Datenschutzhinweise

Wir verpflichten unsere Mitarbeiter, die im Rahmen ihrer Aufgabenerfüllung mit personenbezogenen Daten unserer Kunden in Berührung kommen können, arbeitsvertraglich auf das Datengeheimnis uns anvertrauter Daten und schulen sie im Umgang mit personenbezogenen Daten.

Technische organisatorische Maßnahmen

Pseudonymisierung

• In der Datenbank der Applikation werden die personenbezogenen Daten nicht direkt den Personen zugeordnet, sondern als ID’s pseudonymisiert und erst bei einem berechtigten Zugriff in der Software verknüpft

Zugriffssteuerung

• Der Zugriff auf die Seiten der Applikation kann mit einer Zugriffskontrolle auf berechtigte Personen beschränkt werden

• Der Zugriff auf die Module der Applikation kann mit einer Zugriffskontrolle auf berechtigte Personen beschränkt werden

Durch diese Zugriffskontrollen kann gewährleistet werden, dass nur berechtigte Nutzer Zugriff auf personenbezogene Daten haben und diese verarbeiten.

Sämtliche Datenverarbeitenden Geräte (Server und Clients) sind mit persönlichen Passwörtern gegen Zugriff durch Dritte abgesichert

Verschlüsselung

• Die Datenverbindung zwischen den Nutzern und der Applikation ist mit TLS https://de.wikipedia.org/wiki/Transport_Layer_Security verschlüsselt

• Sämtliche administrativen Zugriffe auf die Server sind durch SSH https://de.wikipedia.org/wiki/Secure_Shell verschlüsselt

• Passworte werden nicht in der Applikation gespeichert, sondern lediglich deren mit SALT https://de.wikipedia.org/wiki/Salt_(Kryptologie) und SHA2 https://de.wikipedia.org/wiki/SHA-2 non-rekursiv erzeugte Hash Warte.

IT Architektur

• die Webserver stehen in einer DMZ https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)

• die Datenbankserver befinden sich in einem gesicherten Bereich, der nicht öffentlich erreichbar ist

• die Infrastruktur wird komponentenweise und Ende-zu-Ende mit NAGIOS https://de.wikipedia.org/wiki/Nagios überwacht. Es sind entsprechende Alarmierungsmechanismen eingerichtet, um die Administratoren über Incidents der Infrastruktur zu informieren

• der Server ist durch eine mehrstufige (Rechenzentrum, Host, virtuelle Maschine) Firewall https://de.wikipedia.org/wiki/Firewall gegen unberechtigte Zugriffe geschützt

Rechenzentrum;

Gewährleistung der

• Vertraulichkeit

• Verfügbarkeit

• Belastbarkeit der Systeme

Der Server, auf dem die IDA Cloud betrieben wird, wird in einem Rechenzentrum der Hetzner Online AG in Nürnberg https://www.hetzner.de/unternehmen/rechenzentrum/ gehostet, das nach ISO 27.0001 https://de.wikipedia.org/wiki/ISO/IEC_27001 zertifiziert ist. Der Server ist mit redundanten Komponenten ausgelegt (redundante Festplatten (RAID 1), redundante Netzteile, ECC Speicher) und wird dediziert durch die IDALABS GmbH & Co. KG genutzt; nicht durch Dritte.

Die Hetzner Online AG hat mit der IDALABS GmbH & Co. KG dazu einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO geschlossen:

Open

Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

• Interne Evaluierung im Rahmen der wöchentlichen Deploymentzyklen und Integrationstests

• Die Überprüfung der Vereinbarungen aus dem Auftragsverarbeitungsvertrag mit der Hetzner Online AG erfolgt durch regelmäßige Audits des TÜV Rheinland. Die Prüfberichte liegen uns vor und können bei Bedarf eingesehen werden.

Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

• die Datenbanken, die personenbezogene Daten enthalten, werden täglich auf einen Server gesichert, der sich in den Räumlichkeiten des Unternehmens befindet.

• Bei Datenverlust können die Daten mit den Methoden, die auch im regelmäßigen Deploymentzyklus Anwendung finden, wieder eingespielt werden

Diese Datenschutzhinweise wurden erstellt von

Tobias Gürtler
IDALABS GmbH & Co. KG (Datenverarbeitende Stelle)

0173 - 240 63 12
tobias.guertler@idalabs.de