Verschlüsselung : Alle Datenübertragungen sind via SSL verschlüsselt, sowohl während der Übertragung zwischen dem Benutzer und dem SaaS-Dienst sowie auch bei technischen Schnittstellen. Zugriffskontrolle : Die Implementierung strikter Zugriffskontrollen und -methoden wie z.B. key only ssh stellen sicher, dass nur autorisierte Benutzer auf die Systeme und Daten zugreifen können. Ein „need to know“-Prinzip ist eingerichtet. Regelmäßige Sicherheitsupdates : Alle Systeme, Frameworks und Softwarekomponenten werden im Rahmen der Maintenance sowie bei Bedarf aktualisiert, um Sicherheitslücken zu schließen und potenzielle Angriffspunkte zu minimieren. Firewalls : Firewall Regeln erlauben keinen unbeabsichtigten Datenverkehr. Überwachung und Protokollierung : Es erfolgt eine kontinuierliche Überwachung des Netzwerkverkehrs und die Protokollierung von Aktivitäten, um verdächtige oder ungewöhnliche Aktivitäten zu erkennen und auf sie zu reagieren. Datentrennung und Isolierung : Daten zwischen verschiedenen Mandanten sind separiert, um sicherzustellen, dass durch das Kompromittieren eines Systems nicht auf andere Daten zugegriffen werden kann.

OTRS bietet u.a.: Kennwort-Richtlinien. SSO via SAML konfigurierbare Zwei Faktor Authentifizierung. sichere Speicherung von Passwörtern mit sicheren Algorithmen, wie z. B. SHA2 oder Blowfish die Steuerung von Zugriffsrechten via Rollen-basiertem Berechtigungskonzept Zertifikatsmanagement für https und E-Mail IP Filterung SPF, DKIM und DMARC PGP und S/Mime für E-Mail Einige Optionen sind nur für OTRS SaaS Verfügbar.

Trust-Center

Ihre Sicherheit ist unsere höchste Priorität. Daher nehmen wir von OTRS die Anforderungen an Datenschutz, Datensicherheit sowie Compliance sehr ernst. Auf dieser Seite finden Sie alle wichtigen Informationen, die Ihnen als OTRS-Kunde und -Interessent dabei helfen, unsere Produkte besser zu verstehen. Zusätzlich erfahren Sie, wie Ihre Daten geschützt sind/werden und welche Vorkehrungen und Maßnahmen getroffen werden, um dies zu gewährleisten.

Informationssicherheit

Datenschutz

Informationssicherheit

Rechenzentrumssicherheit

Die Rechenzentren sind gemäß aktuellen Anforderungen z.B. der ISO27001, BSI-Grundschutz und BSI C5 Katalog geschützt. Dies umfasst physikalische sowie organisatorische Maßnahmen.

Weiterführende Informationen finden Sie hier:

Netzwerksicherheit

Verschlüsselung:
Alle Datenübertragungen sind via SSL verschlüsselt, sowohl während der Übertragung zwischen dem Benutzer und dem SaaS-Dienst sowie auch bei technischen Schnittstellen.
Zugriffskontrolle:
Die Implementierung strikter Zugriffskontrollen und -methoden wie z.B. key only ssh stellen sicher, dass nur autorisierte Benutzer auf die Systeme und Daten zugreifen können. Ein „need to know“-Prinzip ist eingerichtet.
Regelmäßige Sicherheitsupdates:
Alle Systeme, Frameworks und Softwarekomponenten werden im Rahmen der Maintenance sowie bei Bedarf aktualisiert, um Sicherheitslücken zu schließen und potenzielle Angriffspunkte zu minimieren.
Firewalls:
Firewall Regeln erlauben keinen unbeabsichtigten Datenverkehr.
Überwachung und Protokollierung:
Es erfolgt eine kontinuierliche Überwachung des Netzwerkverkehrs und die Protokollierung von Aktivitäten, um verdächtige oder ungewöhnliche Aktivitäten zu erkennen und auf sie zu reagieren.
Datentrennung und Isolierung:
Daten zwischen verschiedenen Mandanten sind separiert, um sicherzustellen, dass durch das Kompromittieren eines Systems nicht auf andere Daten zugegriffen werden kann.

Verschlüsselung

Zum Schutz der Datenverbindungen werden SSL basierte Protokolle verwendet, wie z.B.: https oder TLS gesicherte SMTP oder IMAP Verbindungen. Systemzugriffe erfolgen über ssh. E-Mails können via PGP oder S/Mime Ende-zu-Ende verschlüsselt werden. Eine Verschlüsselung der Festplatte lässt sich bei Bedarf problemlos einrichten.

Verfügbarkeiten und Kontinuität

Kernkomponenten sind redundant ausgelegt oder als Cluster aufgesetzt. Für alle SaaS-Instanzen wird täglich ein Backup erstellt und Georedundant auf sicheren, nicht aus dem Internet erreichbaren Servern gespeichert. Instanzen lassen sich innerhalb des vertraglich definierten Zeitraums wiederherstellen. Das Desaster Recovery wird regelmäßig automatisiert getestet.

Entwicklungsrichtlinien

Betrachtung potenzieller Sicherheitsrisiken und Bedrohungen beginnend in der Planungs- und Designphase über den gesamten Entwicklungsprozess hinweg.
Durch Schulungen und regelmäßige Trainings wird das Sicherheitsbewusstsein im Entwicklerteam auf dem aktuellsten Stand gehalten.
Sichere Code Guidelines wie z.B. die OWASP Secure Coding Practices kommen zum Einsatz.
Regelmäßige Prüfungen z.B. verwendeter Bibliotheken und Code-Reviews helfen, potentielle Sicherheitslücken frühzeitig zu identifizieren und zu beheben.

Eine strikte Trennung von Entwicklungs-, Staging-, Test- und Produktionssystemen vermeidet versehentliche Offenlegung von sensiblen Daten.

Schwachstellen-Management

Für die Prüfung von dynamischen Schwachstellen nutzt OTRS externe Instrumentarien zur kontinuierlichen und dynamischen Überwachung der Kernanwendungen im Hinblick auf häufige Sicherheitsrisiken für Web-Anwendungen.
Hier die Details zu unserer „Vulnerability Disclosure Policy“, kurz: VDP.

Produktsicherheit

OTRS bietet u.a.:

Kennwort-Richtlinien.
SSO via SAML
konfigurierbare Zwei Faktor Authentifizierung.
sichere Speicherung von Passwörtern mit sicheren Algorithmen, wie z. B. SHA2 oder Blowfish
die Steuerung von Zugriffsrechten via Rollen-basiertem Berechtigungskonzept
Zertifikatsmanagement für https und E-Mail
IP Filterung
SPF, DKIM und DMARC
PGP und S/Mime für E-Mail

Einige Optionen sind nur für OTRS SaaS Verfügbar.

Sensibilisierung und Schulung der Mitarbeitenden

Die Mitarbeitenden der OTRS Group sind zum Thema Sicherheit sowie für die Compliance-Vorschriften zur Verarbeitung personenbezogener Daten sensibilisiert. Dies erfolgt durch Schulungen zu besagten Themen und technischen Diensten. Alle Mitarbeitende sind gemäß den geltenden Richtlinien und Gesetzen zur Einhaltung der Vertraulichkeit und Geheimhaltung verpflichtet und werden durch interne Tests in den Bereichen Datenschutz und Datensicherheit trainiert.

Datenschutz

Compliance

Lei Geral de Proteção de Dados Pessoais („LGPD“) – Brasilien
Das brasilianische Datenschutzgesetz oder auch das Lei Geral de Proteção de Dados Pessoais („LGPD“) genannt, trat am 18. September 2020 in Kraft. Das LGPD ist ein umfassendes Datenschutzgesetz, welches die Tätigkeiten von Verantwortlichen und Auftragsverarbeitern sowie die Rechte betroffener Personen regelt.
OTRS-Kunden, die personenbezogene Daten in OTRS erheben und speichern, können gemäß dem brasilianischen Datenschutzgesetz (LGPD) als „Verantwortliche“ eingestuft werden. Die für die Verarbeitung Verantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, übereinstimmen. OTRS handelt hinsichtlich der Verarbeitung von personenbezogenen Daten durch die bereitgestellten Services als ein „Auftragsverarbeiter“ entsprechend der im LGPD enthaltenen Definition dieses Begriffs.

California Consumer Privacy Act (CCPA)  und California Privacy Rights Act (CPRA)

Der California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. („CCPA“), ist ein durch den Bundesstaat Kalifornien verabschiedetes US-Gesetz, welches seit dem 1. Januar 2020 gilt. Es regelt die Datemschutzrechte, die bestimmten kalifornischen Verbrauchern zur Verfügung stehenden und verlangt von bestimmten Unternehmen, verschiedene Datenschutzauflagen einzuhalten. Bitte lesen Sie dazu auch die  CCPA Regulations  und den California Privacy Rights Act („CPRA“). Einige CPRA-Bestimmungen traten am 16. Dezember 2020 in Kraft, die übrigen Bestimmungen des CPRA werden zum 1. Januar 2023 in Kraft treten.

OTRS „verkauft“ keinerlei personenbezogene Daten der eigenen Kunden oder Agenten, wie im Rahmen des CCPA definiert. Wir können zusammengefasste und/oder anonymisierte Informationen über die Nutzung der Dienste, die nach dem CCPA nicht als personenbezogene Daten gelten, an Dritte weitergeben, um uns bei der Entwicklung und Verbesserung der Dienste zu unterstützen und unseren Kunden relevantere Inhalte und Serviceangebote zu bieten, wie in unseren Verträgen festgelegt.

Datenschutzgrundverordnung der EU (DSGVO)

Dieser Ansatz umfasst die Unterstützung unserer Kunden in Hinblick auf die Einhaltung der EU-Datenschutzauflagen, wie sie etwa in der Datenschutz-Grundverordnung („DSGVO“) festgelegt sind.
Wenn ein Abonnent personenbezogene Daten von EU-Bürgern erhebt, übermittelt, hostet oder analysiert, verlangt die DSGVO, dass der Abonnent externe Auftragsverarbeiter nutzt, die ihre Fähigkeit zur Implementierung der durch die DSGVO vorgesehenen technischen und organisatorischen Vorgaben garantieren können. Als weitere vertrauensbildende Maßnahme in Bezug auf die wurde unserer Vertrag über Auftragsverarbeitung („AV-Vertrag“) aktualisiert, sodass unsere Kunden vertragliche Zusicherungen in Hinblick auf das geltende EU-Datenschutzrecht und zur Implementierung zusätzlicher vertraglicher Bestimmungen erhalten, die durch die DSGVO verlangt werden.

Anfragen von betroffenen Personen: Eine Person, die ihre Datenschutzrechte in Bezug auf personenbezogene Daten ausüben möchte, die von uns im Namen eines unserer Abonnenten im Rahmen der Servicedaten des Abonnenten gespeichert oder verarbeitet werden (einschließlich der Beantragung von Zugriff, Berichtigung, Ergänzung, Löschung, Übertragung oder Einschränkung der Verarbeitung dieser personenbezogenen Daten), sollte diese Anfrage an unsere Kunden (die für die Datenverarbeitung Verantwortlichen) richten. Bei Eingang einer Anfrage eines unserer Kunden zur Löschung der personenbezogenen Daten aus OTRS beantworten wir solch eine Anfrage innerhalb von dreißig (30) Tagen. Wir bewahren personenbezogene Daten, die wir im Auftrag unserer Kunden verarbeiten und speichern, so lange auf, wie es für die Erbringung der Dienste für unsere Kunden erforderlich ist.

Datenschutzbeauftragter: Der Datenschutzbeauftragte (DSB) von OTRS kann unter aumiller@iitr.de oder unter dataprivacy@otrs.com  kontaktiert werden.

Personal Data Protection Act of Singapore (PDPA)

Der Singapore Personal Data Protection Act legt gesetzliche Bestimmungen fest, die die Erhebung, Nutzung und Weitergabe bzw. Offenlegung personenbezogener Daten mit Stand vom 2. Juli 2014 regeln. OTRS ist ein durch die Infocomm Development Authority of Singapur (IDA) anerkannter Datenintermediär in seiner Eigenschaft als „Software-as-a-Service“-Dienstleister („SaaS“).

DS-GVO und Brexit

Das Vereinigte Königreich hat zum 31. Januar 2021 die Europäische Union verlassen. Am 28. Juni 2021 verabschiedete die Europäische Kommission  Angemessenheitsentscheidungen  für die Übermittlung personenbezogener Daten ins Vereinigte Königreich im Rahmen der DS-GVO.

AVV – Auftragsverarbeitungsvertrag

Sie können den AVV-Vertrag von OTRS unter portal.otrs.com/external abschließen und/oder einsehen. Der OTRS-AVV deckt die konkreten Datenverarbeitungsprozesse und Sicherheitsmaßnahmen ab, die für unsere Dienstleistungen gelten, und enthält die neuen EU-Standardvertragsklauseln („EU SCCs“).

Wenn Sie Ihren bestehenden OTRS-AVV aktualisieren müssen, um die neuen EU-SCCs und den Anhang für das Vereinigte Königreich einzubeziehen, Sie aber keinen neuen AVV abschließen möchten, können Sie den Anhang zur Datenübertragung von OTRS unter portal.otrs.com/external einsehen und/oder unterzeichnen.

Datenschutzerklärung

Hier finden Sie unsere detaillierte Datenschutzerklärung.

Unsere Kunden können alle Angaben und Dokumente mit Informationen zur Verarbeitung ihrer Daten innerhalb des OTRS Kundenportals einsehen.

Unterauftragsnehmer

Alle externen Dienstleister werden von OTRS gemäß der geltenden gesetzlichen Standards regelmäßig überprüft. Alle mit uns zusammenarbeitenden Anbieter, insbesondere diejenigen, die auf unsere Daten oder Systeme zugreifen können, entsprechen den vorherrschenden Richtlinien.

https://portal.otrs.com/external/c/data-processing-documents

Kontakt

Bei Fragen oder Anmerkungen kontaktieren Sie uns gerne unter:
security@otrs.com oder datenschutz@otrs.com