Sicherheit bei GDPR Register
GDPR Register nimmt die Sicherheit sehr ernst und wir verbessern kontinuierlich die Sicherheitsfunktionen und -kontrollen.
STANDORT DES RECHENZENTRUMS
Die Anwendung GDPR Register (https://app.gdprregister.eu) wird in der Infrastruktur von Amazon Web Services (AWS) in der Zone EU-Central mit Sitz in Frankfurt, Deutschland, betrieben. Die Infrastruktur von Amazon Web Services wurde für die strengsten branchenspezifischen Standards und Zertifizierungen zertifiziert, darunter:
ISO 27001, ISO 9001, ISO 27017, ISO27018
PCI DSS Level 1
SOC1, SOC2, SOC3
HIPAA, GDPR, FedRAMP, FIPS und mehr.
Hier finden Sie eine vollständige Liste der Zertifizierungen, Vorschriften und Rahmenwerke.
SICHERHEIT DES RECHENZENTRUMS
Die Rechenzentren von AWS (Amazon Web Services) sind von Haus aus sicher, und eine große Anzahl von Kontrollen macht dies möglich. Die Rechenzentren verfügen über modernste physische Sicherheitsvorkehrungen und Zugangskontrollen in einer hochsicheren Umgebung sowie über Sicherheitsmerkmale wie:
24/7 professionelles Sicherheitspersonal, Videoüberwachung und Einbruchmeldeanlagen.
Branderkennung und -unterdrückung, redundante Stromversorgungssysteme und unterbrechungsfreie Stromversorgung (UPS).
Hier finden Sie eine vollständige Liste der Kontrollen in AWS-Rechenzentren.
DATENVERSCHLÜSSELUNG UND KOMMUNIKATION
GDPR Register verwendet AWS RDS (Amazon Relational Database Service) für die Speicherung seiner Daten. Amazon RDS kümmert sich um die Sicherheit und den Datenschutz und bietet eine skalierbare und schnell arbeitende Datenbank.
Alle Daten werden innerhalb der AWS RDS-Datenbank mit AWS KMS (Amazon Key Management Service). verschlüsselt. KMS ist ein sicherer und widerstandsfähiger Dienst, der FIPS 140-2-validierte Hardware-Sicherheitsmodule zum Schutz der Verschlüsselungsschlüssel verwendet.
Alle hochgeladenen Dokumente im Dokumentenspeicher werden in demselben verschlüsselten AWS RDS-Datenbankservice gespeichert.
Alle Verbindungen zum GDPR-Registerdienst verwenden TLS 1.2 Transport Layer Security, wobei alle Daten mit 2048-Bit-RSA-Schlüsseln und SHA256mitRSA als Signaturalgorithmus verschlüsselt werden.
AUTHENTIFIZIERUNG
Neben dem Benutzernamen und dem Passwort ist es möglich, die hochsichere Multi-Faktor-Authentifizierung über das Mobiltelefon des Benutzers zu aktivieren. Während des Anmeldevorgangs wird das Einmal-Passwort als SMS an die Telefonnummer des Benutzers oder in die Authy-Mobilanwendung gesendet. Die Multi-Faktor-Authentifizierung kann in den Benutzereinstellungen aktiviert werden.
Für große Organisationen empfehlen wir die Verwendung der einmaligen Anmeldungsfunktion. Einmalige Anmeldungen verbessern die Authentifizierungssicherheit und ermöglicht es Benutzern, sich mit der Authentifizierungsmethode ihres Unternehmens bei dem Tool anzumelden. Neben dem Komfort bietet es auch eine bessere Kontrolle über die Benutzer. Wenn beispielsweise ein Mitarbeiter ausscheidet, muss er nicht aus dem GDPR Register-Tool entfernt werden. Es reicht aus, wenn der Benutzer in den Unternehmenstools deaktiviert wird und eine weitere Authentifizierung dieses Benutzers im GDPR Register nicht mehr möglich ist.
VERLÄSSLICHKEIT UND DATENSCHUTZ
Um einen äußerst zuverlässigen Service zu bieten, setzt GDPR Register Technologien wie AWS ELB (Amazon Elastic Load Balancing) auf mehreren Anwendungsservern ein, die je nach Systemlast angepasst werden können.
GDPR Register verwendet AWS RDS als Datenbanksystem, das mehrmals am Tag automatische verschlüsselte Datensicherungen erstellt, um Datenverluste zu vermeiden. Als zusätzliche Datenschutzmaßnahme wird täglich eine verschlüsselte Kopie der Daten in das Zone Media-Datenzentrum in Tallinn, Estland (Mitglied der EU), übertragen.
AUDITIERUNG
GDPR Register verfügt über eine Audit Trail-Funktion, die jede Benutzeranmeldung und jede Benutzertransaktion wie das Erstellen, Ändern oder Löschen eines Datensatzes im System protokolliert.
SICHERE ENTWICKLUNGSSTANDARDS
GDPR Register orientiert sich eng an der OWASP Top 10 Most Critical Web Application Security Risks Liste, um Sicherheit durch empfohlene Designprinzipien zu gewährleisten.
ABONNEMENTABRECHNUNG
GDPR Register nutzt Chargebee (https://www.chargebee.com) als Anbieter von Abonnement-Abrechnungsdiensten für die Verwaltung der Abrechnung für Kunden von GDPR Register. Chargebee ist ein nach dem PCI Data Security Standard (PCI DSS) Level 1 zertifizierter Anbieter, der Kreditkartendaten verarbeiten darf.
Sehen Sie sich die vollständige Übersicht der Zertifizierungen und Sicherheitskontrollen von Chargebee an.
SCANNEN AUF SICHERHEITSLÜCKEN UND PATCHING
Wir prüfen und installieren regelmäßig Patches für Software/Dienste von Drittanbietern. Sobald Schwachstellen entdeckt werden, werden die Korrekturen angewendet. Wir führen regelmäßig Schwachstellen-Scans durch, indem wir die Dienste einer autorisierten Software zum Scannen von Schwachstellen in Anspruch nehmen.