Zertifizierungsverfahren für Datenschutzkonzepte und IT ... · Inhalt 1 Einleitung 1 1.1...

Zertifizierungsverfahren für Datenschutzkonzepte und IT-Systeme

Trusted Site Privacy

Inhalt

1 Einleitung 1

1.1 Vertraulichkeit personenbezogener Daten 1

1.2 IT-Sicherheit und Datenschutz 1

1.3 Ziele 2

1.4 Trusted Site Privacy 2

1.5 Zertifizierung 4

2 Bewertungsaspekte 6

2.1 Datenschutz-Audit 6

2.1.1 Rechtliche Anforderungen 6

2.1.2 Zulässigkeit der Verarbeitung 7

2.1.3 Betroffenenfreundlichkeit 7

2.1.4 Transparenz 8

2.1.5 Datenschutz-Qualitätsmanagement 8

2.1.6 Datensicherheit 8

2.2 Sicherheitstechnische Untersuchung 10

2.2.1 Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit 10

2.2.2 Mittel des Systemmanagements 10

2.2.3 Tests und Inspektionen 10

3 Bewertungskriterien für Trusted Site Privacy, Version 2.1 11

4 Zertifizierung 13

5 Trusted Site Zertifizierungs-Familie (Auszug) 15

6 Über TÜViT 16

7 Ansprechpartner 20

Trusted Site Privacy Seite 1 | 20

© TÜV Informationstechnik GmbH

1 Einleitung

1.1 Vertraulichkeit personenbezogener Daten

Das Erheben, Verarbeiten, Übermitteln und Nutzen von Daten ist in der

Informationsgesellschaft zu einem alltäglichen und allgegenwärtigen

Vorgang geworden. Werden für Kommunikations- oder Transaktions-

vorgänge elektronische Dienste oder Netze genutzt, fallen dabei

automatisch Daten über die Nutzung und über die Nutzer an. Diese

personenbezogenen Daten lassen mitunter weitreichende Rückschlüsse

auf die betroffenen Benutzer zu, von der einfachen Identifizierung der

Person bis hin zu streng vertraulich kommunizierten Daten.

Dabei wird der Schutz dieser Informationen längst nicht mehr nur als ein

individuelles Schutzrecht zur Wahrung der Persönlichkeitsrechte begriffen

– im Sinne des Rechts auf informationelle Selbstbestimmung. Unter -

nehmen und Organisationen stellen zunehmend fest, dass ungenügender

Datenschutz das Image schädigt, was existenzielle Folgen haben kann.

Somit bezweifelt kaum jemand die Notwendigkeit, personenbezogene

Daten zu schützen. Jedoch ist die Art, wie dieser Schutz realisiert werden

soll, bzw. die Wirksamkeit dieses Schutzes Gegenstand von Kontro-

versen. Oft wird der Datenschutz auch nur als Ergänzung von

IT-Sicherheitskonzepten angesehen.

1.2 IT-Sicherheit und Datenschutz

Die Ergebnisse unterschiedlichster IT-Sicherheitsprüfungen, wie

Evaluierungen von Sicherheitsprodukten nach ITSEC1 bzw. CC2 und

Sicherheitsmanagement-Audits nach ISO 27001 oder angelehnt an das

Grundschutzhandbuch des BSI3, sind ebenso unzureichend für die

Belange des Datenschutzes wie individuelle Prüfungen der IT-Sicherheit.

Sie können nur für die Bewertung des Datenschutzes herangezogen

werden, wenn im Rahmen dieser Prüfungen die Erfüllung aller relevanten

Datenschutzanforderungen nachgewiesen wird.

1 Information Technology Security Evaluation Criteria

2 Common Criteria

3 Bundesamt für Sicherheit in der Informationstechnik



Die Bewertung des Datenschutzes von IT-Systemen und IT-Prozessen

kann aber auch nicht nur auf rein rechtlicher Basis durchgeführt werden.

Es ist unerlässlich, nach der Ermittlung der Datenschutzanforderungen,

ausgehend von der relevanten Gesetzgebung, die daraus resultierenden

organisatorischen und technischen Maßnahmen auch zu überprüfen.

Datenschutz und IT-Sicherheit ergänzen sich hier, sie stehen in direkter

Abhängigkeit zueinander.

1.3 Ziele

Die objektive Identifikation und angemessene Behebung von Risiken für

die Persönlichkeitsrechte des einzelnen Individuums, die sich aus der

Informationsverarbeitung ergeben, sind das unmittelbare Anliegen der

Verantwortlichen für Datenschutzfragen. Darüber hinaus sollen alle für

die betroffene IT relevanten datenschutzrechtlichen Fragestellungen

differenziert berücksichtigt werden. Zur Sicherstellung, dass die

Erfassung und Verarbeitung der personenbezogenen Daten die

datenschutzrechtlichen Anforderungen erfüllt, muss auch die

datenschutzkonforme technische Realisierung des Prozesses oder der

Dienstleistung gewährleistet sein.

1.4 Trusted Site Privacy

TÜViT hat ein Zertifizierungsverfahren entwickelt, in dem die Bewertung

des Datenschutzes eines Prozesses kombiniert wird mit der Bewertung

der Sicherheit des entsprechenden IT-Systems.

Als Bewertungsbasis für den Datenschutz dienen u.a. die quid! -Kriterien.

Im zweijährigen EU-Forschungsprojekt quid! wurden von über 80

Experten aus Wirtschaft und Wissenschaft, aus staatlichen und privaten

Datenschutzorganisationen, aus öffentlicher Verwal tung, Beratungs-

organisationen, aus Verbänden und Gewerkschaften sowie aus Betriebs-

räten und Unternehmensleitungen gemeinsam Gütemerkmale für Qualität

im betrieblichen Datenschutz erarbeitet. Es wurden objektive und leicht

anzuwendende Kriterien zur vergleichbaren Beurteilung von Datenschutz

erzeugt. TÜViT hat die alleinigen Rechte, auf der Basis dieser Kriterien,

Zertifizierungen durchzuführen und bietet dazu ein standardisiertes

Auditverfahren an, das mit der Sicherheitstechnischen Untersuchung

(siehe Kapitel 2.2) kombiniert wird.



Das Verfahren berücksichtigt die für die Qualität des Datenschutzes

maßgeblichen Faktoren vollständig und ist auf die für den Datenschutz

wesentlichen und kritischen Punkte fokussiert. Die Ergebnisse des

Datenschutz-Audits nach diesem Verfahren erlauben eine differenzierte

und angemessene Reaktion auf erkannte Datenschutzprobleme. Ein

praxistaugliches Qualitätsmodell sorgt sowohl für eine universelle

Verwendbarkeit als auch für eine auf die Besonderheiten des

Prüfgegenstandes abgestimmte Spezifizierbarkeit.

Bei der Formulierung individueller Datenschutzanforderungen wird der

Kontext des Prüfgegenstandes berücksichtigt.

Voraussetzung für eine erfolgreiche Datenschutzzertifizierung ist es, den

für eine Ermittlung der Datenschutzanforderungen erforderlichen

Sachverhalt zu identifizieren und abzugrenzen. Im Rahmen des Audit wird

dieser Sachverhalt auf der Grundlage der beim Kunden vorhandenen

Dokumentationen erstellt und mit dem Kunden abgestimmt.

Der im Sachverhalt festgelegte Prüfgegenstand (ToA4) ist dann Grundlage

für die rechtliche und technische Prüfung.

Aufbauend auf dem Datenschutz-Audit werden in der ergänzenden

Sicherheitstechnischen Untersuchung die technischen Daten-

schutzanforderungen, die der Betreiber durch seine IT-Installation

einschließlich der Netzanbindung realisiert haben muss, konkretisiert und

aufgenommen. Diese müssen widerspruchsfrei sein und „geltenden

Sicherheitsansprüchen“ genügen.

Das Vertrauen in die Sicherheit der Subsysteme und der darin

verwendeten Komponenten (bzw. Sicherheitsprodukte) ist eine

notwendige Voraussetzung für die Sicherheit der gesamten Installation.

Dort, wo gegebene Randbedingungen oder Eigenschaften der

Gesamtarchitektur vorhandene Schwachstellen anderweitig sichern, kann

auf Anforderungen an solche Basiskomponenten verzichtet werden. Für

Komponenten bzw. Subsysteme, die Sicherheitsfunktionalitäten realisie -

ren, wird beurteilt, inwieweit diese als vertrauenswürdig gelten.

4 Target of Audit



Der stets sichere Zustand der IT-Installation im Betrieb und die sichere

Beherrschung von Ausnahmesituationen kann nur gewährleistet werden,

wenn angemessene technische Mittel und organisatorische Maßnahmen

hierzu bereitstehen. Geeignete Konfigurationswerkzeuge der sicherheits -

spezifischen Komponenten müssen vorhanden sein, und ein Monitoring

dieser Komponenten muss möglich sein. Alle administrativen Tools

müssen natürlich in der gleichen Güte gesichert sein wie die

sicherheitsspezifischen Subsysteme selbst.

Im Rahmen von Penetrationstests und Konfigurationsanalysen werden

Schwachstellen der IT-Installation festgestellt und bewertet.

1.5 Zertifizierung

Der Zertifizierung werden die Ergebnisse des Datenschutz-Audits und der

Sicherheitstechnischen Untersuchung zugrunde gelegt. Die Zertifizierung

demonstriert das Erreichen der organisatorischen und technischen

Datenschutzanforderungen, kann aber auch die schrittweise

Verbesserung des Datenschutzniveaus über Zwischenstufen bis zu einem

vom Betreiber als sinnvoll und notwendig erachteten Datenschutz-

standard dokumentieren.

Sie gibt dem Auftraggeber und speziell Dritten Gewissheit bzgl. des

Schutzes personenbezogener Daten im Sinne einer „Third Party

Inspection“ durch die unabhängige Zertifizierungsstelle der TÜViT.



Abbildung 1: Musterzertifikat Trusted Site Privacy



2 Bewertungsaspekte

Das erreichte Qualitätsniveau des Datenschutzes wird auf der Basis von

erfüllten Anforderungen festgestellt. Dabei wird eine Reihe von

Qualitätsmerkmalen in die Untersuchung einbezogen, die im Folgenden

aufgeführt sind:

Das Datenschutz-Audit umfasst folgende Bewertungsaspekte:

Rechtliche Anforderungen

Zulässigkeit der Verarbeitung

Betroffenenfreundlichkeit

Transparenz

Datenschutz-Qualitätsmanagement

Datensicherheit

Zusätzlich wird eine Sicherheitstechnische Untersuchung durchgeführt.

2.1 Datenschutz-Audit

2.1.1 Rechtliche Anforderungen

Auf der Grundlage des festgelegten Prüfungsgegenstands ist zu

überprüfen, welche rechtlichen Anforderungen bei der Verarbeitung

personenbezogener Daten zur Anwendung kommen (z.B. BDSG,

Arbeitsrecht, Medizinrecht, Telekommunikationsrecht) und wie diese in

den Anwendungszusammenhang des Prüfgegenstands eingebunden

werden. Dabei muss der Datenschutz auch dort genügen, wo Gesetze,

Verordnungen und die Rechtsprechung Lücken und Gestaltungs-

spielräume lassen.



2.1.2 Zulässigkeit der Verarbeitung

Im Datenschutzrecht gilt, dass ohne eine gesetzliche Erlaubnis oder ohne

gültige Einwilligung des Betroffenen personenbezogene Daten nicht

verarbeitet werden dürfen. Nach Identifikation der prüfungsrelevanten

Datentypen wird für jeden Datentyp untersucht, ob die Verarbeitung im

Hinblick auf den Zweck der Datenverarbeitung zulässig ist. Dabei werden

auch die Anforderungen an die Datensparsamkeit im Hinblick auf den

Stand der Technik berücksichtigt.

2.1.3 Betroffenenfreundlichkeit

Hier wird die Berücksichtigung der schutzwürdigen Belange der

Personen, deren Daten verarbeitet werden, überprüft. Die Betroffenen

haben ein Recht darauf zu erfahren, was mit ihren personenbezogenen

Daten geschieht, wie sie weiterverarbeitet werden und ob es eine

Möglichkeit zum Selbstdatenschutz, d. h. eine Einflussnahme auf die

Verarbeitung der Daten, gibt.

Die Betroffenen sollten darüber informiert werden, welche ihrer Daten mit

welchen Prozessen verarbeitet werden. Den Betroffenen muss

transparent gemacht werden, welche Rechte und welche Auskunfts-

möglichkeiten sie haben und wie ihre personenbezogenen Daten

gesichert werden. Dabei muss der Datenschutz auch schon bei der

Vertragsgestaltung eine wichtige Rolle spielen.

Bei Einsatz eines IT-Produktes muss der Anwender darüber informiert

sein, welche Funktionen das Produkt hat, um personenbezogene Daten

sicher und datenschutzkonform verarbeiten zu können. Dazu gehören

z.B. geeignete Produktbeschreibungen und Installationsanleitungen oder

auch entsprechende Einarbeitung bzw. Auskunftsmöglichkeit durch ein

Unternehmen, das ein Produkt der Informationsverarbeitung einführt und

einsetzt.



2.1.4 Transparenz

Die Datenschutz-Policy, die Datenschutzkonzepte und auch die

technischen und organisatorischen Maßnahmen, mit denen der

Datenschutz im Unternehmen oder Prozess verwirklicht wird, sollten allen

Betroffenen transparent und verständlich gemacht werden. Der

Untersuchungsfokus ist darauf ausgerichtet, dass die getroffenen

Maßnahmen zur Gewährleistung eines dauerhaften Datenschutzes

durchschaubar gestaltet sein müssen.

2.1.5 Datenschutz-Qualitätsmanagement

Veränderungen im Bereich der Informationstechniken und der

Rechtsgrundlagen haben in der Regel Auswirkungen auf das Konzept zur

Erfüllung der Datenschutzanforderungen. Sie müssen regelmäßig und

rechtzeitig im Hinblick auf die Datenschutzauswirkungen untersucht und

umgesetzt werden. Gegebenenfalls sind Analysen und Handlungsmodelle

anzupassen. Die darauf aufbauenden Maßnahmen des Qualitäts-

managements sind Gegenstand der Betrachtung.

2.1.6 Datensicherheit

Die eingesetzten Informationssysteme können Datenschutzanforderungen

nur dann genügen, wenn entsprechende technische und organisatorische

Maßnahmen in Bezug auf Datensicherheit ergriffen wurden. Es müssen

entsprechende Konzepte vorliegen und es sollten entsprechende

vertrauenswürdige Komponenten beim Aufbau der Systeme eingesetzt

werden.

Zutrittskontrolle

Der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene

Daten verarbeitet oder genutzt werden, ist Unbefugten durch geeignete

Maßnahmen wirksam zu verwehren.

Zugangskontrolle

Die Nutzung von Datenverarbeitungssystemen durch Unbefugte ist durch

geeignete Maßnahmen wirksam zu verhindern.



Zugriffskontrolle

Die zur Benutzung eines Datenverarbeitungssystems Berechtigten sollen

ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten

zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung,

Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,

verändert oder entfernt werden können.

Weitergabekontrolle

Personenbezogene Daten dürfen bei der elektronischen Über tragung oder

während ihres Transports oder ihrer Speicherung auf Datenträger nicht

unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es

muss überprüft und festgestellt werden können, an welche Stellen eine

Übermittlung personenbezogener Daten durch Einrichtungen zur

Datenübertragung vorgesehen ist.

Eingabekontrolle

Es muss nachträglich überprüft und festgestellt werden können, ob und

von wem personenbezogene Daten in Datenverarbeitungssysteme

eingegeben, verändert oder entfernt worden sind.

Auftragskontrolle

Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur

entsprechend den Weisungen des Auftraggebers verarbeitet werden

können. Ein Auftragnehmer darf die Daten nur im Rahmen der Weisungen

des Auftraggebers erheben, verarbeiten oder nutzen.

Verfügbarkeitskontrolle

Personenbezogene Daten müssen durch geeignete Maßnahmen gegen

zufällige Zerstörung oder Verlust geschützt sein.

Trennungsgebot

Durch geeignete Maßnahmen muss sichergestellt werden, dass zu

unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden

können.



2.2 Sicherheitstechnische Untersuchung

2.2.1 Sicherheit der verwendeten Komponenten sowie Netzwerk- und

Transport-Sicherheit

Für alle Teilkomponenten, die Sicherheitsfunktionalitäten realisieren,

kann anhand von bereits durchgeführten formalen Evaluationen und/oder

öffentlich zugänglichen Informationen nachvollzogen werden, dass sie als

vertrauenswürdig eingestuft wurden.

Die Netzwerk- und Transport-Sicherheit müssen dem Stand der Technik

entsprechen.

2.2.2 Mittel des Systemmanagements

Es existieren geeignete Konfigurationsmöglichkeiten sowie ein

angemessenes Monitoring und Logging, die zu einem sicheren

Betriebszustand beitragen. Dafür eingesetzte Werkzeuge unterliegen

denselben Sicherheitsanforderungen wie das IT-Produkt / das IT-System

selbst.

2.2.3 Tests und Inspektionen

Umfangreiche Penetrationstests auf ausnutzbare Schwachstellen sowie

Analysen der Abwehrmechanismen auf Applikationsebene und Prüfungen

der eingesetzten Authentifizierungs-/Autorisierungs-Verfahren werden

durchgeführt. Die bei den Tests und Analysen ermittelten Schwachstellen

werden entsprechend ihres Risikogrades bewertet.



3 Bewertungskriterien für Trusted Site Privacy,

Version 2.1

Für jeden Bewertungsaspekt gibt es jeweils eine Reihe von Prüfaspekten,

die im Folgenden stichwortartig zusammengefasst sind.

Bewertungsaspekte Prüfaspekte

Rechtliche

Anforderungen

Rechtliche Einordnung des Prüfgegenstandes

Formale Anforderungen

Anforderungen an die verschiedenen Verar-

beitungsphasen

Grenzüberschreitender Betrieb

Verantwortlichkeiten

Beschreibung der Anforderungen an den

Prüfgegenstand

Zulässigkeit

der Verarbeitung

Zweckbestimmung

Ermächtigungsgrundlagen für die

Datenverarbeitung, z.B.:

Vertrag und vertragsähnliche Ver-

trauensverhältnisse

Berechtigtes Interesse der verantwortlichen

Stelle

Berechtigtes Interesse eines Dritten

Berechtigte öffentliche Interessen

Allgemein zugängliche Quellen

Listenmäßige Übermittlung

Einwilligung des Betroffenen

Andere Rechtsvorschrift

Einhaltung der Datenschutzgrundsätze

Einhaltung der Betroffenenrechte

technische und organisatorische Maßnahmen

strukturelle Bedingungen

Verhältnismäßigkeit

Verpflichtungserklärung



Bewertungsaspekte Prüfaspekte

Betroffenen-

freundlichkeit

Datenschutz-Hinweise

Partizipation

Möglichkeit zum Selbstdatenschutz

Akzeptanz der technischen und organisa-

torischen Maßnahmen

geeignete Produktbeschreibung

Installationsanleitung

Einarbeitungs- bzw. Auskunftsmöglichkeit

Transparenz Transparenz der Datenschutz-Policy

Transparenz der technischen und organisa-

torischen Maßnahmen

Datenschutz-

Qualitätsmanagement

Datenschutz-Policy

Risikoanalyse

Datenschutzverantwortlichkeit

Datenschutz-Qualifikation

Datenschutz-Hinweis

Dokumentation

Kontinuierlicher Verbesserungsprozess

Systemadministration

Dokumentation

Datensicherheit Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

Trennungsgebot

Sicherheitstechnische

Untersuchung

Sicherheit der verwendeten Komponenten sowie

Netzwerk- und Transport-Sicherheit

Mittel des Systemmanagements

Tests und Inspektionen



4 Zertifizierung

Abbildung 2: Zertifizierungsschema

Die Bewertung der Datenschutzqualität erfolgt durch Auditoren, die von

der Zertifizierungsstelle akkreditiert sind. Das Auditteam wird in der

Vorbereitungsphase aussagekräftige Unterlagen bzgl. des Prüfobjekts

(Datenschutz-Policy, Datenschutzrichtlinien, Datenschutzerklärungen,

Handbücher, Risikoanalysen usw.) bewerten und das Vor-Ort-Audit

vorbereiten. Vor Ort wird von den Auditoren die Datenerhebung in

Interviews und Stichproben zum technisch-organisatorischen Umfeld des

Prüfgegenstandes durchgeführt. In der ergänzenden Sicherheits-

technischen Untersuchung wird die Realisierung der technischen



Datenschutzanforderungen überprüft. Abschließend wird ein Auditbericht

verfasst, der die Erfüllung der Anforderungen dokumentiert und ggf. auch

Verbesserungspotenzial in Bezug auf den Datenschutz herausarbeitet.

Nach Vorlage des Auditberichts, der die Erfüllung der Bewertungsaspekte

bestätigt, wird von der Zertifizierungsstelle ein Zertifikat ausgestellt, das

zur Verwendung des Trusted Site Privacy Zeichens in der

Öffentlichkeitsarbeit und im Marketing berechtigt. Die Gültigkeitsdauer

des Zertifikats beträgt zwei Jahre.



5 Trusted Site Zertifizierungs-Familie (Auszug)

Die TÜV Informationstechnik GmbH vergibt Trusted Site Prüfzeichen, die

die Erfüllung von Sicherheits- und Qualitätseigenschaften für IT-Systeme

bestätigen.

Trusted Site — Infrastructure

untersucht die Infrastruktur (Gebäude, Energieversorgung, Sicherheitssysteme, Brandmelde- und Löschtechnik, etc.) und bestätigt die Eignung für Sicherheitsbe-reiche, für die eine hohe Verfügbarkeit verlangt wird.

Trusted Site — Security

untersucht im Rahmen einer Sicherheits-technischen Qualifizierung die IT-Sicherheit von (typischerweise vernetzten) IT-Instal-lationen und bestätigt die Erfüllung von geeigneten Sicherheitszielen.

Trusted Site — ITSM

untersucht die IT Service Management-Prozesse des ITIL-Referenzmodells in Bezug auf die Qualität, Vollständigkeit und Implementierungstiefe in Bezug auf die in der ISO 20000 dargelegten Vorgaben für die Organisation.

Trusted Site — PK-DML

untersucht die technischen und organisa-torischen Maßnahmen von Dokumenten-management-Lösungen sowie die Sicher-heitsvorkehrungen für eine revisionssichere Archivierung.

Die TÜViT-Prüfzeichen können bei übereinstimmender Laufzeit und

gleichem Untersuchungsbereich im Unternehmen auch als Kombinations-

prüfzeichen vergeben werden.



6 Über TÜViT

Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist

einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir

unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-

Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre

Unternehmenswerte zu bewahren.

Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf

Themen wie Common Criteria Evaluationen, Cyber Security, Mobile

Security, Industrial Security, Penetrationstests, Bewertung von

Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie

Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung

von Rechenzentren hinsichtlich ihrer physischen Sicherheit und

Hochverfügbarkeit.

Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter

Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere

Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.

Unsere Dienstleistungen werden stets nach dem Stand der Technik

ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.

Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und

internationale Organisationen und Behörden weisen unsere Kompetenzen

auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.

Bundesamt für Sicherheit in der Informationstechnik

Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach

ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,

BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5

IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich

IS-Revision und IS-Beratung und Penetrationstests

Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001

Lizenzierte Auditoren für De-Mail



Deutsche Akkreditierungsstelle

Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen

IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC

17025:2005

Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach

ITSEC/ITSEM/CC/ISO 15408/CEM

Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN

EN ISO 9241-110, DIN EN ISO 9241-11, ISO/IEC 25051, DIN EN

ISO 13407 und ISO 9241-210

Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,

Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und

Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN 319 401 / 319

411-1 / 319 411-2 / 319 421, ETSI TS 101 456 / 102 042 / 102 023,

DIN EN 50518-1:2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC

17065:2013

Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,

Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013

und ETSI EN 319 403 V2.2.2 im Bereich qualifizierte Vertrauens-

diensteanbieter und die von ihnen erbrachten qualifizierten

Vertrauensdienste im Anwendungsbereich der VERORDNUNG

(EU) Nr. 910/2014 (eIDAS)

Bundesnetzagentur

Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten

für qualifizierte elektronische Signaturen

Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung

von Sicherheitskonzepten für Zertifizierungsdiensteanbieter

Die Deutsche Kreditwirtschaft

Gelistete Prüfstelle für elektronischen Zahlungsverkehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)

EuroPriSe Gutachter (rechtlich/technisch)



Information-technology Promotion Agency, Japan

Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM

National Institute of Technology and Evaluation, Japan

Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in

dem Bereich der IT / Common Criteria Evaluationen (Lab Code:

ASNITE0019T)

National Institute of Standards and Technology

National Voluntary Laboratory Accreditation Program, USA

Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für

Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,

17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,

17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing

Europay, MasterCard and Visa, USA/Großbritannien/Japan

Full Service Laboratory für Prüfungen von ICs und Chipkarten nach

EMVCo Sicherheitsrichtlinien

Modular Label Auditor

Visa, USA

Test House zur Durchführung von Visa Chip Product

Sicherheitsevaluationen

MasterCard, Großbritannien

Akkreditiert zur Durchführung von CAST (Compliance Assessment and

Security Testing) Evaluationen

Betaalvereniging Nederland, Niederlande

Evaluation Laboratory



In nationalen und internationalen Forschungsprojekten und Gremien

gestaltet TÜViT den Stand der Technik aktiv mit.

TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und

Umweltmanagement, welche nach ISO 9001:2008 bzw.

ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche

und Erwartungen ihrer Kunden.

TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV

NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem

nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.

Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische

Tests und Prüfungen in zahlreichen Bereichen durchgeführt und

entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen

verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten

und durchzuführen.



7 Ansprechpartner

Jörg Schlißke, LL.B.

Produktmanager Datenschutzqualifizierung

TÜV Informationstechnik GmbH

TÜV NORD GROUP

Langemarckstraße 20

45141 Essen

Tel.: +49 201 8999-533

Fax: +49 201 8999-666

[email protected]

www.tuvit.de

Version: 3.0

Zertifizierungsverfahren für Datenschutzkonzepte und IT ... · Inhalt 1 Einleitung 1 1.1...

Documents

Transcript of Zertifizierungsverfahren für Datenschutzkonzepte und IT ... · Inhalt 1 Einleitung 1 1.1...