Sicherheit und Datenschutz

GDPR-sicher

• Alle in der Software von Infolandgespeicherten Daten bleiben garantiert innerhalb des EWR und fallen somit unter die europäische Gesetzgebung. 
• Infoland hält sich an die Gesetzgebung zur Verarbeitung personenbezogener Daten und die Meldepflicht bei Datenlecks. 
• Sicherheit und Datenschutz sind feste Bestandteile unseres Softwareentwicklungsprozesses. 
• Unsere Software erfordert ein Minimum an personenbezogenen Daten. Organisationen können selbst entscheiden, welche relevanten personenbezogenen Daten sie registrieren. 
• Unsere Software bietet Möglichkeiten zur Entfernung/Anonymisierung personenbezogener Daten. Organisationen entscheiden selbst, welche Aufbewahrungsfristen sie nutzen. 
• Wir schließen mit jeder Organisation, die unsere SaaS-Dienste nutzt, einen Verarbeitungsvertrag ab. 
• Die Daten werden durch eine Reihe von Maßnahmen gesichert. 
• Wir helfen Organisationen bei der Durchführung einer DPIA in ihrer Eigenschaft als verantwortliche Partei, indem wir Fragen beantworten, Informationen liefern usw. 
• Organisationen, die unsere Software nutzen, können die Rechte der Betroffenen selbst umsetzen (Einsichtnahme, Berichtigung, Löschung, Widerspruch und Datenportabilität). 
• Infoland macht es Organisationen leicht, eine Datenschutzerklärung in der Software zu veröffentlichen.

Schutz der Privatsphäre

Der Schutz der Privatsphäre ist etwas, das wir gemeinsam tun

Infoland liefert intelligente Software, die von Organisationen wie der Ihren genutzt wird. Wir sorgen rund um die Uhr dafür, dass die Software sicher, verfügbar und in bestem Zustand ist. Was innerhalb der Software geschieht, bestimmt Ihre Organisation. Sie entscheiden zum Beispiel, wer Zugang zur Software erhält und was diese Personen in der Software sehen und tun dürfen. Darüber hinaus entscheiden Sie, wie mit den in der Software gespeicherten (personenbezogenen) Daten umgegangen wird.

Daher ist der Schutz der Privatsphäre der Menschen, die mit der Software arbeiten, nicht nur eine Angelegenheit von Infoland. Es ist etwas, das wir gemeinsam mit Ihnen tun.

Wir finden es wichtig, transparent zu machen, wie unsere Software mit personenbezogenen Daten umgeht. Daher haben wir es den Nutzern leicht gemacht, die entsprechende Datenschutzerklärung einzusehen. Was genau in dieser Erklärung steht, hängt von Ihrer Organisation ab. Wir helfen Ihnen gerne auf Ihrem Weg; Sie können unseren Standardtext als Ausgangspunkt verwenden.

Eine europäische Politik

Alle in der Infoland gespeicherten Daten werden innerhalb des Europäischen Wirtschaftsraums (EWR) garantiert. Diese Daten unterliegen daher der europäischen Gesetzgebung.

Infoland hat die volle Kontrolle über die Standorte, an denen Ihre Daten gespeichert werden. Wir nutzen die Microsoft Azure-Cloud, wenden aber die strenge Richtlinie an, dass Anwendungen, Live-Daten und Backups nur in Azure-Regionen innerhalb des EWR gespeichert werden dürfen. In der Praxis nutzen wir derzeit Azure-Rechenzentren in den Niederlanden und Irland.

Gesetzgebung Pflicht zur Meldung von Datenschutzverletzungen

Die GDPR (General Data Protection Regulation) verlangt von Organisationen, die personenbezogene Daten verarbeiten, die Meldung von Datenschutzverletzungen an die richtige Behörde (abhängig von der Nationalität der betroffenen Person(en)). Im Falle eines Datenschutzverstoßes muss die "verantwortliche Partei" der Daten die Meldung vornehmen. Infoland ist nicht die "verantwortliche Partei" der Daten, sondern der "Verarbeiter". Im Falle eines Datenschutzverstoßes wird Infoland die Kontaktperson innerhalb Ihrer Organisation rechtzeitig und vollständig informieren. Auf diese Weise können Sie als Organisation Ihren Verpflichtungen als "verantwortliche Partei" nachkommen.

Wann liegt eine Datenverletzung vor?
Nehmen wir an, es liegt eine Verletzung der Sicherheit vor (Sicherheitsvorfall). In diesem Fall bestimmen wir auf der Grundlage der Regeln für die Meldung von Datenschutzverletzungen der europäischen Aufsichtsbehörden, ob eine Datenschutzverletzung vorliegt. Eine Datenschutzverletzung liegt nur vor, wenn eine unrechtmäßige Verarbeitung stattgefunden hat.

Wird Infoland der richtigen Behörde oder den Beteiligten Bericht erstatten?
Nein. Ihre Organisation (als die für die personenbezogenen Daten verantwortliche Person) ist in erster Linie für die Meldung an die richtige Behörde oder die betroffenen Parteien verantwortlich. Infoland wird Ihre Organisation mit allen notwendigen Informationen versorgen, um die Meldung unverzüglich zu machen.

In welchem Zeitrahmen kontaktiert Infoland Sie und mit wem?
Die Vorschriften zur Meldepflicht von Datenschutzverletzungen sehen eine Frist von 72 Stunden vor, innerhalb derer die Meldung an die zuständige Behörde erfolgen muss. Sobald wir oder einer unserer Hilfslieferanten ein Datenleck entdeckt haben, werden wir Sie so schnell wie möglich informieren - spätestens innerhalb von 48 Stunden. Der nachstehende Zeitplan zeigt, an wen wir uns wenden werden:

• Eine von Ihnen angegebene Kontaktperson für die Meldung von Datenschutzverletzungen
• Hauptansprechpartner Hosting-Service
• Kommerzieller Kontakt

Welche Informationen wird Infoland zur Verfügung stellen?
Wir beschreiben Art und Umfang der Datenschutzverletzung, eine Schätzung der Anzahl der betroffenen Personen und einen Hinweis auf den Kern der betroffenen personenbezogenen Daten. Außerdem erhalten Sie eine Beschreibung der betroffenen Personen und einen Vorschlag für Präventiv- und Abhilfemaßnahmen, die zu ergreifen sind.

Bitte beachten Sie!
Wenn zusätzliche Vereinbarungen mit Ihrer Organisation getroffen wurden (in einer Verarbeitungsvereinbarung), haben diese Vorrang.

Schutz Ihrer Daten

Unser Personal

Mindestens genauso wichtig wie alle technischen Sicherheitsmaßnahmen ist der Faktor "Mensch". Deshalb stellen wir bei Infoland hohe Anforderungen an alle unsere Mitarbeiter. Vor allem an diejenigen, die bei der Ausübung ihrer Tätigkeit mit Kundendaten in Berührung kommen.

• Jeder Mitarbeiter, der bei seiner täglichen Arbeit mit Ihren Daten in Berührung kommt, muss ein polizeiliches Führungszeugnis (NL) oder ein Führungszeugnis (BE) vorlegen können.
• Jeder Infoland unterliegt einer strengen Schweigepflicht, die in unserem Arbeitsvertrag festgehalten ist.
• Unsere Mitarbeiter haben keinen Zugang zu mehr Systemen und/oder Daten als für die Erfüllung ihrer Aufgaben erforderlich. Beim Zugriff auf Kundenumgebungen in der Software wird unter anderem von privilegiertem Zugriff und Zugangskontrolle Gebrauch gemacht.
• Jeder Mitarbeiter ist angehalten, alle Vorfälle im Bereich der Informationssicherheit (intern oder extern) zu melden. Zu diesem Zweck verwenden wir unsere eigene Berichts- und Analysesoftware Zenya FLOW.
• Wir haben einen Sicherheitsbeauftragten ernannt, der unserem Management über die Informationssicherheit im weitesten Sinne des Wortes berichtet und es berät.
• Unser Sicherheitsbeauftragter organisiert das ganze Jahr über Aktivitäten, um sicherzustellen, dass sich jeder Mitarbeiter von Infoland der Risiken bewusst ist und bleibt und entsprechend handelt.
• Speziell für unsere Softwareentwickler wird der Sicherheit große Aufmerksamkeit gewidmet. Jede Software, die ausgeliefert wird, muss die Anforderungen des Kunden erfüllen, benutzerfreundlich sein, gut aussehen und robust sein - und sicher sein! Zu diesem Zweck verwenden wir unter anderem die OWASP Top 10.
• An unseren Standorten wurden physische und organisatorische Maßnahmen ergriffen, um sicherzustellen, dass Unbefugte keinen Zugang zu Räumen und Geräten erhalten, die vertrauliche Daten enthalten können.

Hochsichere Infrastruktur

Ihre Daten werden in hochsicheren Datenzentren gespeichert. Weitere Informationen über die (physische) Sicherheit der Azure-Plattform finden Sie unter: https://docs.microsoft.com/en-us/azure/security/fundamentals/.

Die Infoland SaaS-Umgebung befindet sich in der Microsoft Azure Cloud. Wir nutzen Dienste wie Azure DDos Protection und Azure Web Application Firewall für die Zugriffssicherheit.

Innerhalb unseres SaaS-Dienstes sind die Daten der einzelnen Kunden streng getrennt. Die Software-Architektur stellt sicher, dass Benutzer niemals auf die Daten anderer Kunden zugreifen können. Das bedeutet, dass jede Kundenumgebung ihren eigenen Sicherheitsschlüssel hat. Wenn einer davon kompromittiert wird, hat dies keine Auswirkungen auf andere Kunden.

Die gesamte Software ist auf dem neuesten Stand

Wir nutzen Platform-as-a-Service-Dienste für das Hosting unserer Software in Microsoft Azure. Ein großer Vorteil dabei ist, dass Microsoft kontinuierlich sicherstellt, dass alle Plattformteile auf dem neuesten Stand sind. Dies sorgt letztlich für weniger Risiken, Sicherheitspatches usw.

Bei den Softwarekomponenten, die in virtuellen Maschinen laufen, achten wir ständig auf neue Schwachstellen in der Software von Drittanbietern (z. B. Betriebssysteme, Software-Frameworks) und sorgen dafür, dass die erforderlichen Updates so schnell wie möglich bereitgestellt werden.

Strenge Zugangskontrollen in der Software

Der Zugriff auf die Software ist nur nach erfolgreicher Authentifizierung möglich. Eine Kombination aus Benutzernamen und Passwörtern bildet die Grundlage. Ein höheres Maß an Sicherheit kann durch die Aktivierung der 2-Faktor-Authentifizierung (One-Time-Password-Algorithmus) und/oder die Beschränkung des Zugangs zur Software auf bestimmte IP-Bereiche erreicht werden.

Es ist auch möglich, die Authentifizierung durch spezielle Identitätsmanagement-/SSO-Lösungen auf der Grundlage des SAML 2.0-Protokolls durchführen zu lassen. Siehe auch Integration mit anderen Systemen.

Innerhalb der Software erhalten die Mitarbeiter nur Zugriff auf die Daten, für die sie berechtigt sind. Zu diesem Zweck verfügt unsere Software über ein feinmaschiges System von Rechten und Rollen, die Gruppen oder Einzelpersonen zugewiesen werden können. Zudem wird jeder Anmeldeversuch und jede Mutation innerhalb des Systems protokolliert.

Verschlüsselte Daten

Der gesamte Datenverkehr zwischen Ihrem Browser, Ihrem mobilen Gerät und der Software wird mit 2048-Bit-SSL-Zertifikaten verschlüsselt. Darüber hinaus werden Passwörter mit einem gesalzenen Hash-Algorithmus in einer nicht umkehrbaren Form gespeichert.

Externe Parteien testen unsere Sicherheit

Die Informationssicherheit ist nie abgeschlossen. Jeden Tag können neue Bedrohungen auftauchen. Deshalb unterziehen wir jedes Jahr mindestens drei Komponenten unserer Software Penetrationstests, die von externen, spezialisierten Unternehmen durchgeführt werden. Außerdem wechseln wir diese Firmen regelmäßig aus, um bei jedem Test eine neue Perspektive zu erhalten. Darüber hinaus verwenden wir kontinuierlich Online-Überwachungs- und Erkennungstools, die unsere Software und Infrastruktur anhand von Standards wie den OWASP Top 10 bewerten.

Informationssicherheitsvorfall

Im unwahrscheinlichen Fall eines Informationssicherheitsvorfalls sind wir bereit zu handeln, indem wir zum Beispiel schnell ein Update für unsere Software bereitstellen. Außerdem können wir im Falle von Katastrophen ein spezialisiertes Cyber-Response-Team einsetzen.

Abgeschlossene Vereinbarungen

Wir mögen klare Vereinbarungen. Deshalb bemühen wir uns, mit jeder Organisation, die unsere SaaS-Dienste nutzt, eine Verarbeitungsvereinbarung abzuschließen. Die europäische Datenschutzgesetzgebung, auch bekannt als GDPR oder AVG, verpflichtet Kunden und Lieferanten zum Abschluss von Verarbeitungsvereinbarungen, in denen die Modalitäten der Verarbeitung personenbezogener Daten festgelegt sind.

Um es Ihnen leicht zu machen, haben wir eine Standard-Verarbeitungsvereinbarung entwickelt, die den Interessen beider Parteien gerecht wird. Als Ausgangspunkt kann auch eine von einem Branchen-/Dachverband erstellte Mustervereinbarung dienen.

Lesen Sie mehr über Modell- und Prozessorvereinbarungen.