Erweiterte Suche

Subunternehmer und technisch-organisatorische Maßnahmen

Subunternehmer und technisch-organisatorische Maßnahmen

Anlage 1 zur StepStone Auftragsverarbeitung – Unterauftragnehmerverzeichnis 

Die im Folgenden aufgelisteten Unterauftragsverarbeiter von StepStone werden bei Erteilung des Auftrags genehmigt.

The Stepstone Group GmbH, Völklinger Str. 1, 40215 Düsseldorf,Deutschland
Leistungen:
– Hosting and damit verbundene Sicherheitsleistungen
– Back-Up Leistungen
– Kundendienst-Unterstützung zur Fehlerbehebung

The Stepstone Group EMEA GmbH, Völklinger Straße 1, 40219 Düsseldorf, Deutschland
Leistungen:
– Hosting and damit verbundene Sicherheitsleistungen
– Back-Up Leistungen
– Kundendienst-Unterstützung zur Fehlerbehebung

StepStone N.V., Koningsstraat 47 Rue Royale, 1000 Brussel, Belgien
Leistungen:
– Hosting and damit verbundene Sicherheitsleistungen
– Back-Up Leistungen
– Kundendienst-Unterstützung und Fehlerbehebung

StepStone Services sp. z o.o., ul. Domaniewska 50, 02-672 Warschau, Polen
Leistungen:
– Kundendienst-Unterstützung zur Fehlerbehebung

Akamai Technologies GmbH, Parkring 20-22, 85748 Garching, Deutschland
Leistungen:
– StepStone nutzt Akamai im Rahmen der technisch-organisatorischen Schutzmaßnahmen als Web Application Firewall und liefert Inhalte an die Webseitenbesucher daher über Akamai aus, um seine Systeme zu schützen.

Akamai Technologies, Inc., 150 Broadway, Cambridge, 02142 MA, USA
Leistungen:
– s. bei Akamai Technologies GmbH, Akamai Technologies GmbH schaltet als Subunternehmer Akamai Technologies, Inc ein.

Amazon Webservices, Inc., 410 Terry Drive Ave North, WA 98109-5210 Seattle, USA
Leistungen:
– Hosting und damit verbundene Sicherheitsleistungen (ausschließlich innerhalb der EU erbracht)

Cammio GmbH, Philipp-Franck-Weg 19, 14109 Berlin, Deutschland
Leistungen:
– StepStone nutzt Cammio im Rahmen der Durchführung von Video Job Interviews.

Anlage 2 zur StepStone Auftragsverarbeitung – technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, gewährleistet durch:
    Die Datencenter haben eine vielschichtige Sicherheitsstruktur. Die Außenbereiche der Datencenter sind durch Hochsicherheitszäune und Mauern ausgestattet. Die Eingänge sind durch Sicherheitspersonal 24 Stunden, sieben Tage die Woche geschützt. Die Anlagen werden mit Sicherheitskameras überwacht. Zugang zu den Serverräumen ist durch Magnetkarten gesichert. Die Anlagen sind in verschlossenen Serverschränken aufbewahrt.
    Umfassende Sicherheitsmaßnahmen bestehen auch bei den jeweiligen StepStone-Standorten. Zutritt ist nur mittels Magnetkarten möglich und Besuchern muss speziell Zutritt gewährt werden.
  • Zugangskontrolle: Keine unbefugte Systembenutzung, gewährleistet durch:
    Der Kunde kann ausschließlich auf die in seinem Auftrag verarbeiteten Daten zugreifen, nachdem er sich in den Kundenbereich mit dem von ihm definierten Passwort eingeloggt hat. StepStone speichert die Log-In Details ausschließlich in verschlüsselter Form.
    Der Datenfluss zwischen Nutzern und dem System ist standardmäßig Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird
    StepStone nutzt die Dienste von Akamai als Web Application Firewall für seine Systeme.
    StepStone hat eine interne Passwortrichtlinie für seine Mitarbeiter, die unter anderem erfordert, dass Passworte mindestens acht Zeichen lang sein und regelmäßig gewechselt werden müssen, nicht identisch oder ähnlich mit dem Benutzernamen sein dürfen, mindestens drei der vier folgenden Zeichen enthalten müssen: i) Großbuchstaben, ii) Kleinbuchstaben, iii) Ziffern, iv)Symbole.
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, gewährleistet durch:
    Die Zugriffsrechte des Kunden sind streng begrenzt auf die Daten, die tatsächlich im Auftrg des jeweiligen Kunden verarbeitet werden. Nur spezifisch definiertes StepStone-Personal kann auf Daten zugreifen, die im Auftrag des Kunden verarbeitet werden, soweit dies im Rahmen von Systemadministration und Kundendienstzwecken auf Anfrage des Kunden erforderlich ist
    Das System protokolliert sämtliche Vorgänge über Datenverarbeitungen im Auftrag des Kunden.
  • Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, gewährleistet durch:
    Das StepStone Kundencenter ist mandantenfähig, so dass jeder einzelne eingeloggte Kunde nur die Daten einsehen kann, die mit seinem Account verbunden sind.
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO): Ist nicht einschlägig, da der Kunde einen nicht-pseudonymisierten Zugriff auf die Daten benötigt.

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, gewähleistet durch:
    Sämtliche über öffentlich zugängliche Netzwerke gesendete Daten sind Ende-zu-Ende verschlüsselt, wobei das Transport Layer Security (TLS) Protocol genutzt wird
  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, gewährleistet durch:
    Das StepStone System protokolliert die Aktivitäten eines jeden Log-Ins und Log-Outs sowie jegliche Bearbeitung, Hinzufügung, Veränderung und Löschung von Daten durch den jeweils vornehmenden Nutzer, sowie die Zeit (durch Zeitstempel).

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, gewährleistet durch:
    Antivirusproramme und Firewalls werden eingesetzt. StepStone nutzt Akamais Dienste als Web Application Firewall für seine Systeme.
    Die Hosting Umgebung ist mit Feuermeldern, Wasserundichtigkeitsdetektoren und erhöhten Böden ausgestattet. Temepratur und Luftfeuchtigkeit werden konstant überwacht, um vordefinierte Werte einzuhalten. Es besteht eine ununterbrochene Stromversorgung von mindestens 72 Stunden.
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO), wird gewährleistet durch
    Back-up Prozeduren;
    Ununterbrochene Stromversorgung (USV);
    Getrennte Speicherung;
    Virenschutz und Firewalls;
    Notfallpläne und Krisenpläne;
    Mitarbeiterschulungen;

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO), wird gewährleistet durch:

  • StepStone veranstaltet regelmäßige Prüfungen mit externen Dienstleistern, um seine Datensicherheitsstandards und-prozesse zu prüfen. Network Penetration Tests werden regelmäßig durchgeführt.
  • Wir verfolgen und überprüfen Protokolle auf zwei Ebenen, bevor die entsprechende Anfrage unsere Anwendungsserver erreicht. Dies erfolgt auf einer Firewall und einer Web Application Firewall Ebene. Dadurch können wir sämtliche außergewöhnlichen Anfragen auf Datenbereitstellungsebene an die Datenbank analysieren und sperren, und dadurch SQL injectionVersuche unterbinden. Das System selbst protkolliert fehlerhafte Anmeldeversuche, wenn die Anfrage durch Firewall und WAF erfolgte.
  • Unsere Datenschutzmaßnahmen werden kontinuierlich in einem PDCA-Zyklus überprüft.