhalten an verschiedenen Standorten weltweit kann ein CDN schnelleren Zugriff auf Daten bieten und die Gesamtleistung von Websites oder Anwendungen verbessern.

• Erhöhte Sicherheit: Das CDN trägt dazu bei, verteilte Denial-of-Service-Angriffe (DDoS) abzumildern, indem es den bösartigen Verkehr auf mehrere Server verteilt, wodurch verhindert wird, dass ein einzelnes Ziel überwältigt wird.

• Hohe Verfügbarkeit und Redundanz: Im Falle eines Serverausfalls kann das CDN den Verkehr auf einen anderen funktionalen Server umleiten und so eine kontinuierliche Verfügbarkeit des Dienstes sicherstellen.

• Bandbreitenoptimierung: Durch den Einsatz von Komprimierungs- und Caching-Techniken kann das CDN die verwendete Bandbreitenmenge und die damit verbundenen Kosten für Inhaltsanbieter reduzieren.

Trennung von Umgebungen

Procaryote stellt eine strikte Trennung zwischen Produktions- und Nicht-Produktionsumgebungen sicher, um das Risiko eines unbefugten Zugriffs oder Änderungen an der Betriebsumgebung zu verringern. Die Produktionsumgebung ist in einem dedizierten Netzwerk isoliert. Die Nicht-Produktionsumgebungen von Procaryote werden für Entwicklung, Tests und Produktionseinsätze verwendet. Es gibt keine Tests mit Produktionsdaten.

Cybersicherheit

Procaryote hat Erkennungs-, Präventions- und Wiederherstellungskontrollen implementiert, um seine Systeme und Daten vor Malware (wie Viren, Spyware und Ransomware) zu schützen. Die Internetverbindung und das interne Netzwerk von Procaryote sind mit einer leistungsstarken Firewall gesichert. Das WiFi-Netzwerk ist passwortgeschützt, und Gäste nutzen ein separates WiFi-Netzwerk. Um eine Änderung oder missbräuchliche Nutzung der Vermögenswerte von Procaryote zu verhindern, werden widersprüchliche Aufgaben oder Verantwortlichkeiten von verschiedenen Personen ausgeführt. Wenn dies aufgrund der begrenzten Größe von Procaryote nicht möglich ist, werden andere Maßnahmen (wie Überwachung oder Aufsicht) ergriffen.

Verschlüsselung

Procaryote verwendet Verschlüsselung, um vertrauliche und sensible Informationen im Ruhezustand und während der Übertragung zu schützen.

Physische Sicherheit

Procaryote hat physische Sicherheitskontrollen implementiert, die dem Risikoniveau entsprechen, das durch die gehaltenen Informationen und die Art der Operationen in den Büros von Procaryote entsteht. Die Büros von Procaryote befinden sich in einem Gebäude, dessen Zugang auf Inhaber von Zugangsmitteln beschränkt ist, die nach einem formellen Genehmigungsverfahren bereitgestellt werden. Die Büros und Besprechungsräume von Procaryote sind nur für Mitarbeiter reserviert, die Zugang zu diesen Bereichen benötigen, um ihre Aufgaben zu erfüllen. Die Zugangsmittel des Personals werden widerrufen, wenn sie nicht mehr benötigt werden, einschließlich innerhalb eines Arbeitstages nach einer Rollenänderung oder dem Ausscheiden des betreffenden Personals. Papierkopien von Aufzeichnungen werden in einem verschlossenen Schrank aufbewahrt. Besucher werden in allen nicht öffentlichen Bereichen begleitet und niemals unbeaufsichtigt gelassen. Brandmelder und Feuerlöscher werden in regelmäßigen Abständen überprüft, und ihr Zugang wird nicht blockiert.

Ordnungsgemäße Entsorgung

Procaryote stellt sicher, dass Dokumente und Geräte, die personenbezogene Daten oder andere sensible Informationen enthalten oder potenziell enthalten, sicher zerstört werden, sodass personenbezogene Daten oder sensible Informationen von einer unbefugten Person nicht wiederhergestellt werden können. Alle Papierkopien, Kreditkarten und CD/DVD-ROMs, die nicht mehr benötigt werden, werden im Büro geschreddert. Hardwaregeräte werden sicher gelöscht und an einem sicheren Ort aufbewahrt, bevor sie von einem national anerkannten Hardware-Zerstörungsunternehmen zur Wiederverwertung oder Zerstörung abgeholt werden.

Passwörter

Procaryote verlangt, dass internes und externes Personal, Systeme und Dienste (Cloud), die vertrauliche oder sensible Informationen enthalten, starke Passwörter festlegen und, wo möglich, die Multi-Faktor-Authentifizierung aktivieren. Zwei-Faktor-Authentifizierung ist für Systeme erforderlich, die sensible und vertrauliche Informationen enthalten. Passwörter werden verschlüsselt/gehasht gespeichert und von anderen Daten getrennt, und Anmeldeinformationen werden verschlüsselt übertragen.

Zugriffsrechte

Der Zugriff auf Datenbanken, die personenbezogene Daten enthalten, und auf Dokumente, die sensible Daten enthalten, wird nur auf einer Need-to-Know/Need-to-Use-Basis gewährt. Alle Mitarbeiter mit Zugriff auf diese Datenbanken oder sensiblen Dokumente sind an Vertraulichkeits- und Sicherheitsverpflichtungen gebunden. Logische Zugriffslisten werden regelmäßig überprüft, basierend auf der Informationsklassifizierung. Benutzerzugriffsrechte werden vierteljährlich überprüft. Der Zugriff auf die Systeme von Procaryote wird innerhalb eines Arbeitstages nach dem Ausscheiden eines Mitarbeiters oder Auftragnehmers widerrufen. Procaryote führt ein Protokoll aller Verbindungen zu seinen Datenbanken.

Organisatorische Maßnahmen

Organisatorische Maßnahmen beziehen sich auf die Richtlinien, Standardverfahren und Audits, die Procaryote implementiert, um Konsistenz im Schutz personenbezogener Daten während des gesamten Verarbeitungszyklus sicherzustellen.

Informationssicherheits-Managementsystem

Das Informationssicherheits-Managementsystem (ISMS) von Procaryote ist ein Satz von Richtlinien und Verfahren, die zum Schutz personenbezogener und sensibler Daten bestimmt sind. Es umfasst alle Personen, Systeme und Prozesse von Procaryote, einschließlich Mitarbeiter, Kunden, Lieferanten und Dritte. Sein Ziel ist es, die Sicherheit und Kontinuität der Informationen zu gewährleisten und die Auswirkungen von Sicherheitsvorfällen zu begrenzen.

Das ISMS wird von einem dedizierten Sicherheitsteam unter der Leitung des Sicherheitsbeauftragten verwaltet. Procaryote überwacht und aktualisiert das ISMS jährlich, um organisatorische, technologische und gesetzliche Änderungen zu reflektieren. Eine formelle Sicherheitsrichtlinie, die von der Geschäftsleitung genehmigt wurde, gewährleistet die Einhaltung und Wirksamkeit der Sicherheitskontrollen.

Business Continuity und Disaster Recovery Pläne

Procaryote unterhält eine dokumentierte Business Continuity und Disaster Recovery Policy. Unsere Policy und Pläne beinhalten:

• Klar definierte Rollen und Verantwortlichkeiten;

• Recovery Point Objectives (RPOs);

• Recovery Time Objectives (RTOs); und

• Eine Backup-Policy.

Procaryote überprüft und aktualisiert seine Business Continuity und Disaster Recovery Policy und Pläne mindestens einmal im Jahr. Backups werden monatlich getestet.

Vorfallmanagementprozess

Procaryote hat einen Vorfallmanagementprozess entwickelt und beibehalten, der im Falle einer tatsächlichen oder vermuteten Datenverletzung oder eines anderen Sicherheitsvorfalls verwendet wird. Er definiert klare Rollen und Verantwortlichkeiten, Meldemechanismen und Verfahren zur Klassifizierung, Eindämmung und Wiederherstellung des Vorfalls. Er umfasst auch Verfahren für die erforderlichen Benachrichtigungen an relevante Behörden und betroffene Personen sowie Mechanismen, die entwickelt wurden, um ähnliche Vorfälle in der Zukunft zu verhindern.

Software-Entwicklungsprozess

Der Software-Entwicklungsprozess von Procaryote umfasst Prinzipien und Regeln bezüglich der Speicherung des Quellcodes, der Quellcode-Überprüfung und der Regeln und Prinzipien, die auf das Design und die Technik von Systemen, Netzwerken und Infrastrukturen angewendet werden. Die Architektur und das Design von Netzwerken/Systemen werden immer von Kollegen überprüft, und jede Änderung an der Architektur/System von Procaryote wird zuerst in der Staging-Umgebung von Procaryote getestet und veröffentlicht, bevor sie in der Produktionsumgebung angewendet wird. Die Sicherheit ist so konzipiert, dass sie eine regelmäßige Einführung neuer Technologien ermöglicht, einschließlich eines sicheren und logischen Technologie-Upgrades-Prozesses.

Penetrationstests und Risikobewertungen

Procaryote unterliegt regelmäßigen Audits durch interne und externe Sicherheitsteams. Intern führt Procaryote regelmäßig Risikobewertungen unter der Verantwortung des Risikomanagers durch. Procaryote führt auch unangekündigte Audits und Phishing-Übungen durch, die sich an sein Personal richten. Mindestens einmal alle drei Jahre oder nach einer größeren Änderung der Architektur/Infrastruktur von Procaryote unterliegt Procaryote auch externen Penetrationstests durch ein national anerkanntes Sicherheitsunternehmen.

Datenschutzbeauftragter

Procaryote hat einen Datenschutzbeauftragten (Data Protection Officer - DPO), der direkt an das Managementteam berichtet. Dieser DPO verfügt über kombinierte Erfahrungen in den Bereichen Recht, Technologie und Gesundheitswesen. Zu den Verantwortlichkeiten des DPO bei Procaryote gehören:

• • Informieren und Beraten von Procaryote und seinen Mitarbeitern über ihre gesetzlichen Datenschutzpflichten.

  • Zusammenarbeit mit dem internen Datenschutzbeauftragten zu Datenschutzfragen.

  • Überwachung der Einhaltung aller Datenschutzgesetze durch Procaryote, einschließlich durch Audits, Sensibilisierungsaktivitäten und Schulungen für Mitarbeiter, die an der Datenverarbeitung beteiligt sind.

  • Beratung bei der Durchführung von Datenschutz-Folgenabschätzungen und Überwachung ihrer Umsetzung.

  • Als Ansprechpartner für Einzelpersonen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten und die Ausübung ihrer Rechte zu fungieren.

  • Zusammenarbeit mit Datenschutzbehörden und als Kontaktstelle für diese Behörden in Bezug auf Fragen zur Datenverarbeitung.

Dieser Rahmen stellt sicher, dass Procaryote die höchsten Standards im Datenschutz einhält und die Rechte der Einzelpersonen respektiert.

Schulung

Alle Mitarbeiter von Procaryote und gegebenenfalls Auftragnehmer erhalten eine angemessene Schulung und Sensibilisierung sowie regelmäßige Updates zu organisatorischen Richtlinien und Verfahren, abhängig von ihren Rollen. Zusätzlich zu diesen obligatorischen Schulungen bietet Procaryote seinem Personal zusätzliche Schulungsressourcen, einschließlich zusätzlicher Sicherheitslektüren und Hackathons.

Due Diligence-Prüfungen

Procaryote führt Due Diligence-Prüfungen bei allen neuen Mitarbeitern und Drittfirmen durch, die Zugang zu den Systemen und Informationen des Unternehmens haben. Alle Mitarbeiter und Auftragnehmer sind an Vertraulichkeitsverpflichtungen gebunden, die auch nach Beendigung ihres Arbeitsverhältnisses oder ihrer Zusammenarbeit in Kraft bleiben. Procaryote setzt ein striktes Disziplinarverfahren für Verstöße von Mitarbeitern gegen ihre Sicherheits- und Vertraulichkeitsverpflichtungen durch.

Andere Richtlinien und Verfahren

Procaryote hat verschiedene Richtlinien und Verfahren eingeführt, um einen effektiven Schutz seiner Informationen und Vermögenswerte zu gewährleisten. Dazu gehören:

• Informationsklassifizierungsrichtlinie: Definiert Informationssicherheitsstufen und geeignete Schutzmaßnahmen.

• Informationsaufbewahrungsrichtlinie: Gibt Aufbewahrungsfristen für Daten und sichere Vernichtungsverfahren an.

• Zugriffskontrollrichtlinie: Regelt den Zugriff auf Systeme und Informationen basierend auf Rollen und Verantwortlichkeiten.

• Kryptographierichtlinie: Regelt die Verwendung von Verschlüsselungstechniken zum Schutz sensibler Daten.

• Passwortrichtlinie: Details die Anforderungen für die Erstellung und Verwaltung von Passwörtern, um deren Robustheit zu gewährleisten.

• Mobilgeräte-Richtlinie: Regelt die Verwendung von Mobilgeräten zum Zugriff auf Unternehmensinformationen.

• Verhaltenskodex: Deckt zusätzliche Sicherheitsaspekte wie Fernarbeit, Verwendung persönlicher Geräte, E-Mail und Dateifreigabe ab.

Jede Richtlinie wird mindestens einmal im Jahr überprüft, um sicherzustellen, dass sie angesichts neuer Bedrohungen und regulatorischer Anforderungen aktuell und wirksam bleibt.

Änderungen an diesem Dokument

Dieses Dokument ist die neueste Version gemäß der untenstehenden Versionsliste. Wir überprüfen dieses Dokument regelmäßig, um sicherzustellen, dass es aktuell ist, und können es im Laufe der Zeit ändern, um Änderungen in unseren Dienstleistungen und Datenverarbeitungsaktivitäten widerzuspiegeln. Wenn wir dies tun, werden wir die aktualisierten Sicherheitsmaßnahmen auf dieser Webseite veröffentlichen. Bitte überprüfen Sie diese Sicherheitsmaßnahmen auf Änderungen, da jede überarbeitete Version der Sicherheitsmaßnahmen auf alle von Procaryote verarbeiteten personenbezogenen Daten angewendet wird.

Zusammenfassung der Änderungen

• V1.0 - 10. April 2021: Erste Version.

Kontakt

Um mit Procaryote über diese Sicherheitsmaßnahmen zu kommunizieren, senden Sie bitte eine E-Mail an security@procaryote.com.