Wir verpflichten unsere Mitarbeiter, die im Rahmen ihrer Aufgabenerfüllung mit personenbezogenen Daten unserer Kunden in Berührung kommen können, arbeitsvertraglich auf das Datengeheimnis uns anvertrauter Daten und schulen sie im Umgang mit personenbezogenen Daten.
Technische organisatorische Maßnahmen
Pseudonymisierung
In der Datenbank der Applikation werden die personenbezogenen Daten nicht direkt den Personen zugeordnet, sondern als ID’s pseudonymisiert und erst bei einem berechtigten Zugriff in der Software verknüpft
Zugriffssteuerung
Der Zugriff auf die Seiten der Applikation kann mit einer Zugriffskontrolle auf berechtigte Personen beschränkt werden
Der Zugriff auf die Module der Applikation kann mit einer Zugriffskontrolle auf berechtigte Personen beschränkt werden
Durch diese Zugriffskontrollen kann gewährleistet werden, dass nur berechtigte Nutzer Zugriff auf personenbezogene Daten haben und diese verarbeiten.
Sämtliche Datenverarbeitenden Geräte (Server und Clients) sind mit persönlichen Passwörtern gegen Zugriff durch Dritte abgesichert
Verschlüsselung
Die Datenverbindung zwischen den Nutzern und der Applikation ist mit TLS https://de.wikipedia.org/wiki/Transport_Layer_Security verschlüsselt
Sämtliche administrativen Zugriffe auf die Server sind durch SSH https://de.wikipedia.org/wiki/Secure_Shell verschlüsselt
Passworte werden nicht in der Applikation gespeichert, sondern lediglich deren mit SALT https://de.wikipedia.org/wiki/Salt_(Kryptologie) und SHA2 https://de.wikipedia.org/wiki/SHA-2 non rekursiv verschlüsselten Repräsentationen.
IT Architektur
die Webserver stehen in einer DMZ https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
die Datenbankserver befinden sich in einem gesicherten Bereich, der nicht öffentlich erreichbar ist
die Infrastruktur wird komponentenweise und Ende-zu-Ende mit NAGIOS https://de.wikipedia.org/wiki/Nagios überwacht. Es sind entsprechende Alarmierungsmechanismen eingerichtet, um die Administratoren über Incidents der Infrastruktur zu informieren
der Server ist durch eine mehrstufige (Rechenzentrum, Host, virtuelle Maschine) Firewall https://de.wikipedia.org/wiki/Firewall gegen unberechtigte Zugriffe geschützt
Rechenzentrum;
Gewährleistung der
Vertraulichkeit
Verfügbarkeit
Belastbarkeit der Systeme
Der Server, auf dem die IDA Cloud betrieben wird, wird in einem Rechenzentrum der Hetzner Online AG in Nürnberg https://www.hetzner.de/unternehmen/rechenzentrum/ gehostet, das nach ISO 27.0001 https://de.wikipedia.org/wiki/ISO/IEC_27001 zertifiziert ist. Der Server ist mit redundanten Komponenten ausgelegt (redundante Festplatten (RAID 1), redundante Netzteile, ECC Speicher) und wird dediziert durch die IDALABS GmbH & Co. KG genutzt; nicht durch Dritte.
Die Hetzner Online AG hat mit der IDALABS GmbH & Co. KG dazu einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen:
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Interne Evaluierung im Rahmen der wöchentlichen Deploymentzyklen und Integrationstests
Die Überprüfung der Vereinbarungen aus dem Auftragsverarbeitungsvertrag mit der Hetzner Online AG erfolgt durch regelmäßige Audits des TÜV Rheinland. Die Prüfberichte liegen uns vor und können bei Bedarf eingesehen werden.
Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
die Datenbanken, die personenbezogene Daten enthalten, werden täglich auf einen Server gesichert, der sich in den Räumlichkeiten des Unternehmens befindet.
Bei Datenverlust können die Daten mit den Methoden, die auch im regelmäßigen Deploymentzyklus Anwendung finden, wieder eingespielt werden
Diese Datenschutzhinweise wurden erstellt von
Tobias Gürtler
IDALABS GmbH & Co. KG (Datenverarbeitende Stelle)
0173 - 240 63 12
tobias.guertler@idalabs.de