OPEN SOURCE FÜR HÖHERE SICHERHEIT
Wir halten es für strategisch sinnvoll, auf umfassend gewartete und etablierte Open-Source-Softwarekomponenten zurückzugreifen und nach Möglichkeit kundenspezifische Lösungen zu vermeiden, die schwer zu warten und nicht umfassend getestet sind. Die Ansätze “not invented here” und “security through obscurity” sind nicht Teil unserer Kultur, auch nicht bei unseren Systemen.
BEWÄHRTE PRAKTIKEN FÜR INFRASTRUKTUREN UND ANWENDUNGEN
Zuverlässigkeit, Skalierbarkeit und Sicherheit waren die Beweggründe, die uns dazu brachten, den führenden Cloud-Anbieter als Partner unserer Wahl für unsere Cloud-Systeme zu wählen. Die Sicherheit der auf AWS veröffentlichten Anwendungen wird durch die Anwendung der vom Cloud-Anbieter selbst empfohlenen Best Practices gewährleistet, von der Datenverschlüsselung (in erster Linie auf Datenbankebene sowie im Objektspeicher und auf jedem anderen Datenträger “im Ruhezustand“) über die Kommunikation zwischen den Diensten (immer auf internen VPCs und ausschließlich über einen sicheren SSL-Kanal) bis hin zur Benutzerauthentifizierung (über den OAuth 2.0-Standard für Systembenutzer und Single Sign-on mit Multi-Faktor-Authentifizierung für die Mitarbeiter, die an der Infrastruktur arbeiten).
INFRASTRUCTURE-AS-CODE UND RESILIENZ
Die gesamte Infrastruktur wird durch einen “deklarativen Ansatz” bei der Definition von Ressourcen und ihrer Konfiguration verwaltet: Dies ermöglicht robuste automatische “Disaster Recovery” -Verfahren, die das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) im Falle eines verteilten Ausfalls minimieren. Wir überprüfen diese Verfahren regelmäßig, um sicherzustellen, dass sie auf dem neuesten Stand und korrekt sind, und beauftragen regelmäßig externe Cybersicherheitsberater, um die technologischen Entscheidungen und Maßnahmen zu validieren, die zum Schutz des Perimeters der Plattform getroffen wurden.
SICHERHEIT FÜR UNTERNEHMEN
Die Sicherheit von Unternehmenscomputern und -geräten wird durch Festplattenverschlüsselung, biometrische Mitarbeiteridentifikation und umfassende Fernverwaltung der Geräteflotte gewährleistet. Die Authentifizierung des Personals für den Zugriff auf interne und externe Unternehmensdienste erfolgt, soweit technisch machbar, über Single Sign-On (SSO) via Google Suite Business: Dies garantiert uns einen einzigen Zugangspunkt zu Unternehmenskommunikation und -systemen mit strengen Richtlinien für die Erneuerung von Passwörtern und Multi-Faktor-Identifizierung. Zugriffsschlüssel zu Systemen, die keine Integration mit unserem SSO-Anbieter unterstützen, werden über einen speziellen Dienst zur Verwaltung von Geheimnissen freigegeben, auf den wiederum nur über das SSO des Unternehmens zugegriffen werden kann.
DATENPARTITIONIERUNG UND VERWALTUNG VON GEHEIMNISSEN
Die Produktions- und Entwicklungsumgebungen sind physisch und logisch unabhängig, was es uns ermöglicht, den Zugriff auf echte Benutzerdaten auf streng autorisiertes Personal zu beschränken, das für die Wartung von Anwendungen und Infrastruktur zuständig ist. Anwendungscode und Geheimnisse, die für den Zugriff auf die Systeme erforderlich sind, werden stets unabhängig voneinander verwaltet, wobei automatische Verfahren zum Abgleich von Verweisen auf Geheimnisse während der Software-Release-Phasen in den jeweiligen Umgebungen eingesetzt werden. Der Einsatz eines zuverlässigen (auf einer “Zero Knowledge” -Architektur basierenden) und zentralisierten Dienstes zur Verwaltung von Geheimnissen ermöglicht es uns, die Verwaltung von Zugriffsschlüsseln und deren regelmäßige Rotation zu automatisieren.
DEZENTRALES AUDITING UND PROTOKOLLIERUNG
Jede Benutzeraktivität im System wird über Anwendungs- und Systemprotokolle nachverfolgt: Einerseits kann die Aktivitätsverfolgung bei der Fehlersuche helfen, indem sie eine genaue Historie der durchgeführten Aktivitäten und der jeweiligen Verantwortlichkeiten von Entwicklern, Systemadministratoren und/oder Endbenutzern liefert; andererseits stellt sie sicher, dass unsere Plattform die neuesten Vorschriften der DSGVO erfüllt.
WEITERE ÜBERLEGUNGEN ZUR DSGVO
Alle bisher beschriebenen Aktivitäten dienen dazu, die von der Datenschutz-Grundverordnung (DSGVO) geforderten Sicherheitsstandards in jeder Phase der Entwicklung und Implementierung des Systems zu gewährleisten. Zusätzlich zu den technischen Möglichkeiten zur Risikominimierung wird die Verarbeitung der Daten unter Beachtung der in der Verordnung festgelegten Grundsätze der Rechtmäßigkeit gewährleistet, insbesondere:
- Zweckbindung: Bei der Anmeldung akzeptiert der Nutzer die Bedingungen für die Verwendung der Daten und stimmt der Verarbeitung zu; bei späteren Aktualisierungen hinsichtlich des Zwecks der Verarbeitung kann der Nutzer aufgefordert werden, das Zustimmungsformular erneut einzureichen; das Formular ist anlagenspezifisch, da der Kunde von Sofia als Datenverantwortlicher konfiguriert ist und Sofia als Datenverarbeiter wählt;
- Datenminimierung: Wir sammeln nur relevante Nutzerdaten (d.h. Vorname, Nachname, E-Mail);
- Richtigkeit: Die beschriebenen Prüfungs- und Protokollierungsprozesse gewährleisten eine vollständige Transparenz darüber, wie und von wem die Daten geändert werden;
- Integrität und Vertraulichkeit: Dies wird durch die im Abschnitt Datenpartitionierung und Verwaltung von Geheimnissen erörterten Aktivitäten gewährleistet;
- Begrenzung der Speicherung: Um das so genannte “Recht auf Vergessenwerden” des Nutzers zu gewährleisten, kann der Nutzer jederzeit die Löschung seiner personenbezogenen Daten von der Plattform verlangen. Alle daraus abgeleiteten Daten (z. B. Zutrittsprotokolle, Aktivitätsprotokolle und damit zusammenhängende Ereignisse) werden “pseudonymisiert”, d. h. sie haben keinen gültigen Bezug mehr, der auf die Identität der Person zurückgeführt werden kann. Anwendungsprotokolle und Sicherungskopien werden innerhalb von 90 Tagen (Rotationsfrist) gelöscht: So wird sichergestellt, dass solche Daten auch in “produktionsnahen” Speichersystemen innerhalb des gesetzlichen Zeitrahmens vollständig gelöscht werden;
- Fair und transparent: Der Kunde von Sofia bleibt Eigentümer der Daten, und die Nutzungsbedingungen garantieren Transparenz über den Zweck der Verarbeitung, wie im ersten Punkt dieser Liste beschrieben.
ANWENDUNGSBEISPIELE
Studentenwohnheime & Coliving
Neue Ertragsmodelle für Immobilien und Gastgewerbe
Flexible Arbeitsräume
Co-Working und Büros, die Zukunft des Arbeitsplatzes
Einzelhandel
Sichern Sie Ihre Verkaufsstellen
Wohnen im Alter
Sicherheitslösungen für Seniorenwohnprojekte
UNTERNEHMENSFUNKTIONEN
Hot Desking
Unterstützt Ressourcenreservierung, Zeitmanagement, nahtlose Integrationen
Standortübergreifende Zutrittskontrolle
Eine beliebige Anzahl von Gebäuden und Bereichen in Echtzeit kontrollieren, von jedem Gerät
Rollen und Berechtigungen
Individuelle Anpassung des Zutrittskontrollsystems an Ihr Unternehmen
NFC-HyperTag
NFC-Technologie und freihändiges Öffnen für jede Tür