DTP Log GmbH Sicherheitsrichtlinien
Die Sicherheit Ihrer Daten ist für uns von großer Bedeutung. Wir haben entsprechende technische und organisatorische Maßnahmen getroffen, um sicherzustellen, dass alle an DTP Log GmbH gesendeten Daten sicher behandelt werden.
Sie können immer noch URLs, IDs oder andere Informationen freigeben, um den Datenaustausch weniger privat zu gestalten. Hierbei können wir jedoch keine Verantwortung für den Datenschutz übernehmen, der durch die grundsätzliche Offenheit der Plattform oder die Freigabe von unbefugten Informationen Ihrerseits, verletzt wird.
DTP Log GmbH – HRB 31453 – wird nachfolgend als „DTP Log“ oder „wir“, „uns“, „unser“ bezeichnet und als „Sie“ oder „Ihre“ wird der Kunde bezeichnet, mit dem ein Geschäftsvertrag vereinbart wird und als Kunde bei DTP Log GmbH angelegt wird.
1. Sicherheit des Personals
Wir haben Prozesse eingerichtet, um sicherzustellen, dass alle Mitarbeiter, die Zugang zu Systemen oder Informationen über unsere Nutzer sowie zu Nutzerdaten haben, einer Geheimhaltungsverpflichtung als Teil ihres Arbeitsvertrages mit DTP Log zugestimmt haben.
Unser Personaleinführungsprozess beinhaltet die Überprüfung der Identität des Personals, des Hintergrunds sowie die Eignung im Hinblick auf die Fach- und Sozialkompetenzen. Unser rigoroser Prozess zur Beendigung des Arbeitsverhältnisses umfasst den Entzug von Zugriffsrechten, die Beschlagnahme von IT-Geräten, die Ungültigmachung sämtlicher Zugriffe sowie die Benachrichtigung über fortlaufende Vertraulichkeitsverpflichtungen.
Alle Mitarbeiter, die Zugang zu Informationen über Benutzer haben, müssen regelmäßig an entsprechenden Sicherheitsschulungen teilnehmen, wie in der unten aufgeführten Liste der Sicherheitsrevisionen dargelegt. Nach Beendigung des Arbeitsverhältnisses widerrufen wir alle Zugriffe, die der betreffende Mitarbeiter hatte.
Geschäftsführer
- Verantwortlich für alle Aspekte der Informationssicherheit und Datenverarbeitung bei DTP Log
- Legt die Privilegien und Zugriffsrechte auf die Ressourcen innerhalb ihrer Bereiche fest.
Sicherheitsbeauftragter
- Verantwortlich für die Sicherheit der IT-Infrastruktur.
- Plant gegen Sicherheitsbedrohungen, Schwachstellen und Risiken.
- Implementiert und pflegt Dokumente zur Sicherheitsrichtlinie.
- Stellt Sicherheitstrainingsprogramme für das Personal zur Verfügung.
- Reagiert auf Vorfälle in der Informationssicherheit.
- Stellt sicher, dass die IT-Infrastruktur die Sicherheitsrichtlinien befolgt.
Das gesamte Personal
- Müssen die Anforderungen der Sicherheitsrichtlinien von DTP Log einhalten und erfüllen.
- Sind verpflichtet alle tatsächlichen, versuchten und/oder vermuteten Sicherheitsverstöße zu melden.
Als Gegenleistung für die Übertragung von Rechten zur Nutzung von DTP Log Systemen und Informationen müssen alle Mitarbeiter folgendes zustimmen:
- Dass alle vertraulichen Informationen vertraulich behandelt werden müssen und dass jede Offenlegung vertraulicher Informationen DTP Log Schaden zufügen würde.
- Dass die Mitarbeiter vertrauliche Informationen nur auf von DTP Log ausgegebenen Geräten handhaben dürfen.
- Dass die Mitarbeiter weder direkt noch indirekt von Informationen Gebrauch machen dürfen, die nicht im Rahmen der Arbeitspflichten verwendet werden.
- Dass die Mitarbeiter, die ihm anvertrauten Passwörter, PIN-Codes usw. streng vertraulich behandeln werden.
- Dass die Mitarbeiter mindestens eine 2-Faktor-Authentifizierung für Systeme mit Benutzerdaten verwenden. Wir verlangen auch passwortgeschützte SSH-Schlüssel.
- DTP Log implementiert hostbasierte (d. h. pro Arbeitsplatz) Sicherheit, indem es vertraglich eine starke (mindestens AES128) Verschlüsselung auf allen Arbeitsplätzen vorschreibt. Dies wird zu Beginn der Beschäftigung und mindestens zweimal im Jahr überprüft.
- Dass Firewall auf allen Arbeitsplätzen aktiviert ist.
- Dass die Mitarbeiter verstehen, dass ihre Rechte zur Nutzung von DTP Log-Systemen und Informationen mit der Beendigung ihrer Arbeitspflicht oder jederzeit auf Aufforderung durch DTP Log erlöschen. Wenn der Mitarbeiter nicht anderweitig instruiert wird, fordert DTP Log den Mitarbeiter auf, alles geistige Eigentum, über das er verfügt, unverzüglich zurückzugeben, wenn seine Rechte erloschen sind.
- Die DTP Log-Passwortkontrollrichtlinie definiert die Anforderungen für den richtigen und sicheren Umgang mit Passwörtern innerhalb der Organisation. Alle Mitarbeiter, die mit Vermögenswerten und Diensten im Zusammenhang mit DTP Log umgehen, verwenden eine Passwortverwaltung über ein zertifiziertes Passwortverwaltungssystem und starke Passwörter sind erforderlich (mind. 8 Zeichen mit Groß-Klein Buchstaben, Ziffern und Sonderzeichen)
2.Betriebssicherheit
Der Zugang zu den Büroräumen von DTP Log ist auf die Mitarbeiter individuell und auf einer Need-to-have-Basis beschränkt.
Der physische Zugang zu dem Ort, an dem die Dienstleistungen erbracht werden, protokolliert Ereignisse, die sich auf den physischen Zugang beziehen, wie z. B. Datum, Uhrzeit, verweigerter Zugang oder gewährter Zugang.
Wir protokollieren wichtige Ereignisse, die es uns ermöglichen, verdächtige oder bösartige Aktivitäten zu überwachen und nachzuverfolgen.
DTP Log hält das Prinzip des geringsten Privilegs (PoLP) aufrecht, was bedeutet, dass jedes Modul (wie z. B. ein Prozess, ein Benutzer oder ein Programm, je nach Thema) nur Zugriff auf die Informationen und Ressourcen haben darf, die für seinen legitimen Zweck notwendig sind.
Verluste, Diebstahl, Beschädigungen, Manipulationen oder andere Vorfälle im Zusammenhang mit IT-Assets, die die Sicherheit gefährden, müssen so schnell wie möglich an den Sicherheitsbeauftragten gemeldet werden.
3.Geschäftskontinuität
Wir behalten uns das Recht vor, die Anwendung für Wartungsarbeiten und Upgrades abzuschalten, ohne Sie vorher zu benachrichtigen. Wir werden Sie vor Aktualisierungen oder Wartungsarbeiten an der Anwendung benachrichtigen. Wir beabsichtigen, geplante Wartungsarbeiten nur zu verkehrsarmen Zeiten/Wochenenden durchzuführen. Weitere Informationen entnehmen Sie bitte den Nutzungsbedingungen. Wir behalten uns das Recht vor, neue Updates und Versionen der Anwendung zu implementieren, soweit wir dies für angemessen halten.
Wir haben ein IT-Sicherheitsteam, dessen oberste Priorität die Stabilität, Skalierbarkeit und Integrität der DTP Log-Plattform ist.
Wir nehmen Hilfe von Azure-Sicherheitstools (wie z.B. Azure Defender, Azure Inventory, Azure Score, Azure Regulatory Compliance) in Anspruch, das regelmäßig Schwachstellen-Scans durchführt und Bedrohungen sofort meldet. Hohe Schwachstellen werden innerhalb von zwei Wochen behoben, mittlere innerhalb von sechs Wochen, niedrige innerhalb von acht Wochen.
4.Kontinuierliche Verbesserungen
Unsere Engineering-Praktiken stellen sicher, dass wir in allen Phasen eines Entwicklungslebenszyklus die Sicherheit im Blick haben. Obwohl kein System vollkommen sicher ist, tun wir unser Bestes, um jede Art von Risiko zu minimieren. Beispiele für Engineering-Praktiken:
- Klare Code-Konventionen, die durch statische Code-Analyse erzwungen werden
- Verwendung von bekannten Frameworks zum Schutz vor gängigen Angriffsvektoren (Azure Defender, SQL Injection)
- Incident-Response-Pläne werden gepflegt und befolgt, um schnell auf Vorfälle zu reagieren
- Kontinuierliche Überprüfung, um Bibliotheken auf dem neuesten Stand zu halten
- Kontinuierliche Integrations-Builds und -Tests
- Kontinuierlicher Verbesserungsprozess mit dem gesamten Produktteam, bei dem Sicherheitsprobleme ein ständiger Punkt sind
- Der gesamte Code wird einem Peer-Review unterzogen, um Bugs und Sicherheitslücken frühzeitig zu finden
- Alle Releases werden getestet, bevor sie in die Produktion überführt werden
- Passwörter werden immer in Azure Key Vault aufbewahrt.
5.Datensicherheit
Datenbearbeitung
Wir arbeiten mit den klassenbesten Dienstleistern für die Datenspeicherung zusammen. Die physische Infrastruktur des Dienstanbieters wird in den sicheren Rechenzentren von Microsoft Azure gehostet und verwaltet und nutzt die Azure Cloud Service. Azure führt ein kontinuierliches Risikomanagement durch und unterzieht sich wiederkehrenden Bewertungen, um die Einhaltung von Branchenstandards zu gewährleisten.
Der Rechenzentrumsbetrieb von Azure wurde akkreditiert unter:
- ISO 27001
- SOC TSP
- PCI
- Azure Benchmark
Wir haben unsere Daten so konfiguriert, dass sie in der Region Europa West, Niederlande, gespeichert werden.
Die Sicherheit von Microsoft Azure wird hier behandelt (
Vertrauen Sie Ihrer Cloud | Microsoft Azure)
Es werden Sicherheitsmaßnahmen ergriffen, um Sie und Ihre Daten sowohl für “Data at rest” als auch für “Data in transit” zu schützen.
Ruhende Daten
Wir verwenden eine Verschlüsselung aller Daten “at-rest” und erhalten einen leistungsstarken und automatischen Schutz durch unseren Datenbankanbieter. Lesen Sie mehr hier:
Vertrauen Sie Ihrer Cloud | Microsoft Azure
Wie oben und in der Datenschutzerklärung beschrieben, speichert DTP Log die Daten auf Microsoft Azure (ein Azure-Service
Compliance in der vertrauenswürdigen Cloud | Microsoft Azure). Wir trennen die Kundendaten logisch, um Integrität und Vertraulichkeit zu gewährleisten. DTP Log nutzt ISO 27001, SOC TSP und Azure Benchmark zertifizierte Rechenzentren, die von Azure verwaltet werden.
Kreditkarteninformationen werden bei einem Level 1 PCI-konformen Drittanbieter gespeichert. Siehe Zahlungsdetails unten für weitere Informationen.
Daten während der Übertragung
Wir verwenden den Standard TLS 1.2, d.h. Verschlüsselung der Daten “in-transit”. Datenschutz und Schutz der Benutzerdaten sind für uns von höchster Bedeutung und wir haben sowohl technische als auch betriebliche Unterstützung, um dies zu gewährleisten. Wir nutzen außerdem den gesamten Schutz durch
Compliance in der vertrauenswürdigen Cloud | Microsoft Azure.
Backups und Schutz vor Datenverlust
Die Daten werden kontinuierlich gesichert und wir haben ein automatisches Failover-System, falls das Hauptsystem ausfällt. Wir erhalten einen leistungsstarken und automatischen Schutz durch unseren Datenbankanbieter. Lesen Sie hier mehr:
Benutzer-Passwörter
Wir verschlüsseln Passwörter mit dem Asymmetric Key Cryptography, um sie im Falle eines Einbruchs vor Schaden zu schützen. DTP Log kann Ihr Passwort niemals sehen und Sie können es selbst per E-Mail zurücksetzen.
Mitarbeiter-Passwörter
Passwörter, die im Rahmen der Arbeit verwendet werden, werden immer in einem Safe aufbewahrt. Wir setzen MFA voraus, wo die Anwendung notwendig ist und dass Mitarbeiter Bildschirmsperren verwenden, wenn sie nicht an ihrem Arbeitsplatz sind.
Zahlungsdetails
Wir verwenden den PCI-konformen Zahlungsprozessor für die Verschlüsselung und Verarbeitung von Kreditkartenzahlungen. Wir sehen oder bearbeiten niemals Kreditkarteninformationen.
Sicherheitshinweise
Wir haben angemessene technische und organisatorische Maßnahmen eingerichtet und werden diese beibehalten, um personenbezogene Daten sowie andere Daten gegen zufällige oder unrechtmäßige Zerstörung oder zufälligen Verlust, Änderung, unberechtigte Offenlegung oder unberechtigten Zugriff sowie gegen alle anderen unrechtmäßigen Formen der Verarbeitung (ein “Sicherheitsvorfall”) zu schützen.
6.Zeitplan für Sicherheitsrevisionen
Dieser Abschnitt zeigt, wie oft DTP Log Sicherheitsrevisionen vornimmt und verschiedene Arten von Tests durchführt. Wenn signifikante Änderungen auftreten, wird DTP Log eine anderweitig geplante Aktivität einleiten, um die kontinuierliche Sicherheit zu gewährleisten.
Planned activity |
Frequency |
Sicherheitstraining für das Personal |
Jährliche Sicherheitsunterweisung |
System-, Hardware- und Dokumentenzugriff widerrufen |
Bei Beendigung des Arbeitsverhältnisses |
Stellt sicher, dass die Zugriffsebenen für alle Systeme und Mitarbeiter korrekt sind |
2 x Jahr |
Audit von Access-Management-Prozess und -Katalog |
1 x Jahr |
Überprüfung der Firewall-Einstellungen für Workstations und Netzwerk |
2 x Jahr |
Sicherstellen, dass alle kritischen Systembibliotheken aktuell sind |
Regelmäßig |
Unit- und Integrationstests zur Sicherstellung der Systemfunktionalität und -sicherheit |
Regelmäßig |
Diese Sicherheitspolitik ist in geplanten Abständen oder bei wesentlichen Änderungen zu überprüfen, um ihre fortdauernde Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
7.Kontakt
DTP Log GmbH ist eine in Deutschland eingetragene Gesellschaft mit der Registernr.: HRB 31453. Sie können uns jederzeit über die E-Mail-Adresse
info@dtplog.com erreichen.
8.Änderungen an dieser Sicherheitsrichtlinie
Diese Sicherheitsrichtlinie ist nicht Teil der Allgemeinen Bedingungen. Gesetze, Vorschriften, Industriestandards und unser Geschäft unterliegen einem ständigen Wandel, der es erforderlich macht, dass wir Änderungen an der Sicherheitsrichtlinie vornehmen. Wir werden die Änderungen auf dieser Seite veröffentlichen und empfehlen Ihnen, unsere Sicherheitsrichtlinien zu lesen, um auf dem Laufenden zu bleiben. Wenn wir Änderungen vornehmen, die Ihre Datenschutzrechte wesentlich verändern, werden wir Sie zusätzlich über die Dienste oder per E-Mail benachrichtigen, wenn Sie sich über den hier verfügbaren Link für eine Benachrichtigung angemeldet haben. Wenn Sie mit den Änderungen an dieser Sicherheitsrichtlinie nicht einverstanden sind, sollten Sie uns kontaktieren.