Post on 30-Nov-2018
transcript
Inhalt
1 Einleitung 1
1.1 Vertraulichkeit personenbezogener Daten 1
1.2 IT-Sicherheit und Datenschutz 1
1.3 Ziele 2
1.4 Trusted Site Privacy 2
1.5 Zertifizierung 4
2 Bewertungsaspekte 6
2.1 Datenschutz-Audit 6
2.1.1 Rechtliche Anforderungen 6
2.1.2 Zulässigkeit der Verarbeitung 7
2.1.3 Betroffenenfreundlichkeit 7
2.1.4 Transparenz 8
2.1.5 Datenschutz-Qualitätsmanagement 8
2.1.6 Datensicherheit 8
2.2 Sicherheitstechnische Untersuchung 10
2.2.1 Sicherheit der verwendeten Komponenten sowie Netzwerk- und Transport-Sicherheit 10
2.2.2 Mittel des Systemmanagements 10
2.2.3 Tests und Inspektionen 10
3 Bewertungskriterien für Trusted Site Privacy, Version 2.1 11
4 Zertifizierung 13
5 Trusted Site Zertifizierungs-Familie (Auszug) 15
6 Über TÜViT 16
7 Ansprechpartner 20
Trusted Site Privacy Seite 1 | 20
© TÜV Informationstechnik GmbH
1 Einleitung
1.1 Vertraulichkeit personenbezogener Daten
Das Erheben, Verarbeiten, Übermitteln und Nutzen von Daten ist in der
Informationsgesellschaft zu einem alltäglichen und allgegenwärtigen
Vorgang geworden. Werden für Kommunikations- oder Transaktions-
vorgänge elektronische Dienste oder Netze genutzt, fallen dabei
automatisch Daten über die Nutzung und über die Nutzer an. Diese
personenbezogenen Daten lassen mitunter weitreichende Rückschlüsse
auf die betroffenen Benutzer zu, von der einfachen Identifizierung der
Person bis hin zu streng vertraulich kommunizierten Daten.
Dabei wird der Schutz dieser Informationen längst nicht mehr nur als ein
individuelles Schutzrecht zur Wahrung der Persönlichkeitsrechte begriffen
– im Sinne des Rechts auf informationelle Selbstbestimmung. Unter -
nehmen und Organisationen stellen zunehmend fest, dass ungenügender
Datenschutz das Image schädigt, was existenzielle Folgen haben kann.
Somit bezweifelt kaum jemand die Notwendigkeit, personenbezogene
Daten zu schützen. Jedoch ist die Art, wie dieser Schutz realisiert werden
soll, bzw. die Wirksamkeit dieses Schutzes Gegenstand von Kontro-
versen. Oft wird der Datenschutz auch nur als Ergänzung von
IT-Sicherheitskonzepten angesehen.
1.2 IT-Sicherheit und Datenschutz
Die Ergebnisse unterschiedlichster IT-Sicherheitsprüfungen, wie
Evaluierungen von Sicherheitsprodukten nach ITSEC1 bzw. CC2 und
Sicherheitsmanagement-Audits nach ISO 27001 oder angelehnt an das
Grundschutzhandbuch des BSI3, sind ebenso unzureichend für die
Belange des Datenschutzes wie individuelle Prüfungen der IT-Sicherheit.
Sie können nur für die Bewertung des Datenschutzes herangezogen
werden, wenn im Rahmen dieser Prüfungen die Erfüllung aller relevanten
Datenschutzanforderungen nachgewiesen wird.
1 Information Technology Security Evaluation Criteria
2 Common Criteria
3 Bundesamt für Sicherheit in der Informationstechnik
Trusted Site Privacy Seite 2 | 20
© TÜV Informationstechnik GmbH
Die Bewertung des Datenschutzes von IT-Systemen und IT-Prozessen
kann aber auch nicht nur auf rein rechtlicher Basis durchgeführt werden.
Es ist unerlässlich, nach der Ermittlung der Datenschutzanforderungen,
ausgehend von der relevanten Gesetzgebung, die daraus resultierenden
organisatorischen und technischen Maßnahmen auch zu überprüfen.
Datenschutz und IT-Sicherheit ergänzen sich hier, sie stehen in direkter
Abhängigkeit zueinander.
1.3 Ziele
Die objektive Identifikation und angemessene Behebung von Risiken für
die Persönlichkeitsrechte des einzelnen Individuums, die sich aus der
Informationsverarbeitung ergeben, sind das unmittelbare Anliegen der
Verantwortlichen für Datenschutzfragen. Darüber hinaus sollen alle für
die betroffene IT relevanten datenschutzrechtlichen Fragestellungen
differenziert berücksichtigt werden. Zur Sicherstellung, dass die
Erfassung und Verarbeitung der personenbezogenen Daten die
datenschutzrechtlichen Anforderungen erfüllt, muss auch die
datenschutzkonforme technische Realisierung des Prozesses oder der
Dienstleistung gewährleistet sein.
1.4 Trusted Site Privacy
TÜViT hat ein Zertifizierungsverfahren entwickelt, in dem die Bewertung
des Datenschutzes eines Prozesses kombiniert wird mit der Bewertung
der Sicherheit des entsprechenden IT-Systems.
Als Bewertungsbasis für den Datenschutz dienen u.a. die quid! -Kriterien.
Im zweijährigen EU-Forschungsprojekt quid! wurden von über 80
Experten aus Wirtschaft und Wissenschaft, aus staatlichen und privaten
Datenschutzorganisationen, aus öffentlicher Verwal tung, Beratungs-
organisationen, aus Verbänden und Gewerkschaften sowie aus Betriebs-
räten und Unternehmensleitungen gemeinsam Gütemerkmale für Qualität
im betrieblichen Datenschutz erarbeitet. Es wurden objektive und leicht
anzuwendende Kriterien zur vergleichbaren Beurteilung von Datenschutz
erzeugt. TÜViT hat die alleinigen Rechte, auf der Basis dieser Kriterien,
Zertifizierungen durchzuführen und bietet dazu ein standardisiertes
Auditverfahren an, das mit der Sicherheitstechnischen Untersuchung
(siehe Kapitel 2.2) kombiniert wird.
Trusted Site Privacy Seite 3 | 20
© TÜV Informationstechnik GmbH
Das Verfahren berücksichtigt die für die Qualität des Datenschutzes
maßgeblichen Faktoren vollständig und ist auf die für den Datenschutz
wesentlichen und kritischen Punkte fokussiert. Die Ergebnisse des
Datenschutz-Audits nach diesem Verfahren erlauben eine differenzierte
und angemessene Reaktion auf erkannte Datenschutzprobleme. Ein
praxistaugliches Qualitätsmodell sorgt sowohl für eine universelle
Verwendbarkeit als auch für eine auf die Besonderheiten des
Prüfgegenstandes abgestimmte Spezifizierbarkeit.
Bei der Formulierung individueller Datenschutzanforderungen wird der
Kontext des Prüfgegenstandes berücksichtigt.
Voraussetzung für eine erfolgreiche Datenschutzzertifizierung ist es, den
für eine Ermittlung der Datenschutzanforderungen erforderlichen
Sachverhalt zu identifizieren und abzugrenzen. Im Rahmen des Audit wird
dieser Sachverhalt auf der Grundlage der beim Kunden vorhandenen
Dokumentationen erstellt und mit dem Kunden abgestimmt.
Der im Sachverhalt festgelegte Prüfgegenstand (ToA4) ist dann Grundlage
für die rechtliche und technische Prüfung.
Aufbauend auf dem Datenschutz-Audit werden in der ergänzenden
Sicherheitstechnischen Untersuchung die technischen Daten-
schutzanforderungen, die der Betreiber durch seine IT-Installation
einschließlich der Netzanbindung realisiert haben muss, konkretisiert und
aufgenommen. Diese müssen widerspruchsfrei sein und „geltenden
Sicherheitsansprüchen“ genügen.
Das Vertrauen in die Sicherheit der Subsysteme und der darin
verwendeten Komponenten (bzw. Sicherheitsprodukte) ist eine
notwendige Voraussetzung für die Sicherheit der gesamten Installation.
Dort, wo gegebene Randbedingungen oder Eigenschaften der
Gesamtarchitektur vorhandene Schwachstellen anderweitig sichern, kann
auf Anforderungen an solche Basiskomponenten verzichtet werden. Für
Komponenten bzw. Subsysteme, die Sicherheitsfunktionalitäten realisie -
ren, wird beurteilt, inwieweit diese als vertrauenswürdig gelten.
4 Target of Audit
Trusted Site Privacy Seite 4 | 20
© TÜV Informationstechnik GmbH
Der stets sichere Zustand der IT-Installation im Betrieb und die sichere
Beherrschung von Ausnahmesituationen kann nur gewährleistet werden,
wenn angemessene technische Mittel und organisatorische Maßnahmen
hierzu bereitstehen. Geeignete Konfigurationswerkzeuge der sicherheits -
spezifischen Komponenten müssen vorhanden sein, und ein Monitoring
dieser Komponenten muss möglich sein. Alle administrativen Tools
müssen natürlich in der gleichen Güte gesichert sein wie die
sicherheitsspezifischen Subsysteme selbst.
Im Rahmen von Penetrationstests und Konfigurationsanalysen werden
Schwachstellen der IT-Installation festgestellt und bewertet.
1.5 Zertifizierung
Der Zertifizierung werden die Ergebnisse des Datenschutz-Audits und der
Sicherheitstechnischen Untersuchung zugrunde gelegt. Die Zertifizierung
demonstriert das Erreichen der organisatorischen und technischen
Datenschutzanforderungen, kann aber auch die schrittweise
Verbesserung des Datenschutzniveaus über Zwischenstufen bis zu einem
vom Betreiber als sinnvoll und notwendig erachteten Datenschutz-
standard dokumentieren.
Sie gibt dem Auftraggeber und speziell Dritten Gewissheit bzgl. des
Schutzes personenbezogener Daten im Sinne einer „Third Party
Inspection“ durch die unabhängige Zertifizierungsstelle der TÜViT.
Trusted Site Privacy Seite 5 | 20
© TÜV Informationstechnik GmbH
Abbildung 1: Musterzertifikat Trusted Site Privacy
Trusted Site Privacy Seite 6 | 20
© TÜV Informationstechnik GmbH
2 Bewertungsaspekte
Das erreichte Qualitätsniveau des Datenschutzes wird auf der Basis von
erfüllten Anforderungen festgestellt. Dabei wird eine Reihe von
Qualitätsmerkmalen in die Untersuchung einbezogen, die im Folgenden
aufgeführt sind:
Das Datenschutz-Audit umfasst folgende Bewertungsaspekte:
Rechtliche Anforderungen
Zulässigkeit der Verarbeitung
Betroffenenfreundlichkeit
Transparenz
Datenschutz-Qualitätsmanagement
Datensicherheit
Zusätzlich wird eine Sicherheitstechnische Untersuchung durchgeführt.
2.1 Datenschutz-Audit
2.1.1 Rechtliche Anforderungen
Auf der Grundlage des festgelegten Prüfungsgegenstands ist zu
überprüfen, welche rechtlichen Anforderungen bei der Verarbeitung
personenbezogener Daten zur Anwendung kommen (z.B. BDSG,
Arbeitsrecht, Medizinrecht, Telekommunikationsrecht) und wie diese in
den Anwendungszusammenhang des Prüfgegenstands eingebunden
werden. Dabei muss der Datenschutz auch dort genügen, wo Gesetze,
Verordnungen und die Rechtsprechung Lücken und Gestaltungs-
spielräume lassen.
Trusted Site Privacy Seite 7 | 20
© TÜV Informationstechnik GmbH
2.1.2 Zulässigkeit der Verarbeitung
Im Datenschutzrecht gilt, dass ohne eine gesetzliche Erlaubnis oder ohne
gültige Einwilligung des Betroffenen personenbezogene Daten nicht
verarbeitet werden dürfen. Nach Identifikation der prüfungsrelevanten
Datentypen wird für jeden Datentyp untersucht, ob die Verarbeitung im
Hinblick auf den Zweck der Datenverarbeitung zulässig ist. Dabei werden
auch die Anforderungen an die Datensparsamkeit im Hinblick auf den
Stand der Technik berücksichtigt.
2.1.3 Betroffenenfreundlichkeit
Hier wird die Berücksichtigung der schutzwürdigen Belange der
Personen, deren Daten verarbeitet werden, überprüft. Die Betroffenen
haben ein Recht darauf zu erfahren, was mit ihren personenbezogenen
Daten geschieht, wie sie weiterverarbeitet werden und ob es eine
Möglichkeit zum Selbstdatenschutz, d. h. eine Einflussnahme auf die
Verarbeitung der Daten, gibt.
Die Betroffenen sollten darüber informiert werden, welche ihrer Daten mit
welchen Prozessen verarbeitet werden. Den Betroffenen muss
transparent gemacht werden, welche Rechte und welche Auskunfts-
möglichkeiten sie haben und wie ihre personenbezogenen Daten
gesichert werden. Dabei muss der Datenschutz auch schon bei der
Vertragsgestaltung eine wichtige Rolle spielen.
Bei Einsatz eines IT-Produktes muss der Anwender darüber informiert
sein, welche Funktionen das Produkt hat, um personenbezogene Daten
sicher und datenschutzkonform verarbeiten zu können. Dazu gehören
z.B. geeignete Produktbeschreibungen und Installationsanleitungen oder
auch entsprechende Einarbeitung bzw. Auskunftsmöglichkeit durch ein
Unternehmen, das ein Produkt der Informationsverarbeitung einführt und
einsetzt.
Trusted Site Privacy Seite 8 | 20
© TÜV Informationstechnik GmbH
2.1.4 Transparenz
Die Datenschutz-Policy, die Datenschutzkonzepte und auch die
technischen und organisatorischen Maßnahmen, mit denen der
Datenschutz im Unternehmen oder Prozess verwirklicht wird, sollten allen
Betroffenen transparent und verständlich gemacht werden. Der
Untersuchungsfokus ist darauf ausgerichtet, dass die getroffenen
Maßnahmen zur Gewährleistung eines dauerhaften Datenschutzes
durchschaubar gestaltet sein müssen.
2.1.5 Datenschutz-Qualitätsmanagement
Veränderungen im Bereich der Informationstechniken und der
Rechtsgrundlagen haben in der Regel Auswirkungen auf das Konzept zur
Erfüllung der Datenschutzanforderungen. Sie müssen regelmäßig und
rechtzeitig im Hinblick auf die Datenschutzauswirkungen untersucht und
umgesetzt werden. Gegebenenfalls sind Analysen und Handlungsmodelle
anzupassen. Die darauf aufbauenden Maßnahmen des Qualitäts-
managements sind Gegenstand der Betrachtung.
2.1.6 Datensicherheit
Die eingesetzten Informationssysteme können Datenschutzanforderungen
nur dann genügen, wenn entsprechende technische und organisatorische
Maßnahmen in Bezug auf Datensicherheit ergriffen wurden. Es müssen
entsprechende Konzepte vorliegen und es sollten entsprechende
vertrauenswürdige Komponenten beim Aufbau der Systeme eingesetzt
werden.
Zutrittskontrolle
Der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
Daten verarbeitet oder genutzt werden, ist Unbefugten durch geeignete
Maßnahmen wirksam zu verwehren.
Zugangskontrolle
Die Nutzung von Datenverarbeitungssystemen durch Unbefugte ist durch
geeignete Maßnahmen wirksam zu verhindern.
Trusted Site Privacy Seite 9 | 20
© TÜV Informationstechnik GmbH
Zugriffskontrolle
Die zur Benutzung eines Datenverarbeitungssystems Berechtigten sollen
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten
zugreifen können. Personenbezogene Daten dürfen bei der Verarbeitung,
Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können.
Weitergabekontrolle
Personenbezogene Daten dürfen bei der elektronischen Über tragung oder
während ihres Transports oder ihrer Speicherung auf Datenträger nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden können. Es
muss überprüft und festgestellt werden können, an welche Stellen eine
Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist.
Eingabekontrolle
Es muss nachträglich überprüft und festgestellt werden können, ob und
von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind.
Auftragskontrolle
Personenbezogene Daten, die im Auftrag verarbeitet werden, dürfen nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden
können. Ein Auftragnehmer darf die Daten nur im Rahmen der Weisungen
des Auftraggebers erheben, verarbeiten oder nutzen.
Verfügbarkeitskontrolle
Personenbezogene Daten müssen durch geeignete Maßnahmen gegen
zufällige Zerstörung oder Verlust geschützt sein.
Trennungsgebot
Durch geeignete Maßnahmen muss sichergestellt werden, dass zu
unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können.
Trusted Site Privacy Seite 10 | 20
© TÜV Informationstechnik GmbH
2.2 Sicherheitstechnische Untersuchung
2.2.1 Sicherheit der verwendeten Komponenten sowie Netzwerk- und
Transport-Sicherheit
Für alle Teilkomponenten, die Sicherheitsfunktionalitäten realisieren,
kann anhand von bereits durchgeführten formalen Evaluationen und/oder
öffentlich zugänglichen Informationen nachvollzogen werden, dass sie als
vertrauenswürdig eingestuft wurden.
Die Netzwerk- und Transport-Sicherheit müssen dem Stand der Technik
entsprechen.
2.2.2 Mittel des Systemmanagements
Es existieren geeignete Konfigurationsmöglichkeiten sowie ein
angemessenes Monitoring und Logging, die zu einem sicheren
Betriebszustand beitragen. Dafür eingesetzte Werkzeuge unterliegen
denselben Sicherheitsanforderungen wie das IT-Produkt / das IT-System
selbst.
2.2.3 Tests und Inspektionen
Umfangreiche Penetrationstests auf ausnutzbare Schwachstellen sowie
Analysen der Abwehrmechanismen auf Applikationsebene und Prüfungen
der eingesetzten Authentifizierungs-/Autorisierungs-Verfahren werden
durchgeführt. Die bei den Tests und Analysen ermittelten Schwachstellen
werden entsprechend ihres Risikogrades bewertet.
Trusted Site Privacy Seite 11 | 20
© TÜV Informationstechnik GmbH
3 Bewertungskriterien für Trusted Site Privacy,
Version 2.1
Für jeden Bewertungsaspekt gibt es jeweils eine Reihe von Prüfaspekten,
die im Folgenden stichwortartig zusammengefasst sind.
Bewertungsaspekte Prüfaspekte
Rechtliche
Anforderungen
Rechtliche Einordnung des Prüfgegenstandes
Formale Anforderungen
Anforderungen an die verschiedenen Verar-
beitungsphasen
Grenzüberschreitender Betrieb
Verantwortlichkeiten
Beschreibung der Anforderungen an den
Prüfgegenstand
Zulässigkeit
der Verarbeitung
Zweckbestimmung
Ermächtigungsgrundlagen für die
Datenverarbeitung, z.B.:
Vertrag und vertragsähnliche Ver-
trauensverhältnisse
Berechtigtes Interesse der verantwortlichen
Stelle
Berechtigtes Interesse eines Dritten
Berechtigte öffentliche Interessen
Allgemein zugängliche Quellen
Listenmäßige Übermittlung
Einwilligung des Betroffenen
Andere Rechtsvorschrift
Einhaltung der Datenschutzgrundsätze
Einhaltung der Betroffenenrechte
technische und organisatorische Maßnahmen
strukturelle Bedingungen
Verhältnismäßigkeit
Verpflichtungserklärung
Trusted Site Privacy Seite 12 | 20
© TÜV Informationstechnik GmbH
Bewertungsaspekte Prüfaspekte
Betroffenen-
freundlichkeit
Datenschutz-Hinweise
Partizipation
Möglichkeit zum Selbstdatenschutz
Akzeptanz der technischen und organisa-
torischen Maßnahmen
geeignete Produktbeschreibung
Installationsanleitung
Einarbeitungs- bzw. Auskunftsmöglichkeit
Transparenz Transparenz der Datenschutz-Policy
Transparenz der technischen und organisa-
torischen Maßnahmen
Datenschutz-
Qualitätsmanagement
Datenschutz-Policy
Risikoanalyse
Datenschutzverantwortlichkeit
Datenschutz-Qualifikation
Datenschutz-Hinweis
Dokumentation
Kontinuierlicher Verbesserungsprozess
Systemadministration
Dokumentation
Datensicherheit Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Trennungsgebot
Sicherheitstechnische
Untersuchung
Sicherheit der verwendeten Komponenten sowie
Netzwerk- und Transport-Sicherheit
Mittel des Systemmanagements
Tests und Inspektionen
Trusted Site Privacy Seite 13 | 20
© TÜV Informationstechnik GmbH
4 Zertifizierung
Abbildung 2: Zertifizierungsschema
Die Bewertung der Datenschutzqualität erfolgt durch Auditoren, die von
der Zertifizierungsstelle akkreditiert sind. Das Auditteam wird in der
Vorbereitungsphase aussagekräftige Unterlagen bzgl. des Prüfobjekts
(Datenschutz-Policy, Datenschutzrichtlinien, Datenschutzerklärungen,
Handbücher, Risikoanalysen usw.) bewerten und das Vor-Ort-Audit
vorbereiten. Vor Ort wird von den Auditoren die Datenerhebung in
Interviews und Stichproben zum technisch-organisatorischen Umfeld des
Prüfgegenstandes durchgeführt. In der ergänzenden Sicherheits-
technischen Untersuchung wird die Realisierung der technischen
Trusted Site Privacy Seite 14 | 20
© TÜV Informationstechnik GmbH
Datenschutzanforderungen überprüft. Abschließend wird ein Auditbericht
verfasst, der die Erfüllung der Anforderungen dokumentiert und ggf. auch
Verbesserungspotenzial in Bezug auf den Datenschutz herausarbeitet.
Nach Vorlage des Auditberichts, der die Erfüllung der Bewertungsaspekte
bestätigt, wird von der Zertifizierungsstelle ein Zertifikat ausgestellt, das
zur Verwendung des Trusted Site Privacy Zeichens in der
Öffentlichkeitsarbeit und im Marketing berechtigt. Die Gültigkeitsdauer
des Zertifikats beträgt zwei Jahre.
Trusted Site Privacy Seite 15 | 20
© TÜV Informationstechnik GmbH
5 Trusted Site Zertifizierungs-Familie (Auszug)
Die TÜV Informationstechnik GmbH vergibt Trusted Site Prüfzeichen, die
die Erfüllung von Sicherheits- und Qualitätseigenschaften für IT-Systeme
bestätigen.
Trusted Site — Infrastructure
untersucht die Infrastruktur (Gebäude, Energieversorgung, Sicherheitssysteme, Brandmelde- und Löschtechnik, etc.) und bestätigt die Eignung für Sicherheitsbe-reiche, für die eine hohe Verfügbarkeit verlangt wird.
Trusted Site — Security
untersucht im Rahmen einer Sicherheits-technischen Qualifizierung die IT-Sicherheit von (typischerweise vernetzten) IT-Instal-lationen und bestätigt die Erfüllung von geeigneten Sicherheitszielen.
Trusted Site — ITSM
untersucht die IT Service Management-Prozesse des ITIL-Referenzmodells in Bezug auf die Qualität, Vollständigkeit und Implementierungstiefe in Bezug auf die in der ISO 20000 dargelegten Vorgaben für die Organisation.
Trusted Site — PK-DML
untersucht die technischen und organisa-torischen Maßnahmen von Dokumenten-management-Lösungen sowie die Sicher-heitsvorkehrungen für eine revisionssichere Archivierung.
Die TÜViT-Prüfzeichen können bei übereinstimmender Laufzeit und
gleichem Untersuchungsbereich im Unternehmen auch als Kombinations-
prüfzeichen vergeben werden.
Trusted Site Privacy Seite 16 | 20
© TÜV Informationstechnik GmbH
6 Über TÜViT
Die TÜV Informationstechnik GmbH - kurz TÜViT - mit Sitz in Essen ist
einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir
unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-
Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre
Unternehmenswerte zu bewahren.
Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf
Themen wie Common Criteria Evaluationen, Cyber Security, Mobile
Security, Industrial Security, Penetrationstests, Bewertung von
Informationssicherheits-Managementsystemen nach ISO/IEC 27001 sowie
Datenschutz-Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung
von Rechenzentren hinsichtlich ihrer physischen Sicherheit und
Hochverfügbarkeit.
Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter
Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere
Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen.
Unsere Dienstleistungen werden stets nach dem Stand der Technik
ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche.
Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und
internationale Organisationen und Behörden weisen unsere Kompetenzen
auf dem Gebiet der IT-Sicherheit und IT-Qualität nach.
Bundesamt für Sicherheit in der Informationstechnik
Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach
ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3,
BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5
IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich
IS-Revision und IS-Beratung und Penetrationstests
Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001
Lizenzierte Auditoren für De-Mail
Trusted Site Privacy Seite 17 | 20
© TÜV Informationstechnik GmbH
Deutsche Akkreditierungsstelle
Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen
IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC
17025:2005
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach
ITSEC/ITSEM/CC/ISO 15408/CEM
Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN
EN ISO 9241-110, DIN EN ISO 9241-11, ISO/IEC 25051, DIN EN
ISO 13407 und ISO 9241-210
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen in den Bereichen IT-Sicherheit und
Sicherheitstechnik (ITSEC, Common Criteria, ETSI EN 319 401 / 319
411-1 / 319 411-2 / 319 421, ETSI TS 101 456 / 102 042 / 102 023,
DIN EN 50518-1:2014 / -2:2014 / -3:2014) nach DIN EN ISO/IEC
17065:2013
Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten,
Prozessen und Dienstleistungen nach DIN EN ISO/IEC 17065:2013
und ETSI EN 319 403 V2.2.2 im Bereich qualifizierte Vertrauens-
diensteanbieter und die von ihnen erbrachten qualifizierten
Vertrauensdienste im Anwendungsbereich der VERORDNUNG
(EU) Nr. 910/2014 (eIDAS)
Bundesnetzagentur
Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten
für qualifizierte elektronische Signaturen
Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung
von Sicherheitskonzepten für Zertifizierungsdiensteanbieter
Die Deutsche Kreditwirtschaft
Gelistete Prüfstelle für elektronischen Zahlungsverkehr
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch)
EuroPriSe Gutachter (rechtlich/technisch)
Trusted Site Privacy Seite 18 | 20
© TÜV Informationstechnik GmbH
Information-technology Promotion Agency, Japan
Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM
National Institute of Technology and Evaluation, Japan
Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in
dem Bereich der IT / Common Criteria Evaluationen (Lab Code:
ASNITE0019T)
National Institute of Standards and Technology
National Voluntary Laboratory Accreditation Program, USA
Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für
Cryptographic Module Testing (Scopes 17BCS, 17CAV/01,
17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01,
17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing
Europay, MasterCard and Visa, USA/Großbritannien/Japan
Full Service Laboratory für Prüfungen von ICs und Chipkarten nach
EMVCo Sicherheitsrichtlinien
Modular Label Auditor
Visa, USA
Test House zur Durchführung von Visa Chip Product
Sicherheitsevaluationen
MasterCard, Großbritannien
Akkreditiert zur Durchführung von CAST (Compliance Assessment and
Security Testing) Evaluationen
Betaalvereniging Nederland, Niederlande
Evaluation Laboratory
Trusted Site Privacy Seite 19 | 20
© TÜV Informationstechnik GmbH
In nationalen und internationalen Forschungsprojekten und Gremien
gestaltet TÜViT den Stand der Technik aktiv mit.
TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und
Umweltmanagement, welche nach ISO 9001:2008 bzw.
ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche
und Erwartungen ihrer Kunden.
TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV
NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem
nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten.
Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische
Tests und Prüfungen in zahlreichen Bereichen durchgeführt und
entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen
verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten
und durchzuführen.
Trusted Site Privacy Seite 20 | 20
© TÜV Informationstechnik GmbH
7 Ansprechpartner
Jörg Schlißke, LL.B.
Produktmanager Datenschutzqualifizierung
TÜV Informationstechnik GmbH
TÜV NORD GROUP
Langemarckstraße 20
45141 Essen
Tel.: +49 201 8999-533
Fax: +49 201 8999-666
j.schlisske@tuvit.de
www.tuvit.de
Version: 3.0