Technische und Organisatorische Maßnahmen 

(Art. 32 DSGVO) der Dexxion Softwareanwendung

1. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a)

Gogacon GmbH wendet folgende Maßnahmen im Rahmen zur Gewährleistung des Datenschutzes an:

  • Authentifizierungsdaten werden mittels Data Masking übertragen (Passwort-Hashing)
  • Daten werden am Übergabepunkt verschlüsselt (Data At Rest Encryption).
  • Verschlüsselung der Datenbank durch AWS (Amazon Web Services) data encryption nach Industriestandard AES-256 (Advanced Encryption Standard).
  • Zusätzliche Verschlüsselung der Daten in der Datenbank, damit Daten nicht direkt aus der Datenbank gelesen werden können.  
  • Data In Transit Encryption wird angewendet.
  • Datentransfers ausschließlich über Verschlüsselung durch TLS (Transport Layer Security) nach dem Stand der Technik.
  • Key-Management durch AWS KMS key management für Amazon RDS (Relational Database Service).

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b)

Zur Gewährleistung der Vertraulichkeit der Daten wendet Gogacon GmbH die folgenden Maßnahmen an:

  • Double-Opt-In im Registrierungsverfahren in der Plattform (begrenzt gültiger Aktivierungslink)
  • Die Login-Seiten sind gegen Brute-Force-Attacken geschützt.

Zutrittskontrolle

Bürogebäude

  • Alle Türen sind abschließbar und können von nur von Mitarbeitern mithilfe einer Chipkarte oder Schlüsseln betreten werden
  • Es existiert eine Schlüsselregelung
  • Alle Daten werden ausschließlich auf digitalen Datenträgern im Internet verarbeitet und gespeichert, es besteht somit für Besucher und Gäste kein physischer Zugang zu auf Papier gespeicherten personenbezogene Daten
  • Elektronische Geräte wie Laptops besitzen einen Auto-Logout


Rechenzentrum

  • Endkundendaten werden in Rechenzentren von AWS verarbeitet und gespeichert
  • die von AWS Frankfurt getroffenen technischen und organisatorischen Maßnahmen finden Sie in unserer Subunternehmerliste – im Folgenden zu finden unter der URL https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

Datenträgerkontrolle

  • Aktenvernichtung (mindestens Stufe 3)
  • Vermeiden von nicht geschützten Datenträgern (Papier, ...)
  • Verschlüsselung von digitalen Datenträgern
  • digitale Datenträger wie Laptops sind durch ein starkes Passwort geschützt

Speicherkontrolle

  • Clean Desk Policy
  • Trennung des WLAN in intern und öffentlich
  • Es wird ein Passwort zur WLAN-Authentifizierung genutzt
  • Passwort-Mindestlänge von 12 Zeichen
  • Richtlinie für den Umgang mit Passwörtern
  • Es existieren technische Maßnahmen zur Umsetzung der Passwortrichtlinie

Zugriffskontrolle

  • Ein Berechtigungskonzept ist vorhanden, um Benutzerrechte zu verwalten
  • Unterschiedliche Zugriffsberechtigungen bzgl. Lesen, Schreiben und Löschen von Daten
  • Betriebliche Anweisung zum Umgang mit mobilen Datenträgern
  • Anzahl der Administratoren auf das “Notwendigste“ reduziert
  • Externe Wartung und Fernwartung - Regelungen und Kontrollen
  • Schutz gegen unberechtigte interne und externe Zugriffe durch eine Firewall besteht
  • Zugriff auf interne Dienste aus einem externen Netz sind nur durch ein VPN möglich

Benutzerkontrolle

  • Mitarbeiter-Schulungen zum Thema Datenschutz finden regelmäßig statt.
  • Alle Mitarbeiter sind auf Vertraulichkeit verpflichtet. 

Trennbarkeit

  • Die Softwareanwendung Dexxion ist in Test-, Abnahme-, Produktions-und Entwicklungsebene getrennt.
  • Es findet eine getrennte Verarbeitung zweckgebundener Daten statt.
  • Die Softwareanwendung ist mandantenfähig.

3. Integrität (Art. 32 Abs. 1 lit. b)

Gogacon GmbH wendet die folgenden Maßnahmen zur Sicherstellung der Integrität an

Datenintegrität

  • Regelmäßige Software-Updates weden sicher gestellt.
  • Der Virenschutz des Netzwerkes und der IT-Systeme wird sichergestellt.

Weitergabekontrolle

  • Soweit Daten über das Internet übertragen werden, sind diese Datenübertragungskanäle immer TLS verschlüsselt.
  • Wo dies technisch möglich ist, kommen VPN-Verbindungen zum Einsatz.
  • Personaldokumente oder sonstige Informationen werden verschlüsselt versendet.

Wiederherstellbarkeit

  • Die Wiederherstellbarkeit wird durch den Clouddienstleister AWS gewährleistet, vgl. Technische und organisatorische Maßnahmen von AWS Frankfurt in unser Subunternehmerliste.

Auftragskontrolle

  • Auftragnehmer werden nach  Sorgfalt- und Zuverlässigkeits Gesichtspunkten (Zertifizierung, Referenzen, usw.) ausgewählt.
  • Es findet eine eindeutige Vertragsgestaltung statt.
  • Es gibt klare Anweisungen an den Auftragnehmer hinsichtlich des Umfangs der Verarbeitung personenbezogener Daten.
  • Soweit eine Datenverarbeitung im Auftrag durchgeführt wird, wird der Auftragnehmer vor Aufnahme der Datenverarbeitung nach den Vorschriften der DSGVO auf die Einhaltung der erforderlichen technischen und organisatorischen Maßnahmen überprüft. Über jeden Auftrag wird ein Vertrag nach den Vorschriften der Datenschutz- Grundverordnung abgeschlossen. Dies gilt auch für Verträge über Wartungsarbeiten an den Datenverarbeitungssystemen und Softwarepflege je nach Bedarf und sonstige IT Service-Unterstützung, wenn dabei ein Zugriff auf personenbezogenen Daten nicht ausgeschlossen werden kann. Bei der Überprüfung der Auftragnehmer und der Vergabe von Aufträgen im Rahmen einer Datenverarbeitung im Auftrag wird unser Datenschutzbeauftragter hinzugezogen.

4. Verfügbarkeit (Art. 32 Abs. 1 lit. b)

  • Die Softwareanwendung Dexxion wird von Gogacon GmbH auf Servern  im Rechenzentrum der Amazon Web Services (in diesem Falle AWS Region Frankfurt) betrieben. Das AWS Rechenzentrum ist nach ISO/IEC 27001:2013 zertifiziert.
  • Die von AWS Frankfurt getroffenen technischen und organisatorischen Maßnahmen finden Sie unter dem folgenden Link: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf.