Sie sind an Cloud Computing interessiert? Legen Sie jetzt los

TOMs für Noname API-Sicherheitsservices

Zuletzt aktualisiert: November 2024

Anwendbare TOMs für API-Sicherheitsservices (definiert als „Services“).

Personenbezogene Daten, die in Verbindung mit den Diensten verarbeitet werden: Alle personenbezogenen Daten, die in den API-Traffic des Kunden eingebettet sind, z. B. IP-Adresse, Name, E-Mail-Adresse, Kreditkartennummer und Sozialversicherungsnummer (definiert als „personenbezogene API-Daten“).         

Diese TOMs gelten für API-Sicherheitsservices in SaaS- und Hybrid-Versionen.

Alle personenbezogenen Daten, die in Verbindung mit den Unterstützungsservices für API-Sicherheitsservices in SaaS-, Hybrid- oder On-Prem-Ausführung verarbeitet werden, werden auf der Grundlage der TOMs geschützt, die von den Unterverarbeitern, die Support-Ticketsysteme bereitstellen, gemäß der Liste der Unterverarbeiter angewendet werden.

Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

Die Services wenden automatische Verschleierung für die meisten sensiblen Datenkategorien innerhalb der personenbezogenen API-Daten an, wie z. B. Bankkontonummer, Geburtsdatum, Kreditkarte, CVV, Gesundheitsdaten, Religion, Gehalt, Sozialversicherungsnummer und Reisepassdetails. Der Kunde kann zusätzliche Datenkategorien zur Verschleierung hinzufügen.

Personenbezogene API-Daten werden im Ruhezustand und während der Übertragung mithilfe akzeptierter Methoden verschlüsselt, die Branchenstandards erfüllen, z. B. AES-256, TLS 1.2 oder höher.

Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -services

Der Datenverarbeiter hat das Programm für Informationssicherheit und Compliance des Unternehmens implementiert und pflegt es, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit von Informationen und Verarbeitungssystemen zu gewährleisten, z. B.:

  • Vertraulichkeitsvereinbarungen
  • Schulung zum Datenschutz und zur Informationssicherheit 
  • Richtlinien und Verfahren zur Informationssicherheit
  • Sicherungsverfahren
  • Remote-Speicherung in Rechenzentren von Drittanbietern
  • Nutzung verschiedener Verfügbarkeitszonen durch Cloudserviceanbieter wie AWS oder andere (wie in der Liste der Subprozessoren des Datenverarbeiters beschrieben) nach Wahl des Kunden, um die Wiederherstellung und Verfügbarkeit aufgrund physischer Ausfälle im primären Rechenzentrum eines Cloudserviceanbieters sicherzustellen 
  • Netzsicherheitskontrollen rund um die Uhr, einschließlich des Einsatzes von Firewalls, aktualisierter Systeme zur Erkennung und Verhinderung von Eindringlingen, um Systeme vor Eindringlingen zu schützen und den Umfang oder den Erfolg eines Angriffs oder des Versuchs eines unbefugten Zugriffs auf das System, die Computergeräte oder die Netze des Datenverarbeiters einzuschränken
  • Fernzugriffskontrollen zur Überwachung und Kontrolle des Zugriffs auf die Systeme oder Netze des Datenverarbeiters, einschließlich der Anforderung einer Multifaktor-Authentifizierung für jede Person, die von einem externen System oder Netzwerk aus auf das Netzwerk des Datenverarbeiters zugreift
  • Patchmanagement-Verfahren und -Kontrollen zur zeitnahen Implementierung von Sicherheitspatches und Updates für Software und Firmware
  • Verfahren und Technologien zum Sicherheitsmanagement für Erkennung, Bewertung, Minderung und zum Schutz vor neuen und bestehenden Sicherheitslücken und Bedrohungen, einschließlich Viren, Bots, anderen schädlichen Code und Virenschutz
  • Verfügbarkeitskontrollen zum Schutz personenbezogener Daten vor versehentlicher Zerstörung oder Verlust

Maßnahmen zur schnellen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls

Der Datenverarbeiter verwaltet Folgendes:

  • Geschäftskontinuitätsplan
  • Notfallwiederherstellungsverfahren
  • Vorfallsreaktionsplan, der gepflegt und geübt wird, z. B. durch Übungen zur Wiederherstellung der gesamten Umgebung

Die Produktionssysteme des Datenverarbeiters werden regelmäßig gesichert, wie durch interne Sicherungsverfahren vorgeschrieben.

Verfahren zur regelmäßigen Prüfung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten

Der Datenverarbeiter hat folgende Prozesse implementiert:

  • Internes und externes Auditprogramm, Auditberichte und Dokumentation
  • Tests von Backup-Prozessen und Geschäftskontinuitätsverfahren
  • Regelmäßige Risikobeurteilung und Systemüberwachung
  • Regelmäßige Anfälligkeits- und Penetrationstests

Der Datenverarbeiter wird regelmäßig Sicherheitsbewertungen unterzogen und verfügt über Zertifizierungen, die unter https://www.akamai.com/legal/compliance aufgeführt sind.

Maßnahmen zur Nutzeridentifizierung und -autorisierung

Der Datenverarbeiter pflegt Richtlinien und Verfahren zur Verwaltung der Nutzeridentifizierung und -autorisierung, z. B.:

  • Interne Richtlinien und Verfahren, einschließlich der Festlegung, Verwaltung und Kontrolle von Passwort- und Authentifizierungsanforderungen
  • Kontrollen der Nutzerauthentifizierung, einschließlich sicherer Methoden zur Zuweisung, Auswahl und Speicherung von Zugangsdaten und zum Blockieren des Zugriffs nach einer angemessenen Anzahl fehlgeschlagener Authentifizierungszugriffe
  • Zugriffsbeschränkung auf bestimmte Nutzer
  • Der Zugriff wird auf Grundlage des Wissensbedarfs gewährt, unterstützt durch Protokolle für die Zugriffsautorisierung, Einrichtung, Änderung und Beendigung von Zugriffsrechten
  • Protokollierungs- und Berichtssysteme
  • Kontrolle der Autorisierungsverfahren
  • Differenzierte Zugriffsrechte (Profile, Rollen, Transaktionen und Objekte)
  • Überwachung und Protokollierung von Zugriffen
  • Zugriffsberichte
  • Zugriffsrichtlinien und -verfahren
  • Richtlinien und Verfahren für das Änderungsmanagement

Maßnahmen zum Schutz von Daten während der Übermittlung

Personenbezogene API-Daten werden während der Übertragung durch folgende Maßnahmen geschützt:

  • Verschlüsselung bei der Übertragung über Industriestandards wie TLS 1.2 oder höher
  • Verschleierung aller sensiblen Elemente entsprechend den Anforderungen des Kunden, die von jedem Kunden selbst verwaltet werden
  • Trennung von Netzwerk- und Kundendaten
  • Protokollierung und Überwachung sicherheitsrelevanter Ereignisse

Maßnahmen zum Schutz von Daten während der Speicherung

Personenbezogene API-Daten werden während der Speicherung durch folgende Maßnahmen geschützt:

  • Verschlüsselung bei der Speicherung über Branchenstandards wie AES-256 
  • Zugriffskontrollen
  • Trennung von Datenbanken und logische Segmentierung von Kundendaten von Daten anderer Kunden
  • Trennung von Funktionen und Umgebungen (Produktion/Test/Entwicklung)
  • Verfahren zur Speicherung, Änderung, Löschung und Übertragung von Daten für verschiedene Zwecke

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

Die folgenden Maßnahmen werden von Unterauftragnehmern wie AWS oder einem anderen Cloudserviceanbieter (wie in der Liste der Unterauftragsverarbeiter des Datenverarbeiters beschrieben) nach Wahl des Kunden durchgeführt, da der Datenverarbeiter keine personenbezogenen API-Daten auf den eigenen Servern speichert:

  • Einrichtung von Sicherheitsbereichen, Einschränkung von Zugangspfaden
  • Einrichten von Zugriffsberechtigungen für Mitarbeiter und Dritte mit Wissensbedarf
  • Zutrittskontrollsystem (ID-Leser, Magnetkarte, Chipkarte)
  • Schlüsselverwaltung, Kartenschlüsselverfahren
  • Türverriegelung (elektronischer Türöffner usw.)
  • Sicherheitspersonal
  • Überwachung von Einrichtungen, Videoüberwachung, Alarmanlage
  • Sicherung von dezentralen Verarbeitungsgeräten und PCs

Detaillierte Maßnahmen, die von jedem vom Kunden gewählten Cloudserviceanbieter angewendet werden, können auf den jeweiligen Websites überprüft werden. 

Maßnahmen zur Sicherstellung der Ereignisprotokollierung

Der Datenverarbeiter pflegt Richtlinien und Verfahren, um die Ereignisprotokollierung sicherzustellen, z. B.:

  • Verfahren zur Nutzeridentifizierung und -authentifizierung
  • Sicherheitsverfahren mit ID/Passwort 
  • Automatische Sperrung von Konten nach einer festgelegten Anzahl von Anmeldefehlern
  • Automatisches Timeout bei Inaktivität
  • Protokollverwaltungsverfahren und -technologien zur Erstellung und Pflege eines vollständigen Prüfprotokolls für effektive forensische Untersuchungen, einschließlich Überwachung von Einbruchversuchen und automatischem Ausschalten der Nutzer-ID bei mehreren fehlerhaften Passwortversuchen
  • Erstellung eines Masterdatensatzes pro Nutzer

Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich Standardkonfiguration

Der Datenverarbeiter unterhält Verfahren und Richtlinien, um sicherzustellen, dass seine Systeme gemäß den Branchenstandards konfiguriert und gewartet werden, z. B.:

  • Aktuelle Dokumentation und Einstellungen zur Basiskonfiguration
  • Betriebliche Verfahren und Kontrollen, um sicherzustellen, dass Software, Computer und Netzwerke gemäß vorgeschriebenen internen Standards entwickelt, konfiguriert und gewartet werden, die mit Branchenstandards übereinstimmen
  • Änderungen in der Systemkonfiguration erfordern bestimmte Berechtigungen

Maßnahmen für die interne IT- und IT-Sicherheitssteuerung und -Verwaltung

Der Datenverarbeiter verwaltet die IT-Governance in Übereinstimmung mit Branchenstandards wie SOC 2 Typ 2, CSA STAR 2, PCI DSS, HIPAA und wendet sich daraus ergebende Maßnahmen an, z. B.: 

  • Richtlinien und Verfahren zur Informationssicherheit 
  • Vorfallsreaktionsplan
  • Regelmäßige interne und externe Audits
  • Überprüfung und Überwachung des Programms zur Informationssicherheit
  • Regelmäßige Schulungen zur Informationssicherheit und zum Datenschutz für Mitarbeiter
  • Zugriff auf Daten nach dem Prinzip der geringsten Berechtigung                    

Maßnahmen zur Zertifizierung/Sicherung von Prozessen und Produkten

Der Datenverarbeiter verfügt über die folgenden Zertifizierungen:

  • SOC 2 Typ 2
  • Cloud Security Alliance (CSA) STAR 2
  • HIPAA
  • PCI DSS

Weitere Informationen finden Sie unter https://www.akamai.com/legal/compliance

Maßnahmen zur Datenminimierung

Der Datenverarbeiter stellt durch seine Grundsätze von „Datenschutz von Grund auf“ sicher, dass seine Services und Systeme gemäß den Datenschutzanforderungen entwickelt und konzipiert werden und dass nur der erforderliche Umfang von Daten verarbeitet wird, z. B.:

  • Gewährleistung, dass die Mindestmenge an Daten verarbeitet wird, um den Zweck der Verarbeitung zu erfüllen
  • Daten werden nur erfasst, wenn API-Sicherheitsvorfälle erkannt werden und nur wenige Pakete pro API gesammelt werden, um API-Baselines einzurichten
  • Bestimmte vertrauliche Kategorien personenbezogener Daten, die von den Services erfasst werden, werden automatisch verschleiert. Ein Kunde kann sich außerdem entscheiden, zusätzliche Kategorien personenbezogener Daten gemäß seiner Präferenzen zu verschleiern. Diese werden direkt von jedem Kunden verwaltet.

Maßnahmen zur Sicherstellung der Datenqualität

Der Datenprozessor empfängt API-Trafficpakete unverändert und kann die personenbezogenen API-Daten innerhalb der Pakete nicht aktualisieren oder korrigieren, sobald sie empfangen wurden. 

Maßnahmen zur Gewährleistung begrenzter Datenspeicherung

Personenbezogene API-Daten werden für die Dauer der Vereinbarung gespeichert und können auf Anfrage des Kunden früher gelöscht werden. 

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

Der Datenverarbeiter stellt die Rechenschaftspflicht durch die Umsetzung verschiedener Maßnahmen sicher, z. B.:

  • Interne Richtlinien und Verfahren zum Schutz von Daten
  • Datenschutz von Grund auf
  • Aufzeichnungen über Datenverarbeitungstätigkeiten
  • Datenschutzfolgeabschätzungen, falls erforderlich
  • Onboarding von Anbietern und Due-Diligence-Bewertungen 
  • Kontrollen von Unterauftragnehmern, einschließlich geeigneter Kriterien für die Auswahl von Unterauftragnehmern und angemessener Vereinbarungen 
  • Schulungsprogramm zum Datenschutz und zur Informationssicherheit

Maßnahmen zur Datenportabilität und zur Sicherstellung der Löschung

Der Datenverarbeiter gewährleistet die Portabilität und Löschung durch folgende Maßnahmen:

  • Kunden können Workflows verwenden, um Services in die eigenen Systeme zu integrieren und personenbezogene API-Daten automatisch innerhalb ihrer Systeme zu empfangen
  • Personenbezogene API-Daten können auf Kundenwunsch exportiert werden
  • Personenbezogene API-Daten können auf Kundenwunsch gelöscht werden
  • Löschung personenbezogener API-Daten gemäß NIST-Best-Practices und Verwaltung durch AWS oder einen anderen Cloudserviceanbieter (wie in der Liste der Subprozessoren des Datenverarbeiters aufgeführt) nach Wahl des Kunden

Bei Übertragungen an (Unter-)Auftragsverarbeiter: Beschreibung der die spezifischen technischen und organisatorischen Maßnahmen, die der (Unter-)Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen unterstützen zu können

Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, schließen der Auftragsverarbeiter und der Unterauftragsverarbeiter eine Vereinbarung mit Datenschutzverpflichtungen ab, die den in der Vereinbarung zwischen dem Auftragsverarbeiter und dem für die Datenverarbeitung Verantwortlichen enthaltenen Pflichten im Wesentlichen ähneln. 

Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter ergreifen muss, um den für die Verarbeitung Verantwortlichen unterstützen zu können

Weitere Einzelheiten zur Unterstützung des für die Verarbeitung Verantwortlichen durch den Datenverarbeiter sind der Datenverarbeitungsvereinbarung und der dazugehörigen Dienstleistungsvereinbarung zu entnehmen.