Rods&Cones Sicherheitserklärung

Rods&Cones unterhält ein Informationssicherheitsprogramm, das sich auf die Sicherheit und Integrität der Kundendaten konzentriert. Das Informationssicherheitsprogramm umfasst administrative, technische und operative Kontrollen, die der Größe des Unternehmens und der Art der verarbeiteten Informationen angemessen sind.

Überwachung
Rods&Cones überwacht seine Systeme, indem es sicherheitsrelevante Ereignisse protokolliert, verdächtige Aktivitäten meldet und weitere Analysen zu verdächtigen Aktivitäten durchführt.

Logische Zugangskontrolle
Der Zugang zu den Kundendaten wird nach dem Prinzip der geringsten Berechtigung eingeschränkt; der Zugang wird über ein dokumentiertes Zugangsberechtigungsverfahren erteilt.

Überprüfung des Benutzerzugangs
Wir bewerten regelmäßig den Benutzerzugang während des gesamten Lebenszyklus eines Benutzerkontos, von der Erstellung bis zur Beendigung eines Benutzerkontos, um die Angemessenheit der Benutzerkonten sicherzustellen. Jeden Monat erstellt die Anwendung Rods&Cones einen Bericht mit dem Zugriffsrecht (Rolle), der letzten Zugriffszeit und der Zugriffshäufigkeit für jeden Benutzer. Dieser Bericht ist für jedes Konto verfügbar. Der Rods&Cones Platform Operations Manager kann die Rolle ändern oder den Zugang für Account Manager und Super-Admin-Benutzer entziehen, deren Zugang sich geändert hat oder nicht mehr benötigt wird. Die Kontoverwalter können dasselbe für die Benutzer in ihren Konten tun.

Personelle Sicherheit
Rods&Cones stellt qualifizierte Fachkräfte ein, die die Rods&Cones-Schulung zu Sicherheit und Datenschutz absolvieren und eine Vertraulichkeitsvereinbarung, eine Vereinbarung über die akzeptable Nutzung von Informationssystemen und einen Verhaltenskodex unterzeichnen. Personaltransfers führen zu Änderungen in der Zugriffsverwaltung auf der Grundlage der geringsten Privilegien und Rollen.

Management von Zwischenfällen
Rods&Cones unterhält ein Programm zur Verwaltung von Sicherheitsvorfällen, das eine rechtzeitige Reaktion und Benachrichtigung bei Sicherheitsvorfällen vorsieht, um Kundeninformationen entsprechend der Größe des Unternehmens zu schützen.

Politik der Geschäftskontinuität
Alle Rods&Cones-eigenen Informationen werden in SAAS-Systemen in der Cloud gespeichert, wo die Informationen an mehreren Standorten von Datenverarbeitern dupliziert werden. Für die Wiederherstellung der Daten sorgt das Rods&Cones-Team für eine vernünftige Backup-Recovery-Politik.

Software-Sicherheit

Software-Release-Prozess
Dank der SaaS-Architektur gibt es nur eine einzige Version der Rods&Cones Cloud-Infrastruktur.
Der agile Entwicklungsprozess ist auf einen zweiwöchigen Zyklus für kleinere Releases und einen vierteljährlichen Zyklus für größere Releases ausgelegt. Der Prozess bezieht alle Beteiligten des Unternehmens ein und wird durch die neuesten Tools unterstützt.

Passwortsicherheit
Die Passwörter der Benutzer sind mit dem Industriestandard SHA512 verschlüsselt. Wir erzwingen eine 2-Schritt-Verifizierung. Die Mitarbeiter von Rods&Cones haben keinen Zugang zu den Benutzerpasswörtern. Die Anmeldedaten werden immer sicher über HTTPS übertragen.

Physische Sicherheit
Die Daten und Anwendungen werden auf Microsoft Azure gehostet, alles in den Niederlanden. Diese Plattformen entsprechen den strengsten Sicherheitsstandards.

OWASP Top 10
Wir haben unsere Anwendung mit den OWASP Top 10 überprüft.

Verschlüsselung
Die Daten werden mit 256-Bit-AES-Verschlüsselung und serverseitiger Entschlüsselung gespeichert.

Sicherheit im Netz
Rods&Cones hat Firewall-, Intrusion Detection- und Antivirus-Sicherheitskontrollen implementiert, um Kundendaten vor Verlust oder unbefugter Offenlegung zu schützen.

Backups und Disaster Recovery
Wir führen tägliche Backups der Dateisysteme durch, die im Falle einer Katastrophe wieder eingesetzt werden können.

Kommunikation
Alle Web-Verbindungen zu Client-Instanzen sind mit modernster 128-Bit-SSL-Verschlüsselung geschützt. Die Verbindung verwendet TLS 1.2. Die Verbindung wird mit der Chiffre AES_128_GCM verschlüsselt und authentifiziert.

Datenschutzspezifische Sicherheitsmaßnahmen
Die Rods&Cones-Plattform und damit alle gespeicherten personenbezogenen Daten werden auf Microsoft Azure gehostet und gespeichert, zertifiziert nach ISO 27018. Die Daten werden physisch in den Niederlanden gehostet.

Die Authentifizierung und Autorisierung für die Zugangskontrolle basiert auf den Anmeldedaten, kombiniert mit weiteren Einschränkungen auf der Grundlage der IP-Adresse des Absenders und des Ziel-Domänennamens. Die Autorisierung basiert auf Zugriffskontrolllisten, die Administratoren oder Benutzern zugeordnet sind.

Um die in Artikel 32 der GDPR beschriebenen Auflagen zu erfüllen, hat Rods&Cones:

  • verlässt sich darauf, dass Microsoft Ireland Operations Limited Unbefugten den Zugang zu Datenverarbeitungsanlagen, die für die Verarbeitung personenbezogener Daten verwendet werden, verweigert (Zugangskontrolle für Anlagen);
  • stützt sich auf die zuvor beschriebenen Authentifizierungs- und Autorisierungsverfahren, um das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Datenträgern zu verhindern (Datenträgerkontrolle);
  • stützt sich auf Microsoft Ireland Operations Limited und entsprechende Authentifizierungs- und Autorisierungsverfahren, die hier zuvor beschrieben wurden, um die unbefugte Eingabe von Daten und die unbefugte Einsichtnahme, Änderung oder Löschung gespeicherter personenbezogener Daten zu verhindern (Speicherkontrolle);
  • stützt sich auf die zuvor beschriebenen Authentifizierungs- und Autorisierungsverfahren, um die Nutzung von automatisierten Datenverarbeitungssystemen durch Unbefugte mit Hilfe von Datenübertragungseinrichtungen zu verhindern (Benutzerkontrolle);
  • stützt sich auf die zuvor beschriebenen Authentifizierungs- und Autorisierungsverfahren, um sicherzustellen, dass Personen, die berechtigt sind, ein automatisiertes Datenverarbeitungssystem zu nutzen, nur auf die Daten zugreifen können, für die sie eine Zugriffsberechtigung haben (Datenzugangskontrolle);
  • stützt sich auf die zuvor beschriebenen Authentifizierungs- und Autorisierungsverfahren in Verbindung mit Verwaltungsprotokollen und Kommunikationsverschlüsselung, um sicherzustellen, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten unter Verwendung von Datenübertragungseinrichtungen übermittelt wurden oder werden können (Kommunikationskontrolle);
  • stützt sich auf die zuvor beschriebenen Authentifizierungs- und Autorisierungsverfahren in Verbindung mit den gesammelten Daten entlang der Erfassungskette (wie zuvor beschrieben), um sicherzustellen, dass im Nachhinein überprüft und festgestellt werden kann, welche personenbezogenen Daten in automatisierte Datenverarbeitungssysteme eingegeben wurden und wann und von wem die Daten eingegeben wurden (Eingabekontrolle);
  • setzt auf einen verschlüsselten Transport (HTTPS) und/oder verschlüsselte Zip-Dateien, um das unbefugte Lesen, Kopieren, Verändern oder Löschen von personenbezogenen Daten bei der Übertragung von personenbezogenen Daten oder beim Transport von Datenträgern zu verhindern (Transportkontrolle);
  • stützt sich auf Backup-Prozesse, um sicherzustellen, dass die installierten Systeme im Falle einer Unterbrechung wiederhergestellt werden können (Recovery);
  • stützt sich auf regelmäßige Regressionstests, um sicherzustellen, dass die Funktionen des Systems funktionieren, dass das Auftreten von Fehlern in den Funktionen gemeldet wird (Zuverlässigkeit) und dass die gespeicherten personenbezogenen Daten nicht durch eine Fehlfunktion des Systems beschädigt werden können (Integrität).