Inhalt

    Nr. 14.6 – Nachvollziehbarkeit der Datenverarbeitung
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. c, e, f und Abs. 2 DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter protokolliert Eingaben, Veränderungen und Löschungen an Daten, die zur Durchführung des Auftrags über die Erbringung des Cloud-Dienstes und zur Erfüllung rechtlicher Verpflichtungen erforderlich sind, um eine nachträgliche Prüfbarkeit und Nachvollziehbarkeit der Datenverarbeitung sicherzustellen. Bei Protokollierungen sind die Grundsätze der Erforderlichkeit, Zweckbindung und Datenminimierung zu beachten. Die Protokolldaten sind sicher aufzubewahren.
    (2) Der Cloud-Anbieter kann Dateneingaben, -veränderungen oder -löschungen, die bei der bestimmungsgemäßen Nutzung des Cloud-Dienstes durch den Cloud-Nutzer wie auch bei administrativen Maßnahmen des Cloud-Anbieters erfolgen, jederzeit nachvollziehen.
    (3) Der Cloud-Anbieter gestaltet die Protokollierung der administrativen Aktivitäten und der Nutzer-Aktivitäten so, dass die Nachvollziehbarkeit von Eingaben, Veränderungen und Löschungen im Regelfall auch bei technischen oder organisatorischen Fehlern, einschließlich Bedienfehlern des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter gewahrt bleibt. Er sieht gegen vorsätzliche Manipulationen an den Maßnahmen zur Nachvollziehbarkeit einen Mindestschutz vor, der diese Manipulationen erschwert.
    Schutzklasse 2
    (4) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (5) Der Cloud-Anbieter sieht gegen zu erwartende vorsätzliche Manipulationen der Protokollierungsinstanzen und gegen vorsätzlichen Zugriff auf oder Manipulationen von Protokollierungsdateien (Logs) durch Unbefugte einen Schutz vor, der zu erwartende Manipulationsversuche hinreichend und sicher ausschließt. Zu diesen Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die eine Manipulation im Regelfall (nachträglich) festgestellt werden kann.

    Erläuterung

    Es wird auf die Erläuterungen in Nr. 2.6 verwiesen.

    Umsetzungshinweis

    Die Umsetzungshinweise unter Nr. 2.6 sind anwendbar. Auf die Umsetzungshinweise in der ISO/IEC 27701 Ziff. 7.2.8 wird hingewiesen.

    Nachweis

    Die Nachvollziehbarkeit der Datenverarbeitung kann der Cloud-Anbieter analog wie in Nr. 2.6 angegeben nachweisen.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.