IT-Dienstleistung - aber sicher

Lieferant

"Der Dienstleister führt bezüglich seines eigenen Geschäftes und seiner Infrastruktur regelmäßig eine Risikoanalyse durch und hat geeignete Notfallpläne und risikosenkende Maßnahmen im Einsatz."

Pallas wird jährlich vom TÜV geprüft. Für kritische Systeme pflegt die Pallas ein Notfallhandbuch. Kritische Systeme sind üblicherweise hochverfügbar ausgelegt.



"Die Mitarbeiter des Dienstleisters sind nachweislich angemessen zu Sicherheitsthemen qualifiziert. Auch bei Sicherheitsvorfällen ist eine ausreichende personelle Ausstattung mit nachgewiesener Kompetenz (z.B. Herstellerzertifikat) für alle für das auftraggebende Unternehmen relevante Systeme gegeben."

Pallas hält seine Mitarbeiter durch interne und externe Schulungen ständig auf einen aktuellen Stand. Ausreichende Personalkapazitäten sind selbstverständlich und insbesondere für den 24x7 Betrieb auch notwendig.



"Der Dienstleister dokumentiert seine regelmäßigen Sicherheits-Sensibilisierungen und -Schulungen bei seinen Mitarbeitern und gewährt dem auftraggebenden Unternehmen Einblick in die Dokumentation."

Pallas führt regelmäßig Security Awareness Maßnahmen durch. Dies sind z.B. Web based Trainings aber insbesondere auch Berichte über bekannt gewordene Sicherheitsvorfälle in wöchentlichen Austauschmeetings. Dadurch sind die Mitarbeiter bereits gewappnet, sofern ein Kunde von einem Sicherheitsvorfall betroffen ist.



"Auf Ausscheiden eines Mitarbeiters des Dienstleisters wird das Benutzerkonto deaktiviert, Passwörter geändert und alle Unterlagen, die den Auftraggeber betreffen, eingezogen."

Pallas Mitarbeiter arbeiten lokal und vor Ort i.d.R. mit Personen bezogenen Logins. Bei Ausscheiden eines Mitarbeiters werden diese Logins selbstverständlich gesperrt und auch alle physischen Zugangsmöglichkeiten (Schlüssel, Keycards, Ausweise) eingezogen. Die Mitnahme von dienstlichen oder Kundendaten auf privaten Geräten ist untersagt. Pallas Hardware wird selbstverständlich ebenfalls eingezogen.



"Personenbezogene Daten von Mitarbeitern des auftraggebenden Unternehmens werden in die Schadenspotenzanalyse im Rahmen des Datenschutzmanagements des Dienstleisters mit einbezogen."

Die Schadenspotenzanalyse findet bereits bei Beauftragung statt, um ein für den Schutzbedarf der Daten angemessenes Sicherheitsniveau zu erlangen. Teilt der Kunde der Pallas mit, welche Personen bezogenen Daten geschützt werden müssen, so wird diese Information bei z.B. Sicherheitsvorfällen und Bedrohungen mit in die Entscheidungsfindung einfließen.