Letzte Aktualisierung: 2026-05-23
Diese Informationssicherheitsrichtlinie gilt für alle Geschäftsaktivitäten, Informationssysteme und die Verarbeitung von Kundendaten von qdvwfme (nachfolgend „wir“). Wir verpflichten uns, die Informationswerte unserer Kunden, Mitarbeiter und Geschäftspartner vor unbefugtem Zugriff, Nutzung, Veränderung, Offenlegung oder Zerstörung zu schützen. Alle Maßnahmen erfolgen gemäß DSGVO, BDSG und den Anforderungen des BSI-Gesetzes.
1. Sicherheitsziele
Durch technische, organisatorische und personelle Maßnahmen gewährleisten wir:
- Vertraulichkeit: Nur autorisierte Personen haben Zugang zu Daten;
- Integrität: Daten werden nicht unbefugt verändert oder zerstört;
- Verfügbarkeit: Systeme und Daten sind bei Bedarf nutzbar.
2. Geltungsbereich
Diese Richtlinie gilt für alle Mitarbeiter, Zeitarbeitskräfte, Vertragspartner und Dritte, die Daten in unserem Auftrag verarbeiten. Sie umfasst folgende Informationswerte:
- Personenbezogene Daten von Kunden (Name, Adresse, Zahlungsdaten usw.);
- Geschäftsdaten (Bestellungen, Lagerbestand, Finanzunterlagen);
- Technische Systeme (Website, Datenbanken, E-Mail-Server, internes Netzwerk).
3. Zentrale Sicherheitsmaßnahmen
Die folgende Tabelle listet unsere wichtigsten Sicherheitsmaßnahmen auf:
| Sicherheitsbereich | Konkrete Maßnahme |
|---|---|
| Zugriffskontrolle | Rollenbasierte Berechtigungen (RBAC); Mitarbeiter erhalten nur notwendige Rechte; sofortige Entfernung bei Austritt oder Rollenwechsel |
| Datenverschlüsselung | TLS 1.2/1.3 für Website und Datenübertragung; AES-256 für verschlüsselte Speicherung sensibler Daten (z. B. Zahlungsdaten) |
| Netzwerksicherheit | Firewall, Intrusion-Detection-System (IDS), Anti-Malware; regelmäßige Schwachstellen-Scans und Penetrationstests |
| Physische Sicherheit | Server in kontrollierten Rechenzentren mit Zutrittskontrolle, Überwachung und Klimatisierung; Papierdokumente in verschlossenen Schränken |
| Backup & Wiederherstellung | Tägliches inkrementelles Backup, wöchentliches Vollbackup; georedundante Speicherung; jährlicher Wiederherstellungstest |
| Mitarbeiterschulung | Sicherheitsschulung bei Einstellung und mindestens einmal jährlich; Schwerpunkt auf Passwortrichtlinien, Phishing-Erkennung und Datenschutz |
| Incident-Response | Einrichtung eines Sicherheitsvorfallteams; Einleitung von Untersuchungen innerhalb von 24 Stunden; Meldung an Aufsichtsbehörde (72h) und betroffene Kunden (bei hohem Risiko) gemäß DSGVO |
| Drittanbieter-Management | Abschluss von Auftragsverarbeitungsverträgen (AVV) mit allen Dienstleistern; regelmäßige Sicherheitsbewertung |
4. Passwortrichtlinie
- Mitarbeiter-Passwörter: mindestens 12 Zeichen mit Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen; Wechsel alle 90 Tage; keine Wiederverwendung der letzten 5 Passwörter.
- Kunden-Passwörter: werden vom Kunden selbst festgelegt; wir speichern sie gehasht (bcrypt) und nicht umkehrbar.
5. Datenpannen-Benachrichtigung
Im Falle einer Verletzung des Schutzes personenbezogener Daten werden wir:
- Die Ursache sofort eindämmen und Beweise sichern;
- Innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) melden;
- Falls die Verletzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, diese unverzüglich informieren (Art, mögliche Folgen, ergriffene Maßnahmen).
6. Compliance & Audits
- Mindestens jährlich interne Informationssicherheitsaudits;
- Externe Penetrationstests und Compliance-Prüfungen bei Bedarf;
- Kontinuierliche Orientierung an den BSI-Standards (IT-Grundschutz) und Branchenbest Practices.
7. Mitarbeiterpflichten
Jeder Mitarbeiter ist verpflichtet:
- Die Vertraulichkeit von Unternehmens- und Kundendaten zu wahren;
- Verdächtige Sicherheitsvorfälle sofort zu melden;
- Passwörter und Systemzugänge nicht an Unbefugte weiterzugeben;
- Keine nicht autorisierte Software auf Unternehmensgeräten zu installieren.
Verstöße gegen diese Richtlinie können disziplinarische Maßnahmen bis hin zur Kündigung und rechtlichen Schritten nach sich ziehen.
8. Kontakt
Bei Fragen zur Informationssicherheit, zur Meldung von Sicherheitslücken oder zur Ausübung Ihrer Datenschutzrechte kontaktieren Sie uns bitte:
- E-Mail: service@mail.qdvwfme.com (Betreff: „Informationssicherheit“)
- Telefon: +86 18239196561
- Oder postalisch an unsere Unternehmensadresse.
Wir bestätigen den Eingang Ihrer Meldung innerhalb von 2 Werktagen.
9. Überprüfung und Aktualisierung
Diese Richtlinie wird mindestens jährlich überprüft und bei wesentlichen Sicherheitsänderungen aktualisiert. Die aktuelle Version ist stets auf unserer Shop-Seite verfügbar.
