Zuletzt bearbeitet vor 7 Monaten
von Margit Link-Rodrigue

Info:Trust and Safety/Datenschutz und Informationssicherheit und Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit: Unterschied zwischen den Seiten

(Unterschied zwischen Seiten)
Keine Bearbeitungszusammenfassung
Markierung: 2017-Quelltext-Bearbeitung
 
Keine Bearbeitungszusammenfassung
Markierung: 2017-Quelltext-Bearbeitung
 
Zeile 1: Zeile 1:
Hier finden Sie die wichtigsten Informationen zu den Themen Datenschutz und Informationssicherheit rund um die Software BlueSpice.
Hier erklären wir Ihnen die Konzepte unserer Cloud Services.
==Sicherheitsprinzipien unserer Cloud Services==
*'''100 Prozent EU-DSGVO-konform''': Die vollständige Umsetzung des EU-Rechts (v.a. Datensparsamkeit, keine Speicherung außerhalb der EU und nur bei Unternehmen in der EU) ist für uns selbstverständlich. Mehr dazu finden Sie unter [[Info:Trust and Safety/Zertifizierung und Compliance|Zertifizierung und Compliance]].
*'''Sichere "Public Cloud"''': Jeder unserer Kunden hat seine eigene Datenhaltung, insbesondere im Dateisystem und in der Datenbank. Die Instanzen teilen sich jedoch die Services, z.B. den Datenbankservice, den Suchservice oder die PDF-Erstellung. Alle genutzten Dienste sind mandantenfähig, so dass sichergestellt ist, dass keine Daten von einer Instanz in die andere gelangen können. Die Cloud wird zentral von Hallo Welt! administriert. Updates werden zentral eingespielt. Die Instanzen teilen sich die Server-Ressourcen.
*'''Authentifizierung und Autorisierung''': Die Abfrage von Berechtigungen und die Vergabe von Benutzergruppenrechten wird von BlueSpice durch eine Reihe von Maßnahmen unterstützt. Eine genauere Beschreibung finden Sie hier:  [[Info:Trust and Safety/Software - Sicherheit und Zuverlässigkeit|Software - Sicherheit und Zuverlässigkeit.]]
*'''Zugriffsbeschränkung für Hallo Welt! bzw. deren Dienstleister''': Als Betreiber der Cloud muss Hallo Welt! in der Lage sein, den unterbrechungsfreien Betrieb der Cloud-Infrastruktur sowie der Kundeninstanzen dauerhaft zu gewährleisten. Dazu kann es notwendig sein, sich auf die Server aufzuschalten. Wenn wir aber Zugriff auf die Server haben, haben wir theoretisch auch Zugriff auf die Kundendaten. Daher ist dieser Zugriff streng reglementiert und auf sehr wenige Mitarbeiter mit hoher Vertrauenswürdigkeit und Verschwiegenheitspflicht beschränkt. Externe Dienstleister von Hallo Welt! haben zu keinem Zeitpunkt Zugriff auf die Daten in der Cloud.
*'''Verschlüsselung''': Wir unterstützen software- und serverseitige Verschlüsselungsverfahren. Lesen Sie hierzu mehr unter: [[Info:Trust and Safety/Software - Sicherheit und Zuverlässigkeit|Software - Sicherheit und Zuverlässigkeit.]]


=== Erklärungen, Verträge und Verzeichnisse ===
== Kontinuierliche Verbesserung der bereitgestellten Software ==
Hallo Welt! gewährleistet die Einhaltung der einschlägigen '''Datenschutzgesetze'''. Für ein Unternehmen in Deutschland sind dies die '''EU-Datenschutz-Grundverordnung''' (EU-DSGVO) sowie ergänzende Regelungen im '''Bundesdatenschutzgesetz''' (BDSG) sowie weitere datenschutzrechtliche Regelungen beim Umgang mit personenbezogenen Daten (u.a. das grundrechtlich verbürgte Recht auf informationelle Selbstbestimmung). Diese Regelungen erfordern die Bereitstellung dieser Unterlagen:
Unsere Software BlueSpice wird ständig weiterentwickelt und verbessert. Um diese Änderungen zeitnah in die Cloud ausliefern zu können, setzen wir folgende Mechanismen ein:
 
*'''Continuous Delivery''': Änderungen in der Cloud werden regelmäßig wöchentlich durchgeführt. Bei Bedarf erfolgen Updates auch häufiger.
* [https://bluespice.com/de/datenschutz/ '''Datenschutzerklärung'''] für die Nutzung unserer Websites und Online-Dienste
*'''Automatisierte Tests von Software und Infrastruktur''': Jede Änderung am System wird durch automatisierte Tests abgesichert.
* [https://bluespice.com/de/vertraege-und-richtlinien/ '''Vertrag über Auftragsverarbeitung'''] für unsere Kunden mit der '''Erklärung zu den technisch-organisatorischen Maßnahmen (TOM)''' und der '''Liste unserer Unterauftragsnehmer'''.
*'''Betrieb einer Qualitätssicherungsumgebung''': Jede Änderung am System wird in einer baugleichen Qualitätssicherungsumgebung vorgetestet und erst nach erfolgreichem Test in die Produktionsumgebung eingespielt.
Wie Hallo Welt! mit weiteren '''Richtlinien, Zertifizierungen und Standards''' umgeht, erfahren Sie auf der Seite [[Info:Trust and Safety/Zertifizierung und Compliance|Zertifizierung und Compliance.]]
*'''Automatisierte Auslieferung''': Änderungen werden automatisiert über unsere Deployment-Queue ausgeliefert. Im Fehlerfall kann so schnell auf eine Vorgängerversion zurückgegriffen werden.
 
*'''Hotfix-Fähigkeit''': Durch automatisierte Tests und Auslieferung können wir einen Hotfix innerhalb von 4 Stunden in die Produktionsumgebung übernehmen.
=== Technische Features in der Software BlueSpice ===
==Business Continuity Konzept==
Darüber hinaus bietet BlueSpice eine Reihe von Funktionen, die den Datenschutz und die Informationssicherheit gewährleisten:  
Folgende Maßnahmen schützen unsere Kunden vor Schäden und Unterbrechungen der Cloud Services:
 
*Hallo Welt! '''überwacht die Verfügbarkeit und Performance''' der Cloud-Infrastruktur und '''informiert auf einer [https://status.bluespice.com/w/index.php/Main_Page Status-Seite] über den aktuellen Status''' der Services, über Ausfallzeiten und Wartungsfenster.
'''Authentifizierung'''  
*Die Dienste werden im Fehlerfall '''automatisch neu gestartet'''.
 
*Alle '''Daten werden stündlich gesichert'''. Wir sichern 4 Stunden und 7 Tage. Die täglichen Backups werden in einem separaten Rechenzentrum gespiegelt. Die Backups sind verschlüsselt.
BlueSpice unterstützt verschiedenste Authentifizierungsmechanismen, um Ihren Sicherheitsanforderungen gerecht zu werden. Neben der [https://bluespice.com/services/configuration/connections/ Anbindung] von Nutzerverzeichnissen über LDAP kann auch Single-Sign-On über Kerberos oder SAML realisiert werden. Auch der Einsatz einer Zwei-Faktor-Authentifizierung ist möglich. Erfahren Sie mehr zum Thema Benutzerauthentifizierung unter: [[Info:Trust and Safety/Software - Sicherheit und Zuverlässigkeit|Software - Sicherheit und Zuverlässigkeit]].
*Hallo Welt! führt '''Desaster- und Recovery-Tests''' für ihre Cloud-Infrastruktur durch; die RTO (Recovery Time Objective) beträgt 4 Stunden.
 
*Die Hallo Welt! '''überprüft und verbessert''' regelmäßig ihre '''Sicherheitsmaßnahmen'''.
'''Rechtemanagement'''
*Hallo Welt! führt ein '''Notfallhandbuch''', das alle existenziellen Bedrohungen für die Infrastruktur und den Umgang damit abdeckt.
 
*Hallo Welt! führt ein '''Risikoregister'''.
BlueSpice erlaubt die Unterscheidung von Benutzern, Gruppen, Rollen und Rechten. Weiterhin wird grundsätzlich zwischen anonymen Wiki-Besuchern ohne Account und angemeldeten Wiki-Benutzern mit Account  unterschieden. Typische Rollen für Wiki-Benutzer sind:
 
* Leser dürfen Inhalte lesen und kommentieren.
* Editoren dürfen zusätzlich Inhalte bearbeiten.
* Reviewer dürfen zusätzlich Inhalte freigeben.
* Administrator darf zusätzlich Einstellungen am Wiki vornehmen.
 
Gruppen, Rollen und Rechte sind grundsätzlich konfigurierbar. Die Handhabung ist in unserem [[Handbuch:Konzept_Rechteverwaltung|Adminhandbuch]] beschrieben.
 
'''Privacy Center'''
 
Generell protokolliert eine Wiki-Software wie BlueSpice alle Benutzeraktionen, einschließlich Lesezugriffe, Schreibzugriffe und administrative Aktionen. Um nun auch den Anforderungen der EU DSGVO Rechnung zu tragen, verfügt BlueSpice über die Funktion Privacy Center. Damit haben Wiki-Nutzer:innen haben diese Möglichkeiten:
 
* Anonymisierung z. B. durch Unkenntlichmachung des Namens,
* Anforderung sämtlicher gespeicherter Daten,
* Auskunft über die im System erfassten Daten und Exportmöglichkeit,
* Zustimmung zur bzw. Ablehnung der Datenschutzbestimmung und der Cookie-Richtlinien,
* Löschung des Benutzerkontos.
 
Eine genauere Beschreibung der Funktionen finden Sie [https://en.wiki.bluespice.com/wiki/Manual:Extension/BlueSpicePrivacy im BlueSpice-Helpdesk].
 
'''Stand-alone-Fähigkeit'''
 
BlueSpice kann ohne Zugriff auf externe Quellen betrieben werden. Es fließen so keine Informationen an externe Dienstleister ab. Daher kann BlueSpice auch in nach außen geschlossenen Intranets eingesetzt werden. Ein Internetzugang ist zum Betrieb von BlueSpice empfohlen, aber nicht zwingend notwendig.
 
{{Textbox|boxtype=important|header=|text=Bitte beachten Sie, dass die Free-Edition einen reduzierten Funktionsumfang hat.|icon=yes}}
 
=== Technischer Zugriff auf Kundensysteme ===
'''In der Cloud gehostete Systeme'''
 
In unserer Cloud-Infrastruktur haben nur Benutzer mit den vom Kunden zugewiesenen Rechten Zugriff auf die Daten im Wiki. Ein Zugriff des Kunden oder Dritter auf den Server ist nicht möglich. Die Zugriffsbeschränkungen für Hallo Welt! bzw. deren Dienstleister sind hier erläutert: [[Info:Trust and Safety/Cloud - Sicherheit und Zuverlässigkeit|Cloud - Sicherheit und Zuverlässigkeit]].
 
'''Vom Kunden gehostete On-Premises-Systeme'''
 
Bei On-Premises-Systemen werden die Daten in der Infrastruktur des Kunden gespeichert, der damit auch die Verantwortung für alle Fragen des Datenschutzes und der Informationssicherheit trägt. Bei der Arbeit an On-Premises-Systemen richten wir uns weitestgehend nach den Anforderungen unserer Kunden und nutzen deren Infrastruktur. Hallo Welt! selbst nutzt SSH-Zugänge, VPN und Teamviewer als Technologien. Darüber hinaus ist der Zugriff über Schnittstellen möglich, die uns vom Kunden zur Verfügung gestellt werden.
* Gängige Remote-Acccess-Tools die von uns verwendet werden können:
** VPN+SSH/VPN+RDP
** Teamviewer
** Microsoft Teams
** Webex
** Fastviewer
* Gängige VPN-Clients sind:
** OpenVPN
** SecurePulse
** FortiNet
* Datenübertragung: Zur Übertragung größerer Datenmengen, beispielsweise für Migrationen oder Backups, stellt Hallo Welt! GmbH eine [https://nextcloud.com/de/ Nextcloud]-Instanz bereit.
 
=== Mitarbeiter und Unterauftragnehmer ===
Die Mitarbeiter und Mitarbeiterinnen der Hallo Welt! GmbH erbringen ihre Leistungen in Deutschland und Polen. Daüber hinaus arbeiten wir mit externen Dienstleistern in der Ukraine, Indien und Neuseeland zusammen, die jedoch ausschließlich an der Produktentwicklung (nicht an Kundensystemen oder bei der Verarbeitung von Daten) beteiligt sind. Nach Rücksprache mit dem Kunden kann es hiervon Ausnahmen geben.


== Externe Links ==
== Externe Links ==
Weitere Informationen zu den Themen Datenschutz und Informationssicherheit erhalten Sie auf der Produkt-Website:  
Beachten Sie ergänzend unsere Information auf der Produkt-Website:


* [https://bluespice.com/de/produkte/technologie/cloud-hosting/ BlueSpice: Cloud Hosting]
* [https://bluespice.com/de/produkte/haeufig-gestellte-fragen/cloud/ Häufig gestellte Fragen: Cloud]
* [https://bluespice.com/de/produkte/haeufig-gestellte-fragen/cloud/ Häufig gestellte Fragen: Cloud]
* [https://bluespice.com/de/produkte/haeufig-gestellte-fragen/technische-fragen/ Häufig gestellte Fragen: Technik]
* [https://bluespice.com/de/produkte/haeufig-gestellte-fragen/datenschutz/ Häufig gestellte Fragen: Datenschutz]


[[en:Info:Trust_and_Safety/Privacy_and_information_security]]
[[en:Info:Trust_and_Safety/Cloud_-_security_and_reliability]]

Aktuelle Version vom 10. August 2023, 14:53 Uhr

Hier erklären wir Ihnen die Konzepte unserer Cloud Services.

Sicherheitsprinzipien unserer Cloud Services

  • 100 Prozent EU-DSGVO-konform: Die vollständige Umsetzung des EU-Rechts (v.a. Datensparsamkeit, keine Speicherung außerhalb der EU und nur bei Unternehmen in der EU) ist für uns selbstverständlich. Mehr dazu finden Sie unter Zertifizierung und Compliance.
  • Sichere "Public Cloud": Jeder unserer Kunden hat seine eigene Datenhaltung, insbesondere im Dateisystem und in der Datenbank. Die Instanzen teilen sich jedoch die Services, z.B. den Datenbankservice, den Suchservice oder die PDF-Erstellung. Alle genutzten Dienste sind mandantenfähig, so dass sichergestellt ist, dass keine Daten von einer Instanz in die andere gelangen können. Die Cloud wird zentral von Hallo Welt! administriert. Updates werden zentral eingespielt. Die Instanzen teilen sich die Server-Ressourcen.
  • Authentifizierung und Autorisierung: Die Abfrage von Berechtigungen und die Vergabe von Benutzergruppenrechten wird von BlueSpice durch eine Reihe von Maßnahmen unterstützt. Eine genauere Beschreibung finden Sie hier: Software - Sicherheit und Zuverlässigkeit.
  • Zugriffsbeschränkung für Hallo Welt! bzw. deren Dienstleister: Als Betreiber der Cloud muss Hallo Welt! in der Lage sein, den unterbrechungsfreien Betrieb der Cloud-Infrastruktur sowie der Kundeninstanzen dauerhaft zu gewährleisten. Dazu kann es notwendig sein, sich auf die Server aufzuschalten. Wenn wir aber Zugriff auf die Server haben, haben wir theoretisch auch Zugriff auf die Kundendaten. Daher ist dieser Zugriff streng reglementiert und auf sehr wenige Mitarbeiter mit hoher Vertrauenswürdigkeit und Verschwiegenheitspflicht beschränkt. Externe Dienstleister von Hallo Welt! haben zu keinem Zeitpunkt Zugriff auf die Daten in der Cloud.
  • Verschlüsselung: Wir unterstützen software- und serverseitige Verschlüsselungsverfahren. Lesen Sie hierzu mehr unter: Software - Sicherheit und Zuverlässigkeit.

Kontinuierliche Verbesserung der bereitgestellten Software

Unsere Software BlueSpice wird ständig weiterentwickelt und verbessert. Um diese Änderungen zeitnah in die Cloud ausliefern zu können, setzen wir folgende Mechanismen ein:

  • Continuous Delivery: Änderungen in der Cloud werden regelmäßig wöchentlich durchgeführt. Bei Bedarf erfolgen Updates auch häufiger.
  • Automatisierte Tests von Software und Infrastruktur: Jede Änderung am System wird durch automatisierte Tests abgesichert.
  • Betrieb einer Qualitätssicherungsumgebung: Jede Änderung am System wird in einer baugleichen Qualitätssicherungsumgebung vorgetestet und erst nach erfolgreichem Test in die Produktionsumgebung eingespielt.
  • Automatisierte Auslieferung: Änderungen werden automatisiert über unsere Deployment-Queue ausgeliefert. Im Fehlerfall kann so schnell auf eine Vorgängerversion zurückgegriffen werden.
  • Hotfix-Fähigkeit: Durch automatisierte Tests und Auslieferung können wir einen Hotfix innerhalb von 4 Stunden in die Produktionsumgebung übernehmen.

Business Continuity Konzept

Folgende Maßnahmen schützen unsere Kunden vor Schäden und Unterbrechungen der Cloud Services:

  • Hallo Welt! überwacht die Verfügbarkeit und Performance der Cloud-Infrastruktur und informiert auf einer Status-Seite über den aktuellen Status der Services, über Ausfallzeiten und Wartungsfenster.
  • Die Dienste werden im Fehlerfall automatisch neu gestartet.
  • Alle Daten werden stündlich gesichert. Wir sichern 4 Stunden und 7 Tage. Die täglichen Backups werden in einem separaten Rechenzentrum gespiegelt. Die Backups sind verschlüsselt.
  • Hallo Welt! führt Desaster- und Recovery-Tests für ihre Cloud-Infrastruktur durch; die RTO (Recovery Time Objective) beträgt 4 Stunden.
  • Die Hallo Welt! überprüft und verbessert regelmäßig ihre Sicherheitsmaßnahmen.
  • Hallo Welt! führt ein Notfallhandbuch, das alle existenziellen Bedrohungen für die Infrastruktur und den Umgang damit abdeckt.
  • Hallo Welt! führt ein Risikoregister.

Externe Links

Beachten Sie ergänzend unsere Information auf der Produkt-Website:

Keine Kategorien vergebenBearbeiten

Diskussionen