Dieser Artikel erläutert unsere technischen und organisatorischen Maßnahmen für Backup, Datenschutz und Sicherheit.
1. Vertraulichkeit (Artikel 32 (1)(a) und (b) GDPR)
Physische Zugangskontrolle
Wir hosten unsere Plattform auf AWS von Amazon in Frankfurt, Deutschland. Auf dieser Seite erhalten Sie einen detaillierten Einblick in ihre Sicherheitsmaßnahmen: https://aws.amazon.com/compliance/data-center/controls/.
Elektronische Zugriffskontrolle
Die Datenbank ist nur direkt von unserem Büro aus oder über unser VPN zugänglich. Dieser Zugang ist schreibgeschützt und nur für Systemadministratoren zugänglich. Passwörter für den Zugang zur Datenbank können nur verwendet werden, wenn man sich mit Zwei-Faktor-Authentifizierung bei unserer Passwortverwaltungssoftware anmeldet. Wir verfügen über Richtlinien und Verfahren für die Schlüsselverwaltung, die aktiv überwacht werden. Wir gewähren nur dann Zugang, wenn dies für die Arbeit des Mitarbeiters erforderlich ist.
Kontrolle der Trennung
Alle Daten für jeden Kunden sind an die ID des Kundenkontos gebunden. Wir haben getrennte Entwicklungs-, Test-, Abnahme- und Produktionsumgebungen.
Verschlüsselung und Pseudonymisierung
Die von uns gespeicherten personenbezogenen Daten werden während der Übertragung und im Ruhezustand verschlüsselt. Der Zugriff auf personenbezogene Daten ist nur möglich durch:
Einloggen mit den Anmeldedaten des Kundenkontos.
Unsere Supportsysteme mit der ausdrücklichen Zustimmung zum Zugriff auf das Konto, die über die Profilseite des Kontos erteilt wird.
Zugriff auf die Datenbank direkt aus dem Büronetzwerk mit Login.
2. Integrität (Artikel 32(1)(b) GDPR)
Kontrolle der Datenübermittlung
Die Datenbank ist nur direkt in unserem Büro oder über unser VPN zugänglich. Dieser Zugang ist schreibgeschützt und nur für Systemadministratoren zugänglich. Alle Daten werden während der Übertragung und im Ruhezustand verschlüsselt.
Kontrolle der Dateneingabe
Nur eingeloggte Kunden und unsere Supportmitarbeiter haben Zugriff und können persönliche Daten des Kundenkontos ändern. Das direkte Ändern von Daten in der Datenbank ist eingeschränkt. Wir protokollieren keine Änderungen oder Löschungen von persönlichen Daten.
3. Verfügbarkeit und Ausfallsicherheit (Artikel 32(1)(b) und (c) GDPR)
Kontrolle der Verfügbarkeit
Wir hosten unsere Plattform auf AWS von Amazon in Frankfurt, Deutschland. Einblicke in ihre Sicherheitsmaßnahmen geben sie im Detail auf dieser Seite: https://aws.amazon.com/compliance/data-center/controls/.
Datensicherung
Wir verfügen über eine Backup-Strategie, bei der wir die Daten fünf Wochen lang sichern, einschließlich Remote-Backups. Diese Sicherungen werden regelmäßig getestet.
Wiederherstellung im Katastrophenfall
Wir verfügen über Verfahren zur Wiederherstellung im Katastrophenfall, um die Wiederherstellung von Daten und Diensten im Falle einer Nichtverfügbarkeit zu gewährleisten.
4. Verfahren für regelmäßige Tests, Bewertungen und Evaluierungen (Artikel 32 Absatz 1 Buchstabe d) DSGVO)
Management der Reaktion auf Vorfälle
Wir haben ein Verfahren für das Management von Zwischenfällen eingerichtet.
Datenschutz durch Design und Standard
Unser Erstellungs- und Entwicklungsprozess beinhaltet Datenschutz durch Design und Standardeinstellungen.
Auftragskontrolle
Wir verarbeiten Daten nur mit schriftlicher Zustimmung des für die Verarbeitung Verantwortlichen und nur über die in unserer Liste der Unterauftragsverarbeiter aufgeführten Dritten.
Management des Datenschutzes
Alle technischen und organisatorischen Maßnahmen werden durch unser ISO 27001-zertifiziertes Informationssicherheitsmanagementsystem gesteuert. Dies umfasst die Prüfung, Überwachung und Bewertung aller Aktivitäten im Zusammenhang mit diesen technischen und organisatorischen Maßnahmen.