DSGVO & Sicherheit

 

Hier finden Sie alles rund um die DSGVO und den Schutz Ihrer Daten.

Die Sicherheit Ihrer Daten hat für uns höchste Priorität. Auf unserer Website erfahren Sie, welche Sicherheitsmaßnahmen wir in den Bereichen Hosting, Datenübertragung und Datenspeicherung sowie Authentifizierung und Autorisierung ergreifen.
Allthings setzt eine Vielzahl von technischen und organisatorischen Massnahmen ein, um die Sicherheit Ihrer Daten zu gewährleisten. Auf Antrag können wir Ihnen diese persönlich zukommen lassen. Kontaktieren Sie sales@allthings.me für weitere Informationen.

Der Schutz Ihrer Daten liegt uns am Herzen

Die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz ist für Allthings essentiell und entsprechend sorgen wir für eine datenschutzkonforme Erbringungunserer Services. Unsere Services sind auf europäischer Ebene insbesondere auf Konformität bezüglich der übergeordneten Datenschutzgrundverordnung (DSGVO / GDPR), in Deutschland zusätzlich bezüglich des Telemediengesetzes (TMG) und des Bundesdatenschutzgesetzes (BDSG) und in der Schweiz nach dem seit 1. September 2023 in Kraft getretenen neuen Datenschutzgesetzund der neuen Datenschutzverordnung (DSV) ausgearbieitet und geprüft worden.

Neben der Stärkung und Vereinheitlichung des Schutzes von Nutzerdaten in allen EU-Ländern und der Schweiz wurden damit auch neue oder zusätzliche Verpflichtungen für sämtliche Organisationen eingeführt, die mit personenbezogenen Daten von Nutzern zu tun haben, unabhängig davon, wo diese Organisationen ihren Sitz haben.

Einhaltung der DSGVO  und nDSG

Die aktualisierten Anforderungen der DSGVO bringen erhebliche Änderungen mit sich, und unser Team hat das Produkt und die vertraglichen Verpflichtungen von Allthings angepasst, um Kunden bei der Einhaltung dieser Vorschriften zu unterstützen. Zu den von uns ergriffenen Massnahmen gehören:

  • Investitionen in unsere Sicherheitsinfrastruktur und -zertifizierungen
  • Aktualisierung entsprechender Vertragsbedingungen
  • Regelmässige Schulungen des gesamten Teams zu den neuesten Anforderungen des internationalen Datenschutzrechts
  • Unterstützung für die internationale Datenübertragung,indem wir Standardvertragsklauseln innerhalb der Data Processing Agreements
  • Unser verlässliches Support Team (support@allthings.me), um alle Fragen von Benutzern zu beantworten und Löschanfragen zu bearbeiten.

Selbstverständlich informieren wir uns auch über die neuesten Publikationen von Datenschutz-Aufsichtsbehörden und nehmen entsprechende Aktualisierungen unserer Produktfunktionen und vertraglichen Verpflichtungen vor.

Unsere Sicherheitsinfrastruktur

Der Schutz der Daten unserer Kunden sowie der Privatsphäre ihrer Benutzer ist für uns von größter WIchtigkeit. Da wir ein Cloud-basiertes Unternehmen sind, dem einige der wertvollsten Daten unserer Kunden anvertraut werden, setzen wir in puncto Sicherheit auf hohe Standards. Das Hosting Datencenter erfüllt die Anforderungen an eine umfassende Liste von globalen Sicherheitsstandards. Siehe auch AWS Cloud Compliance für weitere Informationen.

Allthings hat viel in ein solides Sicherheits-Team investiert, das mit einer Vielzahl von Problemen umgehen kann – d. h. alles von der Erkennung von Bedrohungen bis zur Entwicklung neuer Sicherheitsprozesse. Gemäss den Anforderungen rund um die Benachrichtigung bei Sicherheitsvorfällen nach DSGVO und nDSG wird Allthings weiterhin seinen rechtlichen Verpflichtungen und vertraglich geregelten Zusicherungen nachkommen.

Wenn Sie mehr über die Sicherheitsrichtlinien und -maßnahmen von Allthings erfahren möchten, wenden Sie sich an unsere Datenschutzerklärung oder erfahren Sie mehr zu unseren Sicherheitsmassnahmen auf unserer Website.

Internationale Datenübertragung:

Zur Einhaltung der EU-Datenschutzgesetze rund um Mechanismen zur internationalen Datenübertragung haben wir strikte Bestimmungen eingeführt. Kundendaten unterliegen den Schweizer Datenschutzbestimmungen und dem EU Datenschutz und werden immer mittels AES-256 Verschlüsselung gespeichert. Des Weiteren werden Kundendaten in der Schweiz gespeichert. Bei allen Unterauftragsverhältnissen achten wir besonders auf die DSGVO-Konformität unserer Auftragnehmer im Ausland und sichern diese mit Hilfe einer Auftragsdatenverarbeitung ab. Hierbei nutzen wir bei Verträgen mit im EU-Ausland sitzenden Subunternehmen die von der EU erarbeiteten Standardvertragsklauseln.

**Bitte beachten Sie, dass wir mit allgemeinen Informationen zu rechtlichen Themen keine Rechtsberatung oder Schulung darstellt und diese im Einzelfall auch nicht ersetzen kann. Wie die meisten gesetzlichen Vorschriften können die auf Sie anwendbaren Normen bzw. deren konkrete Auslegung unterschiedlich ausfallen. Unsere Informationen beruhen auf unserem Verständnis der genannten gesetzlichen Regelungen zum Zeitpunkt der Erstellung dieses Dokuments. Wir übernehmen keine Haftung oder Gewährleistung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.**

Geschäftspartner des Allthings Kunden, die auf der Plattform ihre Dienstleistungen anbieten, haben regelmäßig Zugriff auf personenbezogene Daten. Daher ist zu prüfen, ob der Abschluss einer Auftragsverarbeitungsvereinbarung zwischen dem Geschäftspartner und dem Kunden nötig ist (Art. 28 DGSVO).

In diesem Fall sind die Geschäftspartner rechtlich dafür verantwortlich, dass sie datenschutzkonform arbeiten und den Weisungen des Kunden zum Umgang mit personenbezogenen Daten Folge leisten (Art. 28 Abs. 3 DSGVO).

**Bitte beachten Sie, dass wir mit allgemeinen Informationen zu rechtlichen Themen keine Rechtsberatung oder Schulung darstellt und diese im Einzelfall auch nicht ersetzen kann. Wie die meisten gesetzlichen Vorschriften können die auf Sie anwendbaren Normen bzw. deren konkrete Auslegung unterschiedlich ausfallen. Unsere Informationen beruhen auf unserem Verständnis der genannten gesetzlichen Regelungen zum Zeitpunkt der Erstellung dieses Dokuments. Wir übernehmen keine Haftung oder Gewährleistung für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen.**

 

Sicherheitsstandards

 

Diese Seite bietet einen Überblick über die Sicherheitsmassnahmen von Allthings zu den Themen Hosting, Datentransfer und Datenhaltung als auch Authentifizierung und Autorisierung.

Die folgenden Regulierungen beschreiben die Sicherheit der Allthings Hosting Umgebung:

  • Die Webdienste laufen in ihrer eigenen privaten Cloud mit einem separaten öffentlichen und privaten Netzwerk.
  • Alle Webdienste nutzen eine dynamische Lastenverteilung mit Autoskalierung um Lastspitzen aushalten zu können.
  • Firewall Regeln limitieren den Zugriff auf die Cloud Dienste basierend auf IP- und Protokoll-basierten Regeln. HTTP und HTTPS sind die einzigen Protokolle, die aus dem öffentlichen Internet erreichbar sind.
  • Alle Ressourcen werden in Echtzeit mit erweiterten Statustests überwacht, die nicht nur den Status der Instanzen messen, sondern auch Anwendungsfehler erfassen.
  • Container Instanzen werden bei Ausfällen automatisch neu gestartet.
  • Instanzen werden automatisch ersetzt, wenn ihre Statustests fehlschlagen.
  • Das Hosting Datencenter erfüllt die Anforderungen an eine umfassende Liste von global Sicherheitsstandards, inklusive ISO 27001, PCI DSS Level 1, IT Grundschutz und die EU Datenschutz Direktive. Siehe auch AWS Cloud Compliance für weitere Informationen.

Bezüglich Datentransfer und -haltung hat Allthings die folgenden Maßnahmen implementiert:

  • Kundendaten werden in der Schweiz gespeichert.
  • Kundendaten unterliegen den Schweizer Datenschutzbestimmungen (nDSG) und der EU Datenschutz Direktive.
  • Alle Kundendaten werden mittels AES-256 verschlüsselt auf der Festplatte gespeichert.
  • Passwörter werden als SHA-256 Hash und einem individuellem Salt gespeichert.
  • Alle Kundendaten werden in einem redundant ausgelegten Datenbank Replika Set für hohe Verfügbarkeit gespeichert.

  • Die Datenbankinhalte werden zusätzlich mit Off-Site Backups gesichert.
  • Alle Verbindungen zwischen Server Instanzen werden mittels SSL verschlüsselt.
  • Alle Verbindungen zwischen Clients und unseren Servern werden mittels HTTPS verschlüsselt.
  • Wir verwenden nur sichere SSL Chiffren und starke Verschlüsselungsparameter und erhalten eine A+ Bewertung in den Qualy’s SSL Labs Tests für unsere eigenen Webdienste. Dies ist möglicherweise nicht der Fall bei Drittanbietern von Webdiensten, zu denen unter Umständen weitergeleitet werden kann.
  • Wir forcieren verschlüsselte Verbindungen mittels HTTP zu HTTPS Weiterleitung und HTTP Strict Transport Security (HSTS) und sind in den HSTS Preload Listen aller moderner Browser.
  • Zwischen den rechtlichen Entitäten sind überall Auftragsdatenverarbeitungs-Vereinbarungen in Kraft.

Für die Authentifizierung und Autorisierung hat Allthings folgende Sicherheitsstandards umgesetzt:

  • Datenbankzugriff wird mittels feingranulierter Autorisierungs-Scopes limitiert.
  • Autorisierung von Clients wir mittels des sicheren Standards OAuth 2.0 implementiert.
  • Anfragen an die API werden nur mit einem gültigen, Zeit-limitierten Zugriffs-Token akzeptiert.
  • Zugriffs-Token werden nur Nutzern mit einer authentifizierten Sitzung zur Verfügung gestellt.
  • Sitzungs-Cookies sind nicht mittels JavaScript zugreifbar (HTTP-only).

  • Sitzungs-Cookies sind nur für die individuelle Client Domain gültig.