Sicherheitserklärung

Für SABIO ist es Priorität alle Kundendaten durch die Nutzung modernster Technologien und durch die Anwendung bewährter Industriestandards zu schützen.

Viele unserer namhaften Kunden aus den Branchen Telekommunikation, Finanz- und Versicherungswirtschaft, Energieversorger, Gesundheitswesen, u.v.m. haben sich von der Datensicherheit unseres Services überzeugt und vertrauen ihre Daten SABIO bereits im Hosting an.

Diese Sicherheitserklärung soll Transparenz über unsere technischen und organisatorischen Sicherheitsmaßnahmen schaffen, so dass Sie sich davon überzeugen können, dass wir Datenschutz bei SABIO ernst nehmen und Ihre Daten entsprechend schützen.

Sicheres Rechenzentrum und Betrieb

SABIO hostet die Applikation auf dedizierten Servern in den Räumlichkeiten zertifizierter Rechenzentren in Deutschland. Diese Rechenzentren stellen auf Betreiberebene folgende Schutzmaßnahmen zur Datensicherung und Datenverarbeitung zur Verfügung:

Physische Sicherheit

  • ISO 27001 Zertifizierung
    SABIO arbeitet nur mit Rechenzentren zusammen, die nach ISO 27001 zertifiziert sind.
  • Zugriffssteuerung und Überwachung der Infrastruktur
    Unsere Rechenzentren sind rund um die Uhr, 7 Tage die Woche besetzt und überwacht. Umfangreiche Schutzmaßnahmen (u.a. Alarmanlage, Videoüberwachung, Chipkartenzugangssystem, Zutrittskonzept für die Serverräume, u.v.m) stellen sicher, dass kein unbefugter Zutritt zu den Datenverarbeitungsanlagen erhält.
  • Umweltkontrollen
    Kontrollierter Betrieb der Infrastruktur durch die Nutzung von Feuchtigkeits- und Temperaturkontrolle. Schutzmaßnahmen wie eine unterbrechungsfreie Stromversorgung, Rauch- und Feuermelder, Videoüberwachung und entsprechender Reaktionssysteme sind installiert. Das Vorgehen bei externen Störungen regelt ein umfassender Notfallplan.
  • Speicherung der Daten in Deutschland
    Alle Daten unserer Kunden werden auf eigenen Servern in Rechenzentren in Deutschland gespeichert. Unsere Server werden in verschlossenen Racks gelagert.
  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen
    Die Rechenzentren werden regelmäßig im Rahmen von externen Audits, Kundenaudits und durch Audits des Datenschutzbeauftragten von SABIO bezüglich der Sicherheit geprüft.

Sicherstellung der Verfügbarkeit

  • Verfügbarkeit der Anwendung
    Ein lückenloses Monitoring überwacht die Verfügbarkeit und Performance unserer Anwendung und der Infrastruktur. Bei Betriebsunterbrechung wird umgehend Personal bei SABIO im Rahmen eines automatischen Eskalationsprozesses informiert.
  • Clusterbetrieb und Lastverteilung
    Vermeidung von Single-Point-of-Failure und flexible Skalierbarkeit als Grundgedanke. Durch die redundante Auslegung der Systemkomponenten und Server, einer skalierbaren Serverarchitektur und dem Betrieb der Anwendung im Cluster wird die Gefahr von längerfristigen Ausfällen deutlich minimiert. Eine Verwendung von Firewalls und Loadbalancer für die Lastverteilung ermöglicht die optimale performante Nutzung von SABIO.
  • Datenbank-Failover
    Speicherung der Daten in einer Produktionsdatenbank und einer Back Up-Datenbank. Eine Nutzung der Back Up-Datenbank für den Fail Over ist innerhalb von weniger als einer Stunde möglich.
  • Redundante Netzanbindung
    Vollständig redundante Netzwerkverbindungen zum RZ-Backbone und zur IP-Außenanbindung.
  • Redundante Infrastruktur
    Redundante Server und redundante interne und externe Netzteile. Das Rechenzentrum verfügt über Backup-Stromversorgungen (Hauptversorgung, Trafo, Online-USV, Notstromgeneratoren auf Basis von Dieselmotoren im Außenbereich).
  • Datensicherung und Restore
    Tägliche Datensicherung und räumlich getrennte Aufbewahrung von Medien zur Datensicherung (Datentresore). Die Aufbewahrungsdauer der Back Ups ist vertraglich festgelegt. Verschlüsselte Aufbewahrung der Back Ups.

Netzwerkschutz

  • Security Scans
    Es werden regelmäßig Security Scans der zum Internet geöffneten IP-Adressen durchgeführt. Bei der Identifikation von Schwachstellen werden umgehend Maßnahmen ergriffen, um diese zu schließen.
  • Zugriffsschutz
    Das Netzwerk ist gegen unbefugte Zugriffe mittels einer Hardware-Firewall geschützt. Der SABIO Datenverkehr wird innerhalb des Netzwerks des Rechenzentrums durch die Verwendung von Subnetzen separiert. Das Netzwerk wird rund um die Uhr bzgl. Angriffen überwacht.
  • Security Patches
    Sicherheitsrelevante Updates werden im Rahmen des Patch Management Prozesses priorisiert eingespielt.
  • Zugriffskontrolle im Betrieb
    Maßnahmen wie Secure VPN, mehrstufige Authentifizierung und rollenbasierter Zugriff stellen im Betrieb sicher, dass autorisiertes technisches Personal nur auf die ihrer Berechtigung unterliegenden Daten zugreifen können. Für den sicheren Fernwartungszugriff wird als Protokoll SSH verwendet.
  • Logging und Auditing
    Zugriffe werden in automatisch erzeugten Protokolldateien dokumentiert, temporär gespeichert und im Verdachtsfall ausgewertet.  Zyklische automatische Löschung der Protokolldaten durch Rotation.

 

Sichere Anwendung und Benutzersicherheit

Bereits in der Entwicklung genießt Datenschutz höchste Priorität. SABIO bietet im Standard umfassende Sicherheitsfunktionen.

Sicherheitsfunktionen im SABIO Standard

  • SSL / TLS-Verschlüsselung
    Die Kommunikation mit SABIO erfolgt über SSL/TLS Kommunikation (Secure Socket Layer/Transport Layer Security). Hierdurch ist sichergestellt, dass SABIO Kunden über eine sichere Verbindung auf ihre Daten zugreifen.
  • Benutzerauthentifizierung
    Einzelne Benutzersitzungen werden eindeutig identifiziert und bei jeder Transaktion erneut verifiziert. Benutzerkonten haben eindeutige Benutzernamen und Kennwörter, die jedes Mal wenn sich ein Benutzer anmeldet eingegeben werden müssen. SABIO unterstützt die sichere Authentifizierung durch die Nutzung von Single Sign On (WebSSO) unter der Verwendung von SAML.
  • Datenverschlüsselung sensibler Daten
    SABIO verlangt nur die Speicherung von Benutzerdaten, welche für die sichere Nutzung der Anwendung notwendig sind. Diese sensiblen Benutzerdaten werden in verschlüsselter Form auf Datenbankebene gespeichert. Die Verschlüsselung wird erst auf dem Webserver aufgelöst. Mitarbeiter von SABIO haben keinen Zugriff auf Kundenkennwörter.
  • Zugriffskontrolle bei der Nutzung von SABIO
    Anwenderaktionen werden von dem System bzgl. Datensatz und Zeitstempel erfasst. SABIO führt Datenänderungen nur auf schriftliche Anfrage der Kunden durch.
  • Programmatische Trennung von Kundendaten (Multi Tendancy)
    Jeder Kunde erhält seinen eigenen Mandanten. Die Daten werden trennscharf über die Programmierung separiert. Hierdurch wird sichergestellt, dass jeder Kunde nur seine eigenen Daten sehen und bearbeiten kann.
  • Interne Tests und Bewertung durch professionelle Auditoren
    System-Funktionalität und Design-Änderungen werden in der Entwicklung im Rahmen von Code Reviews und in einer isolierten Test "Sandbox" -Umgebung auf Schwachstellen überprüft. Im Rahmen dieser Tests prüft SABIO Funktionalität, Skalierbarkeit und Security. Zusätzlich wird regelmäßig eine Bewertung der Vertraulichkeit des Systems durch professionelle externe Auditoren (Pentester) eingeholt.

Konfigurierbare Sicherheitsfunktionen

Zusätzlich zu den vorher aufgelisteten Sicherheitsfunktionen bietet SABIO die Möglichkeit, kundenspezifische Datenschutzanforderrungen per Konfiguration umzusetzen.

  • Benutzerspezifischer Datenzugriff und Systemfunktionen
    SABIO bietet ein konfigurierbares Rollen- und Rechtekonzept, welches den Funktionsumfang des Systems pro Anwender regelt. Ein konfigurierbares Ansichtenkonzept bestimmt pro Kunde die Sichtbarkeit der Kundendaten. Systemeinstellungen, die das Verhalten der Anwendung für alle Anwender eines Kunden steuern, können nur von ausgewählten Administratoren gesetzt werden.
  • Passwortsicherheit
    SABIO bietet den Kunden die Möglichkeit Kundenvorgaben zur Passwortsicherheit (u.a. Zeichenfolge/Formatvorgabe, Gültigkeit, Deaktivierung  u.v.m) im System zu konfigurieren
  • Anonymisieren von Benutzerdaten
    Sowohl das Reporting auf Benutzerebene wie auch die Darstellung von Benutzerdaten im System kann ausgeschaltet werden.
  • Zugriffeinschränkungen über IP-Adressen
    Zugriffe können kundenindividuell auf IP-Adressen eingeschränkt werden.

 

Datenschutzorganisation

SABIO hat das Thema Datenschutz in der Organisation verankert und verfügt über dedizierte Personen, die für Datensicherheit verantwortlich sind.

  • Informationssicherheitsrichtlinie
    Die Richtlinien für den Datenschutz bei SABIO legt ein Informationssicherheitsmanagementsystem (ISMS) verbindlich fest.
  • Organisation
    Datenschutzbeauftragter und IT Sicherheitsbeauftragter sind für die Datenschutz- und Sicherheitsthemen sowie für die Beantwortung von sicherheitsbezogenen Fragen zuständig.
  • Datengeheimnis
    Alle Mitarbeiter, die mit der Datenverarbeitung beschäftigt sind, wurden schriftlich auf das Datengeheimnis gemäß § 5 BDSG verpflichtet und entsprechend belehrt.
  • Datenschutztraining
    In regelmäßige Schulungen werden die Mitarbeiter mit den Vorschriften des Datenschutzes vertraut gemacht und zum Thema Datenschutz getestet. Die Schulung des Themas Datenschutz erfolgt im Rahmen eines On Boardings verpflichtend für jeden neuen Mitarbeiter.

Für weiterführende Informationen wenden Sie sich bitte unter info@sabio.de an uns.