Datensicherheit & Schutzmaßnahmen
Übersicht über die erweiterten Sicherheitsmaßnahmen von ProcessMind
Gültig ab: 12. Dezember 2023
Einführung
Willkommen zum Überblick über die Sicherheitsmaßnahmen von ProcessMind. Mit unserem Anspruch auf höchste Datenschutzstandards sicherstellen wir Transparenz und Sorgfalt beim Schutz Ihrer Informationen. Dieses Dokument beschreibt unsere integrierten Sicherheitsmaßnahmen, die darauf abzielen, unbefugten Zugriff, Datenverletzungen und andere Bedrohungen zu verhindern. Unser Sicherheitsrahmen kombiniert anspruchsvolle technische Strategien mit vollständigen organisatorischen Praktiken, um die höchste Sicherheit Ihrer Daten zu sicherstellen. Für weitere Details zu unseren Datenschutzbemühungen, lesen Sie bitte unseren Daten Processing Addendum und unsere Datenschutzerklärung .
Bei ProcessMind hat die Sicherheit Ihrer Daten oberste Priorität. Wir verstehen ihren Wert und garantieren, dass Ihre Daten niemals an Dritte verkauft werden. Unsere Sicherheitsinfrastruktur ist durch moderne technische und organisatorische Maßnahmen abgesichert, die sorgfältig entwickelt wurden, um Ihre Daten jederzeit zu schützen.
Technische Maßnahmen
Authentifizierung: Wir setzen auf branchenübliche Standards für den sicheren Zugriff, einschließlich Zwei-Faktor-Authentifizierung (2FA) und dem Prinzip der minimalen Rechtevergabe (Least Privilege). Single Sign-On (SSO) wird über Microsoft Entra ID und Google OAuth/OIDC ermöglicht, was die Benutzerauthentifizierung vereinfacht, ohne dass Passwörter gespeichert werden müssen.
Audit-Trails: Ein zentralisiertes Protokollierungssystem erfasst alle Systemaktivitäten und ermöglicht so eine Echtzeit-Überwachung sowie eine schnelle Reaktion auf Unregelmäßigkeiten. Dies ist entscheidend für die Sicherheit und die Einhaltung regulatorischer Standards.
Disaster-Recovery-Planung: Unsere Strategie zur Wiederherstellung im Notfall umfasst kontinuierliche Datensicherungen, Datenbank-Replikation über mehrere Regionen hinweg und regelmäßige Übungsläufe, um die Geschäftskontinuität unter allen Umständen zu gewährleisten.
Kontinuierliche Sicherheitsüberwachung: Mithilfe automatisierter Tools führen wir umfassende Sicherheitsscans unserer Infrastruktur durch. Dabei halten wir uns an Best Practices und Compliance-Standards wie die AWS-Sicherheitsempfehlungen, HIPAA, NIST 800-53 rev 5, PCI DSS 3.2.1 und die OWASP Top 10.
Regelmäßige Software-Updates: Wir aktualisieren unsere Softwarepakete aktiv, um Schwachstellen zu schließen und sicherzustellen, dass unsere Systeme gegen bekannte Sicherheitsbedrohungen geschützt sind.
Datenverschlüsselung: Unsere Sicherheitsstrategie umfasst eine leistungsstarke Verschlüsselung von Daten sowohl bei der Übertragung als auch im ruhenden Zustand (at rest), um unbefugten Zugriff zu verhindern und die Vertraulichkeit Ihrer Informationen zu wahren.
Sicherer Umgang mit Daten: Sichere Mechanismen für den Datenupload und die Verwendung von HTTPS für alle Dienste gewährleisten die Integrität und Vertraulichkeit Ihrer Daten während der Übertragung.
Datenisolierung: Kundendaten werden in dedizierten Datenbanken gespeichert, um Sicherheit und Privatsphäre zu gewährleisten und Risiken in Multi-Tenant-Umgebungen zu minimieren. Gemeinsam genutzte Ressourcen werden sicher auf einem geschützten Multi-Tenant-Server verwaltet.
Serverlose Architektur: Durch den Einsatz einer serverlosen Architektur (AWS Lambda) reduzieren wir das Risiko von Fehlkonfigurationen der Server erheblich und erhöhen die Sicherheit unseres Systems gegenüber gängigen Schwachstellen.
Konforme Datenspeicherung in der EU: Kundendaten werden sicher in der EU (Frankfurt am Main) gespeichert und entsprechen den strengen EU-Datenschutzgesetzen. Bei kostenpflichtigen Abonnements werden die Daten automatisch neunzig (90) Tage nach Ende der Laufzeit gelöscht. Bei Testkonten erfolgt die automatische Löschung dreizehn (13) Monate nach der Kontoerstellung. Kunden können ihre Daten zudem jederzeit über die Anwendung oder durch Kontaktaufnahme mit ProcessMind löschen. Aus automatischen Backups werden die Daten erst nach deren Ablauf entfernt, was bis zu weitere neunzig (90) Tage in Anspruch nehmen kann.
Getrennte Konten: Wir verwenden separate Konten für Routinevorgänge und für den Zugriff auf Produktionsumgebungen. Dieser Ansatz minimiert das Risiko eines versehentlichen Zugriffs auf Kundendaten oder deren Gefährdung – ganz im Sinne von Best Practices für ein sicheres Datenmanagement. Produktions- und Testumgebungen sind strikt voneinander getrennt, um Datenverunreinigungen zu vermeiden.
Kontinuierliche Funktionsprüfung: Unser Protokoll sieht eine ständige Überprüfung aller Funktionen vor, um sicherzustellen, dass Updates die Integrität unseres Sicherheitsmodells nicht beeinträchtigen. Dieser strenge Testprozess ist entscheidend, um höchste Standards bei Zuverlässigkeit und Sicherheit zu wahren.
Organisatorische Maßnahmen
ISO27001-Zertifizierung: Unser Streben nach ISO27001-Zertifizierung zeigt unser Einbindung für internationale Sicherheitsstandards, mit einem kontinuierlichen Bestreben, weitere Zertifizierungen zu erreichen, die sich nach den Bedürfnissen unserer Kunden richten.
Zugriffsmanagement: Über Active Directory sicherstellen wir sicheren Zugriff auf Anwendungen für Mitarbeiter via SSO, mit erzwungener MFA zur Verbesserung der Sicherheit.
Rollenbasierte Zugriffskontrolle: Wir implementieren strenge Protokolle zur rollenbasierten Zugriffskontrolle (RBAC) für unsere Mitarbeiter, um sicherzustellen, dass der Zugriff auf KundenDaten strikt auf diejenigen beschränkt ist, die sie nach dem Need-to-know-Prinzip benötigen, gemäß den besten Praktiken der Branche für Datensicherheit und Datenschutz.
Sicherheitsbewusstsein: Unser Team engagiert sich für Sicherheit in allen Entwicklungsprozessen. Wir führen regelmäßig Diskussionen zur Verbesserung unserer Sicherheitsmaßnahmen und schaffen ein Umfeld, in dem Sicherheitsverbesserungen kontinuierlich erkannt und implementiert werden.
Protokoll für Change Management: Unser vollständiges Change Management-Protokoll umfasst Sicherheitsüberlegungen und stellt sicher, dass jede Änderung einer gründlichen Sicherheitsauswirkungsbewertung unterzogen wird. Dieser Prozess zielt darauf ab, die Integrität und Sicherheit unserer Systeme zu wahren und negative Sicherheitsauswirkungen bei jeder Änderung zu vermeiden.
Feedback und Einbindung: Kundenfeedback zu unseren Sicherheitspraktiken wird hoch geschätzt und spielt eine wesentliche Rolle in unseren Bemühungen zur kontinuierlichen Verbesserung des Datenschutzes.
Bei ProcessMind ist unser Verpflichtung zum Schutz Ihrer Daten hat für uns höchste Priorität. Wir kombinieren fortschrittliche technische Schutzmaßnahmen mit strengen organisatorischen Protokollen, um einen sicheren, leistungsstarken Service zu bieten. Den Schutz und die Privatsphäre von Daten auf höchsten Standards zu wahren, ist unser Versprechen, Ihr Vertrauen zu gewinnen und zu erhalten.