Für Anwender aufseiten des Kunden sind für den Zugriff auf die Anwendung Benutzername und persönliches Kennwort sowie ein Terminal-Kennwort oder wahlweise ein Authentifizierungsgerät erforderlich. Diese sind den Anwendern eindeutig zugeordnet und dürfen nicht weitergegeben werden.

Kennwörter sind mindestens acht Zeichen lang und unterliegen einer automatischen Überprüfung auf Verwendung bestimmter gängiger Zeichenfolgen.

Kennwörter müssen regelmäßig nach Ablauf von 90 Tagen bei der nächsten Anmeldung geändert werden. Das selbe Kennwort darf nicht mehrfach verwendet werden. Der Zugang kann zudem auf bestimmte Zeitfenster sowie IP-Adressen bzw. HostNamen eingeschränkt werden.

Im Falle des Verlustes eines Kennworts oder Authentifizierungsgeräts wird dem Anwender ein neues übersandt. Der Versand erfolgt separat von anderen Daten und um mindestens 12 Stunden zeitversetzt auf dem Postweg.

Berechtigte Personen, die sich mit ihrer Nutzerkennung ordnungsgemäß authentifiziert haben, besitzen in der Anwendung entsprechend ihrer Nutzerrechte differenzierte und damit abgestufte Berechtigungen. Die Vergabe der Berechtigungen geschieht auf Weisung des Kunden an den Dienstleister und richtet sich nach den technischen Möglichkeiten, die der Dienstleister dem Kunden anbietet.

Anwender aufseiten des Kunden können grundsätzlich nur Daten innerhalb der Arbeitsumgebungen sehen und bearbeiten, für die sie explizit freigeschaltet wurden. Unterschiedliche Berechtigungsstufen sind in Rollen zusammengefasst.

Mitarbeiter aufseiten des Dienstleisters haben zu Support-Zwecken umfassendere Zugriffsberechtigungen, die analog zu den Anwenderrechten in einer entsprechenden Support-Rolle zusammengefasst sind.

Zugriffsberechtigungen außerhalb der Anwendung (z. B. auf das Ticketsystem) werden durch die Systemadministratoren festgelegt.

Anwender können nur im Rahmen der vorhandenen bzw. beauftragten Auswertungsmöglichkeiten auf Daten zugreifen und diese zu Berichten zusammenstellen. Art und Umfang dieser Berichte und Auswertungsmöglichkeiten werden zunächst durch den Dienstleister vorgegeben.

Der Kunde selbst kann Vorgaben machen, die der Dienstleister entsprechend der technischen Möglichkeiten umsetzt. Der Kunde ist für Art und Inhalt der Berichte, soweit er sie vorgibt oder den vom Dienstleister vorgegebenen Standards nicht widerspricht, selbst verantwortlich.

Die Mandantentrennung ist auf logischer Ebene sichergestellt. Es gibt auf Anwendungsebene definierte Mechanismen, die garantieren, dass es einem Kunden nicht möglich ist, auf die Daten eines anderen Kunden zuzugreifen.

Um die Angriffsfläche zu minimieren, läuft die Anwendung auf dedizierten Systemen in einem isolierten Netzwerk. Periphere Prozesse wie Webseiten oder Ticketsystem laufen auf separaten Systemen. Test- und Live-Daten werden während der Entwicklung auf getrennten Systemen verarbeitet. Testdaten
sind grundsätzlich anonymisiert. Die Pseudonymisierung von Daten liegt in der Verantwortung des Kunden.

Personenbezogene Daten und vertrauliche Informationen werden grundsätzlich über sichere Kommunikationswege übertragen.Der Zugriff auf die Anwendung erfolgt ausschließlich über verschlüsselte HTTP-Verbindungen (TLS mit HSTS und PFS).

Die TLS-Parameter werden regelmäßig überprüft und an aktuelle Standards angepasst (https://www.ssllabs.com/ssltest/). Dies gilt auch für die Kommunikation über das Ticketsystem (Kontaktformular im Hilfebereich) sowie generell jegliche Kommunikation von Systemen untereinander (Schnittstellen).

Sofern personenbezogene Daten per E-Mail übermittelt werden, erfolgt dies mittels verschlüsselter Archive (AES256). Die entsprechenden Kennwörter werden telefonisch oder postalisch übermittelt. Ein- und ausgehende E-Mails werden protokolliert. Ausgehende E-Mails werden signiert (DKIM).

Datenträger werden am Ende ihrer Nutzungsdauer fachgerecht gelöscht, im Fall eines Defekts vernichtet. Für Papierdokumente steht ein Aktenvernichter zur Verfügung (Sicherheitsstufe 4).

Ruhende Daten und Datensicherungen werden grundsätzlich verschlüsselt (dm-crypt mit LUKS-Erweiterung, AES-XTS mit 512 Bit Key). Die Übertragung von Datensicherungen erfolgt zusätzlich ausschließlich verschlüsselt (SSH mit PKA).

Die Anwendung stellt eine Funktion zur automatisierten Erstellung von Antworten auf Auskunftsanfragen seitens betroffener Personen zur Verfügung.

Die Erfassung von Daten sowie die diesbezüglichen Informationspflichten liegen in der Verantwortung des Kunden.

Die Eingabe, Bearbeitung und Löschung wird nach Zeitpunkt, Inhalt und Anwender protokolliert, wobei als personenbezogen markierte Daten bei der Überführung in die Protokolldatenbank anonymisiert werden.

Eine direkte Veränderung der Daten über die Datenbank unter Umgehung dieser Maßnahmen ist weder Kunden noch Mitarbeitern des Dienstleisters, abgesehen von ausgewählten Datenbankadministratoren, möglich.

Die Erfassung von Daten sowie die diesbezüglichen Informationspflichten liegen in der Verantwortung des Kunden.

Die Eingabe, Bearbeitung und Löschung wird nach Zeitpunkt, Inhalt und Anwender protokolliert, wobei als personenbezogen markierte Daten bei der Überführung in die Protokolldatenbank anonymisiert werden.

Eine direkte Veränderung der Daten über die Datenbank unter Umgehung dieser Maßnahmen ist weder Kunden noch Mitarbeitern des Dienstleisters, abgesehen von ausgewählten Datenbankadministratoren, möglich.

Die Server des Dienstleisters in den Rechenzentren sind fehlertolerant und redundant ausgelegt (RAID, Replikation, Hot Standby). Die beiden ISO 27001 zertifizierten Rechenzentren befinden sich auf dem aktuellen Stand der Technik und verfügen über Notstromversorgungen, Netzersatz- und Brandbekämpfungsanlagen, Alarmsysteme sowie Wachpersonal.

Schutzmechanismen gegen einfache DDoSAngriffe sind dauerhaft aktiv. Die erfassten Daten werden täglich an drei Standorten verschlüsselt gesichert. Im Falle eines einfachen Datenverlustes wird der letzte gesicherte Datenbestand (nicht älter als 24 Stunden) gemäß Backup- und Recovery-Konzept wiederhergestellt.

Im Falle des vollständigen Ausfalls eines Servers stehen Ersatzsysteme bereit. Im Falle des vollständigen Ausfalls eines Rechenzentrums oder eines Bereiches eines der Rechenzentren kann die Anwendung an einem anderen Standort bzw. in einem anderen Bereich innerhalb von 24 Stunden wieder verfügbar gemacht werden.

Alle Systeme sind in mindestens ein Monitoring-System eingebunden (Überwachung von Verfügbarkeit und Performance), das im Problemfall E-Mails und SMS in Abhängigkeit von der Art des Zwischenfalls und der definierten Eskalationsketten versendet und die Verfügbarkeit der Systeme dauerhaft protokolliert