Sie haben ein Anliegen zum Thema Datenschutz? Nutzen Sie das Formular um uns zu kontaktieren.
GDPR und TOM`s
Wir befolgen aktuell die nachstehenden beschriebenen Sicherheitsverfahren.
Zugangskontrolle
- Schutz vor unbefugtem Produktzugriff
Ausgelagerte Verarbeitung: Wir hosten unseren Dienst über ausgelagerte Cloud-Infrastruktur-Anbieter. Zusätzlich unterhalten wir Vertragsverhältnisse mit Drittanbietern, um den Dienst gemäß unserer DPA anbieten zu können. Wir unterhalten vertragliche Vereinbarungen, Datenschutzrichtlinien und Anbieter-Compliance-Programme zum Schutz der Daten, die von den betreffenden Anbietern verarbeitet oder gespeichert werden.
Physischer Schutz und Umweltsicherheit: Wir hosten unsere Produkte Infrastruktur über mandantenfähige, ausgelagerte Betreiber von Infrastruktur. Wir besitzen oder warten keine Hardware in den Rechenzentren der ausgelagerten Betreiber von Infrastruktur. Produktionsserver und Anwendungen für die Kunden sind logisch und physisch von den internen Informationssystemen von UNOY getrennt, wodurch ihr Schutz gewährleistet ist.
Authentifizierung: Wir führen für unsere Kundenprodukte eine einheitliche Kennwortrichtlinie ein. Kunden, die über die Nutzerschnittstelle mit den Produkten interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen.
Autorisierung: Kundendaten sind in mandantenfähigen Speichersystemen gespeichert, auf die Kunden ausschließlich über Anwendungs-Nutzerschnittstellen und Programmierschnittstellen zugreifen können. Die Kunden haben keine Befugnis zum direkten Zugriff auf die zugrundeliegende Anwendungsinfrastruktur. Die Autorisierungsmodelle in allen unseren Produkten wurden entwickelt, um sicherzustellen, dass nur entsprechend zugewiesene Personen Zugriff auf wichtige Funktionen, Ansichten und Anpassungsoptionen haben. Die Autorisierung für Datensätze erfolgt durch einen Abgleich der Nutzungserlaubnis mit den Attributen eines jeden Datensatzes.
Zugriff auf Programmierschnittstellen (API): Der Zugriff auf öffentliche Produkt-API erfolgt entweder mittels eines API-Schlüssels oder OAuth-Autorisierung.
- Schutz vor unbefugter Produktnutzung
Wir implementieren den Branchenstandards entsprechende Netzwerkzugangskontrollen und Funktionen zur Bedrohungserkennung für die internen Netzwerke, auf denen unsere Produkte beruhen.
Zugangskontrollen: Es wurden Netzwerkzugangskontrollmechanismen entwickelt, um zu verhindern, dass solcher Netzwerkdatenverkehr die Produktinfrastruktur erreicht, der nicht-autorisierte Protokolle verwendet. Die eingesetzten technischen Maßnahmen unterscheiden sich je nach Infrastrukturbetreiber und beinhalten VPC-Implementierungen (Virtual Private Cloud), Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln.
Statische Code-Analyse: Der in unserem Quellcode-Repository gespeicherte Code wird mit Hilfe automatischer Tools mit Best Practices der Programmierung abgeglichen und auf Softwarefehler geprüft.
- Eingeschränkte Zugriffsrechte und Autorisierungsvoraussetzungen
Produktzugriff: Eine Gruppe unserer Mitarbeiter hat über kontrollierte Schnittstellen Zugriff auf die Produkte und Kundendaten. Dieser Zugriff einer Gruppe von Mitarbeitern dient der Bereitstellung eines effizienten Kundendienstes, der Produktentwicklung und Forschung, einer schnelleren Problemlösung und der zeitnahen Erkennung von Sicherheitsvorfällen. Der Zugriff erfolgt durch die „Just in time“ (JITA)-Zugriffsanfrage; alle Anfragen dieser Art können protokolliert werden. Mitarbeitern wird je nach Rolle Zugriff gewährt und es finden periodisch Überprüfungen von risikoreichen Zugriffserlaubnissen statt. Administrative oder risikoreiche Zugangsberechtigungen werden mindestens alle sechs Monate überprüft. Alle UNOY-Mitarbeiter sind angehalten, alle Unternehmensrichtlinien, Verschwiegenheitspflichten und ethischen Anforderungen zu beachten.
- Übertragung Steuerung und Verschlüsselung
Verschlüsselung der Daten: Wir setzen über die gesamte Plattform eine Verschlüsselung ein – sowohl im gespeicherten Zustand als auch während der Übertragung. Wir speichern Benutzerkennwörter gemäß Richtlinien, welche die in der Branche geltenden Standardpraktiken für Sicherheit erfüllen. Wir haben Technologien implementiert, mit denen die Verschlüsselung gespeicherter Daten im Ruhezustand gewährleistet wird.
- Eingabesteuerung
Erkennung: Unsere Mitarbeiter sind dafür geschult, auf bekannte Vorfälle reagieren zu können.
Reaktion und Nachverfolgung: Wir können bekannte sicherheitsrelevante Ereignisse dokumentieren. Angemessene Lösungsschritte werden identifiziert und dokumentiert. Bei bestätigten Vorfällen leiten wir angemessene Schritte ein, um Schäden am Produkt oder für die Kunden zu minimieren und eine nicht-autorisierte Weitergabe von Daten zu verhindern. Wir benachrichtigen Sie in Übereinstimmung mit den Bestimmungen des jeweiligen Vertrages.
Verfügbarkeitskontrolle
Verfügbarkeit der Infrastruktur: Die Betreiber von Infrastruktur unternehmen geschäftlich angemessene Anstrengungen, um eine Betriebszeit laut mit diesen geschlossenen Service-Agreements zu gewährleisten. Die Betreiber halten das Minimum einer N+1-Redundanz für Strom, Netzwerk, Heizung, Belüftung und Klimatisierung ein.
Fehlertoleranz: Es werden Strategien und technische Möglichkeiten für Sicherheitskopien und Replikation zur Verfügung gestellt, um bei einem bedeutenden Datenverarbeitungsfehler Redundanz und Ausfallsicherung zu gewährleisten. Von Kundendaten werden Sicherheitskopien in mehreren dauerhaften Datenspeichern angelegt und über mehrere Verfügbarkeitszonen repliziert. KAPPs können vom Kunden gespeichert werden.
Online-Replikationen und Sicherheitskopien: Wenn möglich, sind die Produktionsdatenbanken so gestaltet, dass die Daten zwischen nicht weniger als einer primären und einer sekundären Datenbank repliziert werden. Von diesen Datenbanken werden mindestens unter Anwendung der branchenüblichen Standardmethoden Sicherheitskopien angelegt und gemäß mindestens diesen Standards gepflegt.
Notfallwiederherstellungspläne: Wir erstellen und testen Notfallwiederherstellungspläne, um die Datenverfügbarkeit nach einer Unterbrechung oder einem Ausfall kritischer Geschäftsprozesse zu gewährleisten. Unsere Produkte wurden konzipiert, um Redundanz und eine nahtlose Ausfallsicherung zu gewährleisten. Die produktunterstützenden Serverinstanzen wurden mit dem Ziel entwickelt, Single-Points-of-Failure zu vermeiden. Dieses Design unterstützt uns bei der Wartung und Aktualisierung unserer Produktanwendungen und Backend-Tätigkeiten und begrenzt die Ausfallzeiten.
Infrastruktur-Subauftragsverarbeiter
Bei der Bereitstellung der UNOY Plattform beauftragt UNOY Subauftragsverarbeiter zur Unterstützung bei der Erbringung der Leistung.
| Subauftragsverarbeiter | Zweck | Anwendbarer Service | USA Rechenzentrumsstandort | EU-Rechenzentrumsstandort |
| Amazon Web Services | Hosting und Infrastruktur | Zugriff auf Cloudservices für die UNOY Plattform und API | USA** | Frankfurt* |
* für Kunden aus der EU (immer) und über Wunsch für Kunden aus EU-Drittstaaten. Verschlüsselung der Daten mit AWS KMS Services.
** ab Ende 2023 für USA Kunden und Drittstaaten. Verschlüsselung der Daten mit AWS KMS Services.
Produktfunktionen-Subauftragsverarbeiter
Einige Produktfunktionen und Integrationen erfordern die Unterstützung durch zusätzliche Subauftragsverarbeiter.
| Subauftragsverarbeiter | Zweck | Anwendbarer Service | USA Rechenzentrumsstandort | EU-Rechenzentrumsstandort |
| Hubspot Inc. | Support Kundenverwaltung | SaaS Plattform | —– | Deutschland* |
| Userflow Inc. | Hilfestellung bei der Produktnutzung Support | Hilfestellung Daten: E-Mail Adresse | USA | —– |
| Unlayer – Unrolled LLC | Erstellung von Mails | Templates für E-Mail Design | Europa AWS | |
| Stripe Inc. | Payments | Zahlungen | USA | Europa |
| Frogged Ltd | Userservice | Userservice | Europa |
