2. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO
Personio hat die folgenden technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO zur Gewährleistung von Verschlüsselung und Pseudonymisierung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Wiederherstellbarkeit sowie entsprechende Verfahren zur Überprüfung implementiert.
Maßnahmen zur Gewährleistung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Es sind geeignete technische und organisatorische Maßnahmen umzusetzen, welche den Anforderungen an die DS-GVO genügen sowie durch geeignete Voreinstellungen sicherzustellen, dass nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Personio berücksichtigt die Anforderungen des Art. 25 DS-GVO bereits in der Konzeptionierungs- und Entwicklungsphase der Produktentwicklung. Dies wird durch proaktive Einbindung der Rechtsabteilung, des Datenschutzbeauftragten sowie des Information Security Managers sichergestellt. Prozesse und Funktionalitäten werden dabei so aufgesetzt, dass die Datenschutzgrundsätze wie Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, etc. sowie die Sicherheit der Verarbeitung frühzeitig berücksichtigt werden.
Maßnahmen zur Sicherstellung der Vertraulichkeit
Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.
2.1 Organisationskontrolle
Gewährleistung, dass die innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird.
a. Organisationsanweisungen (nach 5 und 6 ISO/IEC 27002:2017)
Die Ziele im Datenschutz und in der Informationssicherheit sind in einer Datenschutz- und Informationssicherheits-Richtlinie festgelegt und für alle Mitarbeiter von Personio verbindlich. Darüber hinaus sind weitere Organisationsanweisungen implementiert, um den Mitarbeitern konkrete Richtlinien im Rahmen der Verarbeitung von personenbezogenen Daten zu vermitteln (bspw. Richtlinie zur Heim- und Telearbeit oder Richtlinie zur Nutzung von IT, Internet und E-Mail).
b. Bestellung eines Datenschutzbeauftragten nach Art. 37 DS-GVO
Ein Datenschutzbeauftragter wurde von der Geschäftsführung bestellt. Er wirkt auf die Einhaltung der Vorschriften zum Datenschutz hin und erfüllt die Aufgaben im Sinne von Art. 39 DS-GVO. Dazu zählen unter anderem die Unterstützung beim Aufbau und der Weiterentwicklung eines Datenschutzmanagementsystems, bei der Verfassung, Weiterentwicklung und Kontrolle entsprechender Richtlinien sowie die Durchführung regelmäßiger Sensibilisierungsmaßnahmen.
c. Verpflichtung auf Vertraulichkeit und Datenschutz
Alle Beschäftigten werden bei Aushändigung ihres Arbeitsvertrages bzw. spätestens zu Beschäftigungsbeginn schriftlich auf Vertraulichkeit und Datenschutz sowie auf sonstige einschlägige Gesetze verpflichtet. Die Verpflichtung gilt über die Beschäftigungsdauer hinaus. Freiberufliche Mitarbeiter oder externe Dienstleister werden schriftlich anhand von Non-Disclosure-Agreements (NDAs) zur Verschwiegenheit verpflichtet und unterzeichnen zusätzlich einen Vertrag zur Auftragsverarbeitung, sofern durch sie personenbezogene Daten im Auftrag von Personio verarbeitet werden.
d. Datenschutzschulungen
Jeder Mitarbeiter von Personio erhält mit dem Arbeitsvertrag Informationen und Merkblätter zum Datenschutz und bestätigt deren Kenntnisnahme. Zusätzlich werden regelmäßige Schulungen (primär durch den Datenschutzbeauftragten) als Sensibilisierungsmaßnahmen durchgeführt. Mitarbeiter aus besonders sensiblen Bereichen wie bspw. Personalabteilung, Produktentwicklung oder Kundenservice erhalten bei Bedarf zudem gesondert Informationen und Schulungen zu spezifischen Fachthemen.
e. Einschränkung der Privat- und betrieblichen Nutzung von Kommunikationsmitteln
Es ist den Mitarbeitern von Personio nicht gestattet, das betriebliche E-Mail-System zur Privatnutzung zu verwenden. Das Internetsystem und die Telefondienste dürfen nur eingeschränkt privat genutzt werden. Es ist dabei strikt auf eine Trennung von privaten und betrieblichen Daten zu achten. Weiterhin ist es den Mitarbeitern von Personio nicht gestattet, personenbezogene Daten oder sonstige Daten des Auftraggebers, insbesondere aus dem Auftrag, auf privaten Kommunikationsmitteln zu verarbeiten. Die Mitarbeiter von Personio verpflichten sich zur Einhaltung entsprechender Richtlinien, deren Einhaltung im Rahmen des zulässigen und notwendigen Umfangs kontrolliert wird.
f. Personalsicherheit (nach 7 ISO/IEC 27002:2017)
Personio setzt Maßnahmen vor, während und nach der Beschäftigung zur Sicherstellung der Personalsicherheit um. Darunter fallen in der Regel:
- Überprüfung und Bestätigung angegebener akademischer und beruflicher Qualifikationen
- Vertragliche Vereinbarungen zur Festlegung von Verantwortlichkeiten und Verhaltensregeln
- Durchführung von Schulungs-, Sensibilisierungs- sowie Kontrollmaßnahmen
- Sensibilisierungs- und Sanktionsprozess bei datenschutzrechtlichen Verstößen
- Durchführung eines dokumentierten Offboarding-Prozesses (inkl. Rücknahme von Schlüsseln, Entziehung von Zugriffsrechten, Sicherstellung der ausreichenden Dokumentation, Herausgabe und Weitergabe von Daten, Informationen und Wissen etc.) bei Beendigung des Arbeitsverhältnisses
2.2 Verschlüsselung und Pseudonymisierung personenbezogener Daten
Gewährleistung, dass personenbezogene Daten im System nur in einer Weise gespeichert werden, die Dritten die Zuordnung zum Betroffenen nicht ermöglicht.
a. Schlüsselverwaltung (nach 10.1.2 ISO/IEC 27002:2017)
Zum Gebrauch, zum Schutz und zur Lebensdauer von Schlüsseln sowie zum Einsatz von Verschlüsselungsverfahren nach dem Stand der Technik setzt Personio eine Richtlinie zur Verwendung von kryptographischen Verfahren um. Demnach erfolgt die Generierung und Verwaltung des Hauptschlüssels („Master Key“) außerhalb der Infrastruktur des von Personio eingesetzten Infrastructure as a Service-Providers sowie Rechenzentrumsbetreibers. Eine Übertragung der Schlüssel außerhalb der Virtual Private Cloud und die Speicherung innerhalb der genutzten Infrastruktur erfolgt ausschließlich verschlüsselt. Der Zugriff auf die Schlüsselverwaltung wird protokolliert und automatisiert sowie bei konkretem Verdacht durch autorisiertes Personal von Personio auf Unregelmäßigkeiten überprüft. Die entsprechenden Schlüssel werden in regelmäßigen Abständen rotiert und bisher verwendete Schlüssel unmittelbar invalidiert und entfernt. Zudem werden Schlüssel strikt nach Netzwerken bzw. Datenbanken getrennt (bspw. keine Überführung eines Schlüssels in ein anderes Netzwerk). Im Rahmen einer regelmäßigen Sicherheitsprüfung wird sichergestellt, dass die Maßnahmen zur Schlüsselrotation wirksam sind und alte Schlüssel ordnungsgemäß entfernt wurden.
b. Datenbank- und Speicher-Verschlüsselung
Auf allen von Personio eingesetzten Datenbanken wird eine Verschlüsselung „at Rest“ nach dem Stand der Technik eingesetzt, sodass die Daten aus der Datenbank nur nach ordnungsgemäßer Authentifizierung am jeweiligen Datenbank-System gelesen werden können. Die zur Speicherung von Dokumenten eingesetzten Speichermedien („Storage“) werden ebenfalls auf Dateisystemebene verschlüsselt. Backups der Datenbank-Systeme werden ausschließlich verschlüsselt aufbewahrt.
c. Übermittlung von Daten über verschlüsselte Datennetze oder Tunnelverbindungen („Data in Transit“)
Alle personenbezogenen Daten, die von der Personio-Applikation an einen Client oder an andere Plattformen über ein unsicheres oder öffentliches Netzwerk übertragen werden, werden ausschließlich verschlüsselt übertragen. Dies gilt insbesondere auch für Zugriffe auf das Kunden- und Admin-System. Personio gewährleistet die Verwendung einer Verschlüsselungsmethode nach dem Stand der Technik in Abhängigkeit des auf Auftraggeber-Seite kompatiblen Verschlüsselungsalgorithmus (derzeit HTTPS-Verbindungen bzw. Transport Layer Security (TLS), Stichwort „Abwärtskompatibilität: der Auftraggeber ist dafür verantwortlich, mit dem Stand der Technik kompatible Endgeräte/ Browser einzusetzen). Administrative Zugriffe auf Server-Systeme von Personio sowie die Übertragung von Backups erfolgen ausschließlich über verschlüsselte Verbindungen, bspw. Secure Shell (SSH)- bzw. Virtual Private Network (VPN). Für den Zugriff auf Kunden-Systeme im Rahmen der Heim- und Telearbeit wird eine VPN-Verbindung verwendet. Dabei werden ausschließlich VPN-Server verwendet, welche unter der unmittelbaren Kontrolle von Personio stehen. Der Einsatz von öffentlichen VPN-Providern ist nicht zulässig.
d. Verschlüsselung von mobilen Datenträgern
Mobile Datenträger, auf denen Daten von Personio genutzt oder verarbeitet werden, werden ausschließlich verschlüsselt verwendet. Dies gilt insbesondere bei der Verwendung von USB-Sticks, externen Festplatten oder Ähnlichem. Grundsätzlich ist der Einsatz von mobilen Datenträgern zur Speicherung von Kundendaten jedoch nicht gestattet.
e. Verschlüsselung von Datenträgern auf Laptops
Auf allen Laptops der Mitarbeiter wird eine entsprechende Festplattenverschlüsselung nach dem Stand der Technik eingerichtet.
f. Verschlüsselter Austausch von Informationen und Dateien
Grundsätzlich erfolgt der Austausch von Informationen und Dateien zwischen Auftraggeber und Personio direkt verschlüsselt über die Personio-Applikation (siehe c.). Sofern personenbezogene Daten oder vertrauliche Informationen des Auftraggebers auf Server übertragen werden müssen, die nicht über TLS-verschlüsselte HTTPS-Uploads gesendet werden können, so werden diese mit Secure File Transfer Protocol (SFTP) oder einem anderen verschlüsselten Mechanismus nach dem Stand der Technik übertragen. Der Auftraggeber ist dafür verantwortlich, diesen sicheren Datentransport bei Bedarf einzufordern oder bereitzustellen.
g. E-Mail-Verschlüsselung
Grundsätzlich werden alle von Mitarbeitern von Personio oder innerhalb der Personio-Applikation versendeten E-Mails mit TLS verschlüsselt. Ausnahmen können sein, wenn der empfangende Mailserver kein TLS unterstützt. Der Auftraggeber trägt dafür Sorge, dass entsprechende im Rahmen des Auftrags verwendete Mailserver TLS-Verschlüsselung unterstützen.
2.3 Zutrittskontrolle
Verwehrung des Zugangs zu IT-Systemen und Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte.
a. Elektronische Türsicherung
Die Eingangstüren zu den Räumlichkeiten von Personio sind grundsätzlich verschlossen und elektronisch gesichert. Eine Öffnung der Türen erfolgt über einen personengebundenen elektronischen Schlüssel.
b. Kontrollierte Schlüsselvergabe
Es erfolgt eine zentrale, dokumentierte Schlüsselvergabe an die Mitarbeiter von Personio. Diese elektronischen Schlüssel könnten zentral von der Geschäftsführung bzw. Personalabteilung deaktiviert werden.
c. Beaufsichtigung und Begleitung von Fremdpersonen
Ein Zutritt externer Dienstleister und sonstiger Fremdpersonen darf nur durch vorige Autorisierung und Begleitung durch einen Mitarbeiter von Personio erfolgen.
d. Sicherung von Räumlichkeiten mit erhöhtem Schutzbedarf
Räumlichkeiten oder Schränke mit erhöhtem Schutzbedarf, beispielsweise Router-Raum, Büro der Personalabteilung, Schrank mit Vertragsunterlagen etc., werden grundsätzlich nach Verlassen oder Nutzung verschlossen. Ein Zutritt zu diesen Räumlichkeiten wird nur autorisiertem Personal gewährt.
e. Geschlossene Türen und Fenster
Mitarbeiter sind organisatorisch dazu angewiesen, Fenster und Türen außerhalb der Bürozeiten geschlossen bzw. verschlossen zu halten.
f. Physische und umgebungsbezogene Sicherheit der Server-Systeme in den Rechenzentren
Personio setzt ausschließlich Server-Systeme von Rechenzentrumsbetreibern ein, die eine gültige Zertifizierung nach ISO/IEC 27001 besitzen und demnach entsprechende technische und organisatorische Maßnahmen zur physischen und umgebungsbezogenen Sicherheit umsetzen, bspw.
- Das Rechenzentrum und die dort verwendeten Systeme sind in unscheinbaren Gebäuden untergebracht, die von außen nicht sofort als Rechenzentrum zu erkennen sind.
- Das Rechenzentrum selbst ist durch physische Sicherheitsmaßnahmen geschützt, um den unberechtigten Zutritt sowohl weiträumig (z. B. Zaun, Wände) als auch in den Gebäuden selbst zu verhindern.
- Der Zutritt zum Rechenzentrum wird durch elektronische Zugangskontrollen verwaltet und durch Alarmanlagen gesichert, die einen Alarm auslösen, sobald die Tür aufgebrochen oder aufgehalten wird.
- Die Zutrittsberechtigung wird von einer berechtigten Person genehmigt und innerhalb von 24 Stunden entzogen, nachdem ein Mitarbeiter- oder Lieferantendatensatz deaktiviert wurde.
- Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern begleitet.
Zutritt zu sensiblen Bereichen wird zusätzlich durch Videoüberwachung überwacht. - Ausgebildete Sicherheitskräfte bewachen das Rechenzentrum und die unmittelbare Umgebung davon 24 Stunden am Tag, 7 Tage die Woche.
2.4 Zugangskontrolle
Verhinderung der Nutzung und Verarbeitung von datenschutzrechtlich geschützten Daten durch Unbefugte.
a. Verwendung von Authentifizierungsverfahren
Zugänge, die den Zugriff auf personenbezogene Daten ermöglichen, erfolgen stets über verschlüsselte Protokolle: SSH, SSL/ TLS, HTTPS oder vergleichbare Protokolle.
i. Authentifizierungsverfahren IT-System/ Laptop
- Authentifizierung mit Benutzername und Passwort
ii. Authentifizierungsverfahren Kunden-System
(Kunden-System = Zugang für Administratoren und Nutzer des Auftraggebers)
- Authentifizierung mit E-Mail-Adresse
- Selbstgewähltes Passwort (8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung via Bcrypt-Hash, Einhaltung technisch erzwungen)
- Zurücksetzen des Passworts via E-Mail Reset-Link
- Sperrung des Accounts nach fünf fehlgeschlagenen Login-Versuchen
- 2-Faktor-Authentifizierung möglich und empfohlen
- Zusätzlich kann der Auftraggeber die Authentifizierung und Passwortsicherheit über Einbindung von OAuth2 steuern
iii. Authentifizierungsverfahren Admin-System
(Admin-System = Zugang zu Kunden-Systemen via Benutzeroberfläche für Mitarbeiter im Bereich Kundenservice sowie Produktentwicklung von Personio, wenn dies vom Kunden für Support-Zwecke freigeschaltet wurde)
- Authentifizierung mit E-Mail-Adresse
- 2-Faktor-Authenfizierung erzwungen:
Selbstgewähltes Passwort (8 Zeichen, Zahlen, Buchstaben und Sonderzeichen; Speicherung via Bcrypt-Hash, Einhaltung technisch erzwungen, Passwortänderung wird vom Teamlead alle drei Monate angeordnet) & Token Generator zur Authentifizierung - Sperrung des Admin-Accounts nach fünf fehlgeschlagenen Login-Versuchen
iv. Authentifizierungsverfahren Server-/ Datenbank-System
(Server-/ Datenbank-System = Zugang auf die gespeicherten Daten durch Produktentwicklung des Auftragnehmers)
Administrative Zugriffe erfolgen über VPN und/ oder SSH
b. Benennung von Support- und Weisungsberechtigten und entsprechende Authentifizierung
Der Auftraggeber kann über die Systemeinstellungen Support- und Weisungsberechtigte bestimmen, welche Personio Weisungen entsprechend des Auftragsverarbeitungsvertrags erteilen können. Die Zuordnung zu einem Support- und Weisungsberechtigten erfolgt dabei über die von der Personio angegebenen Kontaktdaten (bspw. Name, E-Mail-Adresse, Telefonnummer, Benutzerkennung). Das Kundenservice-Team von Personio ist dazu angehalten, ausschließlich Weisungen von den benannten Personen anzunehmen bzw. Auskünfte zu erteilen und deren Identität im Vorfeld entsprechend zu überprüfen. Bei telefonischen Anfragen ist im Vorfeld der in Personio gespeicherte persönliche Telefon PIN zu verifizieren.
c. Verwendung sicherer Passwörter
Bei der Vergabe und regelmäßigen Aktualisierung von sicheren Passwörtern sind die Maßgaben des BSI IT Grundschutz oder anderer äquivalenter, anerkannter Sicherheitsstandards für den Personio Account sowie für die Laptops, Computer oder sonstige mobile Endgeräte zu berücksichtigen (d.h. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennwortes). Nutzer von Personio sind dazu angehalten, vergleichbare Maßnahmen zur Sperrung bei Inaktivität treffen. Der Auftraggeber hat dafür Sorge zu tragen.
d. Verbot der Weitergabe von Passwörtern und Nutzung von „Shared Accounts“
Sowohl für Nutzer von Personio als auch Mitarbeiter gilt das Verbot der Weitergabe von Passwörtern für die Nutzung von Personio sowie die Nutzung von sogenannten „Shared Accounts“ für den Zugang zu Kunden-, Admin- und administrativen Systemen (d.h. ausschließliche Nutzung persönlicher und individueller User Login bei Anmeldung am System).
e. Automatische Sperrung bei Inaktivität
Laptops der Mitarbeiter von Personio werden bei Nichtbenutzung vom Benutzer mit Passwortschutz gesperrt. Zusätzlich wird eine automatische Bildschirmsperre mit Passwortschutz nach 10 Minuten Inaktivität eingerichtet. Nutzer von Personio sind dazu angehalten, vergleichbare Maßnahmen zur Sperrung bei Inaktivität zu treffen. Der Auftraggeber hat dafür Sorge zu tragen.
f. Einsatz von Anti-Viren-Software
Laptops der Mitarbeiter von Personio sind mit einer dem Stand der Technik entsprechende und aktuell gehaltene Anti-Viren-Software auf allen betrieblichen oder betrieblich genutzten IT-Systemen ausgestattet. Es dürfen grundsätzlich keine Rechner ohne residenten Virenschutz betrieben werden, es sei denn, es sind andere äquivalente Sicherheitsmaßnahmen nach dem Stand der Technik getroffen oder ein Risiko besteht nicht. Vorgegebene Sicherheitseinstellungen dürfen nicht deaktiviert oder umgangen werden.
g. „Clean Desk Policy“
Mitarbeiter von Personio sind dazu angehalten, personenbezogene Daten von Kunden nicht auszudrucken oder lokal zu speichern, Arbeitsmaterialien grundsätzlich nicht offen herumliegen zu lassen und ordentlich zu verstauen. Unterlagen mit personenbezogenen Daten sind nach Gebrauch entweder in abschließbaren Schränken oder Schubfächern zu verstauen oder datenschutzgerecht zu entsorgen.
h. Öffentliche drahtlose Netzwerke und Verbindung mit dem Firmennetz
Öffentliche drahtlose Netzwerke werden ausschließlich über eine VPN-Verbindung, welche von Personio bereitgestellt wird, verwendet.
2.5 Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.
a. Rollen- und Berechtigungskonzept
i. Rollen- und Berechtigungskonzept Kunden-System
Administratoren des Auftraggebers können ein mehrstufiges Rollenkonzept zur Rechtevergabe individuell konfigurieren und dabei zwischen Ansichts-, Vorschlags- und Bearbeitungsrechten je Funktion bzw. Bereich innerhalb von Personio für individuelle Nutzer unterscheiden.
ii. Rollen- und Berechtigungskonzept Admin-System
Der Zugriff auf das Admin-System ist grundsätzlich auf geschulte Mitarbeiter im Bereich Kundenservice und Produktentwicklung beschränkt. Mitarbeiter aus dem Vertriebs- und Finance-Team haben über das Admin-System lediglich Zugriff auf Kunden-Systeme während der kostenfreien Testphase bzw. auf entsprechende Abrechnungsdaten und können somit keine Kundendaten einsehen.
iii. Rollen- und Berechtigungskonzept Server-/ Datenbank-System
Der Zugriff auf das Server-/ Datenbank-System ist grundsätzlich auf eine begrenzte Anzahl geschulter Mitarbeiter im Bereich Produktentwicklung und Infrastruktur beschränkt.
b. Kontrolle der Zugriffsberechtigung für Personio auf Kunden-Systeme durch Auftraggeber
Der Auftraggeber hat die über die Systemeinstellungen im Kunden-System die Möglichkeit zu entscheiden, ob Personio Zugriff auf das Kunden-System nehmen kann. Die Berechtigung des Zugriffs ist dabei als Voreinstellung deaktiviert und kann von dazu berechtigten Mitarbeitern des Auftraggebers jederzeit aktiviert oder deaktiviert werden.
c. Vergabe von Zugriffsrechten
Die Vergabe von Zugriffsrechten erfolgt bei Personio grundsätzlich nach dem „Need-to-Know“-Prinzip. Zugänge erhalten demnach ausschließlich Personen, die ihn nachvollziehbar benötigen und solange sie ihn benötigen. Den Bedarf muss die beantragende Person bei der Beantragung schlüssig begründen. Das Berechtigungskonzept ist rollenbasiert. Jedem Mitarbeiter wird grundsätzlich eine bestimmte Rolle zugewiesen. Von dieser Rolle abweichende Berechtigungen müssen begründet sein. Die Zugriffsberechtigungen werden zentral dokumentiert sowie unmittelbar nach Erlöschen der Notwendigkeit des Zugriffs vom Administrator entzogen. Die Zugänge werden auf die minimal notwendigen Privilegien beschränkt. Zugriffe auf Admin-System oder Server-/ Datenbank-System werden durch das Management, die Leitung der Infrastruktur-Abteilung oder den Information Security Manager freigegeben und erfolgen in der Regel nach dem 4-Augen-Prinzip. Die Administratoren bzw. der Information Security Manager prüfen regelmäßig, ob erteilte Berechtigungen noch erforderlich sind. Vorgesetzte sind darüber hinaus verpflichtet, im Falle von Aufgabenwechsel von Mitarbeitern eine entsprechende Korrektur von Berechtigungen bei der IT-Administration zu beantragen. Im Falle des Ausscheidens von Mitarbeiter informieren die Personalverantwortlichen die Administratoren bzw. die Personalabteilung unverzüglich über anstehende Veränderungen, damit die entsprechende Berechtigungen entzogen werden können. Der Entzug von Berechtigungen hat nach Möglichkeit binnen 24 Stunden nach Ausscheiden eines Mitarbeiters zu erfolgen.
d. Host-basiertes Angriffserkennungssystem (HIDS)
Jedes Server-System ist mit einem Host-basierten Angriffserkennungssystem ausgestattet. Dieses überwacht mindestens Parameter wie auffällige System-Log-Einträge, Signaturen bekannter Rootkits und Trojaner, Auffälligkeiten im Device File System, oder Bruteforce-Angriffen. Alle Parameter mit Ausnahme der Änderungen an Dateisystemen werden in Echtzeit ausgewertet. Dateisysteme werden mindestens einmal täglich überprüft. Im Falle von Auffälligkeiten werden die zuständigen Mitarbeiter (Betrieb und Produktentwicklung) sofort mittels E-Mail-Benachrichtigung informiert.
e. Einsatz einer Paketfilter-Firewall
Die Server von Personio nutzen Paketfilter-Firewalls, die sicherstellen, dass keine Dienste direkt aus dem Internet erreichbar sind. Öffentlich erreichbare Dienste werden über Loadbalancer oder Bastion-Hosts geleitet, die ausschließlich die Protokolle, die für den jeweiligen Dienst benötigt werden, zulassen.
f. Protokollierung von An- und Abmeldevorgängen
Anmeldeversuche zum und sowie Abmeldevorgänge von Admin-, Kunden-System und Server-Systemen/ -Software werden protokolliert (min. E-Mail-Adresse, Benutzer ID, IP-Adresse, Ergebnis des Anmeldeversuchs sowie Zeitstempel) und derzeit für bis zu 30 Tage aufbewahrt. Diese Protokolle können auf Anfrage und/ oder bei konkretem Verdacht ausgewertet werden.
2.6 Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene, personenbezogene Daten getrennt verarbeitet werden können und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.
a. Trennung von Entwicklungs-, Test- und Betriebsumgebungen (nach 12.1.4 ISO/IEC 27002:2017)
Daten aus der Betriebsumgebung dürfen nur in Test- oder Entwicklungsumgebungen überführt werden, wenn sie vor der Überführung vollständig anonymisiert wurden. Die Übertragung der anonymisierten Daten muss verschlüsselt oder über ein vertrauenswürdiges Netz erfolgen. Software, die in die Betriebsumgebung überführt werden soll, muss zuerst in einer identischen Test-Umgebung („Staging“) getestet werden. Programme für Fehleranalysen oder das Erstellen/ Kompilieren von Software dürfen in der Betriebsumgebung nur verwendet werden, wenn sich dies nicht vermeiden lässt. Dies ist vor allem dann der Fall, wenn Fehlersituationen von Daten abhängig sind, die aufgrund der Anforderungen für die Anonymisierung bei der Überführung in Testumgebungen verfälscht würden.
b. Trennung in Netzwerken (nach 13.1.3 ISO/IEC 27002:2017)
Personio trennt seine Netzwerke nach Aufgaben. Hierbei kommen die folgenden Netzwerke dauerhaft zum Einsatz: Betriebsumgebung („Production“), Testumgebung („Staging“), Office-IT Mitarbeiter, Office-IT Gäste. Zusätzlich zu diesen Netzwerken werden bei Bedarf weitere separate Netzwerke erstellt, z.B. für Restore-Tests und Penetration-Tests. Die Trennung der Netzwerke erfolgt, je nach technischen Möglichkeiten, physisch oder mittels virtueller Netzwerke.
c. Softwareseitige Mandantentrennung
Personio stellt die getrennte Verarbeitung und Speicherung von Daten unterschiedlicher Auftraggeber über eine logische Mandantentrennung auf Basis einer Multi-Tenancy-Architektur sicher. Die Zuordnung und Identifizierung der Daten erfolgt dabei über die Zuweisung einer eindeutigen Kennung je Auftraggeber (bspw. Kundennummer/ „Company ID“). Die Absicherung der Architektur erfolgt durch die Implementierung von Integrationstests, welche sicherstellen, dass keine Datenbank-Abfragen ohne Abfrage und Zuordnung zu dieser Kennung durchgeführt werden und das Risiko der Umgehung der Mandantentrennung durch Programmierfehler minimiert wird. Regelmäßige Security-Audits sowie verbindliche Code-Reviews (4-bis 6-Augen-Prinzip) sichern die Architektur zusätzlich ab.
