Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen
Richtlinie und Verfahren für Sicherheitsvorfälle und Datenverletzungen
November 20, 2021
My Eco Best Friend als für die Datenverarbeitung Verantwortlicher und die entsprechenden beauftragten Datenverarbeiter unterliegen den Bestimmungen der Allgemeinen Datenschutzverordnung 2016/679 (GDPR) und müssen bei der Erhebung, Verarbeitung und Speicherung personenbezogener Daten und sensibler personenbezogener Daten, die von Mitarbeitern, Verkäufern, Kunden und der Öffentlichkeit für eine bestimmte Verwendung bereitgestellt werden, die erforderliche Sorgfalt walten lassen.
Der Schutz solcher Informationen und die Verhinderung ihrer Verletzung ist von wesentlicher Bedeutung, um sicherzustellen, dass My Eco Best Friend das Vertrauen der oben genannten betroffenen Personen behält. My Eco Best Friend unternimmt daher alle angemessenen Anstrengungen, um die unter der Kontrolle von My Eco Best Friend stehenden Daten vor unbefugtem Zugriff, Verwendung, Offenlegung, Löschung, Zerstörung, Beschädigung oder Entfernung zu schützen.
Obwohl alles getan wird, um Einrichtungen, Geräte, Ressourcen und Daten zu schützen, lassen sich manche Krisen kaum vermeiden. Verstöße gegen die Datensicherheit treten immer häufiger auf, unabhängig davon, ob sie durch menschliches Versagen oder durch böswillige Absicht verursacht werden. My Eco Best Friend muss daher über ein robustes und systematisches Verfahren verfügen, um auf alle gemeldeten Sicherheitsvorfälle zu reagieren und seine Informationswerte so weit wie möglich zu schützen.
Daher wird in dieser Richtlinie ein Verfahren festgelegt, das anzuwenden ist, wenn die geltenden Sicherheitsverfahren einen Verstoß nicht verhindern können. Ziel dieser Richtlinie ist es, die gruppenweite Reaktion auf alle gemeldeten Sicherheitsvorfälle zu standardisieren und sicherzustellen, dass sie angemessen protokolliert und gemäß den Best-Practice-Richtlinien gehandhabt werden.
Durch einen standardisierten, einheitlichen Ansatz für alle gemeldeten Vorfälle soll sichergestellt werden, dass:
Vorfälle werden rechtzeitig gemeldet und können angemessen behandelt werden.
Vorfälle von entsprechend befugtem und qualifiziertem Personal bearbeitet werden
Vorfälle werden auf allen Ebenen vertraulich behandelt (relevante Beteiligte werden nach dem Ermessen der leitenden Ermittler informiert).
die entsprechenden Managementebenen an der Reaktion beteiligt sind
Vorfälle werden erfasst und dokumentiert
die Auswirkungen der Vorfälle verstanden werden und Maßnahmen ergriffen werden, um weitere Vorfälle zu verhindern
Beweise gesammelt, aufgezeichnet und in einer Form aufbewahrt werden, die einer internen und externen Prüfung standhält
externe Stellen oder betroffene Personen bei Bedarf informiert werden
Vorfälle zeitnah behandelt werden und der normale Betrieb schnell wieder aufgenommen werden kann
Vorfälle werden überprüft, um Verbesserungen in der Politik zu ermitteln
Für die Zwecke dieser Police bezeichnet der Begriff "Datenschutzverletzung" umfasst den Verlust der Kontrolle, die Kompromittierung, die unbefugte Offenlegung oder den unbefugten Zugang oder potenziellen Zugang zu personenbezogenen Daten, unabhängig davon, ob diese in physischer (Papier-) oder elektronischer Form vorliegen.
Eine Verletzung der Datensicherheit kann aus einer Reihe von Gründen geschehen, darunter:
Verlust, Änderung oder Diebstahl von Daten oder Geräten, auf denen Daten gespeichert sind (einschließlich Einbruch in unsere Geschäftsräume)
unangemessener/unbefugter Zugang zu vertraulichen oder streng vertraulichen Daten
Geräteausfall
menschliches Versagen, einschließlich unbeabsichtigter Offenlegungen, mangelnder Sorgfalt und/oder Missbrauch von technischen Mitteln
unvorhergesehene Umstände wie Überschwemmung oder Brand
ein Hackerangriff
Zugang, bei dem Informationen durch Täuschung der Organisation, die sie besitzt, erlangt werden
Für die Zwecke dieser Politik werden diese Gründe als "Sicherheitsvorfälle". Nicht alle Sicherheitsvorfälle führen zu einer Datenverletzung.
Diese gruppenweite Richtlinie gilt für alle Mitarbeiter von My Eco Best Friend.
Diese Politik ist unter www.myecobestfriend.com abrufbar und wird dem Personal bei der Einarbeitung und bei den regelmäßigen Mitarbeiterschulungen mitgeteilt.
My Eco Best Friend erwartet, dass alle Auftragnehmer von My Eco Best Friend, Lieferanten oder andere Parteien, die im Namen von My Eco Best Friend handeln (zusammenfassend "Externe Parteien"), die personenbezogene Daten erheben oder verwalten, diese Richtlinie befolgen, unabhängig davon, ob sie die Systeme und Datenverwaltungstools von My Eco Best Friend und/oder ihre eigenen nutzen. Die Mitarbeiter von My Eco Best Friend sind dafür verantwortlich, dass alle externen Parteien, mit denen sie zur Unterstützung des Betriebs von My Eco Best Friend zusammenarbeiten, diese Richtlinie einhalten.
Die Mitarbeiter sind dafür verantwortlich, dass in allen Einrichtungen und Ressourcen, die ihrer Kontrolle unterstehen, angemessene und ausreichende Schutzmaßnahmen und Kontrollen vorhanden sind und durchgeführt werden, und sie müssen feststellen, wo dies nicht der Fall ist. Die Vorgesetzten sind dafür verantwortlich, dass die Mitarbeiter in ihrem Bereich diese Richtlinie befolgen und alle damit verbundenen Verfahren einhalten.
Der behördliche Datenschutzbeauftragte (DSB) ist für die Überwachung des Umgangs mit Verstößen zuständig.
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Schweiz)
T: +41 (0)79 847 91 55
contact@myecobestfriend.com
Die Rechtsabteilung führt regelmäßige Überprüfungen der bestehenden Maßnahmen und Praktiken durch.
Meldung von Sicherheitsvorfällen - Meldepflicht für jeden Mitarbeiter
Bestätigte oder vermutete IT-Sicherheitsvorfälle sollten immer unverzüglich per E-Mail an die IT-Sicherheitsabteilung als erste Anlaufstelle gemeldet werden. contact@myecobestfriend.com
Wenn ein Mitarbeiter feststellt oder vermutet, dass personenbezogene Daten aus einem anderen Grund als einem IT-Sicherheitsvorfall gefährdet sind (z. B. durch den Verlust eines tragbaren Geräts, falsch adressierte Etiketten, sensible Informationen, die an einem Ort zurückgelassen wurden, an dem sie von Unbefugten eingesehen werden könnten - z. B. nicht ordnungsgemäß entsorgte oder auf dem Kopierer zurückgelassene Fotokopien), muss er unverzüglich seinen Vorgesetzten informieren.
Bei einem potenziellen Interessenkonflikt oder aus anderen Gründen kann eine solche Meldung im Interesse der Vertraulichkeit direkt an den DSB gerichtet werden.
In beiden Fällen kann der Mitarbeiter, der den Sicherheitsvorfall meldet, aufgefordert werden, den Bericht über eine Verletzung der Datensicherheit auszufüllen (siehe Anhang 1).
Verstöße gegen die Datensicherheit sollten sofort nach Bekanntwerden eines solchen Verstoßes eingedämmt und behoben werden.
Der Mitarbeiter und/oder die IT-Sicherheitsabteilung werden versuchen, die Angelegenheit einzudämmen und eine weitere Gefährdung der personenbezogenen Daten zu verhindern, wobei sie die "DOs and DON'Ts for IT systems" (DOs and DON'Ts for IT systems) beachten, die unter Anhang 2. Je nach Art der Bedrohung für die personenbezogenen Daten kann dies bedeuten, dass einige oder alle PCs, Netzwerke usw. unter Quarantäne gestellt werden und das Personal aufgefordert wird, nicht auf PCs, Netzwerke usw. zuzugreifen. Ebenso kann es eine Quarantäne des/der manuellen Datenspeicher und anderer Bereiche bedeuten, die angemessen sind. In einem ersten Schritt sollte eine Prüfung der gespeicherten Aufzeichnungen oder des/der Sicherungsserver(s) durchgeführt werden, um festzustellen, welche Art von personenbezogenen Daten möglicherweise offengelegt wurde.
Parallel bzw. im Anschluss an die sofortige Eindämmung müssen die Risiken bewertet werden, die mit dem Verstoß verbunden sein können, sowie die möglichen negativen Folgen für die betroffenen Personen und für My Eco Best Friend selbst.
Wenn die betreffenden Daten durch technische Maßnahmen geschützt sind, die sie für Personen, die nicht zum Zugriff auf sie berechtigt sind, unverständlich machen, kann My Eco Best Friend zu dem Schluss kommen, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den DSB zu informieren. Eine solche Schlussfolgerung wäre jedoch nur dann gerechtfertigt, wenn die technischen Maßnahmen (wie z. B. die Verschlüsselung) einen hohen Standard aufweisen. Darüber hinaus muss jeder Sicherheitsvorfall, der mehr als 100 betroffene Personen betrifft oder sensible personenbezogene Daten oder personenbezogene Daten finanzieller Art umfasst, immer an den DSB weitergeleitet werden.
Erfolgt keine Meldung an den behördlichen Datenschutzbeauftragten, so führt My Eco Best Friend eine zusammenfassende Aufzeichnung des Sicherheitsvorfalls, da alle Datensicherheitsvorfälle zentral im IT-Service-Management-System (ITSM-System) protokolliert werden müssen, um eine angemessene Übersicht über die Art und Häufigkeit der Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten.
Sofern My Eco Best Friend nicht zu dem Schluss kommt, dass kein Risiko für die Daten besteht und daher keine Notwendigkeit besteht, den DSB zu informieren, wird dieser unverzüglich vom IT-Sicherheitsteam (gegebenenfalls dem Informations- und Sicherheitsbeauftragten (CISO)) informiert, um ein kleines Team von Personen zusammenzustellen, das die potenzielle Gefährdung/den potenziellen Verlust bewertet. Dieses Team unterstützt den CISO, den DSB (und gegebenenfalls den Manager) bei den praktischen Fragen im Zusammenhang mit dieser Strategie und den Verfahren. Die Maßnahmen werden gemäß den Anweisungen/Beratungen des speziellen Teams durchgeführt. Jedem Teammitglied steht ein Ersatzmitglied zur Seite, um Urlaub, Krankheitsurlaub usw. abzudecken.
Während der Untersuchung sollte das Team versuchen, Informationen zu sammeln, die für die Beurteilung der Frage nützlich sind, ob My Eco Best Friend verpflichtet ist, Aufsichtsbehörden und betroffene Personen zu benachrichtigen.
Die Art der betroffenen Daten;Um die potenzielle Exposition/den potenziellen Verlust zu bewerten, müssen folgende Punkte berücksichtigt werden:
Das Team kann auch die Hinweise zur "Übersicht über die Einstufung des Datenschutzrisikos" in Anhang 3 berücksichtigen.
Da der Auslöser für die 72-Stunden-Frist für die Benachrichtigung der Aufsichtsbehörde im Wesentlichen rechtlicher Natur ist, sollten Anwälte und andere für die Einhaltung der Vorschriften zuständige Mitarbeiter die endgültige Entscheidung darüber treffen, ob ein Vorfall eine Verletzung des Schutzes personenbezogener Daten darstellt, die eine Benachrichtigung der Aufsichtsbehörde erfordert.
Die Benachrichtigung muss Folgendes enthalten: (1) Art, Ausmaß und Auswirkungen der Verletzung; (2) möglicherweise betroffene personenbezogene Daten; (3) Maßnahmen, die zur Behebung der Verletzung ergriffen wurden; (4) Angaben zum behördlichen Datenschutzbeauftragten oder zu der vom behördlichen Datenschutzbeauftragten benannten Kontaktperson, die zusätzliche Informationen bereitstellen kann; und (5) jegliche Unterstützung für die betroffene Person.
Wenn dies gesetzlich vorgeschrieben ist, wird das Team unter der Leitung des Datenschutzbeauftragten unverzüglich prüfen, ob die Betroffenen informiert werden müssen.1. Insbesondere soll das Team:
Kontaktaufnahme mit den betroffenen Personen (per Telefon/E-Mail usw.), um ihnen mitzuteilen, dass eine unbefugte Weitergabe/Verlust/Zerstörung oder Änderung der personenbezogenen Daten der betreffenden Person stattgefunden hat
Soweit möglich und sobald es machbar ist, wird die Datensubjekte (d.h. Personen, auf die sich die Daten beziehen) informiert werden sollten:
die Art der Daten, die potenziell gefährdet/kompromittiert wurden;
den Grad der Sensibilität dieser Daten und
einen Überblick über die Maßnahmen, die My Eco Best Friend zur Eindämmung oder Sanierung zu ergreifen gedenkt
Einzelpersonen sollten darüber informiert werden, ob My Eco Best Friend beabsichtigt, andere Aufsichtsbehörden zu kontaktieren.
Schließlich sollte der Einzelne konkrete und klare Ratschläge erhalten, wie er sich selbst schützen kann und was My Eco Best Friend für ihn tun kann.
Die Sicherheit des Mediums, das für die Benachrichtigung von Personen über einen Verstoß verwendet wird, und die Dringlichkeit der Situation sollten berücksichtigt werden.
Anfragen der Medien zu dem Verstoß werden stets vom Leiter der Abteilung Kommunikation bearbeitet.
My Eco Best Friend prüft auch, ob Polizei, Versicherer, Datenverarbeiter oder beispielsweise Banken benachrichtigt werden sollten.
Es ist wichtig, dass alle Sicherheitsvorfälle und tatsächlichen Datenschutzverletzungen dokumentiert und untersucht werden und die Reaktion auf die Verletzung auf ihre Wirksamkeit hin bewertet wird.
Alle Verstöße gegen die Datensicherheit werden daher zentral im ITSM-System protokolliert, um einen angemessenen Überblick über die Art und Häufigkeit der bestätigten Vorfälle für Verwaltungs- und Berichtszwecke zu gewährleisten[1], es sei denn, die Aufsichtsbehörden haben zu Ermittlungszwecken eine Verzögerung verlangt. Erhält My Eco Best Friend eine solche Anweisung von den Aufsichtsbehörden, sollte es sorgfältige Notizen über die erhaltenen Hinweise machen (einschließlich Datum und Uhrzeit des Gesprächs sowie Name und Rang der Person, mit der es gesprochen hat). Wenn möglich, sollte My Eco Best Friend darum bitten, die Anweisungen schriftlich auf Briefpapier der Aufsichtsbehörde zu erhalten, oder, wenn dies nicht möglich ist, sollte My Eco Best Friend an die zuständige Strafverfolgungsbehörde schreiben, dass "wir nehmen Ihre Anweisungen zur Kenntnis, die uns von Ihrem Bediensteten [Name des Bediensteten einfügen] am XX Tag des XX um XX Uhr nachmittags erteilt wurden, dass wir für einen Zeitraum von XXX/bis zu einer weiteren Mitteilung Ihrerseits, dass wir die von der Datenschutzverletzung betroffenen Personen informieren dürfen, aufschieben sollten."
Es sollte eine vollständige Überprüfung vorgenommen werden. Das Personal sollte über alle Änderungen an dieser Politik und über verbesserte Sicherheitsmaßnahmen informiert werden. Das Personal sollte erforderlichenfalls eine Auffrischungsschulung erhalten.
Diese Politik kann im Lichte von Änderungen in der Gesetzgebung, rechtlicher Beratung und dem Aufkommen relevanter neuer Technologien überprüft werden.
Senden Sie dieses Formular per E-Mail an IT Security contact@myecobestfriend.com
|
Bitte geben Sie so viele Informationen/Details wie möglich an möglich: |
|
|
Beschreibung des Sicherheitsvorfalls/Datenverstoßes |
|
|
Bestätigter oder vermuteter Verstoß? |
|
|
Wer meldet die Sicherheitsverletzung: Name/Abteilung |
|
|
Uhrzeit und Datum, an dem der Sicherheitsvorfall/-verstoß festgestellt wurde und von wem |
|
|
Gab es weitere Zeugen? Wenn ja, geben Sie die Namen an. |
|
|
Ursache des Verstoßes? - Unfall oder Versehen, - Technischer Fehler, - Vorsätzlicher Diebstahl oder Fehlverhalten, - Unbefugtes Surfen, - Sonstiges (bitte beschreiben), - Unbekannt |
|
|
Erste Klassifizierung der verletzten Daten - Öffentliche Daten - Interne Daten - Persönliche Daten - Sensible Daten |
|
Umfang der betroffenen Daten Sehr wenige (weniger als 20) Identifizierte und begrenzte Gruppe (>20 und <100) Große Anzahl von Personen betroffen (>100) Die Zahlen sind nicht bekannt |
|
|
Sind die von der Sicherheitsverletzung betroffenen Personen Studenten/Sponsoren, Mitarbeiter oder beides? |
|
|
Sind Ihnen die betroffenen Personen bekannt (Liste beifügen)? |
|
|
Beziehen sich die Daten auf gefährdete Gruppen? |
|
|
An wen wurden die Daten weitergegeben bzw. von wem wurde darauf zugegriffen, falls bekannt? |
|
|
Arten von Schäden, die durch die Verletzung entstehen können - Identifizieren Sie den Diebstahl - Körperlicher Schaden - Verletzung, Demütigung, Rufschädigung - Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten - Verstoß gegen vertragliche Verpflichtungen |
|
|
Wurde die Verletzung eingedämmt oder dauert sie noch an? |
|
|
Wenn ja, welche Maßnahmen werden ergriffen, um die Daten wiederherzustellen? |
|
Waren irgendwelche IT-Systeme beteiligt? Wenn ja, führen Sie diese bitte auf. |
|
|
Gab es zum Zeitpunkt des Verstoßes Verschlüsselungsmaßnahmen? |
|
|
Ist es schon einmal zu einem derartigen Verstoß gekommen? |
|
|
Gibt es noch andere Personen, die über Risiken/Maßnahmen beraten können? |
|
|
Alle anderen relevanten Informationen |
Wenn z. B. die Bankdaten von Einzelpersonen verloren gegangen sind, sollten Sie sich an die Banken selbst wenden, um sich beraten zu lassen, was sie tun können, um eine betrügerische Nutzung zu verhindern, aber auch an Polizei, Versicherungen, Gewerkschaften, Datenverarbeiter usw.. |
|
Empfangen von: |
|
|
Datum/Uhrzeit: |
|
|
Verstoß-ID: |
sofortige Isolierung des betroffenen Systems, um weiteres Eindringen, die Freigabe von Daten, Schäden usw. zu verhindern
das Telefon benutzen, da der Angreifer in der Lage sein könnte, den E-Mail-Verkehr zu überwachen
alle sachdienlichen Protokolle aufbewahren, z. B. Firewall, Router und Eindringlingserkennungssystem
Sicherungskopien von beschädigten oder geänderten Dateien anzufertigen und diese Sicherungskopien an einem sicheren Ort aufzubewahren
festzustellen, wo sich das betroffene System innerhalb der Netztopologie befindet
alle Systeme und Agenturen identifizieren, die mit dem betroffenen System verbunden sind
Ermittlung der Programme und Prozesse, die auf dem/den betroffenen System(en) laufen, der Auswirkungen der Unterbrechung und der maximal zulässigen Ausfallzeit
für den Fall, dass das betroffene System als Beweismittel eingezogen wird, Vorkehrungen für die Kontinuität der Dienste zu treffen, d. h. ein redundantes System vorzubereiten und Datensicherungen zu erstellen
das Problem mit einer anderen Person als Ihrem direkten Vorgesetzten und den in Abschnitt 3 aufgeführten Empfängern zu besprechen
Dateien auf den betroffenen Systemen zu löschen, zu verschieben oder zu verändern
Kontaktaufnahme mit dem mutmaßlichen Täter
eine kriminaltechnische Analyse durchführen
|
Faktor |
RISIKO-BEWERTUNG |
||
|
LOW |
MEDIUM |
HOCH |
|
|
Art der personenbezogenen Informationen |
Öffentlich zugängliche persönliche Informationen, die nicht mit anderen Informationen verknüpft sind |
Persönliche Informationen, die für die Organisation einzigartig sind und nicht zu den medizinischen oder finanziellen Informationen gehören |
Medizinische, psychologische, beratende oder finanzielle Informationen oder eine eindeutige Kennung einer öffentlichen Einrichtung Nummer |
|
Beziehungen |
Versehentliche Weitergabe an den Vertragspartner, der den Verstoß gemeldet und die Vernichtung oder Rückgabe der Informationen bestätigt hat |
Versehentliche Offenlegung gegenüber einer Unbekannter, der den Verstoß gemeldet und bestätigt hat Vernichtung oder Rückgabe der Informationen |
Offenlegung gegenüber einer Person mit einer gewissen Beziehung an die betroffene(n) Person(en) oder deren Kenntnis, insbesondere Offenbarungen gegenüber motivierten Familienmitgliedern, Nachbarn oder Arbeitskollegen |
|
Diebstahl |
|||
|
Ursache des Verstoßes |
Technischer Fehler, der behoben wurde |
Versehentlicher Verlust oder Offenlegung |
Vorsätzlicher Verstoß. Ursache unbekannt Technischer Fehler - wenn nicht geklärt |
|
Umfang |
Sehr wenige betroffene Personen |
Identifizierte und eingeschränkte Gruppe von betroffenen Personen |
Große Gruppe oder gesamter Umfang der Gruppe nicht identifiziert (über 100) |
|
Bemühungen zur Eindämmung |
Die Daten waren ausreichend verschlüsselt
Das tragbare Speichermedium wurde aus der Ferne gelöscht, und es gibt Beweise dafür, dass vor der Löschung kein Zugriff auf das Gerät erfolgte.
Hardcopy-Dateien oder -Geräte wurden fast sofort wiederhergestellt und alle Dateien scheinen intakt und/oder ungelesen zu sein |
Das tragbare Speichermedium wurde innerhalb weniger Stunden nach dem Verlust aus der Ferne gelöscht, aber es gibt keine Beweise dafür, dass vor der Löschung kein Zugriff auf das Gerät erfolgte.
Hardcopy-Dateien oder -Geräte wurden wiederhergestellt, aber zwischen dem Verlust und der Wiederherstellung ist genügend Zeit vergangen. Wiederherstellung, die die Daten haben könnten zugegriffen worden |
Daten wurden nicht verschlüsselt
Die Daten, Dateien oder das Gerät wurden nicht wiederhergestellt
Daten, bei denen die Gefahr einer weiteren Veröffentlichung besteht, insbesondere durch Massenmedien oder online |
|
Vorhersehbarer Schaden durch den Verstoß |
Kein vorhersehbarer Schaden durch den Verstoß |
Verlust von Geschäfts- oder Beschäftigungsmöglichkeiten, Verletzung, Demütigung, Schädigung des Rufs oder der Beziehungen, sozialer/relationaler Schaden Verlust des Vertrauens in My Eco Best Friend Verlust von My Eco Best Friend-Vermögenswerten Verlust von My Eco Best Friend-Verträgen oder -Geschäften Finanzielles Risiko |
Sicherheitsrisiko (z. B. physische Sicherheit) Identifizierung des Diebstahl- oder Betrugsrisikos Verletzung, Demütigung, Rufschädigung können je nach den Umständen ebenfalls ein hohes Risiko darstellen |
DE 
EN 
FR 
IT