Kostenlos testen
Anmelden

Sicherheit und Datenschutz
bei Metasoul

Sicherheit und Datenschutz ist unser Kernanliegen bei Metasoul und nicht nur ein nachträglicher Gedanke. Wir haben ein robustes Konzept erstellt und implementiert um als gelernte IT- Sicherheits- und Datenschutzexperten unser Handwerk auch in den eigenen Produkten zum Schutz unserer Kunden nach höchsten Maßstäben umzusetzen.

Rolle externer Dienstleister

Für die Entwicklung und den Betrieb unserer App und unserer Webseite vertrauen wir auf externe Dienstleister, welche essenzielle Sicherheitsmaßnahmen bereits als Teil ihres Services auf professionelle Weise erbringen. Wir stellen sicher, dass unsere Ansprüche auf Datenschutz und Informationssicherheit auch von diesen Dienstleistern ordentlich wahrgenommen werden.

Technische und Organisatorische Sicherheits-Maßnahmen

Technische Maßnahmen

  • Die App und die Webseite werden in ISO27001 zertifizierten Datencenter betrieben.
    Sicherheitszertifizierungen von Drittanbietern wie ISO27001 liefern den Nachweis, dass eine Organisation einen bestimmten Standard des Informations-Sicherheitsmanagements erfüllt hat. Sie sind ein wichtiger Teil des Vertrauensaufbaus mit Kunden und Partnern.
  • Verschlüsselung von Daten: Sensible gespeicherte Daten (Data at Rest) und Daten in Übermittlung (Data in Transit) werden unter Beachtung der Richtlinie für Kryptografische Verfahren des BSI verschlüsselt, um diese vor unbefugtem Zugriff zu schützen.
    Die Datenverschlüsselung für Daten stellt sicher, dass sensible Daten in verschlüsseltem Format auf dem jeweiligen Speichermedium gespeichert und übertragen werden, um sie vor unbefugtem Zugriff zu schützen, insbesondere im Falle von Diebstahl oder Verlust des Speichergeräts.
  • Rechtekonzept für Administratoren: Es wurden strenge Zugriffskontrollen nach dem „need to know“ und „least privilege“ Prinzip auf personenbezogene Daten implementiert. Für Administratoren umfasst dies insbesondere Einsatz von MFA, die verpflichtende Nutzung von Passwort Managern und zufallsgenerierter Passwörter mit mindestens 20 Zeichen. Administrative Rechte werden über das 4-Augen Prinzip vergeben und dürfen nur für valide Zwecke verwendet werden. Die Nutzung administrativer Rechte wird überwacht.
    Zugriffskontrollen sind Maßnahmen, die einschränken, wer auf bestimmte Ressourcen, wie persönliche Daten, zugreifen kann. Sie sind entscheidend, um unbefugten Zugriff zu verhindern und sicherzustellen, dass nur berechtigte Personen Zugang zu Daten haben.
  • Büroräume sind angemessen vor unberechtigtem Zutritt geschützt, außerhalb der Geschäftszeiten geschlossen und Besucher können die Büroräume nur unter ständiger Begleitung betreten.
    Der Schutz von Büroräumen vor unberechtigtem Zutritt und die ständige Begleitung betriebsfremder Personen stellt den Schutz von personenbezogenen Daten innerhalb von Büroräumen sicher.
  • Persönliche Daten werden regelmäßig gesichert, um Datenverlust zu verhindern.
    Regelmäßige Datensicherungen sind entscheidend, um Datenverlust bei Vorfällen wie Datenpannen oder technischen Ausfällen zu verhindern. Sie gewährleisten, dass die Organisation auch im schlimmsten Fall die Daten wiederherstellen und den Betrieb fortsetzen kann.
  • Umgang mit Zugangsdaten und anderen sensiblen Informationen: Zur Absicherung des Zugriffs auf personenbezogene Daten wird Zwei-Faktor-Authentifizierung genutzt. Zugangsdaten und andere sensible Informationen werden in einem Passwortmanager gespeichert. Alle Zugänge über Netzwerke sind verschlüsselt.
    Die Zwei-Faktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem sie von Benutzern verlangt, zwei Formen der Identifikation bereitzustellen, bevor sie auf Daten zugreifen können. Dies erschwert es unbefugten Personen, Zugang zu erlangen.
  • Passwort-Management-Tools werden verwendet, um sichere Passwörter anhand interner Passwort-Richtlinien für Systeme und Anwendungen zu erstellen, zu speichern und zu verwalten.
    Passwort-Management-Tools helfen Benutzern dabei, komplexe und einzigartige Passwörter für verschiedene Konten zu generieren, zu speichern und zu verwalten, wodurch das Risiko der Passwortwiederverwendung verringert, und die allgemeine Passwortsicherheit verbessert wird.
  • Sichere, dem Stand der Technik entsprechende, Netzwerkprotokolle und Konfigurationen werden als Härtungsmaßnahmen angewandt, um Daten während der Übertragung zu schützen.
    Sichere Netzwerkprotokolle, wie korrekt konfiguriertes, TLS basiertes HTTPS, bieten Sicherheitsmaßnahmen, einschließlich Verschlüsselung, während der Datenübertragung und helfen dabei, Daten während der Übertragung zu schützen.
  • Penetrationstests werden regelmäßig durchgeführt, um potenzielle Schwachstellen in Systemen zu identifizieren.
    Penetrationstests, auch bekannt als Pen-Tests, sind simulierte Cyberangriffe gegen Ihr Computersystem, um ausnutzbare Schwachstellen zu überprüfen. Der Prozess beinhaltet das Sammeln von Informationen über das Ziel vor dem Test, das Identifizieren möglicher Eintrittspunkte, den Versuch einzudringen und das Zurückmelden der Ergebnisse.
  • Schutz vor Malware: Anti-Malware-Maßnahmen wurden implementiert, um Systeme und Daten vor Malware zu schützen. Dies beinhaltet die Installation und den Betrieb von Malware-Erkennungs-software auf relevante Systeme als auch die Überwachung und Behandlung von Alarmen welche durch potenziell erkannte Bedrohungen ausgelöst werden.
    Anti-Malware-Maßnahmen umfassen den Einsatz von Software-Tools zum Erkennen und Entfernen von bösartiger Software, die die Systemsicherheit und Datenintegrität gefährden könnte. Diese Tools sind entscheidend für die Verteidigung gegen Cyber-Bedrohungen.
  • Systemhärtung: Härtungsmaßnahmen werden über eine sichere Konfiguration basierend auf CIS-Standards auf alle relevante Systeme angewandt. Härtungsmaßnahmen beinhalten vor allem die Deaktivierung von unnötigen Funktionen, der Einschränkung von Zugriff und Rechte auf ein nötiges Mindestmaß und die Beachtung von Herstellerempfehlungen zur Systemhärtung.
    Eine sichere Systemkonfiguration bedeutet, Systeme und Software so einzurichten, dass das Risiko von Schwachstellen, die von bösartigen Parteien ausgenutzt werden könnten, verringert wird. Dazu gehören Maßnahmen wie das Deaktivieren unnötiger Dienste, das Einrichten angemessener Benutzerberechtigungen und das Aktualisieren von Systemen.
  • Firewalls werden verwendet, um den ein- und ausgehenden Netzwerkverkehr zu überwachen, zu steuern und nur notwendige, explizit genehmigte Verbindungen zuzulassen.
    Firewalls sind ein Netzwerksicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr anhand vordefinierter Sicherheitsregeln überwacht und steuert. Sie stellen eine Barriere zwischen vertrauenswürdigen internen Netzwerksegmenten aber auch nicht vertrauenswürdigen externen Netzwerk, wie dem Internet, her.
  • Netzwerkaktivitäten werden durchgehend überwacht, um Sicherheitsbedrohungen zu erkennen und darauf zu reagieren.
    Die Netzwerküberwachung ist ein kritischer IT-Prozess, bei dem alle Netzwerkkomponenten wie Router, Switches, Firewalls, Server und VMs auf Fehler, Sicherheitsvorfälle und Leistung überwacht und kontinuierlich bewertet werden, um ihre Verfügbarkeit zu erhalten und zu optimieren. Die frühzeitige Erkennung von Problemen oder Sicherheitsvorfälle kann ein Unternehmen vor unerwarteten Ausfallzeiten bewahren.
  • Techniken der Datenpseudonymisierung werden eingesetzt, um das Risiko von Datenpannen zu verringern.
    Pseudonymisierung ist ein Datenmanagement- und De-Identifizierungsverfahren, bei dem personenbezogene Identifikationsfelder innerhalb eines Datensatzes durch ein oder mehrere künstliche Kennungen oder Pseudonyme ersetzt werden, um die Privatsphäre der Daten zu schützen.
  • Patch-Management-Prozess: Regelmäßige Aktualisierungen aller Software- und Hardwarekomponenten werden über einen dezidierten Patch-Management-Prozess sichergestellt, um gegen bekannte Schwachstellen zu schützen. Patches werden je nach Systemtyp in unterschiedlichen Intervallen durchgeführt, jedoch mindestens einmal im Quartal und immer, wenn ein Patch die Behandlung eine kritische Schwachstelle betrifft.
    Regelmäßige Aktualisierungen von Software und Hardware stellen sicher, dass sie gegen bekannte Schwachstellen geschützt sind. Aktualisierungen beinhalten oft Patches für Sicherheitslücken, die seit der letzten Version der Software oder Hardware entdeckt wurden.
  • Elektronische Zugriffsprotokolle (Logs) werden geführt, um aufzuzeichnen, wer wann auf welche personenbezogenen Daten zugegriffen hat.
    Elektronische Zugriffsprotokolle werden verwendet, um zu erfassen, wann Benutzer auf Systeme und Daten zugreifen. Dies kann im Falle eines Sicherheitsvorfalls entscheidend sein, da es hilft, Aktionen nachzuverfolgen und potenzielle Täter zu identifizieren.

Organisatorische Maßnahmen

  • Das Prinzip der Datenminimierung wird eingehalten, es werden nur die für die Serviceerbringung erforderlichen persönlichen Daten gesammelt.
    Die Datenminimierung ist ein Schlüsselprinzip der DSGVO. Es bedeutet, dass eine Organisation nur die persönlichen Daten erheben und verarbeiten sollte, die sie für ihren spezifischen Zweck benötigt. Dies reduziert das Risiko von Datenpannen und hilft, Vertrauen bei den Kunden aufzubauen.
  • Löschverfahren: Basierend auf einem Löschkonzept werden personenbezogene Daten, soweit rechtlich möglich, automatisiert gelöscht, wenn der Zweck zur Dienstleistungserbringung erfüllt ist oder die betroffene Person dies explizit wünscht (Recht auf Löschung).
    Die regelmäßige Löschung unnötiger Daten ist ein wichtiger Teil des Datenmanagements und der DSGVO-Konformität. Sie hilft, das Risiko von Datenpannen zu reduzieren und stellt sicher, dass die Organisation nicht länger als notwendig persönliche Daten aufbewahrt.
  • Regelmäßige Kampagnen (Awareness Trainings) zur Sensibilisierung der Benutzer für Informationssicherheit werden durchgeführt, um Mitarbeiter über potenzielle Cyberbedrohungen aufzuklären.
    Kampagnen zur Sensibilisierung der Benutzer für Informationssicherheit (Awareness Trainings) sind entscheidend, um Mitarbeiter über Cyberbedrohungen wie Phishing, Social Engineering und Malware aufzuklären und bewährte Praktiken im Datenschutz zu fördern.
  • Es wurde ein detaillierter Reaktionsplan zur Bewältigung potenzieller Datenpannen oder Cybersicherheits-Vorfälle, welche personenbezogene Daten betreffen, erstellt.
    Ein Reaktionsplan ist ein Satz von Anweisungen, die helfen, Sicherheitsvorfälle zu identifizieren, darauf zu reagieren und sich von ihnen zu erholen. Ein robuster Plan ist entscheidend, um die Auswirkungen einer Datenpanne zu minimieren und schnell wiederherzustellen.
  • Regelmäßige Datenschutz-Folgenabschätzungen werden durchgeführt, um Risiken zu identifizieren und zu mindern.
    Datenschutz-Folgenabschätzungen (DSFA) identifizieren, bewerten und mindern oder minimieren Datenschutzrisiken bei der Datenverarbeitung. DSFAs sind wichtig, da sie Organisationen helfen, Probleme frühzeitig zu erkennen und zu beheben, was die damit verbundenen Kosten und den Schaden für den Ruf vermindern kann, der andernfalls auftreten könnte.
  • Mitarbeiter werden regelmäßig zum Datenschutz und zur Einhaltung der DSGVO geschult.
    Regelmäßige Schulungen stellen sicher, dass Mitarbeiter über Datenschutzprinzipien und ihre Verantwortlichkeiten im Rahmen der DSGVO informiert sind. Dies kann dazu beitragen, durch menschliche Fehler verursachte Datenpannen zu verhindern und sicherzustellen, dass Probleme korrekt gemeldet und behandelt werden.
  • Ein Verfahren zur Benachrichtigung bei Datenpannen ist eingerichtet, um betroffene Personen und zuständige Behörden zu informieren.
    Im Falle einer Datenpanne verlangt die DSGVO, dass Organisationen betroffene Personen und zuständige Behörden benachrichtigen. Dieses Verfahren ermöglicht eine zeitnahe Benachrichtigung und kann helfen, die Folgen einer Datenpanne zu mildern.
  • Privacy by design und Privacy by default Prinzipien werden befolgt.
    Privacy by design und Privacy by default bedeutet, den Datenschutz in Verarbeitungsaktivitäten und Geschäftspraktiken zu integrieren, von der Entwurfsphase an durch den gesamten Lebenszyklus. Dies hilft sicherzustellen, dass Datenschutz nicht nachträglich berücksichtigt wird, sondern in die Gestaltung und Architektur von IT-Systemen und Geschäftspraktiken eingebettet ist.
  • Ein Datenschutzbeauftragter (DSB) wurde ernannt, um die Einhaltung der DSGVO zu überwachen.
    Ein Datenschutzbeauftragter (DSB) ist verantwortlich für die Überwachung der Datenschutzstrategie eines Unternehmens und deren Umsetzung, um die Einhaltung der DSGVO-Anforderungen zu gewährleisten. Der DSB fungiert als Ansprechpartner für das Unternehmen, die betroffenen Personen und die Aufsichtsbehörden.
  • Softwareentwicklern wird regelmäßig Sicherheitsschulung bereitgestellt, um sichere Programmierpraktiken zu gewährleisten.
    Regelmäßige Sicherheitsschulungen für Entwickler sind unerlässlich, um sie über die neuesten Sicherheitsbedrohungen und Best Practices für die Erstellung sicherer Code zu informieren, wodurch die Wahrscheinlichkeit der Einführung von Schwachstellen in die Software verringert wird.
  • Informationssicherheits-Richtlinien sind etabliert und werden regelmäßig überprüft und aktualisiert.
    Informationssicherheits-Richtlinien legen den Rahmen dafür fest, was in Bezug auf Informationssicherheit von Mitarbeitern und Systemen erwartet wird. Das regelmäßige Überprüfen und Aktualisieren dieser Richtlinien stellt sicher, dass sie effektiv und relevant bleiben, angesichts der sich entwickelnden Sicherheitslandschaft.
  • Informationssicherheitsbewertungen von Auftragsverarbeiter werden durchgeführt und Auftragsverarbeitungs-Vereinbarungen erstellt, um die Einhaltung von Sicherheitsstandards zu gewährleisten und vertraglich abzusichern.
    Informationssicherheitsbewertungen von Auftragsverarbeiter sind entscheidend, um zu überprüfen, ob externe Dienstleister oder Lieferanten die gleichen Datenschutz- und Sicherheitsstandards wie die Organisation einhalten. Dies hilft, das Risiko von Datenpannen oder Lecks durch Dritte zu minimieren. Dies muss laut DSGVO per Auftragsverarbeitungs-Vereinbarung formalisiert werden.

SCHÜTZE DICH VOR TEUREN ABMAHNUNGEN!

Starte jetzt und teste mit Metasoul, wie du deine Datenschutzverpflichtungen einfach und übersichtlich erfüllen kannst.

Kostenlos testen

made in Austria 🇦🇹

DSGVO konform ✅

EU AI Act konform 🇪🇺

NIS2 konform 🌐

Secure by Design 🔒

Metasoul

Branchen

Hilfe & Support

Rechtliches