SaaS: Technische und organisatorische Maßnahmen BDSG audeoSoft GmbH

1. Einleitung

audeoSoft stellt die Anwendung staffITpro WEB und weitere Zusatzanwendungen im Rahmen von SaaS dem Kunden zur Verfügung. Dazu stellt audeoSoft dem Kunden Hard- und Software zur Verfügung. Die komplette Hardware sowie die Softwarekomponenten Windows Server (Betriebssystem), MS SQL Server (Datenbank) werden vom Unterauftragnehmer von audeoSoft bereitgestellt. Der Betrieb der Hard- und Software erfolgt in einem Rechenzentrum des Unterauftragnehmers. Es wird ergänzend auf die Beschreibungen des Unterauftragnehmers unter SaaS: AGB und Anlagen hingewiesen. audeoSoft stellt die mit dem Kunden vereinbarten Applikationen, nachfolgend SaaS-Software genannt, im Internet zur Verfügung. Die SaaS-Anwendungen werden von audeoSoft installiert und bereitgestellt.

2. Zutrittskontrolle

audeoSoft GmbH besitzt keinen Zutritt zu den EDV-Anlagen des Unterauftragnehmers. Es wird ergänzend auf die Bedingungen des Unterauftragnehmers unter SaaS: Technische und organisatorische Maßnahmen Unterauftragnehmer hingewiesen.

3. Zugangs- und Zugriffskontrolle

Die von audeoSoft bereitgestellte Software ist durch Kennwörter und Datenverschlüsselung geschützt. Die Übertragung der Daten zwischen SaaS-Software und dem SaaS-Server erfolgt auf Basis der HTTPS-Verschlüsselung. Auf Wunsch kann der Kunde ohne Datenverschlüsselung arbeiten.

Der ADM-Nutzer dient der Administrierung von staffITpro WEB. Dem Kunden wird bei einer Neuinstallation das Passwort des ADM-Nutzers telefonisch genannt. Zusätzlich erhält der Kunde zur Einrichtung weiterer Nutzer und zur Veränderung von Nutzerangaben die Software WebAdmin. Der Kunde ist unbedingt aufgefordert, das Kennwort für den ADM-Nutzer umgehend zu ändern. audeoSoft kennt die seitens des Kunden vergebenen Kennwörter für den ADM-Nutzer und für die weiteren Nutzer nicht, die für die Nutzung der SaaS-Software notwendig sind. Alle Kennwörter für den Zugang zur SaaS-Software sind verschlüsselt gespeichert.

Zur Erfüllung von zugesicherten Supportleistungen sowie zur Aufrechterhaltung des Serverbetriebs besitzt audeoSoft Zugang zu den Hosting-Servern. Die Anforderungen an die Zugangskontrolle, insbesondere an ein Authentifizierungssystem, sind erfüllt. Die Server sind durch Login/Kennwort-Verfahren gesichert. Alle SaaS-Server werden mittels Remote-Desktop-Technologie gewartet. Dazu werden ausschließlich gesicherte VPN-Verbindungen verwendet (Tunnel zwischen dem Router von audeoSoft und dem Router des Unterauftragnehmers). Die Anmeldung an den Server erfolgt als Administrator. Dies ist für die Administration des Systems unumgänglich. Die Kennwörter sind nur den Mitarbeitern bekannt, die mit dem Support und der Betreuung der EDV-Anlage betraut sind. Alle betrauten Mitarbeiter wurden schriftlich zur Geheimhaltung verpflichtet. Die Kennwörter sind mindestens acht Zeichen lang und bestehen aus zufälligen Kombinationen von Buchstaben, Sonderzeichen und Zahlen. audeoSoft besitzt nach Anmeldung vollständigen Zugriff auf das Betriebssystem Windows-Server und auf die Datenbank MS SQL Server. Dieses ist notwendig, um bei Systemstörungen sofort eingreifen zu können und um Wartungsarbeiten auszuführen.

audeoSoft führt folgende Leistungen durch: Installieren von folgenden Updates: Windows-Betriebssystem, MS SQL Server Datenbank, Webserver IIS, SaaS-Software und weiterer Software-Komponenten, die ein Update benötigen. Weitere Aufgaben sind das Bereinigen von SQL-Server-Protokollen, der Neustart von IIS (Internet Information Server), der Neustart von MS SQL Server und weiteren Diensten, die für den Betrieb der SaaS-Software notwendig sind.

Es wird ergänzend auf die Bedingungen des Unterauftragnehmers unter SaaS: Technische und organisatorische Maßnahmen Unterauftragnehmer hingewiesen.

4. Weitergabe Kontrolle

Die gesetzlichen Anforderungen an die Weitergabe und Kontrolle von Daten sind erfüllt. Eine Weitergabe von personenbezogenen Daten an Dritte wird selbständig durch audeoSoft nicht vorgenommen. audeoSoft hat alle Mitarbeiter verpflichtet, zu keiner Zeit die Daten der Kunden einzusehen oder Kopien anzulegen. Sollte der Zugriff auf die Daten des Kunden aus Sicht des Supports notwendig sein, so wird der Kunde zuvor schriftlich seine Einwilligung dafür erteilen. Backups werden vom Unterauftragnehmer durchgeführt. audeoSoft besitzt keinen direkten Zugriff auf Backups der Kundendaten. audeoSoft muss sich zum Laden eines Backups beim Unterauftragnehmer identifizieren. Der Speichervorgang findet intern im geschützten Netzbereich statt. Ein Eingriff in den Speicher- oder Übertragungsvorgang ist dabei nicht möglich. Der Speicher- und Übertragungsvorgang ist gegen Manipulationen geschützt. Es wird ergänzend auf die Bedingungen des Unterauftragnehmers unter SaaS: Technische und organisatorische Maßnahmen Unterauftragnehmer hingewiesen.

5. Verfügbarkeitskontrolle

Es wird ergänzend auf die Bedingungen des Unterauftragnehmers unter SaaS: Technische und organisatorische Maßnahmen Unterauftragnehmer hingewiesen. audeoSoft verwendet für seine Server folgende Komponenten, die eine hohe Verfügbarkeit gewährleisten: Trennung von WEB- und Datenbankserver. Der Datenbankserver ist NICHT über eine öffentliche IP zu erreichen und damit vom Internet getrennt. Alle Server werden täglich während des Betriebs mehrmals vollständig gesichert und können bei Bedarf wiederhergestellt werden. RAID-Festplattensystem mit redundanter Datenhaltung (Spiegelung). Eine hohe Verfügbarkeit ist damit gewährleistet.

6. Trennungsgebot

audeoSoft erfüllt die Anforderungen an das Trennungsgebot. Auf den produktiven Systemen werden keine zu anderen Zwecken erhobenen Daten verarbeitet. Änderungen werden erst auf logisch oder physikalisch getrennten Systemen getestet, bevor sie in das Produktivsystem migriert werden.

7. Sicherung der Daten

audeoSoft führt innerhalb von 24 Stunden mehrere Datensicherungen aller Dateien und Datenbanken aller Kunden durch. Die Sicherung erfolgt auf einen getrennten Backup-Bereich.

ENDE

Stand: März 2013