Sicherheitszertifikate
Name des Zertifikats
Empolis DIN EN ISO 9001:2015
Empolis ISO/IEC 27001:2017
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
Empolis ISO/IEC 27001:2017
Empolis ISO/IEC 27018:2017
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Nein
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Sonstiges
Maximale Downtime in Stunden
8
Support
Garantierte Antwortzeit des Kunden-Supports
< 3 Arbeitstage
Durchschnittliche Zeit bis zur Problemlösung?
< 4 Arbeitstage
Verfügbarkeit des Kunden-Supports
Übliche Arbeitszeiten (5x8)
Beschreibung der Supportleistungen
Empolis stellt dem Kunden während der Unterstützungszeit eine Hotline für allgemeine technische Anfragen außerhalb eines Entstör- bzw. Fehlerbearbeitungsvorgangs zur Verfügung.
Empolis bietet darüber hinaus die Möglichkeit zur Meldung von Störungen, Anwenderfragen und weiteren Dienstleistungsanfragen via E-Mail oder direkt über das Empolis IT Service Management System.
Werden Trainings angeboten?
Ja
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
By third parties
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Die Auswahl des Infrastrukturanbieters (AWS), Architektur und Backupprozesse der Lösung sowie die operativen Prozesse gewährleisten eine rasche Wiederherstellung der Verfügbarkeit der Kundendaten.
Backups
Beschreibung der Backup-Optionen
Die ist in den AGB, Absatz 5 beschrieben:
1) Die vom Kunden, mittels der Software, gespeicherten Daten werden kalendertäglich zwischen 22:00 und 04:00 (UTC) gesichert. Als Schutz gegen eine versehentliche Löschung von via Empolis-Box eingestellten Daten können diese bis zu 60 Tage nach Löschen wiederhergestellt werden. Nach diesem Zeitraum ist eine Wiederherstellung nicht mehr möglich.
2) Die Datensicherung erfolgt für Datenindexierungssysteme in Form von täglichen Snapshots, die jeweils 30 Tage gesichert sind. Die Sicherung der Ausgangsdaten erfolgt durch eine Versionierung, die bei Änderung und Löschung von Dokumenten die ältere Version für 60 Tage vorhält. Zusätzlich erfolgt eine automatische kontinuierliche Replikation an ein zweites Rechenzentrum innerhalb der Europäischen Union.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Auch die Backups der Systeme mit Kundendaten sind wie die Datenhaltenden Originalsystemen verschlüsselt abgelegt.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Im regelmäßig mit dem Kunden abgeschlossenen Auftragsverarbeitungsvertrag gemäß Art. 28 DS-GVO ist unter "Pflichten des Auftragnehmers" geregelt:
"(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab."
Darüber hinaus ist der Prozess zum Umgang mit Datenpannen und der Meldung an betroffene Personen und Aufsichtsbehörden ausführlich im Datenschutzhandbuch der Empolis Information Management GmbH beschrieben und kann auf Anfrage Kunden übermittelt werden.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Zugriff auf den Services per https. Die Daten werden mit serverseitiger Verschlüsselung der Infrastrukturkomponenten des Anbieters (AWS) abgelegt (S3 Objectstore Verschlüsselung, EBS Verschlüsselung für Festplatten, RDS Verschlüsselung von Datenbanken, Verschlüsselung der Backups).
Optionen für das Key-Management
Encryption keys are managed by the provider
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
a company-wide rights and roles concept is applied
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
a written / electronic contract is offered in accordance with Art 28 DSGVO
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
No
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Certificate on data protection and / or information security (eg ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Im regelmäßig mit dem Kunden abgeschlossenen Auftragsverarbeitungsvertrag ist dazu gereget:
Abschnitt "Pflichten des Auftraggeber":
(3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Mög-lichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Artt. 33 bis 36 DS-GVO genannten Pflichten.
...
(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkon-forme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sons-tigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.
Zusaätzlich im Abschnitt "Anfragen betroffener Personen":
1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftrag-geber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
In den AGB ist dazu geregelt (in "17 Herausgabe von Kundendaten bei Vertragsbeendigung"):
"Mit Beendigung des Vertrages wird die Softwareinstanz für den Kunden deaktiviert und die – in dieser gespeicherten – Kundendaten für die Dauer von 30 Tagen archiviert. Der Kunde kann innerhalb dieser Frist eine Kopie seiner Daten zum Download anfordern. Nach Ablauf der 30 Tage werden die Daten gelöscht, auch wenn noch kein Download erfolgt ist. Die Kundendaten werden in dem in der Software gespeicherten Format zur Verfügung gestellt."
Als Kopien in der Cloud existieren nur verschlüsselte Snapshots zu Backupzwecken (siehe dort), die entsprechend obiger Klausel ebenfalls nach 30 Tagen gelöscht werden.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Yes