Datenschutz und Datensicherheit

Das Vertrauen der Kunden und die Datensicherheit sind für alles, was wir bei nooa tun, entscheidend.

Illu_Data_Security
Signet - Made & hosted in Germany
Signet - DSGVO conform

Grundsätze

Es gilt der Grundsatz, dass Datenschutz und -sicherheit Aufgabe des gesamten Unternehmens sind. Die Produktentwicklung erfolgt nach den Prinzipien und Grundsätzen von “Data Privacy by Design”, “Data Privacy by Default”, “Zero Knowledge”, Datensparsamkeit und der “OWASP”.

Durch eine Vielzahl von technischen und organisatorischen Maßnahmen stellen wir sicher, dass wir größtmöglichen Datenschutz und -sicherheit für Sie gewährleisten.

Datensicherheit

Sicherer Zugang

Die Anmeldung bei nooa ist durch die Verwendung der nooa ID pseudonymisiert und durch die Implementierung von sicheren, dem Stand der Technik entsprechenden Passwortvorgaben (Passwortlänge, -komplexität, etc.) geschützt. Nutzer-Passwörter werden nicht gespeichert. Stattdessen verwenden wir ein sicheres Verfahren verwendet, das auf kryptografischen Hash-Funktionen basiert („Salted Cryptographic Hash“). Alle erfolgten Zugänge und Zugangsversuche zu nooa werden protokolliert und dokumentiert. Gleichzeitig werden Zugriffe zur Plattform über ein Token zeitlich beschränkt.

Moderne Verschlüsselung

Alle Daten, die zu oder von nooa gesendet werden, werden während der Übertragung mit einer 256-Bit-Verschlüsselung verschlüsselt. Unsere API- und Anwendungsendpunkte sind ausschließlich TLS/SSL-verschlüsselt. Mobile Endgeräte kommunizieren verschlüsselt mit dem Endpunkt.

Berechtigungen für die nooa Plattform

Innerhalb der Plattform können Sie verschiedene Berechtigungsstufen für Ihre Mitarbeiter festlegen, so dass nur von Ihnen autorisierte Nutzer entsprechende Funktionalitäten bearbeiten und spezielle Daten sehen können (“Need-to-Know-Prinzip”). Standardmäßig sind Ihre Nutzer auf die sichersten Berechtigungsstufe voreingestellt und können nur durch eine Aktion Ihrerseits zusätzliche Rechte und Einsichten erhalten.

Berechtigungen für interne IT-Systeme

Zugriffsrechte definieren wir intern im Rahmen eines Rollen-/Berechtigungskonzeptes und überprüfen diese regelmäßig. Dabei überwachen wir kritische administrative Rechtekombinationen gesondert (“Separation-of-Duties”). Zugangsberechtigungen vergeben und prüfen wir regelmäßig nach Vier-Augen-Prinzip und dem Prinzip der geringsten Rechtevergabe (“Need-to-Know”). Gleichzeitig setzen wird ein Passwortmanager mit Zero-Knowledge-Prinzip und einer TLS/SSL-Verschlüsselung in Kombination einem integrierten Dark-Web-Monitoring ein, um sicherzustellen, dass der Zugang zu Cloud-Diensten geschützt ist.

Aktive Überwachung

nooa verwendet mehrere interne und Drittanbieter-Tools zur Überwachung seiner Produktionsumgebung und zum Schutz vor potenziellen Bedrohungen oder Fehlern:

  • Jeder Zugriff auf Daten in IT-Systemen kann Personen zugeordnet und protokolliert werden.
  • Ein interner Benachrichtigungsmechanismus alarmiert die Betriebs- und Support-Teams von nooa bei verschiedenen Anomalien, die in der Produktion festgestellt werden.
  • Ein internes Dashboard für die Produktionsüberwachung fasst Informationen aus den verschiedenen Systemen von nooa zusammen und bietet dem Betriebspersonal von nooa einen klaren Überblick über den Status der Produktionsumgebung.
  • nooa hat eigene Anwendungen für Regressionsverfolgung entwickelt und stellt durch automatisierte Tests die hohen Qualitäts- und Sicherheitsstandards sicher.
  • nooa betreibt außerdem ein Support-Ticketing-System, das es Administratoren und Nutzern ermöglicht, alle Probleme oder Fehler zu melden.

Ausfallsicherung und Datenwiederherstellung

nooa wurde mit Blick auf die Notfallwiederherstellung entwickelt. Unsere Dienste und Daten werden in Einrichtungen von Amazon Web Services (AWS) in Deutschland gehostet. Die Architektur ist durch interne Replizierungsmechanismen innerhalb der AWS Plattform per se gegen Datenverlust gesichert. AWS überwacht seine Systeme präventiv, um den unterbrechungsfreien Betrieb zu gewährleisten. Kritische Systemkomponenten werden an mehreren, voneinander isolierten Standorten (“Availability Zones”) gesichert, die auf einen unabhängigen Betrieb mit hoher Zuverlässigkeit ausgelegt sind.

Datenbank-Backups des nooa-Produktionssystems werden regelmäßig und vor jeder größeren Aktualisierung oder Konfigurationsänderung der Produktionsumgebung erstellt. Diese Sicherungen ermöglichen es, im Falle einer Katastrophe innerhalb kürzester Zeit eine Replikatumgebung zu erstellen. Die Backups werden in einer anderen AWS-Umgebung und Region gespeichert.

Regelmäßige Prüfungen und Schulungen

Unser engagiertes Infrastrukturteam ist dafür verantwortlich, dass unsere Plattform sicher und jederzeit verfügbar ist. Sicherheitsprüfungen wie interne Penetrationstests werden regelmäßig durchgeführt und Penetrationstests durch externe Parteien werden aktiv unterstützt. nooa hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden regelmäßig aktualisiert und an alle Mitarbeiter weitergegeben.

Datenschutz

Datenschutz ist ein fester Bestandteil unserer gesamten Arbeit bei nooa.
Alle unsere Systeme sind so aufgebaut, dass sie die neuesten Vorschriften erfüllen.

Richtlinien

Wir beachten die Anforderungen ordnungsgemäßer Datenverarbeitung gemäß DSGVO und des BDSG und verpflichten uns, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Bei Abschluss einer Vertrages schließen wir mit Ihnen auch einen Auftragsverarbeitungsvertrag, mit dem wir uns zur Einhaltung des Datenschutzes verpflichten. nooa verpflichtet sich zudem zusätzlich, Daten, die unter das Berufsgeheimnis im Sinne von 203 StGB fallen, geheimzuhalten und darüber Stillschweigen zu bewahren.

Datenschutz durch Design

Wo immer möglich, verarbeiten wir anonymisierte Daten. Wir erheben persönliche Daten nur, wenn es absolut notwendig ist. Welche Daten genau verwendet werden und wieso wir diese benötigen, haben wir für Sie ausführlich im Auftragsverarbeitungsvertrag dargestellt.

Die gesamte Plattform ist mit datenschutzfreundlichen Voreinstellungen ausgestattet. Das bedeutet, dass die Grundeinstellung der Plattform so gestaltet ist, dass Nutzerdaten bestmöglich geschützt sind. Sie können Einstellungen an der Plattform vornehmen, die von dieser empfohlenen Grundeinstellung abweichen. Dies wird immer als eine Abweichung gekennzeichnet sowie mit Warnhinweisen versehen.

Datenschutzbeauftragter

Wir haben eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz bestellt. Dieser begleitet Änderungen in den internen Arbeitsprozessen aus Datenschutzsicht, weist auf Datenschutzaspekte hinzuweisen, und beaufsichtigt und berät unser Datenmanagement.

Vertraulichkeit

Unsere Mitarbeiter sind im Umgang mit vertraulichen Daten unterrichtet. Alle Mitarbeiterverträge enthalten eine Vertraulichkeitsvereinbarung und schriftliche Regeln für den Umgang mit sensiblen Daten. Wir haben haben ein Konzept für regelmäßige Schulungs- und Sensibilisierungsmaßnahmen, um die Einhaltung der Vorschriften der DSGVO und die Einhaltung von Weisungen sicherzustellen.

Proaktives Datenschutz-Management

Vor jedem neuen Projekt, bei dem die Datenverarbeitung "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen wird", wird eine Datenschutz-Folgenabschätzung durchgeführt. Auf diese Weise stellen wir sicher, dass wir unsere Risiken stets unter Kontrolle haben und über Verfahren verfügen, um sie zu mindern. Es erfolgen regelmäßige Datenschutzaudit durch interne und externe Datenschutzbeauftragte.

Weisungsgebundene Datenverarbeitung

Wir verarbeiten Ihre Daten ausschließlich wie vertraglich vereinbart. Wir verwenden darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, auch nicht für eigene Zwecke. Wir verkaufen Ihre Daten nicht an Dritte.

Weitergabe von Daten

Wie die meisten Unternehmen nutzen wir im Rahmen unserer Datenverarbeitung eine Reihe von Drittanbietern, z. B. Cloud-Dienste und Technologiedienste. Wir haben einen Due-Diligence-Prozess mit all unseren Anbietern, und alle Unterverarbeiter von personenbezogenen Daten haben eine AVV abgeschlossen. Diese AVVs werden von unserem DSB geprüft und müssen vor der Unterzeichnung von der Geschäftsleitung genehmigt werden. Wenn Daten außerhalb des EWR übertragen werden, stellen wir sicher, dass angemessene Schutzmaßnahmen und -mechanismen vorhanden sind, z. B. Standardvertragsklauseln und damit verbundene Sorgfaltspflichten.