Erfahren Sie mehr über unseren Ansatz zur Datenverarbeitung, Datenschutz und Informationssicherheit.
1. Verantwortliche Datenverarbeitung
- Der verantwortliche Datenverarbeiter für die "magicplan" App, Cloud und Website ist Technologies Sensopia Inc., 465 Rue St Jean, Suite #1003, Montréal, Québec, H2Y 2R6, Kanada ("Sensopia").
- enapt GmbH, Goethestr. 25A, 80336 München, Deutschland ("enapt") ist das deutsche Mutterunternehmen von Technologies Sensopia, Inc.
- Sensopia und das verbundene Mutterunternehmen enapt sind gemeinsam verantwortliche Datenverarbeiter. In diesem Zusammenhang haben die Unternehmen in einer Vereinbarung festgelegt, welche von ihnen welche datenschutzrechtlichen Verpflichtungen erfüllt. Der wesentliche Inhalt dieser Vereinbarung ist auf Anfrage bei Sensopia oder enapt erhältlich.
- enapt hat einen externen Datenschutzbeauftragten:
PROLIANCE GmbH / datenschutzexperte.de
Leopoldstr. 21
80802 München
Deutschland
E-Mail: datenschutzbeauftragter@datenschutzexperte.de - Für weitere Fragen oder Anfragen wenden Sie sich bitte an: security@magicplan.app
2. Datenschutzerklärung und GDPR/DSGVO
- Data Protection Information For Applicants
- Information on data protection regarding our processing of customer and prospect data pursuant to Articles 13, 14 and 21 of the General Data Protection Regulation (GDPR)
3. Technische und organisatorische Maßnahmen
3.1 Zugangskontrolle
- Alle Eingänge zum Gebäude sind mit Schlössern gesichert.
- Mitarbeiter erhalten Zugang mit einem registrierten Schlüssel.
- Dienstleister und Freiberufler haben ebenfalls Zugang zum Gebäude mit einem registrierten Schlüssel. Schlüssel werden nur an autorisierte Personen ausgegeben. Es wird dokumentiert, welche Personen Zugang zum Gebäude haben.
- Wenn ein Mitarbeiter oder eine andere autorisierte Person ausscheidet, wird der Schlüssel zurückgegeben und dokumentiert. Besucher müssen klingeln und werden von einem Mitarbeiter an der Tür abgeholt. Fremde Personen bleiben nicht unbeaufsichtigt im Büro.
- Alle Fenster im Büro sind von innen abschließbar.
- Die Server gehören nicht zu Enapt GmbH oder Technologies Sensopia Inc. magicplan wird von Amazon Web Services gehostet. Es gelten die technischen und organisatorischen Maßnahmen der Auftragnehmer. Weitere Informationen finden Sie in Abschnitt 3.10.
3.2 Informationssicherheit
- HR-Dokumente werden in einem abschließbaren Schrank aufbewahrt. Nur für das Personalmanagement verantwortliche Mitarbeiter haben Zugriff darauf.
- Nur autorisierte Personen haben Zugriff auf digitale Dokumente.
- Hardware wird bei längerer Nichtbenutzung weggeschlossen. Papierakten werden bei längerer Nichtbenutzung weggeschlossen.
- Der Hardwarebestand wird dokumentiert und digital erfasst.
- Die Ausgabe und Rückgabe von Hardware an Mitarbeiter wird digital dokumentiert.
- Verschiedene Zugriffsebenen werden geregelt, so dass jeder Mitarbeiter nur die Berechtigungen im IT-System erhält, die er für seine Tätigkeiten benötigt. Es gilt ein Berechtigungskonzept.
- Jeder Mitarbeiter hat ein individuelles Benutzerkonto mit eigenem Passwort.
- Es gibt eine Passwortrichtlinie. Abhängig von der Anwendung wird die Komplexität und Länge des Passworts technisch erzwungen.
- Abhängig von der Anwendung wird das Ändern des Passworts technisch erzwungen und der Benutzerzugriff nach mehreren falschen Eingaben blockiert.
- Es gibt eine zeitgesteuerte automatische Bildschirmsperre der PCs/Laptops.
- Die Mitarbeiter werden angewiesen, ihre Bildschirme beim Verlassen des Arbeitsplatzes zu sperren.
- Das WLAN ist mit WPA 2 verschlüsselt.
- Die Anzahl der Systemadministratoren ist auf das absolute Minimum beschränkt.
- Es gibt eine Clean Desk-Richtlinie.
3.3 Zugangskontrolle
- Protokollierung der Aktivitäten des IT-Systems selbst für alle sicherheitsrelevanten Aspekte auf Betriebssystemebene.
- Protokollierung der Aktivitäten von IT-Administratoren auf der Ebene einzelner Computer.
- Installation neuer Software nur aus dem Apple App Store oder von zertifizierten Entwicklern.
- Software kann nur über ein zentrales Büro bestellt werden und wird über sichere Anbieter gekauft und bezogen.
- Nutzung von mobilen Datenträgern, die vom Unternehmen bereitgestellt und zentral durch die IT-Abteilung gekauft werden. Nur interne Nutzung.
3.4 Auftragskontrolle
- Auftragsverarbeitungsverträge werden gemäß Art. 28 DSGVO abgeschlossen.
- Klare Ausgestaltung der Auftragsverarbeitungsverträge.
- Kontrolle der technischen und organisatorischen Maßnahmen der Auftragnehmer.
- Rückgabe oder Löschung von Daten nach Vertragsbeendigung durch vertragliche Vereinbarungen sichergestellt.
3.5 Trennungskontrolle
- Trennung von Daten, die verschiedene Kunden/Klienten betreffen, durch ein mandantenfähiges System auf Anwendungsebene.
- Trennung von Daten, die für unterschiedliche Zwecke verarbeitet werden, durch ein mandantenfähiges System auf Anwendungsebene oder durch den Einsatz verschiedener Anwendungen mit unterschiedlicher Datenspeicherung.
- Es gibt ein Löschkonzept.
3.6 Übertragungskontrolle
- WLAN-Backup gemäß dem WPA2-Standard.
- Privates WLAN verfügbar.
- SSL-Datenverschlüsselung beim elektronischen Datenverkehr.
- Die E-Mail-Kommunikation ist mit einer Transportverschlüsselung versehen.
- Sensible Daten werden in verschlüsselten ZIP-Ordnern übertragen.
- Entsorgung unnötiger Papierakten mit einem Aktenvernichter.
- Entsorgung von Daten-CDs/DVDs mit einem Aktenvernichter.
3.7 Verfügbarkeit und Widerstandsfähigkeit (Artikel 32 Absatz 1 Buchstabe b DSGVO)
- Relevante Daten stehen als Cloud-Backup zur Verfügung und werden von autorisierten Personen redundant gespiegelt.
- Feuerlöscher, Überspannungsschutz, Rauchmelder vor Ort.
- Es gibt einen Notfallplan für den Ausfall der IT-Infrastruktur.
- Es gibt einen Notfallplan für Datenschutzverletzungen.
- Es gibt klare Meldekanäle für Notfälle (sowohl IT-Notfälle als auch Datenschutzverletzungen).
- Benachrichtigung der IT-Administratoren im Falle von Störungen des IT-Systems.
3.8 Organisationskontrolle
- Alle Mitarbeiter sind zur Vertraulichkeit verpflichtet.
- Alle Mitarbeiter haben eine Schulung zum Datenschutz absolviert.
- Es gibt eine Datenschutzrichtlinie.
- Es wurde ein Verfahren zur Risikobewertung und Risikomanagement festgelegt und dokumentiert.
- Es gibt eine Richtlinie für die Arbeit im Homeoffice.
- Es gibt eine Richtlinie für die Nutzung des Unternehmensinternetzugangs und des Unternehmens-E-Mail-Kontos.
3.9 Wirksamkeitsprüfungen
- Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
- Regelmäßige Überwachung, ob und inwieweit bestehende Maßnahmen den Anforderungen und der Unternehmensentwicklung entsprechen. Darüber hinaus werden Berechtigungen, verwendete Hardware usw. im Einzelfall überprüft und angepasst (z. B. Mitarbeiterwechsel).
- Nach Meldungen von Partnern/Dienstleistern werden ereignisbezogene Analysen der vorliegenden Protokolle durchgeführt.
- Die Wartung der internen Systeme liegt in der Verantwortung eines geschulten IT-Spezialisten (interne Mitarbeiter) für Systemintegration.
- Ungewöhnliche Ereignisse und Warnmeldungen werden dem Management gemeldet und geeignete Maßnahmen ergriffen.
- Externe Dienstleister führen alle zwei Jahre eine Prüfung durch.
- Penetrationstests werden auf der Grundlage der Anwendung durchgeführt.
3.10 Hosting, Standort des Rechenzentrums und Infrastruktur
- Die Daten werden in den Vereinigten Staaten in Rechenzentren von Amazon Web Services gehostet.
- Die Rechenzentren und Netzwerkarchitektur von AWS erfüllen die Anforderungen der sicherheitsbewusstesten Organisationen. AWS-Kundenvereinbarung: https://aws.amazon.com/agreement/
- AWS verfügt über Zertifikate im Zusammenhang mit der ISO 27001-Zertifizierung, der ISO 27017-Zertifizierung und der ISO 27018-Zertifizierung.
- AWS hat robuste technische und organisatorische Maßnahmen für das AWS-Netzwerk implementiert und wird diese aufrechterhalten. Weitere Informationen zur AWS-Cloud-Sicherheit: https://aws.amazon.com/security/
- AWS wird seine Kunden unverzüglich über einen Sicherheitsvorfall informieren, sobald er bekannt wird.
- Das Zusatzdokument zur Datenverarbeitung nach der DSGVO von AWS wurde abgeschlossen: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf
- AWS wird Kundendaten nur gemäß den Anweisungen des Kunden verarbeiten. Das Zusatzdokument zu Kunden-Datenanfragen wurde abgeschlossen: https://d1.awsstatic.com/Supplementary_Addendum_to_the_AWS_GDPR_DPA.pdf
3.11 Anwendungssicherheit und -gewährleistung
- Der Zugriff auf Live-Datenbanken wird den Entwicklern auf Grundlage eines Need-to-know-Prinzips übergeben, abhängig von der Genehmigung des CEO.
- Eine Liste der Mitarbeiter, die zum Zugriff auf Kundendaten berechtigt sind, ist verfügbar und wird regelmäßig aktualisiert.
- Daten zwischen Apps und Systemen werden ausschließlich unter Verwendung von Verschlüsselungstechnologie nach Industriestandard übertragen.
- Die Mitarbeiter wurden für die Einhaltung der DSGVO geschult und haben sich explizit dazu verpflichtet.
- Zugriffsberechtigungen werden unter Verwendung von Verschlüsselungstechnologie für Zugriffsinformationen gespeichert und organisiert, und es werden klare Zugriffsrechte festgelegt.
3.12 Backoffice-Anwendungen von Drittanbietern
- HubSpot
- Monday.com
- ClickUp
- Aircall
- Apollo
- Tableau
- Google G Suite
- MailJet
- Slack
- Sentry
- Segment
- Google Firebase
- Microsoft Office 365
4. Häufig gestellte Fragen
Welche sind die wichtigsten Aspekte Ihres Cybersecurity-Programms?
- magicplan verfügt über ein Cybersecurity-Programm, das von dafür zuständigem Personal sowie einem externen Datenschutzberater überwacht und verwaltet wird.
- Wir überwachen regelmäßig nach bösartigen oder unbekannten Aktivitäten.
- Wir dokumentieren Systemkonfigurationsänderungen und überwachen Benutzerzugriffsebenen.
- Unser Server-Administrator wendet vertraglich dokumentierte Sicherheitsupdates monatlich auf den Produktionsservern an.
- magicplan-Mitarbeiter verwenden immer dann eine Zwei-Faktor-Authentifizierung, wenn dies möglich ist.
- Es werden für die Produktion oder Wartung von magicplan keine Telekommunikationsgeräte oder -dienste verwendet, die in der Liste der ausgeschlossenen Parteien im System for Award Management (SAM) der US-Regierung (https://www.sam.gov) aufgeführt sind.
- Alle magicplan-Mitarbeiter absolvieren jährlich zertifizierte Cybersicherheitsschulungen.
Wie ist die technische Architektur der magicplan-App und -Cloud?
- Alle Daten werden auf dem mobilen Gerät des Benutzers (Android oder Apple iOS) gespeichert und dann mit der von Amazon Web Services gehosteten Infrastruktur synchronisiert.
- Die Daten werden verschlüsselt übertragen.
- magicplan speichert keine Kundendaten auf eigenen Servern.
Wie wird der Zugriff auf das System und die Daten gehandhabt?
- Zugriff auf magicplan für Endbenutzer: Alle Konten sind durch Passwörter geschützt.
- Obligatorische E-Mail-Bestätigung für jeden magicplan-Benutzer zur Authentifizierung des Benutzers.
- Administratoren eines Arbeitsbereichs haben Zugriff auf alle Projekte ihrer Endbenutzer innerhalb dieses Arbeitsbereichs.
- Team-Administratoren haben Zugriff auf alle Projekte ihrer Endbenutzer innerhalb dieses spezifischen Teams.
- Arbeitsbereichsadministratoren können Benutzer eigenständig hinzufügen und entfernen.
- Technisch:
- magicplan wird Kundendaten nur gemäß unserer Lizenzvereinbarung, Datenschutzrichtlinien und Geschäftsbedingungen verarbeiten.
- Anonymisierte Daten werden zur Bewertung der Produktleistung und zur Produktverbesserung verwendet.
Bieten Sie Single Sign-on mit Google oder Active Directory an?
SSO ist für Enterprise-Kunden über SAML/OAuth möglich.
Wo werden die Daten gespeichert?
- Die Daten werden innerhalb der Vereinigten Staaten auf der Amazon Web Services-Hosting-Infrastruktur gespeichert.
- AWS-Rechenzentren und Netzwerkarchitektur erfüllen die Anforderungen der sicherheitsbewusstesten Organisationen.
Haben magicplan-Entwickler Zugriff auf Daten oder Bilder von Benutzern?
- Personalisierte Benutzerdaten sind nur auf "Need-to-know"-Basis für geschultes technisches Personal zugänglich, d. h. Mitarbeiter im Kundensupport und technischem Support.
- Da Technologies Sensopia Inc eine Tochtergesellschaft der in Deutschland ansässigen enapt GmbH ist, behandelt magicplan personenbezogene Daten in Übereinstimmung mit der DSGVO und erfüllt daher die höchsten Standards für Informationssicherheit beim Umgang mit personenbezogenen Daten.
- Alle Mitarbeiter sind in Informationssicherheit und Datenschutzbewusstsein geschult, und es gibt Onboarding-/Offboarding-Checklisten.
Wie sind Ihre Praktiken für Development Security Operations?
- Es gilt eine klare und strenge Zugriffsverwaltung.
- security@magicplan.app wird als Postfach für alle sicherheitsrelevanten Informationen verwendet.
- Jede Anfrage wird schnell und gründlich geprüft, vertrauliche Offenlegungen werden mit Prämienzahlungen belohnt.
- Serversysteme werden auf Verfügbarkeit überwacht.
- Es ist eine AWS Web Application Firewall eingerichtet, um verdächtige Aktivitäten zu erkennen und zu verhindern.
- Es gibt eine Fehlerüberwachung auf Anwendungsebene, die zentral gesammelt wird. Probleme werden ständig überwacht und verfolgt.
- Es werden halbjährliche automatisierte Penetrationstests durchgeführt.
Wie schützen Sie die Anwendung in der Produktion vor unbefugten Änderungen?
- Die Produktionsumgebungen sind nur für autorisierte Mitarbeiter zugänglich, die für Bereitstellungen und Wartung verantwortlich sind.
- Autorisierte Mitarbeiter werden dokumentiert.
- Für den Zugriff auf Produktions-Hosting-Konten ist eine MFA erforderlich.
- Wir verwenden personalisierte Konten für den Produktionszugriff und nur mit öffentlichen/privaten Schlüsseln.
- Ein Verwaltungsunternehmen wurde beauftragt, die Systeme zu überwachen und regelmäßige Sicherheitsupdates durchzuführen.
Wie stellen Sie die Trennung zwischen Entwicklung und Produktion sicher?
- Die gesamte Entwicklungsumgebung ist lokal reproduzierbar für die Entwicklung mit Hilfe einer Reihe von Docker-Containern.
- Für Entwickler ist kein Zugriff auf Staging- oder Produktionssysteme erforderlich, um an den Systemen zu arbeiten und ihren Code zu testen.
- magicplan verfügt über ein Produktionssystem und ein Staging-System. Es gibt keine Abhängigkeiten zwischen ihnen. Sie sind technisch so nah wie möglich beieinander, werden jedoch mit vollständig getrennten AWS-Konten verwaltet.
- magicplan verwendet getrennte Anmeldeinformationen für externe Systeme (z. B. separate Konten für Zahlungsanbieter).
Haben Sie einen sicheren Codierungsstandard?
- Der Code wird von mindestens einem Peer vor der Zusammenführung überprüft.
- Wir halten unsere technischen Abhängigkeiten aktuell, um Sicherheitspatches so schnell wie möglich zu erhalten.
- Wir bemühen uns, die Frameworks in sicherheitstechnischer Hinsicht voll auszunutzen (z. B. CORS-Middleware).
- Das Scannen nach OWASP ist Teil regelmäßiger Penetrationstests.
- Der Code wird überprüft und statisch analysiert, um insbesondere frühzeitig Fehler zu erkennen.
- Es ist ein zentrales Berechtigungsprüfungsmodul vorhanden, um die Trennung von Kundendaten sicherzustellen.
Welche Prozesse gibt es für die Sicherheitstests des Codes?
- Regelmäßig geplante Code-Reviews.
- Aufgaben und Änderungen werden manuell auf sicherheitsrelevante Änderungen überwacht.
Werden regelmäßige Backups erstellt und an einem separaten und sicheren Ort aufbewahrt?
- Eine formale Backup-Strategie wurde implementiert, und automatisierte Tools werden für regelmäßige Backups verwendet.
- Der Benutzer ist dafür verantwortlich, Backups der magicplan Virtual Appliance-Konfiguration und des Inhalts auf seinem Gerät zu erstellen.
Wie stellen Sie sicher, dass die Empfängernamen vor dem Versand einer E-Mail korrekt sind, insbesondere bei sensiblen Inhalten?
Obligatorische E-Mail-Bestätigung für jeden magicplan-Benutzer.
Wie teilen Sie sichere Passwörter für verschlüsselte Dokumente?
Wir verwenden ein firmeneigenes Tool zur einmaligen Verwendung von Secrets-Verschlüsselung.
Wie schulen Sie Ihre Mitarbeiter in Bezug auf Informationssicherheitsbewusstsein?
- Online-Schulungen zu den Grundlagen des Datenschutzes und der Privacy Policies, der Benachrichtigung bei Verstößen und der Informationssicherheit.
- Schulung zur Einhaltung der DSGVO.
- Schulung zur Sensibilisierung für Phishing oder andere Tricks, um Mitarbeiter zur Preisgabe persönlicher Daten zu bewegen.
- Anweisungen zur Verwendung von starken Passwörtern (Tool: 1Password).
- Höfliche und angemessene Kundenkommunikation.
- magicplan toleriert keine beleidigenden oder respektlosen Verhaltensweisen.
- Umfassende Dokumentation im Mitarbeiterhandbuch (Online-Leitfaden).
Existieren dokumentierte Geschäftskontinuitäts- und Notfallwiederherstellungspläne?
Definierte und implementierte Wiederherstellungsziele sowie Geschäftskontinuitäts- und Notfallwiederherstellungspläne existieren.
Beschreiben Sie, wie Sie Firewall-, Anti-Spyware- und Virenprüfungstools in Ihrem System einsetzen.
Ein externer Server-Administrator wendet monatlich Sicherheitsupdates auf den Produktionsservern an. Alle Updates werden vertraglich dokumentiert.
Letztes Update: Juni 2023