Sicherheitsrichtlinien

Transkript

1 Sicherheitsrichtlinien Zuletzt aktualisiert: 14. März 2017 Die Sicherheit Ihrer Daten liegt uns genauso am Herzen wie Ihnen. Die Wahrung der Vertraulichkeit, der Verfügbarkeit und des Schutzes Ihrer Daten hat für uns oberste Priorität. Alle in Meisterplan hinterlegten Kundendaten werden durch strenge Infrastruktur- und Verwaltungsabläufe geschützt. Um das höchste, von Ihrem Unternehmen verlangte Niveau an physischer Sicherheit und Datenschutz zu gewährleisten, unterhält Meisterplan (meisterplan.com- und meisterplan.net-infrastrukturen) eine robuste und umfangreiche mehrstufige Sicherheitsumgebung. 1 Physische Sicherheit Die Meisterplan-Anwendung wird auf AWS EC2-Servern in SOC1-3 getestet und nach ISO27001 zertifizierten Rechenzentren in Oregon, USA, und Frankfurt, Deutschland, gehostet. Die Compliance-Details der AWS-Rechenzentren entnehmen Sie bitte der Seite Eine robuste Firewall stellt eine starke Barriere für die Netzwerksicherheit gegen Bedrohungen aus dem Internet dar. Außerdem greifen wir auf AWS S3-Dienste zurück, um Backup-Dateien zu speichern und zu pflegen. Meisterplan ist vor Distributed Denial of Service (DDoS)-Angriffen geschützt: AWS Shield schützt vor den meist verbreiteten DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Webseiten oder Anwendungen richten. 2 Datenverschlüsselung Für die Verschlüsselung der zwischen Ihrem Gerät und unseren Servern übertragenen Daten stützt sich Meisterplan auf die bewährte TLS-Technologie. TLS-Technologie (Transport Layer Security) schützt Ihre Daten folgendermaßen: Zuerst wird durch vertrauenswürdige Dritte Vertrauen in unsere Server aufgebaut, danach wird ein sicherer Kanal geschaffen, durch den Ihre Daten vor kriminellen Akteuren geschützt in unseren Service gelangen. Darüber hinaus bietet TDE (Transparent Data Encryption) Verschlüsselung auf Dateiebene. Zusätzlich sind Ihre Daten AE2 256 verschlüsselt auf AWS EBS Volumes, auch als Dataat-Rest Verschlüsselungslösung bekannt.

2 3 Anwenderauthentifizierung Jeder Anwender in Ihrer Meisterplan-Umgebung hat einen eindeutigen Anwendernamen. Wir bieten formularbasierte Authentifizierung (Anwendername und Passwort), Google- Authentifizierung und AzureAD-Authentifizierung. Bei einer Authentifizierung durch Google oder AzureAD muss der Anwendername mit der -Hauptadresse des Google- oder Microsoft-Kontos übereinstimmen. Meisterplan erstellt ein Sitzungscookie, mit dem nur die verschlüsselten Authentifizierungsdaten für die Dauer einer bestimmten Sitzung aufgezeichnet werden. Meisterplan verwendet keine Cookies, um andre vertrauliche Anwender- und Sitzungsdaten zu speichern, sondern implementiert stattdessen modernere Sicherheitsmethoden, die dynamische Daten und verschlüsselte Sitzungs-IDs nutzen. Das Sitzungscookie enthält entweder nur den Anwendernamen oder das Passwort des Anwenders. Alle Anmeldeversuche am Konto werden protokolliert und das Konto nach einer bestimmten Anzahl gescheiterter Anmeldeversuche automatisch gesperrt, um mit roher Gewalt vorgehende Angriffe abzuwehren. 4 Betriebsmanagement Die von uns implementierten Richtlinien und Verfahren zielen darauf ab, Ihre Daten zu schützen und an mehreren physischen Standorten zu sichern. Auf die Produktionssysteme und daten von Meisterplan haben nur autorisierte Mitglieder des Technical-Operations-Team von Meisterplan Zugriff. Wir werten neue Sicherheitsbedrohungen fortwährend aus und implementieren aktualisierte Gegenmaßnahmen, die darauf abzielen, unberechtigten Zugriff oder ungeplante Ausfallzeiten zu verhindern. 5 Datenschutzbeauftragter Meisterplan hat einen ständigen und unabhängigen Datenschutzbeauftragten wie in Paragraph 4 des Bundesdatenschutzgesetzes im Falle der Verarbeitung personenbezogener Daten vorgeschrieben. 6 Audit und Gewährleistung Jeglicher administrativer Zugriff auf geschützte Daten wird vierteljährlich durch interne Prüfer überprüft, um zu bestätigen, dass wir diesen Zugriff nur im Rahmen des Kundenservices ausüben. Meisterplan unterhält vertragliche Vereinbarungen mit externen Sicherheitsexperten, um einmal im Jahr Netzwerk- und Anwendungspenetrationstests durchzuführen und in Eigenregie neue Bedrohungsvektoren und Sicherheitslücken zu entdecken.

3 7 Meisterplan-Partner In demselben Maße erwartet Meisterplan von all seinen Partnern die Einhaltung höchster Sicherheitsstandards. Unternehmen, die eine Partnerschaft mit Meisterplan eingehen möchten, werden in einem gründlichen Auswahlverfahren dahingehend geprüft. 8 Offenlegung Sollten Kundendaten betreffende, sicherheitsrelevante Ereignisse eintreten, vertritt Meisterplan eine Politik der vollständigen Offenlegung. In dem unwahrscheinlichen Fall eines sicherheitsrelevanten Ereignisses, das möglicherweise Ihre Daten betrifft, wird Ihr Kontoadministrator benachrichtigt. 9 Bundesdatenschutzgesetz (insbesondere 9,11) Meisterplan implementiert und unterhält verschiedene technische und organisatorische Maßnahmen, um für einen angemessenen Schutz Ihrer Daten zu sorgen ( 11 BDSG zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Auftrag). Diese Maßnahmen stehen im Einklang mit und erfüllen die hohen Anforderungen des Bundesdatenschutzgesetzes. Diese Maßnahmen sind gemäß Definition in der Anlage zu Paragraph 9 des Bundesdatenschutzgesetzes implementiert. Folgende technische und organisatorische Maßnahmen wurden gemäß 9 und der Anlage (zu 9 Satz 1) des Bundesdatenschutzgesetzes ergriffen: 1. Zutrittskontrolle Zur Zutrittskontrolle wurden die folgenden Maßnahmen ergriffen: Zugangskontrolle Eingeschränkte Schlüsselvergabe Türverriegelungsmechanismen Überwachungsvorrichtungen 2. Zugangskontrolle Es wurden die folgenden Maßnahmen zur Nutzerauthentifizierung ergriffen:

4 Passwortsicherheit (i.e. regelmäßige Änderung des Passworts, Mindestanzahl Zeichen, Vorgaben in Bezug auf Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) Automatische Pause nach einer bestimmten Zeit der Inaktivität (z.b. Passwort) Anlegen eines Benutzerstamms pro Nutzer 3. Zugriffskontrolle Das Autorisierungsschema und Zugriffsrechte wurden entsprechend ihrer Protokollierungsanforderungen implementiert: Dedizierte Zugriffsebenen (Profile, Rollen, Transaktionen und Objekte) Auswertung Benachrichtigung 4. Weitergabekontrolle Es wurden alle Maßnahmen ergriffen um sicherzustellen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. In Bezug auf personenbezogene Daten zu beachtende Punkte: Maßnahmen während der Übertragung, des Transports und der Speicherung personenbezogener Daten (manuell oder elektronisch); Überprüfung: Verschlüsselung / VPN (Virtual Private Network) Protokollierung 5. Eingabekontrolle Es wurden alle Maßnahmen ergriffen um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Die Überprüfung und Dokumentation der Datenverarbeitung wird sichergestellt durch: Protokollierung und Analysesysteme

5 6. Auftragskontrolle Es wurden alle Maßnahmen ergriffen um zu gewährleisten, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unmissverständliche Vertragsgestaltung Formalisierte Auftragserteilung zur Verarbeitung personenbezogener Daten 7. Verfügbarkeitskontrolle Personenbezogene Daten sind gegen zufällige Zerstörung oder Verlust geschützt durch Backup-Systeme Spiegelung von Festplatten, z.b. RAID-Technik Unterbrechungsfreie Stromversorgung (USV-Anlagen) Separate Speicherung von Daten Antivirusmaßnahmen / Firewall-Technik 8. Trennungskontrolle Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet. Zu den ergriffenen Maßnahmen gehören: Interne Multi-Mandantenfähigkeit / Zweckbindung Funktionstrennung / Produktivumgebung / Testumgebung 10 Penetrationstests und Sicherheitsübersichtsbericht Penetrationstests der Meisterplan-Internetanwendung wurden und werden regelmäßig von externen Sicherheitsexperten durchgeführt. Nachfolgend finden Sie den neuesten Bericht.

6

7 11 Selbstverpflichtung Sollten Sie bei Meisterplan auf ein Sicherheitsproblem stoßen, zögern Sie bitte nicht, uns unter zu kontaktieren und einen sicherheitsrelevanten Vorfall zu melden. Selbiges gilt auch, wenn Sie vermuten oder fürchten, dass Ihre Meisterplan- Identität kompromittiert oder gestohlen wurde.