Einhaltung der DSGVO
      Zurück zur Startseite
      1. Hilfe-Center
      2. Einhaltung der DSGVO

      Addendum zur Datenverarbeitung

      Table of Contents: 

       

      Dieses Addendum zur Datenverarbeitung („DPA“) ist Teil der Allgemeinen Geschäftsbedingungen und der Datenschutzrichtlinie (Vereinbarung), die von und zwischen Web1on1 BV geschlossen wurden, mit Hauptgeschäftssitz in Transistorstraat 7, 1322 CJ ALMERE, Niederlande, „Web1on1“ oder

      "Datenverarbeiter",

      Und:

      Firmenname des Kunden:

      Mit seinem Geschäftssitz:

      („Datenverantwortlicher“)

      Die Parteien vereinbaren Folgendes:

      1. Anwendung der Vereinbarung

      Alle groß geschriebenen Begriffe, die hier nicht definiert sind, müssen die nachstehende Bedeutung haben.

      „Datenverletzung“ bezeichnet die Offenlegung personenbezogener Daten aufgrund von Verlusten oder unrechtmäßiger Verarbeitung, wodurch nicht ausgeschlossen werden kann, dass personenbezogene Daten verloren gegangen sind oder verarbeitet wurden.

      „Datenverantwortlicher“ bezeichnet die Instanz, die allein oder zusammen mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

      „Datenverarbeiter“ bezeichnet die Instanz, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet.

      „Datenschutzgesetze“ sind alle Gesetze und Vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, die für die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung gelten.

      „DPA“ bedeutet diese Datenverarbeitungsvereinbarung.

      „Mitarbeiter“ bezeichnet jeden Mitarbeiter, Vertreter, Auftragnehmer oder jede andere Person, die unter der direkten Autorität des Datenverarbeiters arbeitet.

      DSGVO: Datenschutz-Grundverordnung (Verordnung (EU) 2016/679).

      „Zusammenfassung der Informationssicherheitskontrollen“ bezeichnet die Zusammenfassung der Informationssicherheitsrichtlinie des Datenverarbeiters, die in ihrer Form zum Zeitpunkt der Unterzeichnung dieser Datenverarbeitungsvereinbarung in Anhang 1 dieser Vereinbarung enthalten ist und auf deren Aktualisierung jederzeit über den Link in Anhang 1 zugegriffen werden kann.

      „Hauptvereinbarung“ wie Eingangs in dieser DPA definiert.

      „Personenbezogene Daten“ sind alle Informationen zu einer identifizierten oder identifizierbaren Person, die vom Datenverantwortlichen oder Datenverarbeiter im Namen des Datenverantwortlichen für die Erfüllung der Hauptvereinbarung oder dieser Datenschutzbehörde eingegeben wurden.

      „Verarbeitung“ bezeichnet jeden Vorgang oder eine Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisch erfolgen oder nicht, wie z.B. Erfassung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Änderung, Abruf, Konsultation, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder anderweitig verfügbar machen, ausrichten oder kombinieren, blockieren, löschen oder zerstören („Verarbeitung“, „Verarbeitungen“ und „verarbeitet“ bedeuten dasselbe).

      „Subunternehmer“ bezeichnet jeden Datenverarbeiter, der vom Datenverarbeiter oder einem Mitglied des Unternehmens des Datenverarbeiters beauftragt wird, einige oder alle seiner Verpflichtungen aus dieser Vereinbarung zu erfüllen.

      „Dritte“ bezeichnet jede Partei, die weder: (i) die betroffene Person, (ii) der Datenverantwortliche, (iii) der Datenverarbeiter oder (iv) eine natürliche Person oder Einrichtung ist, die vom Verantwortlichen oder dem Datenverarbeiter autorisiert wurde, personenbezogene Daten zu verarbeiten

      2. Geschäftsbedingungen

      Zweck(e) der Datenverarbeitung

      Der Datenverarbeiter bietet und betreibt eine webbasierte Messaging-Plattform (AMP) zur Bearbeitung von Anfragen von potenziellen Kunden (Chat-Teilnehmer) auf den vom Datenverantwortlichen betriebenen Webseiten und Inhalten. Die Anfragen beziehen sich in der Regel auf die Angebote des Datenverantwortlichen und auf allgemeine Informationen über den Datenverantwortlichen, wobei Chat-Teilnehmer wahrscheinlich ihre eigenen Daten zur Verfügung stellen.

      Kategorien von betroffenen Personen, auf die sich die Verarbeitung bezieht:

      Kunden und Interessenten

      Kategorien personenbezogener Daten, auf die sich die Verarbeitung bezieht:

      Persönliche Stammdaten (z.B. Name, Anschrift)

      Kommunikationsdaten (z.B. Telefon, E-Mail)

      Vertragsstammdaten (Vertragsverhältnis,

      Produkt- oder Vertragszinsen)

      Kundenhistorie

       

      Bitte geben Sie an, welche sensiblen Daten verarbeitet werden sollen, falls vorhanden:

      Es werden keine sensiblen Daten verarbeitet

       

      Beschreiben Sie alle Schritte in den Verarbeitungsaktivitäten.

      Der Datenverantwortliche empfängt von, sendet an oder gibt Daten, Informationen, Inhalte, Aufzeichnungen und Dateien, die der Datenverantwortliche oder einer seiner Chat-Teilnehmer lädt oder auf andere Weise für Web1on1 bereitstellt in den AMP ein, sowie alle Daten, Informationen, Inhalte, Aufzeichnungen und Dateien, die die Web1on1-Plattform von den Servern oder Systemen des Datenverantwortlichen oder von Dritten im Auftrag des Datenverantwortlichen erhält.

      Bitte beschreiben Sie die vorgesehenen Fristen für die Löschung der verarbeiteten Daten

      Datenverantwortlicher kann Einstellungen festlegen, Standardeinstellung 18 Monate

      Wo (an welchen Standorten) erfolgt die Verarbeitung?

       

      EU, Google Datenzentren in Belgien und den Niederlanden

       

      Welches Gesetz gilt für diese DPA?

      Niederländisches Recht

      Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser DPA ergeben werden ausschließlich von dem zuständigen Gericht verhandelt in

      Amsterdam

      3. Verpflichtungen Datenverarbeiter

      3.1. Der Datenverantwortliche weist den Datenverarbeiter an, die personenbezogenen Daten gemäß Artikel 2 dieser DPA zu verarbeiten. Der Verarbeiter hat den Datenverantwortlichen unverzüglich zu benachrichtigen, wenn seiner Meinung nach eine Anweisung des Datenverantwortlichen gegen die Datenschutzgesetze verstößt. Der Verarbeiter ist nicht verpflichtet, Anweisungen auf Verstöße gegen Datenschutzgesetze aktiv zu überwachen. Jede Aufforderung des Datenverantwortlichen zur Verarbeitung personenbezogener Daten außerhalb des Geltungsbereichs dieser DPA muss vom Datenverarbeiter schriftlich vereinbart werden und wird Teil dieser DPA.

      3.2. Der Datenverarbeiter verarbeitet personenbezogene Daten für und im Auftrag des Datenverantwortlichen unter der Verantwortung des Datenverantwortlichen und nur in Übereinstimmung mit den Anweisungen des Datenverantwortlichen, es sei denn, die Ausnahme gemäß Art. 28 (3) (a) der DSGVO gilt. Dies bedeutet, dass der Datenverarbeiter keine personenbezogenen Daten an Dritte weitergibt oder diesen Zugang gewährt, es sei denn, a) er hat die ausdrückliche Zustimmung des Datenverantwortlichen erhalten oder b) er unterliegt einer gerichtlichen Anordnung oder einer Anordnung einer zuständigen Behörde.

      3.3. Der Datenverarbeiter behandelt personenbezogene Daten als vertrauliche Informationen. Der Datenverarbeiter gewährt seinen Mitarbeitern nur dann Zugriff auf die personenbezogenen Daten, wenn dies zur Erfüllung seiner Verpflichtungen aus dem Hauptvertrag oder dieser DPA erforderlich ist.

      3.4. Der Datenverarbeiter führt Aufzeichnungen über die Verarbeitung personenbezogener Daten, die er im Auftrag des Datenverantwortlichen durchführt. Auf Wunsch des Datenverantwortlichen und auf alleinige Kosten stellt der Datenverarbeiter dem Datenverantwortlichen eine Kopie aller von ihm im Rahmen der Vereinbarung gespeicherten personenbezogenen Daten in einem allgemein verwendeten und maschinenlesbaren Format zur Verfügung.

      3.5. Der Datenverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust oder anderen Formen der rechtswidrigen Verarbeitung zu schützen. Diese Maßnahmen gewährleisten ein angemessenes Sicherheitsniveau unter Berücksichtigung des Standes der Technik und der Art der vom Datenverarbeiter verarbeiteten personenbezogenen Daten.

      3.6. Die technischen und organisatorischen Maßnahmen sind in der Zusammenfassung der Informationssicherheitskontrollen in Anhang 1 beschrieben. Der Datenverantwortliche hat Kenntnis von diesen technischen und organisatorischen Maßnahmen und erklärt sich damit einverstanden, dass sie einen angemessenen Schutz für die zu verarbeitenden personenbezogenen Daten bieten. Der Datenverarbeiter kann die in Anhang 1 aufgeführten Maßnahmen von Zeit zu Zeit aktualisieren oder ändern, sofern diese Aktualisierungen oder Änderungen nicht zu einer wesentlichen Verringerung der Sicherheit der personenbezogenen Daten führen.

      3.7. Der Datenverarbeiter darf die personenbezogenen Daten ohne die ausdrückliche vorherige schriftliche Zustimmung des Datenverantwortlichen nicht an ein Drittland oder eine internationale Organisation gemäß Artikel 44 der DSGVO übertragen.

      3.8. Der Datenverarbeiter informiert den Datenverantwortlichen über einen festgestellten oder vermuteten Datenverstoß, dem die personenbezogenen Daten ausgesetzt waren, unverzüglich und spätestens 24 Stunden nach Kenntnisnahme des Verstoßes.

      3.9. Der Datenverarbeiter muss alle erforderlichen Informationen und Kooperationen angemessen bereitstellen, damit der Datenverantwortliche die Ursache, das Ausmaß und die Folgen der Datenverletzung ermitteln und Maßnahmen zur Minimierung potenzieller durch die Datenverletzung verursachter Schäden ergreifen und die betroffenen Personen informieren kann.

      3.10. Der Datenverarbeiter benachrichtigt den Datenverantwortlichen über alle Anfragen der betroffenen Person in Bezug auf die Rechte zum Zugriff auf, zur Änderung, Korrektur, Löschung oder Einschränkung der Verwendung personenbezogener Daten. Der Datenverarbeiter antwortet auf eine solche Anfrage nur auf Anweisung des Datenverantwortlichen.

      3.11. Im Falle eines Verlusts oder einer Beschädigung personenbezogener Daten unternimmt der Datenverarbeiter wirtschaftlich angemessene Anstrengungen, um die verlorenen oder beschädigten personenbezogenen Daten aus der letzten Sicherung dieser personenbezogenen Daten, die vom Datenverarbeiter gemäß seinen Standardarchivierungsverfahren verwaltet werden, wiederherzustellen.

      3.12. Wenn dem Verarbeiter Umstände oder Änderungen des anwendbaren Datenschutzgesetzes bekannt werden, die die Erfüllung seiner Verpflichtungen aus der DPA erheblich erschweren, wird er dies dem Datenverantwortlichen so bald wie möglich melden.

      4. Verpflichtungen Datenverantwortlicher

      4.1. Der Datenverantwortliche ist für die Rechtmäßigkeit seiner Anweisungen an den Verarbeiter verantwortlich, einschließlich, aber nicht beschränkt auf die Rechtmäßigkeit von Anweisungen zur Übermittlung personenbezogener Daten an Dritte oder Drittländer.

      4.2. Der Datenverantwortliche ist für die Integrität, Qualität und Rechtmäßigkeit der personenbezogenen Daten verantwortlich und, sofern die personenbezogenen Daten von oder im Auftrag des Datenverantwortlichen bereitgestellt wurden, für die Art und Weise, wie der Datenverantwortliche die personenbezogenen Daten gesammelt und die erforderlichen erforderlichen Einwilligungen erteilt hat . Der Datenverarbeiter ist nicht verpflichtet, die Vollständigkeit, Richtigkeit oder Angemessenheit der personenbezogenen Daten zu prüfen.

      4.3. Der Datenverantwortliche wird den Datenverarbeiter unverzüglich über eine Anfrage der betroffenen Person informieren, die dazu führen würde, dass die Verarbeitung personenbezogener Daten, die dieser DPA oder der Hauptvereinbarung unterliegen, nicht mehr zugelassen oder eingeschränkt wird, insbesondere jede Anfrage nach Widerspruch, Löschung oder Einschränkung der Datenverarbeitung.

      5. Prüfung und Compliance

      5.1. Auf Anfrage des Datenverantwortlichen stellt der Datenverarbeiter dem Datenverantwortlichen die Informationen zur Verfügung, die zum Nachweis der Einhaltung der Datenschutzgesetze in einem allgemein verwendeten und maschinenlesbaren Format erforderlich ist.

      5.2. Im Falle einer von einer zuständigen Aufsichtsbehörde durchgeführten Prüfung oder eines Anspruchs einer betroffenen Person gegen den Datenverarbeiter oder den Datenverantwortlichen leisten die Parteien einander angemessene Unterstützung (sofern dies nicht gesetzlich verboten ist) bei der Überprüfung oder Verteidigung eines Anspruchs oder Geldstrafe und Einhaltung von Anweisungen der zuständigen Aufsichtsbehörde.

      5.3. Im Falle eines offiziellen Antrags einer zuständigen Aufsichtsbehörde oder, falls der Datenverantwortliche Grund zu der Annahme hat, dass ein Datenverstoß stattgefunden hat, kann der Datenverantwortliche mit einer Frist von 15 Tagen die Einhaltung dieser Datenschutzrichtlinie durch den Datenverarbeiter einschließlich der Sicherheitsmaßnahmen prüfen. Die Prüfung wird im Namen und auf Kosten des Datenverantwortlichen von einem neutralen Dritten mit angemessenem Fachwissen und Erfahrung durchgeführt und umfasst alle vom Datenverarbeiter in den 12 Monaten vor der Prüfung erbrachten Verarbeitungsleistungen, sofern nicht ein längerer Zeitraum angemessen gerechtfertigt ist. Die Prüfung wird nach einem allgemeinen Standard, wie z.B. ISAE 3402, durchgeführt und enthält am Ende einen Prüfungsbericht.

      5.4. Innerhalb von 2 Wochen nach Abschluss des Audits stellt der Datenverantwortliche eine vertrauliche und vollständige Kopie des Auditberichts zur Verfügung. Der Datenverarbeiter stellt sicher, dass alle im Prüfungsbericht gemeldeten Mängel und Probleme angemessen und rechtzeitig behoben werden.

      5.5. Der Datenverantwortliche stellt sicher, dass der Abschlussprüfer gegenüber Dritten an die Vertraulichkeit seiner Feststellungen gebunden ist. Der Datenverantwortliche stellt sicher, dass seine Prüfer angemessen verpflichtet sind, Unterbrechungen der Geschäftsprozesse des Datenverarbeiters auf ein Minimum zu beschränken.

      5.6. Wenn die Verarbeitung im Rahmen der DPA oder der Hauptvereinbarung von einer Aufsichtsbehörde als rechtswidrig eingestuft wird oder aufgrund einer Gesetzesänderung oder deren Auslegung rechtswidrig geworden ist, müssen beide Parteien unverzüglich Maßnahmen ergreifen, um die Einhaltung des geltenden Datenschutzgesetzes sicherzustellen.

      6. Subunternehmer

      6.1. Der Datenverantwortliche stimmt zu, dass der Datenverarbeiter berechtigt ist, die Verpflichtungen des Datenverarbeiters aus dieser DPA an Subunternehmer vergeben kann. Der Datenverantwortliche genehmigt die aufgeführten Subunternehmer, die derzeit vom Datenverarbeiter verwendet werden (siehe Subprozessoren).

      6.2. Vor dem Hinzufügen neuer Subunternehmer oder dem Ersetzen bestehender Subunternehmer informiert der Datenverarbeiter den Datenverantwortlichen darüber und gibt dem Datenverantwortlichen eine angemessene Frist, um aus wichtigen Gründen Widerspruch einzulegen. Widerspricht der Datenverantwortliche nicht innerhalb der Frist, so gilt die Zustimmung zum Hinzufügen oder Ersetzen von Subunternehmern als erteilt.

      6.3. Der Datenverarbeiter verpflichtet sich in der Vereinbarung mit dem Subunternehmer, das gleiche Schutzniveau für personenbezogene Daten wie in dieser DPA festgelegt zu gewährleisten.

      7. Haftung

      7.1. Die zwischen den Parteien des Hauptvertrags vereinbarte Haftungsbeschränkung gilt auch für diese DPA, sofern nicht ausdrücklich etwas anderes vereinbart wurde. Schäden, die unter die vereinbarte Haftungsbeschränkung fallen, decken auch Bußgelder ab, die nach den Datenschutzgesetzen verhängt werden. Falls die Hauptvereinbarung keine solche Haftungsbeschränkung enthält, ist die Haftung des Datenverarbeiters auf die Beträge begrenzt, die der Datenverantwortliche in den 12 Monaten vor dem Ereignis, das die Haftung verursacht, gezahlt hat.

      7.2. Der Datenverantwortliche erkennt an, dass sich der Datenverarbeiter auf die Anweisungen des Datenverantwortlichen stützt, inwieweit der Datenverarbeiter berechtigt ist, personenbezogene Daten zu verwenden und zu verarbeiten. Folglich haftet der Datenverarbeiter nicht für Ansprüche oder Geldbußen, die sich aus einer Handlung oder Unterlassung des Datenverarbeiters ergeben, sofern diese Handlung oder Unterlassung direkt aus den Anweisungen des Datenverantwortlichen resultiert.

      8. Kündigung

      8.1. Diese DPA wurde auf unbestimmte Zeit abgeschlossen und endet zum Zeitpunkt der Beendigung der Hauptvereinbarung oder, soweit dies zur Einhaltung der Bestimmungen der DPA erforderlich ist, oder, falls im Hauptvertrag vereinbart zu einem späteren Zeitpunkt.

      8.2. Sofern zwischen den Parteien nichts anderes vereinbart wurde, wird der Datenverarbeiter im Falle der Beendigung dieser DPA alle ihm vom Datenverantwortlichen zur Verfügung gestellten personenbezogenen Daten unverzüglich zurückgeben und alle digitalen Kopien personenbezogener Daten sicher vernichten.

      8.3. Wenn nach vernünftiger Meinung des Datenverarbeiters eine gesetzliche Verpflichtung des Datenverarbeiters die vollständige oder teilweise Rückgabe oder Zerstörung der personenbezogenen Daten durch den Datenverarbeiter verbietet oder einschränkt, muss er den Datenverantwortlichen so bald wie möglich schriftlich über die gesetzlichen Bestimmungen informieren, inklusive aller relevanten Informationen, die der Datenverantwortliche zumutbar benötigt, um festzustellen, ob diese Verpflichtung rechtens ist.

      8.4. Im Falle eines Verbots, Daten ganz oder teilweise zu löschen, kümmert sich der Datenverarbeiter weiterhin um die Vertraulichkeit der personenbezogenen Daten und verarbeitet die personenbezogenen Daten nur in Übereinstimmung mit der oben genannten gesetzlichen Verpflichtung oder auf schriftliche Anweisung des Datenverantwortlichen.

      9. Verschiedenes

      9.1. Wenn sich eine oder mehrere Bestimmungen dieser DPA als ungültig erweisen, bleibt der Rest dieser DPA in Kraft. Die Parteien werden in gegenseitiger Absprache die ungültigen Bestimmungen durch gültige Bestimmungen ersetzen, die sich der Bedeutung der ersetzten Bestimmung so weit wie möglich annähern.

      9.2. Wenn Änderungen der verarbeiteten personenbezogenen Daten oder der in Anhang 1 aufgeführten Kontrollen eine Änderung der vereinbarten Bestimmungen dieser DPA oder der Hauptvereinbarung erfordern, ändern die Vertragsparteien im gegenseitigen Einvernehmen die geltenden Bestimmungen. Der Rest dieser DPA bleibt in Kraft.

      9.3. Im Falle eines Konflikts zwischen der DPA und der Hauptvereinbarung haben die Bestimmungen dieser DPA Vorrang.

      AUSGEFÜHRT von und im Auftrag von:

      Datenverarbeiter

      Web1on1 BV

      Name: Thomas Abramse

      Rolle: COO

      E-Mail: privacy@web1on1.chat

      Datum: 15. Juli 2020

      AUSGEFÜHRT von und im Auftrag von:

      Datenverantwortlicher

      Firmenname:

      Name:

      Rolle:

       

      Signatur:

       

      E-Mail:

       

      Anhang 1

      Zusammenfassung der Informationssicherheitskontrollen

      Dieser Anhang ist Teil der DPA.

      Web1on1 nutzt derzeit die in diesem Anhang 1 beschriebenen Sicherheitsmaßnahmen. Alle hierin nicht anders definierten Begriffe mit Großbuchstaben haben die in der Vereinbarung festgelegte Bedeutung.

      a) Zutrittskontrolle

      i) Verhinderung unbefugten Zugriffs auf Produkte

      Ausgelagerte Verarbeitung: Web1on1 hostet seinen Service bei ausgelagerten Cloud-Infrastrukturanbietern. Darüber hinaus unterhält Web1on1 vertragliche Beziehungen zu Anbietern, um den Service gemäß unserer Datenverarbeitungsvereinbarung bereitzustellen. Web1on1 stützt sich auf vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme, um die von diesen Anbietern verarbeiteten oder gespeicherten Daten zu schützen.

      Physische und ökologische Sicherheit: Web1on1 hostet seine Produktinfrastruktur mit mehrinstanzenfähigen, ausgelagerten Infrastrukturanbietern. Die physischen und ökologischen Sicherheitskontrollen werden unter anderem auf die Konformität von SOC 2 Typ II und ISO 27001 geprüft.

      Authentifizierung: Web1on1 hat eine einheitliche Kennwortrichtlinie für seine Kundenprodukte implementiert. Kunden, die über die Benutzeroberfläche mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht öffentliche Kundendaten zugreifen können.

      Autorisierung: Kundendaten werden in mehrinstanzfähigen Speichersystemen gespeichert, auf die Kunden nur über Anwendungsbenutzeroberflächen und Anwendungsprogrammierschnittstellen zugreifen können. Kunden haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Das Autorisierungsmodell soll sicherstellen, dass nur die entsprechend zugewiesenen

      Personen auf relevante Funktionen, Ansichten und Anpassungsoptionen zugreifen können. Die Autorisierung für Datensätze erfolgt durch Überprüfen der Benutzerberechtigungen anhand der Attribute, die jedem Datensatz zugeordnet sind.

      Zugriff auf die Anwendungsprogrammierschnittstelle (Application Programming Interface, API): Auf öffentliche Produkt-APIs kann mit einem API-Schlüssel oder mithilfe einer Oauth-Autorisierung zugegriffen werden.

      ii) Verhinderung Verwendung nicht autorisierter Produkte

      Web1on1 implementiert branchenübliche Zugriffskontrollen und Erkennungsfunktionen für die internen Netzwerke, die seine Produkte unterstützen.

      Zugriffskontrollen: Mechanismen zur Netzwerkzugriffskontrolle verhindern, dass der Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreicht. Die implementierten technischen Maßnahmen unterscheiden sich zwischen den Infrastrukturanbietern und umfassen VPC-Implementierungen (Virtual Private Cloud), die Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.

      Erkennung und Verhinderung von Eindringlingen: Web1on1 hat eine WAF-Lösung (Web Application Firewall) implementiert, um gehostete Kundenwebseiten und andere über das Internet zugängliche Anwendungen zu schützen. Die WAF soll Angriffe auf öffentlich verfügbare Netzwerkdienste identifizieren und verhindern.

      Statische Code-Analyse: Es werden Sicherheitsüberprüfungen des in den Quellcode-Repositorys von Web1on1 gespeicherten Codes durchgeführt, um zu überprüfen, ob bewährte Methoden für die Codierung und erkennbare Softwarefehler vorliegen.

      Penetrationstests: Web1on1 unterhält für vier jährliche Penetrationstests Beziehungen zu branchenweit anerkannten Penetrationstest-Dienstleistern. Ziel der Penetrationstests ist es, vorhersehbare Angriffsmethoden und mögliche Missbrauchsszenarien zu identifizieren und Lösungen dafür zu finden.

      iii) Beschränkungen der Berechtigungs- und Autorisierungsanforderungen

      Produktzugriff: Gruppe von Mitarbeitern von Web1on1 hat über kontrollierte Schnittstellen Zugriff auf die Produkte und auf Kundendaten. Durch die Untergruppe von Mitarbeitern soll ein effektiver Kundensupport bereitgestellt, potenzielle Probleme behoben, Sicherheitsvorfälle erkannt und darauf reagiert sowie Datensicherheit implementiert werden. Der Zugriff wird durch "Just-in-Time" -Anfragen für den Zugriff ermöglicht. Alle diese Anfragen werden protokolliert. Den Mitarbeitern wird der Zugriff nach Rollen gewährt, und es werden täglich Überprüfungen der Gewährung von Privilegien mit hohem Risiko eingeleitet. Die Rollen der Mitarbeiter werden mindestens alle sechs Monate überprüft.

      Compliance: Alle Mitarbeiter sind verpflichtet, sich in einer Weise zu verhalten, die den Unternehmensrichtlinien, Geheimhaltungspflichten und ethischen Standards entspricht.

      b) Übertragungssteuerung

      In-Transit: Web1on1 stellt die HTTPS-Verschlüsselung (auch als SSL oder TLS bezeichnet) auf jeder seiner Anmeldeschnittstellen und kostenlos auf jeder auf den Web1on1-Produkten gehosteten Kundenwebseiten zur Verfügung. Die HTTPS-Implementierung von Web1on1 verwendet branchenübliche Algorithmen und Zertifikate.

      At-Rest: Web1on1 speichert Benutzerkennwörter gemäß den Richtlinien, die den branchenüblichen Sicherheitsmethoden entsprechen. Web1on1 hat Technologien implementiert, um sicherzustellen, dass gespeicherte Daten im Ruhezustand verschlüsselt werden.

      c) Eingangssteuerung

      Erkennung: Web1on1 hat seine Infrastruktur so konzipiert, dass umfangreiche Informationen zum Systemverhalten, zum empfangenen Datenverkehr, zur Systemauthentifizierung und zu anderen Anwendungsanforderungen protokolliert werden. Interne Systeme aggregieren Protokolldaten und warnen geeignete Mitarbeiter vor böswilligen, unbeabsichtigten oder anormalen Aktivitäten. Web1on1-Mitarbeiter, einschließlich Sicherheits-, Betriebs- und Supportmitarbeiter, reagieren auf bekannte Vorfälle.

      Reaktion und Nachverfolgung: Web1on1 führt Aufzeichnungen über bekannte Sicherheitsvorfälle, einschließlich Beschreibung, Datum und Uhrzeit der relevanten Aktivitäten sowie der Disposition von Vorfällen. Verdächtige und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Supportmitarbeitern untersucht und geeignete Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen ergreift Web1on1 geeignete Maßnahmen, um Produkt- und Kundenschäden oder unbefugte Offenlegung zu minimieren. Die Benachrichtigung des Kunden erfolgt gemäß den Bestimmungen der DPA oder der Vereinbarung.

       

      d) Verfügbarkeitskontrolle

      Verfügbarkeit der Infrastruktur: Die Infrastrukturanbieter unternehmen wirtschaftlich angemessene Anstrengungen, um eine Verfügbarkeit von mindestens 99,5% sicherzustellen. Die Anbieter halten ein Minimum an N + 1-Redundanz für Strom-, Netzwerk- und HLK-Dienste aufrecht.

      Fehlertoleranz: Sicherungs- und Replikationsstrategien sollen Redundanz- und Failover-Schutz während eines erheblichen Verarbeitungsfehlers gewährleisten. Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert.

      Online-Kopien und -Sicherungen: Produktionsdatenbanken sind so konzipiert, dass sie Daten auf mindestens einer Primär- und einer Sekundärdatenbank sichern. Alle Datenbanken werden nach mindestens branchenüblichen Methoden gesichert und verwaltet.

      Die Produkte von Web1on1 sind so konzipiert, dass Redundanzen und nahtloses Failover gewährleistet ist. Die Serverinstanzen, die die Produkte unterstützen, sind ebenfalls so aufgebaut, dass einzelne Fehlerquellen vermieden werden. Dieses Design unterstützt Web1on1-Vorgänge bei der Wartung und Aktualisierung der Produktanwendungen und des Backends, während Ausfallzeiten minimiert werden.