Sicherheit bei timr

Sicherheit und ein verwantwortungsvoller Umgang mit unseren Kundendaten sind uns bei timr ein großes Anliegen. Mit unseren Maßnahmen stellen wir sicher, dass Ihr Vertrauen in uns 100%ig gerechtfertigt ist.

Datensicherheit


timr wird auf „Root-Servern“ des Deutschen-Qualitätanbieters Hetzner im Rechenzentrum Falkenstein betrieben. Die Rechenzentren sind ISO/IEC 27001:2013 zertifizert und erfüllen somit hohe Qualitätsstandards.

Ihre timr Daten werden stündlich sowie täglich mittels Backups gesichert. Alle Backups werden zusätzlich nochmals physikalisch getrennt bei AWS (EU Dublin) gesichert. Die Daten werden zudem live auf ein Ausfallssystem gespiegelt, das bei Problemen am Hauptsystem innerhalb kürzester Zeit verfügbar ist.

Verfügbarkeit

Wir garantieren eine Verfügbarkeit von 95% im Jahresmittel. In der Praxis ist diese deutlich höher.

Auszug aus unserem SLA Report mit der tatsächlichen Verfügbarkeit der letzten 12 Monate:


Maßnahmen für Sicherheit und Datenschutz


Wir legen absoluten Wert auf einen verantwortungsvollen Umgang mit den Daten unserer Kunden. Für die Sicherheit und den Schutz Ihrer Daten treffen wir folgende technische und organisatorische Maßnahmen.

1. Vertraulichkeit

Unser Unternehmen befindet sich in einem besonderen Vertrauensverhältnis zu den Kunden. Wir gehen daher mit allen erlangten Daten sowie Informationen verantwortungsbewusst um und wahren die Verschwiegenheit.

1.1. Zutrittskontrolle

Verwaltung:

  • Alarmanlage
  • Schlüsselregelung (Schlüsselausgabe etc.)
  • Verschlossene Türen bei Abwesenheit
  • Sorgfältige Auswahl von Reinigungspersonal

Rechenzentrum (Hetzner):

  • elektronisches Zutrittskontrollsystem mit Protokollierung
  • Hochsicherheitszaun um das gesamte Rechenzentrum
  • dokumentierte Schlüsselvergabe
  • Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude
  • 24/7 personelle Besetzung der Rechenzentren
  • Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen
  • Der Zutritt für betriebsfremde Personen (z.B. Besucherinnen und Besucher) zu den Räumen ist wie folgt beschränkt: nur in Begleitung eines Hetzner Online GmbH Mitarbeiters

1.2. Zugangskontrolle

Die folgenden Maßnahmen verhindern, dass timr Server von Unbefugten genutzt werden können:

  • Verwendung von Benutzerrollen, Benutzerrechten
  • RSA Key Authentifizierung für Authentifizierung an Servern
  • Authentifikation mit Benutzername und Passwort bzw. 2-Faktor Authentifizierung wo möglich
  • Authentifikation mit biometrischen Verfahren wo möglich
  • Computer / Laptop Inhalte von troii Mitarbeitern sind verschlüsselt.
  • Smartphone Inhalte von troii Mitarbeitern sind verschlüsselt.
  • Einsatz von MDM Software um Sicherheitseinstellungen auf Geräten durchzusetzen
  • Verwendung von Passwort-Manager Software bei troii
  • Verwendung einer Software Firewall auf timr Servern
  • Richtlinien für Passwörter/Löschen/Clean-desk

1.3. Zugriffskontrolle

Die folgenden Maßnahmen gewährleisten, dass troii Mitarbeiter ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Verwendung eines Berechtigungskonzepts. Die Rechte werden durch den Systemadministrator vergeben.
  • Administrationszugriff ist auf die notwendigsten Mitarbeiter beschränkt.
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Verschlüsselung von Datenträgern
  • Einsatz von Aktenvernichtern
  • Festplatten im Rechenzentrum werden bei Serverwechsel mit einem definierten Verfahren mehrfach überschrieben (gelöscht)

2. Integrität

2.1. Weitergabekontrolle / Übermittlungskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Daten wie Sicherungen werden rein auf elektronischen Transportwegen übertragen.
  • Die Übertragung läuft ausschließlich über verschlüsselte Kanäle.

2.2. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

  • Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
  • Klare Zuständigkeiten für Löschungen

2.3. Auftragskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden:

  • Sorgfältige Auswahl des Auftragnehmers insbes. hinsichtlich Datensicherheit.
  • Protokollierung aller eingegeben Daten für Arbeitszeiten, Projektzeiten, Fahrtenbuch
  • Schriftliche Weisungen an den Auftragnehmer durch Auftragsdatenverarbeitungsvertrag

3. Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

  • Automatische inkrementelle stündliche Datensicherung
  • Automatische tägliche Datensicherung
  • Regelmäßige Tests der Datensicherung und Datenwiederherstellung
  • Datensicherungen werden an einem sicheren, ausgelagerten Ort aufbewahrt.
  • Backup und Wiederherstellungskonzept für alle Daten
  • Notfallplan für ein Reservesystem bei einem Serverausfall
  • Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage im Rechenzentrum
  • Dauerhaft aktiver DDoS-Schutz im Rechenzentrum

4. Trennungsgebot

Folgende Maßnahmen werden zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken getroffen:

  • Berechtigungskonzept und Datenbankberechtigungen
  • Softwareseitige Mandantentrennung
  • Trennung von Produktiv und Testsystem

5. Datenschutz-Management

Die innerbetriebliche Organisation ist durch folgende Maßnahmen so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird:

  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung
  • Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt
  • Nachweise über durchgeführte Schulungen der Mitarbeiter zum Datenschutz liegen vor
  • Nachweise über Einhaltung der datenschutzrechtlichen Verpflichtungen der verarbeitenden Mitarbeiter liegen vor
  • Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
  • Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Daten-Pannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Datenschutzbeauftragter ist schriftlich bestellt
  • Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Regelmäßige Sensibilisierung der Mitarbeiter, mindestens jährlich
  • troii Datenschutz-Managementsystem (DSMS) ist vorhanden
  • Datenschutzfreundliche Voreinstellungen werden bei der Softwareentwicklung berücksichtigt
  • Ein Kontroll- und Verbesserungsprozess wir mindestens 1x jährlich durchgeführt