Auftragsverarbeitungsvertrag (DPA)
Zuletzt aktualisiert: Dezember 2025
Dieser Auftragsverarbeitungsvertrag („DPA“) ist Bestandteil der Hauptdienstleistungsvereinbarung und/oder der Nutzungsbedingungen (die „Vereinbarung“) zwischen:
- Ampliro AB, Reg.-Nr. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, handelnd im Namen und als Anbieter der unter diplino.com verfügbaren Diplino-Plattform („Diplino“, der „Dienst“, der Auftragsverarbeiter), und
- Dem in der Vereinbarung bezeichneten Kunden (dem Verantwortlichen).
Dieser DPA legt die Bedingungen fest, unter denen Ampliro personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Dienste von Diplino zur Verwaltung von Zertifikaten und Nachweisen verarbeitet.
Im Falle eines Konflikts zwischen diesem DPA und der Vereinbarung in Bezug auf die Verarbeitung personenbezogener Daten hat dieser DPA im Umfang dieses Konflikts Vorrang.
1. Definitionen
Für die Zwecke dieses DPA haben die folgenden Begriffe die nachstehend festgelegten Bedeutungen. Begriffe, die in diesem DPA nicht definiert sind, haben die ihnen in der Vereinbarung oder nach den Anwendbaren Datenschutzgesetzen zugewiesene Bedeutung.
-
„Anwendbare Datenschutzgesetze“ bezeichnet alle Datenschutz- und Privatsphäre-Gesetze und -Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen dieses DPA anwendbar sind, einschließlich, soweit anwendbar, der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – „GDPR“), der UK GDPR und jeder nationalen Umsetzungsgesetzgebung.
-
„Verantwortlicher“ bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
-
„Auftragsverarbeiter“ bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
-
„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen.
-
„Verarbeitung“, „betroffene Person“, „Verletzung des Schutzes personenbezogener Daten“, „Aufsichtsbehörde“, „Unterauftragsverarbeiter“, „Drittland“ und andere großgeschriebene Begriffe haben die ihnen in der GDPR zugewiesene Bedeutung.
-
„Dienste“ bezeichnet die von Ampliro für den Verantwortlichen im Rahmen der Vereinbarung bereitgestellten Diplino-Dienste zur Verwaltung von Zertifikaten und Nachweisen.
2. Rollen der Parteien
2.1 Verantwortlicher und Auftragsverarbeiter
Für die in diesem DPA beschriebene Verarbeitung personenbezogener Daten ist der Verantwortliche der „Verantwortliche“ und Ampliro der „Auftragsverarbeiter“ im Sinne der Anwendbaren Datenschutzgesetze.
2.2 Tätigkeiten als eigenständiger Verantwortlicher
Der Verantwortliche erkennt an, dass Ampliro bestimmte personenbezogene Daten als eigenständiger Verantwortlicher für eigene legitime Zwecke verarbeiten kann, wie Abrechnung und Rechnungsstellung, Einhaltung gesetzlicher Verpflichtungen, Führung von Sicherheitsprotokollen, Betrugsprävention und Dienstanalysen, wie in der Datenschutzerklärung von Ampliro/Diplino beschrieben. Eine solche Verarbeitung liegt außerhalb des Geltungsbereichs dieses DPA und unterliegt den anwendbaren Datenschutzhinweisen.
3. Gegenstand, Art, Zweck und Dauer der Verarbeitung
3.1 Gegenstand
Ampliro wird personenbezogene Daten im Auftrag des Verantwortlichen im Zusammenhang mit der Bereitstellung der Diplino-Dienste verarbeiten, einschließlich der Erstellung, Verwaltung, Speicherung und Verifizierung digitaler Zertifikate und Nachweise.
3.2 Art und Zweck der Verarbeitung
Die Verarbeitungstätigkeiten umfassen, soweit zur Bereitstellung und Unterstützung der Dienste erforderlich:
- Erzeugung, Ausstellung und Verwaltung digitaler Zertifikate und Nachweise;
- Speicherung und Verwaltung von Teilnehmer- und Empfängerinformationen;
- Bereitstellung von Funktionen zur Zertifikatsverifizierung und -validierung;
- Verwaltung von Nutzerkonten und Rollen (z. B. Administratoren, Lehrkräfte, Aussteller);
- Versand von E-Mail-Benachrichtigungen im Zusammenhang mit Zertifikaten und dem Dienst (z. B. Ausstellung, Aktualisierungen oder Erinnerungen);
- Bereitstellung von Support, Wartung, Fehlerbehebung und Sicherheitsüberwachung;
- Hosting, Sicherung, Protokollierung und technische Abläufe, die zur Bereitstellung des Dienstes erforderlich sind.
3.3 Dauer der Verarbeitung
Die Verarbeitung beginnt am Datum des Inkrafttretens der Vereinbarung und dauert so lange an, wie Ampliro die Dienste für den Verantwortlichen bereitstellt, sowie für jede Aufbewahrungsfrist, die nach der Vereinbarung oder den Anwendbaren Datenschutzgesetzen erforderlich oder zulässig ist. Nach Beendigung oder Ablauf der Vereinbarung wird die Verarbeitung eingestellt, und personenbezogene Daten werden gemäß Abschnitt 12 dieses DPA gelöscht oder zurückgegeben.
4. Kategorien betroffener Personen und Arten personenbezogener Daten
4.1 Kategorien betroffener Personen
Die von Ampliro im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten können sich auf die folgenden Kategorien betroffener Personen beziehen:
- Zertifikatsempfänger (z. B. Kursteilnehmer, Lernende, Beschäftigte, Auftragnehmer), deren Zertifikate vom Verantwortlichen über Diplino ausgestellt werden;
- Nutzer der Diplino-Organisation des Verantwortlichen (z. B. Administratoren, Lehrkräfte, Aussteller);
- Andere Personen, deren Informationen auf Zertifikaten oder innerhalb von Metadaten erscheinen können, wie vom Verantwortlichen bestimmt.
4.2 Arten personenbezogener Daten
Die verarbeiteten personenbezogenen Daten können unter anderem umfassen:
- Identifikations- und Kontaktdaten:
- Name, E-Mail-Adresse (optional, abhängig von der Konfiguration des Verantwortlichen);
- Berufliche Informationen:
- Name des Unternehmens/der Organisation, Abteilung, Berufsbezeichnung oder Rolle;
- Zertifikats- und Nachweisdaten:
- Zertifikatsdetails (z. B. Kursname, Abschlussstatus, Ausstellungsdatum, Ablaufdatum, eindeutige Zertifikatskennungen);
- Verifizierungs- und Validierungsdaten (z. B. kryptografische Signaturen, Hashes, Verifizierungsprotokolle);
- Konto- und Nutzungsdaten:
- Nutzerrolle innerhalb der Diplino-Organisation des Verantwortlichen (z. B. Admin, Lehrkraft);
- Nutzer-IDs, Anmeldezeitstempel und Aktivitätsprotokolle innerhalb des Dienstes;
- Technische und Sicherheitsdaten:
- IP-Adresse, Browsertyp, ungefährer Standort (basierend auf der IP-Adresse), Sicherheitsprotokolle und Audit-Protokolle im Zusammenhang mit Zugriffen und Änderungen.
Der Verantwortliche verpflichtet sich, nicht vorsätzlich besondere Kategorien personenbezogener Daten (Artikel 9 GDPR) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 GDPR) in den Dienst einzustellen, es sei denn, dies wurde ausdrücklich schriftlich mit Ampliro vereinbart und unterliegt zusätzlichen Schutzmaßnahmen.
5. Pflichten des Auftragsverarbeiters
Ampliro hat als Auftragsverarbeiter:
5.1 Weisungen
Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf Übermittlungen personenbezogener Daten an ein Drittland, sofern Ampliro nicht durch Unionsrecht oder das Recht eines Mitgliedstaats oder andere Anwendbare Datenschutzgesetze hierzu verpflichtet ist. In einem solchen Fall informiert Ampliro den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, sofern das Recht eine solche Information nicht verbietet.
5.2 Vertraulichkeit
Sicherzustellen, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, sich zu angemessenen Vertraulichkeitsverpflichtungen verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
5.3 Sicherheit der Verarbeitung
Geeignete technische und organisatorische Maßnahmen zu implementieren und aufrechtzuerhalten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, wie in Abschnitt 8 und Anlage 1 – Technische und organisatorische Maßnahmen näher beschrieben.
5.4 Unterstützung bei Rechten betroffener Personen
Unter Berücksichtigung der Art der Verarbeitung den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflicht des Verantwortlichen zu unterstützen, auf Anträge zur Ausübung der Rechte betroffener Personen nach den Anwendbaren Datenschutzgesetzen zu reagieren (siehe Abschnitt 10).
5.5 Unterstützung bei der Einhaltung von Vorschriften
Den Verantwortlichen bei der Einhaltung der Pflichten gemäß den Artikeln 32 bis 36 GDPR (oder gleichwertigen Bestimmungen nach anderen Anwendbaren Datenschutzgesetzen) zu unterstützen, wobei die Art der Verarbeitung und die Ampliro zur Verfügung stehenden Informationen zu berücksichtigen sind, einschließlich in Bezug auf Sicherheit, Datenschutz-Folgenabschätzungen und Konsultationen mit Aufsichtsbehörden.
5.6 Aufzeichnungen und Informationen
Dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieses DPA und der Anwendbaren Datenschutzgesetze nachzuweisen, und Audits und Inspektionen, wie in Abschnitt 11 beschrieben, zu ermöglichen und dazu beizutragen.
5.7 Datenlöschung und Rückgabe
Nach Beendigung oder Ablauf der Dienste alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Abschnitt 12 zu löschen oder zurückzugeben, sofern eine Aufbewahrung nicht nach den Anwendbaren Datenschutzgesetzen erforderlich ist.
6. Pflichten des Verantwortlichen
Der Verantwortliche hat:
- Sicherzustellen, dass er über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten und für die Beauftragung von Ampliro als Auftragsverarbeiter gemäß den Anwendbaren Datenschutzgesetzen verfügt;
- Sicherzustellen, dass betroffenen Personen alle erforderlichen Datenschutzhinweise bereitgestellt wurden und, soweit erforderlich, Einwilligungen eingeholt wurden;
- Ampliro nicht anzuweisen, personenbezogene Daten in einer Weise zu verarbeiten, die gegen Anwendbare Datenschutzgesetze verstoßen würde;
- Für die Richtigkeit, Qualität und Rechtmäßigkeit der Ampliro bereitgestellten personenbezogenen Daten sowie dafür verantwortlich zu sein, wie der Verantwortliche die Dienste zu nutzen wählt.
7. Unterauftragsverarbeiter
7.1 Autorisierte Unterauftragsverarbeiter
Der Verantwortliche erteilt Ampliro eine allgemeine Genehmigung zur Beauftragung von Unterauftragsverarbeitern für die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen, vorausgesetzt, Ampliro:
- Stellt sicher, dass jeder Unterauftragsverarbeiter durch schriftliche Datenschutzverpflichtungen gebunden ist, die nicht weniger schützend sind als die in diesem DPA festgelegten; und
- Bleibt gegenüber dem Verantwortlichen vollständig für die Erfüllung der Pflichten des Unterauftragsverarbeiters haftbar.
7.2 Derzeitige Unterauftragsverarbeiter
Die aktuelle Liste der Unterauftragsverarbeiter, die im Zusammenhang mit den Diensten eingesetzt werden, ist verfügbar unter:
Diese Liste kann von Zeit zu Zeit aktualisiert werden.
7.3 Änderungen bei Unterauftragsverarbeitern
Ampliro wird über beabsichtigte Änderungen bei Unterauftragsverarbeitern informieren (beispielsweise durch Aktualisierung der Liste der Unterauftragsverarbeiter und/oder über den Dienst oder per E-Mail). Der Verantwortliche kann solchen Änderungen aus berechtigten Datenschutzgründen widersprechen. Wenn der Verantwortliche berechtigt widerspricht und die Parteien keine für beide Seiten akzeptable Lösung erreichen können, kann der Verantwortliche die betroffenen Dienste gemäß der Vereinbarung kündigen.
8. Internationale Datenübermittlungen
8.1 Übermittlungen
Soweit Ampliro oder seine Unterauftragsverarbeiter personenbezogene Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Drittland übermitteln, erfolgt eine solche Übermittlung in Übereinstimmung mit den Anwendbaren Datenschutzgesetzen, einschließlich, soweit relevant:
- Der Verwendung der Standardvertragsklauseln der Europäischen Kommission (SCCs) für die Übermittlung personenbezogener Daten an Drittländer; und/oder
- Jedes gleichwertigen oder ersetzenden Übermittlungsmechanismus, der nach den Anwendbaren Datenschutzgesetzen anerkannt ist (z. B. das UK International Data Transfer Addendum).
8.2 Weitere Zusicherungen
Ampliro wird dem Verantwortlichen auf schriftliche Anfrage Informationen über die für relevante Übermittlungsszenarien bestehenden Übermittlungsmechanismen bereitstellen und, soweit erforderlich, angemessene ergänzende Vereinbarungen und Schutzmaßnahmen eingehen.
9. Sicherheitsmaßnahmen
Ampliro wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Risiken unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten betroffener Personen. Diese Maßnahmen umfassen unter anderem die in Anlage 1 – Technische und organisatorische Maßnahmen beschriebenen Maßnahmen und können umfassen:
- Verschlüsselung von Daten im Ruhezustand und bei der Übertragung (z. B. TLS 1.3 für Daten bei der Übertragung);
- Verwendung robuster kryptografischer Signaturen (z. B. Ed25519) für die Integrität und Verifizierung von Zertifikaten;
- Zugriffskontrollen, Authentifizierung und Grundsätze der geringsten Privilegien für Personal und Systemkomponenten;
- Regelmäßige Sicherheitsüberwachung, Protokollierung und Auditierung von Zugriffen auf personenbezogene Daten;
- Sichere Softwareentwicklungs- und Bereitstellungspraktiken.
Ampliro kann seine technischen und organisatorischen Maßnahmen von Zeit zu Zeit aktualisieren, vorausgesetzt, dass solche Aktualisierungen das Gesamtschutzniveau nicht wesentlich verringern.
10. Benachrichtigung bei Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten, die personenbezogene Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden, wird Ampliro:
- Den Verantwortlichen unverzüglich nach Bekanntwerden der Verletzung des Schutzes personenbezogener Daten benachrichtigen und, soweit möglich, spätestens innerhalb von 72 Stunden; und
- Ampliro vernünftigerweise verfügbare Informationen bereitstellen über:
- Die Art der Verletzung des Schutzes personenbezogener Daten;
- Die Kategorien und die ungefähre Anzahl der betroffenen betroffenen Personen und Datensätze personenbezogener Daten;
- Die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Minderung möglicher nachteiliger Auswirkungen.
Ampliro wird mit dem Verantwortlichen zusammenarbeiten und angemessene Schritte unternehmen, um den Verantwortlichen bei der Erfüllung etwaiger Pflichten zur Benachrichtigung von Aufsichtsbehörden oder betroffenen Personen nach den Anwendbaren Datenschutzgesetzen zu unterstützen.
11. Rechte betroffener Personen
Unter Berücksichtigung der Art der Verarbeitung wird Ampliro den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich, bei der Erfüllung der Pflicht des Verantwortlichen unterstützen, auf Anträge zur Ausübung der Rechte betroffener Personen zu reagieren, einschließlich:
- Recht auf Auskunft (Artikel 15 GDPR);
- Recht auf Berichtigung (Artikel 16 GDPR);
- Recht auf Löschung (Artikel 17 GDPR);
- Recht auf Einschränkung der Verarbeitung (Artikel 18 GDPR);
- Recht auf Datenübertragbarkeit (Artikel 20 GDPR);
- Widerspruchsrecht (Artikel 21 GDPR).
Wenn eine betroffene Person Ampliro direkt mit einer Anfrage im Zusammenhang mit personenbezogenen Daten kontaktiert, die im Rahmen dieses DPA verarbeitet werden, wird Ampliro, soweit gesetzlich zulässig, die betroffene Person darüber informieren, dass die Anfrage an den jeweiligen Verantwortlichen zu richten ist, und diese Anfrage unverzüglich an den Verantwortlichen weiterleiten.
12. Audit- und Inspektionsrechte
12.1 Dokumentation und Informationen
Ampliro stellt dem Verantwortlichen Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung seiner Pflichten aus diesem DPA und den Anwendbaren Datenschutzgesetzen nachzuweisen; dies kann umfassen:
- Dokumentation, die relevante technische und organisatorische Maßnahmen beschreibt;
- Standard-Sicherheitsdokumentation und/oder Bescheinigungen Dritter (sofern verfügbar).
12.2 Audits
Soweit eine solche Dokumentation nicht ausreicht, um die Einhaltung nachzuweisen, kann der Verantwortliche auf eigene Kosten und vorbehaltlich einer angemessenen Ankündigung (mindestens 30 Tage) ein Audit, einschließlich Inspektionen, der Einrichtungen, Systeme und relevanten Dokumentation von Ampliro durchführen oder beauftragen, beschränkt auf das, was erforderlich ist, um die Einhaltung dieses DPA durch Ampliro zu überprüfen. Jedes Audit hat:
- Während der üblichen Geschäftszeiten stattzufinden;
- Den Betrieb von Ampliro nicht unangemessen zu beeinträchtigen;
- Angemessenen Vertraulichkeitsverpflichtungen zu unterliegen;
- Auf einmal alle 12 Monate beschränkt zu sein, es sei denn, Anwendbare Datenschutzgesetze erfordern häufigere Audits nach einer Verletzung des Schutzes personenbezogener Daten oder aufgrund spezifischer Anforderungen einer Aufsichtsbehörde.
13. Löschung und Rückgabe personenbezogener Daten
13.1 Bei Beendigung
Bei Beendigung oder Ablauf der Vereinbarung oder auf schriftliche Anfrage des Verantwortlichen wird Ampliro:
- Personenbezogene Daten, die im Auftrag des Verantwortlichen verarbeitet werden, löschen oder anonymisieren; oder
- Personenbezogene Daten dem Verantwortlichen in einem gängigen elektronischen Format zurückgeben, sofern dies verlangt wird und technisch machbar ist,
es sei denn, Ampliro ist nach Anwendbaren Datenschutzgesetzen verpflichtet, einige oder alle personenbezogenen Daten für einen längeren Zeitraum aufzubewahren (beispielsweise für rechtliche, steuerliche oder buchhalterische Zwecke).
13.2 Sicherungen und Protokolle
Personenbezogene Daten, die in Sicherungen oder archivierten Protokollen gespeichert sind, werden sicher geschützt und, soweit machbar, gemäß den standardmäßigen Sicherungs- und Aufbewahrungszyklen von Ampliro überschrieben oder gelöscht.
13.3 Aggregierte und anonymisierte Daten
Nichts in diesem DPA hindert Ampliro daran, anonymisierte oder aggregierte Daten, die nicht zur Identifizierung einer Person verwendet werden können, gemäß den Anwendbaren Datenschutzgesetzen aufzubewahren oder zu verwenden.
14. Sonstiges
14.1 Haftungsbeschränkung
Alle zwischen den Parteien in der Vereinbarung vereinbarten Haftungsbeschränkungen gelten auch für diesen DPA, soweit dies nach den Anwendbaren Datenschutzgesetzen zulässig ist.
14.2 Salvatorische Klausel
Sollte eine Bestimmung dieses DPA für ungültig oder nicht durchsetzbar befunden werden, bleiben die übrigen Bestimmungen in vollem Umfang wirksam.
14.3 Anwendbares Recht und Gerichtsstand
Dieser DPA unterliegt dem in der Vereinbarung angegebenen anwendbaren Recht und Gerichtsstand und ist entsprechend auszulegen, sofern nicht nach den Anwendbaren Datenschutzgesetzen etwas anderes erforderlich ist.
15. Kontakt
Für datenschutz- und privatsphärebezogene Anfragen betreffend diesen DPA oder die Verarbeitung personenbezogener Daten durch Ampliro im Zusammenhang mit Diplino kann der Verantwortliche Kontakt aufnehmen unter:
- E-Mail: privacy@diplino.com
- Postanschrift:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden
Anlage 1 – Technische und organisatorische Maßnahmen
Unbeschadet der Pflicht von Ampliro, geeignete Maßnahmen nach Artikel 32 GDPR und anderen Anwendbaren Datenschutzgesetzen umzusetzen, veranschaulichen die folgenden Maßnahmen wesentliche Schutzmaßnahmen, die im Zusammenhang mit dem Diplino-Dienst implementiert sind:
-
Verschlüsselung und Kryptografie
- Verschlüsselung von Daten bei der Übertragung unter Verwendung branchenüblicher Protokolle (z. B. TLS 1.3 oder gleichwertig).
- Verschlüsselung von ruhenden Daten in zugrunde liegenden Datenbanken und Speichersystemen.
- Verwendung robuster kryptografischer Signaturen (z. B. Ed25519) zur Signierung und Verifizierung von Zertifikaten, um Integrität und Authentizität sicherzustellen.
-
Zugriffskontrolle und Identitätsmanagement
- Rollenbasierte Zugriffskontrolle (RBAC) innerhalb des Dienstes, um den Zugriff auf personenbezogene Daten auf Grundlage von Nutzerrollen (z. B. Admin, Lehrkraft) zu beschränken.
- Starke Authentifizierungsmechanismen für administrativen Zugriff.
- Anwendung des Grundsatzes der geringsten Privilegien auf internes Personal und Systeme, die auf personenbezogene Daten zugreifen.
-
Netzwerk- und Infrastruktursicherheit
- Nutzung sicherer Cloud-Infrastruktur und, soweit angemessen, Netzwerksegmentierung.
- Firewalls, Sicherheitsgruppen und ähnliche Netzwerkkontrollen zum Schutz von Produktionssystemen.
- Regelmäßige Anwendung von Sicherheits-Patches und Updates.
-
Protokollierung, Überwachung und Audit
- Audit-Protokollierung von Nutzeraktivitäten und Zugriffen im Zusammenhang mit Zertifikaten und personenbezogenen Daten.
- Zentralisierte Protokollierung und Überwachung von Infrastrukturereignissen zur Anomalieerkennung und Vorfallreaktion.
- Aufbewahrung von Audit-Protokollen im Einklang mit Sicherheits- und Compliance-Anforderungen.
-
Entwicklung und Änderungsmanagement
- Sichere Softwareentwicklungspraktiken, einschließlich Code-Review, Versionskontrolle und Tests.
- Kontrollierte Bereitstellungsprozesse mit beschränktem Zugriff auf Produktionsumgebungen.
- Trennung von Entwicklungs-, Staging- und Produktionsumgebungen.
-
Organisatorische Maßnahmen und Schulung
- Vertraulichkeitsverpflichtungen für Beschäftigte und Auftragnehmer mit Zugriff auf personenbezogene Daten.
- Schulung und Sensibilisierung des Personals zu Datenschutz- und Informationssicherheitspraktiken.
- Interne Richtlinien in Bezug auf Datenschutz, Aufbewahrung und Vorfallreaktion.
-
Geschäftskontinuität und Sicherung
- Regelmäßige Datensicherungen und getestete Wiederherstellungsverfahren zur Sicherstellung der Verfügbarkeit und Integrität des Dienstes.
- Pläne für Geschäftskontinuität und Notfallwiederherstellung für kritische Systeme.
-
Risikomanagement und Überprüfungen
- Regelmäßige Bewertungen von Sicherheitsrisiken und Datenschutzrisiken im Zusammenhang mit dem Dienst.
- Überprüfung und Verbesserung von Sicherheitskontrollen angesichts neuer Risiken, Branchenpraktiken und gesetzlicher Anforderungen.
Ampliro kann diese Maßnahmen im Laufe der Zeit aktualisieren oder verfeinern, vorausgesetzt, dass solche Änderungen nicht zu einer wesentlichen Verringerung des Gesamtsicherheitsniveaus führen.