C.12 Identity Management Policy - Information Security Policy

C.12 Identity Management Policy

Version: April 2025
Applies to: All employees, contractors, and stakeholders
Aligned with: ISO/IEC 27001:2022 (A.5.16–A.5.20, A.8.2), NIST SP 800-63

Purpose
To ensure user identities are securely created, managed, and terminated — with proper authentication and access controls — reducing the risk of unauthorized access and insider threats.

1. Scope
Covers:
- Account provisioning, modification, and deactivation
- Identity providers (IdPs), password and authentication policies
- Human Resources onboarding/offboarding procedures
- Multi-factor authentication (MFA) and behavioral analytics

2. Core Identity Requirements

ID	Requirement
ID-01	Maintain a formal HR program to manage personnel identities
ID-02	Use an HRIS to track employee status
ID-03	Conduct background screening on all workforce members
ID-04–07	Require formal acceptance of terms and return of assets, data, and credentials upon offboarding
ID-08	Maintain an inventory of approved Identity Providers (IdPs)
ID-09	Minimize number of IdPs; use centralized SSO where possible
ID-10–11	Track all user accounts & maintain secure IdP configurations
ID-12–14	Prevent account sharing, reuse, and concurrent logins
ID-15	Perform regular identity reviews to ensure account validity
ID-16–17	Automate provisioning/de-provisioning via HRIS integration
ID-18–24	Enforce secure authentication policies: • Strong passwords • Lockouts on failed attempts • Password hashing/salting • MFA required • Encrypted transmission • Secure helpdesk reset process • Disable stale/inactive accounts
ID-25–27	Log all: • Logon attempts • Access to deactivated accounts • User Behavior Analytics (UBA) events

3. Enforcement & Sanctions
Non-compliance may result in:
- Mandatory training or written warnings
- Access suspension or termination
- Legal action in case of violations of law or contractual duties

Enforcement is handled fairly and in accordance with HR and security governance.

Direct URL:

https://demo.askamara.de/information-security-policy/Appendix-C-Guidelines/Appendix-C-12-Identity-Management

Navigation

Back to Appendix C: Guidelines Policy Overview

Legal Notice

Information in accordance with § 5 DDG:

Company: amara information security GmbH

Represented by Managing Director: Gerhard Grutsch

Registered: Amtsgericht München, HRB 310589

Registered Office: Seefeld

Contact:
Phone: +49 171 9888558
Email: info@askamara.de

Responsible for content according to § 55 para. 2 RStV:
Gerhard Grutsch
(Mühlbachstraße 28, 82229 Seefeld)

Privacy Policy

1. General Information

The operator of the website askamara.de and the services offered thereon is:

Company: amara information security GmbH

Represented by: Gerhard Grutsch (Managing Director)

Address: Mühlbachstraße 28, 82229 Seefeld, Germany

Telephone: +49 171 9888558

E-Mail: info@askamara.de

2. Data Protection Officer

Pursuant to Art. 37 GDPR in conjunction with Section 38 BDSG (German Federal Data Protection Act), we are not obliged to appoint a Data Protection Officer. If you have any questions regarding data protection or wish to exercise the rights listed below, you may contact us at any time using the contact details provided above.

3. Data Collection, Purpose and Legal Basis

3.1 Browser Data

Each time the website is accessed, the following information is generally collected by your browser:

Browser type and version
Referrer URL / hostname of the accessing device
Operating system used
IP address of the accessing computer
Date and time of the website access

This information is transmitted automatically by your browser, unless it is configured to suppress such transmission.

Purpose: The data is processed for the purpose of displaying the amara website.

Retention period: The data is deleted at the end of the session.

Legal basis: Art. 6(1)(f) GDPR (legitimate interests)

3.2 Contact by E-Mail

You have the option to contact amara information security by e-mail. Providing your contact details is voluntary. The data processed is your e-mail address and the content of your enquiry. The contact address is: info@askamara.de

Purpose: The data provided is processed exclusively for the purpose of handling your enquiry.

Retention period: The data is deleted once your enquiry has been handled, unless statutory retention obligations apply.

Legal basis: Art. 6(1)(f) GDPR (legitimate interests)

3.3 Contact by Telephone

You have the option to contact amara information security by telephone. Providing your contact details is voluntary. The data processed is your telephone number. The telephone number is: +49 171 9888558

Purpose: The data provided is processed exclusively for the purpose of handling your enquiry.

Retention period: The data is deleted once your enquiry has been handled, unless statutory retention obligations apply.

Legal basis: Art. 6(1)(f) GDPR (legitimate interests)

3.4 Job Applications

amara information security offers you the opportunity to apply for open positions by e-mail. We hereby inform you about the scope, purpose and use of your personal data collected during the application process.

We assure you that the collection, processing and use of your data is carried out in accordance with all applicable legal requirements and that your data will be treated in strict confidence. The provision of your personal data in the course of the application process is voluntary; however, failure to provide relevant data may result in your application not being considered during the selection process.

Purpose: When you submit an application, we process your personal data to the extent necessary to decide on the establishment of an employment relationship.

Legal basis: Initiation of an employment relationship, Art. 6(1)(b) GDPR, or consent, Art. 6(1)(a) GDPR.

If the application is successful, the data you submitted will be stored for the purpose of conducting the employment relationship on the basis of Section 26 BDSG and Art. 6(1)(b) GDPR.

Retention period: If we are unable to make you a job offer, you decline an offer, or you withdraw your application, the transmitted data will be retained on the basis of our legitimate interests (Art. 6(1)(f) GDPR) for up to 6 months from the conclusion of the application process and subsequently deleted. Longer retention may occur if you have provided your consent (Art. 6(1)(a) GDPR) or if this is required due to pending legal proceedings.

4. Recipients / Hosting

The website askamara.de is operated on servers of a European hosting provider. In the course of operations, server log files may be automatically collected and stored by the hosting provider. These contain the browser information referred to in Section 3.1, which your browser transmits automatically.

This data is not passed on to third parties unless there is a legal obligation to do so or it is required for the enforcement of legal claims.

5. SSL/TLS Encryption

For security reasons, this website uses SSL or TLS encryption to protect the transmission of confidential content, such as enquiries you send to us as the site operator. You can identify an encrypted connection by the fact that the browser address bar changes from "http://" to "https://".

6. Your Rights as a Data Subject

With regard to your personal data, you have the following rights:

Right of Access (Art. 15 GDPR)

You have the right to request information about your personal data that we process.

Right to Rectification (Art. 16 GDPR)

If your personal data is inaccurate or incomplete, you may request that it be corrected or completed.

Right to Erasure (Art. 17 GDPR)

You may request the deletion of your personal data that you have provided to us ("right to be forgotten").

Right to Restriction of Processing (Art. 18 GDPR)

You have the right to request that the processing of your personal data be restricted.

Right to Withdraw Consent (Art. 7(3) GDPR)

You have the right to withdraw your consent to data processing at any time. The withdrawal of consent does not affect the lawfulness of processing carried out on the basis of consent prior to its withdrawal.

Right to Lodge a Complaint (Art. 77 GDPR)

You have the right to lodge a complaint with a data protection supervisory authority regarding the processing of your personal data. The competent supervisory authority for Bavaria is the Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach, Germany.

Right to Object (Art. 21 GDPR)

You may object at any time to the processing of your personal data where such processing is based on Art. 6(1)(f) GDPR (legitimate interests).

Version: 20260425 | amara information security GmbH, Mühlbachstraße 28, 82229 Seefeld | info@askamara.de

Impressum

Angaben gemäß § 5 DDG:

Firma: amara information security GmbH

Vertreten durch den Geschäftsführer: Gerhard Grutsch

Handelsregister: Amtsgericht München, HRB 310589

Sitz: Seefeld

Kontakt:
Telefon: +49 171 9888558
E-Mail: info@askamara.de

Verantwortlich für den Inhalt nach § 55 Abs. 2 RStV:
Gerhard Grutsch
(Mühlbachstraße 28, 82229 Seefeld)

Datenschutzerklärung

1. Allgemeine Informationen

Betreiber der Website askamara.de und der darauf angebotenen Dienste ist:

Unternehmen: amara information security GmbH

Vertreten durch: Gerhard Grutsch (Geschäftsführer)

Anschrift: Mühlbachstraße 28, 82229 Seefeld

Telefon: +49 171 9888558

E-Mail: info@askamara.de

2. Datenschutzbeauftragter

Gemäß Art. 37 DSGVO i.V.m. §38 BDSG sind wir nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bei Fragen zum Datenschutz und zur Geltendmachung Ihrer im Folgenden genannten Rechte können Sie sich jederzeit über die oben angegebenen Kontaktdaten an uns wenden.

3. Erhebung, Verwendungszweck und Rechtsgrundlage

3.1 Browser

Bei jedem Aufruf der Website werden generell folgende Informationen des jeweiligen Browsers erfasst:

Browsertyp und Browserversion
Referrer URL / Hostname des zugreifenden Rechners
Verwendetes Betriebssystem
IP-Adresse des zugreifenden Computers
Uhrzeit des Abrufs der Website

Die Bereitstellung und Übermittlung dieser Informationen erfolgen automatisiert durch Ihren Browser, sofern dieser nicht so konfiguriert ist, dass die Übermittlung unterdrückt wird.

Zweck: Die Daten werden zur Darstellung der amara Website verarbeitet.

Löschfrist: Die Daten werden nach Beendigung der Sitzung gelöscht.

Rechtmäßigkeit: Art. 6 Abs. 1 Buchst. f DSGVO

3.2 Kontaktaufnahme per E-Mail

Sie haben die Möglichkeit, amara information security eine E-Mail zu schicken. Die Kontaktaufnahme ist freiwillig. Verarbeitet wird die E-Mail-Adresse sowie der Inhalt Ihrer Anfrage. Die Kontaktadresse lautet: info@askamara.de

Zweck: Die Verarbeitung der bereitgestellten Daten erfolgt ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage.

Löschfrist: Die Daten werden nach der Bearbeitung Ihrer Anfrage gelöscht, soweit keine gesetzlichen Aufbewahrungsfristen bestehen.

Rechtmäßigkeit: Art. 6 Abs. 1 Buchst. f DSGVO

3.3 Telefonische Kontaktaufnahme

Sie haben die Möglichkeit, amara information security telefonisch zu kontaktieren. Die Kontaktaufnahme ist freiwillig. Verarbeitet wird die Telefonnummer. Die Telefonnummer lautet: +49 171 9888558

Zweck: Die Verarbeitung der bereitgestellten Daten erfolgt ausschließlich zum Zweck der Bearbeitung Ihrer Anfrage.

Löschfrist: Die Daten werden nach der Bearbeitung Ihrer Anfrage gelöscht, soweit keine gesetzlichen Aufbewahrungsfristen bestehen.

Rechtmäßigkeit: Art. 6 Abs. 1 Buchst. f DSGVO

3.4 Bewerbungen

amara information security bietet Ihnen die Möglichkeit, sich per E-Mail zu bewerben. Wir informieren Sie hier über den Umfang, Zweck und die Verwendung Ihrer im Rahmen des Bewerbungsprozesses erhobenen personenbezogenen Daten.

Wir versichern, dass die Erhebung, Verarbeitung und Nutzung Ihrer Daten in Übereinstimmung mit allen gesetzlichen Bestimmungen erfolgt und Ihre Daten streng vertraulich behandelt werden. Die Bereitstellung Ihrer personenbezogenen Daten im Rahmen des Bewerbungsverfahrens ist freiwillig; jedoch kann das Fehlen relevanter Daten die Nichtberücksichtigung im Auswahlverfahren zur Folge haben.

Zweck: Wenn Sie uns eine Bewerbung zukommen lassen, verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

Rechtmäßigkeit: Anbahnung eines Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b DSGVO, oder Einwilligung, Art. 6 Abs. 1 lit. a DSGVO.

Sofern die Bewerbung erfolgreich ist, werden die von Ihnen eingereichten Daten auf Grundlage von § 26 BDSG und Art. 6 Abs. 1 lit. b DSGVO zum Zwecke der Durchführung des Beschäftigungsverhältnisses gespeichert.

Löschfrist: Sofern wir Ihnen kein Stellenangebot machen können, Sie ein Stellenangebot ablehnen oder Ihre Bewerbung zurückziehen, werden die übermittelten Daten auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) bis zu 6 Monate ab der Beendigung des Bewerbungsverfahrens aufbewahrt und anschließend gelöscht. Eine längere Aufbewahrung kann stattfinden, wenn Sie eine entsprechende Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) erteilt haben oder wenn dies aufgrund eines anhängigen Rechtsstreits erforderlich ist.

4. Empfänger / Hosting

Die Website askamara.de wird auf Servern eines europäischen Hosting-Providers betrieben. Im Rahmen des Betriebs können Server-Log-Dateien durch den Hosting-Provider automatisch erhoben und gespeichert werden. Diese enthalten die unter Abschnitt 3.1 genannten Browserinformationen, die Ihr Browser automatisch übermittelt.

Eine Übermittlung dieser Daten an Dritte findet nicht statt, sofern keine gesetzliche Verpflichtung hierzu besteht oder dies zur Rechtverfolgung erforderlich ist.

5. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung zur sicheren Übertragung vertraulicher Inhalte, wie zum Beispiel Anfragen, die Sie an uns als Seitenbetreiber senden. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von "http://" auf "https://" wechselt.

6. Betroffenenrechte

Sie haben bezüglich Ihrer personenbezogenen Daten die folgenden Rechte:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen.

Recht auf Berichtigung (Art. 16 DSGVO)

Sollten Ihre personenbezogenen Daten nicht oder nicht mehr zutreffend sein, können Sie eine Berichtigung verlangen. Sollten Ihre Daten unvollständig sein, können Sie eine Vervollständigung verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie können die Löschung Ihrer uns zur Verfügung gestellten personenbezogenen Daten verlangen ("Recht auf Vergessenwerden").

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen.

Recht auf Widerruf der Einwilligungserklärung (Art. 7 Abs. 3 DSGVO)

Sie haben jederzeit das Recht, Ihre datenschutzrechtliche Einwilligungserklärung zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird dadurch nicht berührt.

Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Sie haben das Recht, sich an eine Datenschutz-Aufsichtsbehörde zu wenden, um Beschwerde gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen. Die zuständige Aufsichtsbehörde für Bayern ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach.

Recht auf Widerspruch (Art. 21 DSGVO)

Sie können jederzeit Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einlegen, sofern die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) gestützt wird.

Version: 20260425 | amara information security GmbH, Mühlbachstraße 28, 82229 Seefeld | info@askamara.de