Wenn personenbezogene Daten in Corporater SaaS gespeichert/gesendet werden, werden sie im Ruhezustand in den Datenbank-Backups verschlüsselt und bei der Übertragung (HTTPS) zwischen dem Endbenutzer und AWS verschlüsselt.
Verschlüsselung von personenbezogenen Daten
Artikel 32 Absatz 1 Satz a GDPR
Vertraulichkeit
Artikel 32 Absatz 1 Buchstabe b GDPR
Physische Zugangskontrolle
AWS gewährt den physischen Zugang zum Rechenzentrum nur genehmigten Mitarbeitern. Alle Mitarbeiter, die Zugang zum Rechenzentrum benötigen, müssen diesen zunächst beantragen und eine gültige geschäftliche Begründung vorlegen. Diese Anträge werden nach dem Prinzip des geringsten Privilegs gewährt, wobei die Anträge angeben müssen, auf welche Schicht des Rechenzentrums die Person Zugriff benötigt, und zeitlich begrenzt sein müssen.
Die Anträge werden von befugtem Personal geprüft und genehmigt, und der Zugang wird nach Ablauf der beantragten Zeit widerrufen. Sobald der Zutritt gewährt wurde, sind die Personen auf die in ihren Berechtigungen angegebenen Bereiche beschränkt.
Fernzugriffskontrolle
Corporater SaaS-Plattform-Infrastruktur und Anwendungsschicht wird aus der Ferne von Corporater SaaS-Abteilung, die ISO 27001 zertifiziert ist zugegriffen. Alle Mitarbeiter, die Zugang zu Corporater SaaS haben, verwenden MFA-Authentifizierung und sichere VPN während aller Operationen.
Die gesamte Verarbeitung der Daten in Corporater SaaS geschieht innerhalb der dedizierten VPC des Kunden, und alle Ressourcen darin (Anwendungsserver und Datenbank) werden ausschließlich für einen Kunden pro VPC verwendet.
Bei Upgrades bieten wir eine separate Sandbox/Testumgebung in derselben VPC an.
Verfügbarkeit und Ausfallsicherheit
Artikel 32 Absatz 1 Buchstabe b GDPR
Die Corporater SaaS-Plattform und ihre AWS-Infrastruktur werden rund um die Uhr von Corporater-Mitarbeitern überwacht, um die Stabilität der verwendeten Komponenten, die Skalierung auf der Grundlage des Datenwachstums und die Betriebszeit für die Endbenutzer zu gewährleisten. Dies beinhaltet die Verhinderung von versehentlicher oder vorsätzlicher Zerstörung oder Verlust, Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Firewall, Berichtsverfahren und Notfallplanung.
Die Stromversorgungssysteme der AWS-Rechenzentren sind so konzipiert, dass sie vollständig redundant sind und ohne Beeinträchtigung des Betriebs 24 Stunden am Tag gewartet werden können. Es werden täglich Backups erstellt, die 30 Tage lang aufbewahrt werden.
Integrität
Artikel 32 Absatz 1 Buchstabe b GDPR
Kontrolle der Datenübertragung
Der gesamte Verkehr zwischen Corporater SaaS und Endbenutzer Web-Browser Zugriff auf die Anwendung, ist verschlüsselt (HTTPS/SSL) mit gültigen Zertifikaten. Alle Integrationen werden in einer Weise gesichert, die vom Kunden akzeptiert wird, z.B. mit VPN-Tunneln oder ggf. Web-Service-Endpunkten auf dem Quellsystem des Kunden.
Kontrolle der Dateneingabe
Der Zugriff auf die Wartung der Plattform oder die Konfiguration der Software wird in eigenen Audit-Logs protokolliert. Die Wartung der Corporater SaaS auf der AWS-Plattform wird innerhalb von AWS protokolliert.
Der Zugang und die Änderungen an der Konfiguration des Kunden werden innerhalb der Corporater Plattform protokolliert und sind jederzeit für die Administratoren des Kunden verfügbar.
Verfahren für die Wiederherstellung im Katastrophenfall
Artikel 32 Absatz 1 Buchstabe c GDPR
Corporater hat im Rahmen der ISO 27001-Zertifizierung und unseres internen Kontrollsystems einen Eskalationsprozess erstellt und definiert, der festhält, wer im Falle einer Netzwerk-, Speicher- oder Rechenstörung, die zu einer Beeinträchtigung des Dienstes und/oder einem Datenverlust führt, zu informieren ist. Ziel dieses Eskalationsprozesses ist es, dass alle Mitarbeiter in einem Zustand der Bereitschaft sind, in dem Disaster-Recovery-Verfahren oder eine Datenwiederherstellung durchgeführt werden müssen, damit die Systeme so schnell wie möglich wiederhergestellt werden können. Darüber hinaus sind das AWS-Rechenzentrum und die Dienste so konzipiert, dass Corporater Notfallwiederherstellungsszenarien anbieten kann, die den Anforderungen von Kunden - von kleinen Unternehmen bis hin zu Großunternehmen - entsprechen.
Verfahren für regelmäßige Prüfungen, Beurteilungen und Bewertungen
Artikel 32 Absatz 1 Buchstabe d DS-GVO; Artikel 25 Absatz 1 DS-GVO
Die Datenschutzorganisation von Corporater führt im Rahmen unserer internen Kontrollverfahren Schulungen, Bewertungen und Evaluierungen durch, die sich an den Kompetenzen der einzelnen Funktionen/Abteilungen und Standorte orientieren. Damit soll sichergestellt und überprüft werden, dass die bestehenden Verfahren an die tatsächliche Situation angepasst sind, dass die Verfahren von allen Mitarbeitern oder Dritten, die Zugang zu personenbezogenen Daten haben, befolgt werden und dass etwaige Sicherheitsverstöße an die zuständige Person gemeldet werden.