Inhalt

    Nr. 14.3 – Zugangskontrolle
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter stellt sicher, dass Unbefugte keinen Zugang zu Datenverarbeitungssystemen erhalten und auf diese einwirken können. Dies gilt auch für Sicherungskopien, soweit diese personenbezogene Daten enthalten.
    (2) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugang zu Datenverarbeitungssystemen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
    (3) Der Cloud-Anbieter schützt Zugänge von Befugten über das Internet mit einer Zwei-Faktor-Authentifizierung. Der Zugang über das Internet hat über einen verschlüsselten Kommunikationskanal zu erfolgen.
    (4) Die Maßnahmen zur Zugangskontrolle sind geeignet, um im Regelfall den Zugang zu Datenverarbeitungssystemen durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.
    Schutzklasse 2
    (5) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (6) Gegen zu erwartenden vorsätzlichen unbefugten Zugang ist ein Schutz vorzusehen, der zu erwartende Zugangsversuche hinreichend sicher ausschließt. Die TOM gewährleisten einen hinreichenden Schutz gegen bekannte Angriffsszenarien und stellen einen unbefugten Zugang im Regelfall nachträglich fest.

    Erläuterung

    Es wird auf die Erläuterungen in Nr. 2.3 verwiesen.

    Umsetzungshinweis

    Die Umsetzungshinweise unter Nr. 2.3 sind anwendbar.

    Nachweis

    Für den Nachweis der Zugangskontrolle gelten die Ausführungen in Nr. 2.3 analog.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.