Trust-Center
Informationssicherheit
Die Rechenzentren sind gemäß aktuellen Anforderungen z.B. der ISO27001, BSI-Grundschutz und BSI C5 Katalog geschützt. Dies umfasst physikalische sowie organisatorische Maßnahmen.
Weiterführende Informationen finden Sie hier:
- Verschlüsselung:
Alle Datenübertragungen sind via SSL verschlüsselt, sowohl während der Übertragung zwischen dem Benutzer und dem SaaS-Dienst sowie auch bei technischen Schnittstellen. - Zugriffskontrolle:
Die Implementierung strikter Zugriffskontrollen und -methoden wie z.B. key only ssh stellen sicher, dass nur autorisierte Benutzer auf die Systeme und Daten zugreifen können. Ein „need to know“-Prinzip ist eingerichtet. - Regelmäßige Sicherheitsupdates:
Alle Systeme, Frameworks und Softwarekomponenten werden im Rahmen der Maintenance sowie bei Bedarf aktualisiert, um Sicherheitslücken zu schließen und potenzielle Angriffspunkte zu minimieren. - Firewalls:
Firewall Regeln erlauben keinen unbeabsichtigten Datenverkehr. - Überwachung und Protokollierung:
Es erfolgt eine kontinuierliche Überwachung des Netzwerkverkehrs und die Protokollierung von Aktivitäten, um verdächtige oder ungewöhnliche Aktivitäten zu erkennen und auf sie zu reagieren. - Datentrennung und Isolierung:
Daten zwischen verschiedenen Mandanten sind separiert, um sicherzustellen, dass durch das Kompromittieren eines Systems nicht auf andere Daten zugegriffen werden kann.
Zum Schutz der Datenverbindungen werden SSL basierte Protokolle verwendet, wie z.B.: https oder TLS gesicherte SMTP oder IMAP Verbindungen. Systemzugriffe erfolgen über ssh. E-Mails können via PGP oder S/Mime Ende-zu-Ende verschlüsselt werden. Eine Verschlüsselung der Festplatte lässt sich bei Bedarf problemlos einrichten.
Kernkomponenten sind redundant ausgelegt oder als Cluster aufgesetzt. Für alle SaaS-Instanzen wird täglich ein Backup erstellt und Georedundant auf sicheren, nicht aus dem Internet erreichbaren Servern gespeichert. Instanzen lassen sich innerhalb des vertraglich definierten Zeitraums wiederherstellen. Das Desaster Recovery wird regelmäßig automatisiert getestet.
- Betrachtung potenzieller Sicherheitsrisiken und Bedrohungen beginnend in der Planungs- und Designphase über den gesamten Entwicklungsprozess hinweg.
- Durch Schulungen und regelmäßige Trainings wird das Sicherheitsbewusstsein im Entwicklerteam auf dem aktuellsten Stand gehalten.
- Sichere Code Guidelines wie z.B. die OWASP Secure Coding Practices kommen zum Einsatz.
- Regelmäßige Prüfungen z.B. verwendeter Bibliotheken und Code-Reviews helfen, potentielle Sicherheitslücken frühzeitig zu identifizieren und zu beheben.
Eine strikte Trennung von Entwicklungs-, Staging-, Test- und Produktionssystemen vermeidet versehentliche Offenlegung von sensiblen Daten.
- Für die Prüfung von dynamischen Schwachstellen nutzt OTRS externe Instrumentarien zur kontinuierlichen und dynamischen Überwachung der Kernanwendungen im Hinblick auf häufige Sicherheitsrisiken für Web-Anwendungen.
- Hier die Details zu unserer „Vulnerability Disclosure Policy“, kurz: VDP.
OTRS bietet u.a.:
- Kennwort-Richtlinien.
- SSO via SAML
- konfigurierbare Zwei Faktor Authentifizierung.
- sichere Speicherung von Passwörtern mit sicheren Algorithmen, wie z. B. SHA2 oder Blowfish
- die Steuerung von Zugriffsrechten via Rollen-basiertem Berechtigungskonzept
- Zertifikatsmanagement für https und E-Mail
- IP Filterung
- SPF, DKIM und DMARC
- PGP und S/Mime für E-Mail
Einige Optionen sind nur für OTRS SaaS Verfügbar.
Die Mitarbeitenden der OTRS Group sind zum Thema Sicherheit sowie für die Compliance-Vorschriften zur Verarbeitung personenbezogener Daten sensibilisiert. Dies erfolgt durch Schulungen zu besagten Themen und technischen Diensten. Alle Mitarbeitende sind gemäß den geltenden Richtlinien und Gesetzen zur Einhaltung der Vertraulichkeit und Geheimhaltung verpflichtet und werden durch interne Tests in den Bereichen Datenschutz und Datensicherheit trainiert.
Datenschutz
Lei Geral de Proteção de Dados Pessoais („LGPD“) – Brasilien
Das brasilianische Datenschutzgesetz oder auch das Lei Geral de Proteção de Dados Pessoais („LGPD“) genannt, trat am 18. September 2020 in Kraft. Das LGPD ist ein umfassendes Datenschutzgesetz, welches die Tätigkeiten von Verantwortlichen und Auftragsverarbeitern sowie die Rechte betroffener Personen regelt.
OTRS-Kunden, die personenbezogene Daten in OTRS erheben und speichern, können gemäß dem brasilianischen Datenschutzgesetz (LGPD) als „Verantwortliche“ eingestuft werden. Die für die Verarbeitung Verantwortlichen tragen die Hauptverantwortung dafür, dass ihre Verarbeitung personenbezogener Daten mit den einschlägigen Datenschutzgesetzen, einschließlich des LGPD, übereinstimmen. OTRS handelt hinsichtlich der Verarbeitung von personenbezogenen Daten durch die bereitgestellten Services als ein „Auftragsverarbeiter“ entsprechend der im LGPD enthaltenen Definition dieses Begriffs.
California Consumer Privacy Act (CCPA) und California Privacy Rights Act (CPRA)
Der California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et seq. („CCPA“), ist ein durch den Bundesstaat Kalifornien verabschiedetes US-Gesetz, welches seit dem 1. Januar 2020 gilt. Es regelt die Datemschutzrechte, die bestimmten kalifornischen Verbrauchern zur Verfügung stehenden und verlangt von bestimmten Unternehmen, verschiedene Datenschutzauflagen einzuhalten. Bitte lesen Sie dazu auch die CCPA Regulations und den California Privacy Rights Act („CPRA“). Einige CPRA-Bestimmungen traten am 16. Dezember 2020 in Kraft, die übrigen Bestimmungen des CPRA werden zum 1. Januar 2023 in Kraft treten.
OTRS „verkauft“ keinerlei personenbezogene Daten der eigenen Kunden oder Agenten, wie im Rahmen des CCPA definiert. Wir können zusammengefasste und/oder anonymisierte Informationen über die Nutzung der Dienste, die nach dem CCPA nicht als personenbezogene Daten gelten, an Dritte weitergeben, um uns bei der Entwicklung und Verbesserung der Dienste zu unterstützen und unseren Kunden relevantere Inhalte und Serviceangebote zu bieten, wie in unseren Verträgen festgelegt.
Datenschutzgrundverordnung der EU (DSGVO)
Dieser Ansatz umfasst die Unterstützung unserer Kunden in Hinblick auf die Einhaltung der EU-Datenschutzauflagen, wie sie etwa in der Datenschutz-Grundverordnung („DSGVO“) festgelegt sind.
Wenn ein Abonnent personenbezogene Daten von EU-Bürgern erhebt, übermittelt, hostet oder analysiert, verlangt die DSGVO, dass der Abonnent externe Auftragsverarbeiter nutzt, die ihre Fähigkeit zur Implementierung der durch die DSGVO vorgesehenen technischen und organisatorischen Vorgaben garantieren können. Als weitere vertrauensbildende Maßnahme in Bezug auf die wurde unserer Vertrag über Auftragsverarbeitung („AV-Vertrag“) aktualisiert, sodass unsere Kunden vertragliche Zusicherungen in Hinblick auf das geltende EU-Datenschutzrecht und zur Implementierung zusätzlicher vertraglicher Bestimmungen erhalten, die durch die DSGVO verlangt werden.
Anfragen von betroffenen Personen: Eine Person, die ihre Datenschutzrechte in Bezug auf personenbezogene Daten ausüben möchte, die von uns im Namen eines unserer Abonnenten im Rahmen der Servicedaten des Abonnenten gespeichert oder verarbeitet werden (einschließlich der Beantragung von Zugriff, Berichtigung, Ergänzung, Löschung, Übertragung oder Einschränkung der Verarbeitung dieser personenbezogenen Daten), sollte diese Anfrage an unsere Kunden (die für die Datenverarbeitung Verantwortlichen) richten. Bei Eingang einer Anfrage eines unserer Kunden zur Löschung der personenbezogenen Daten aus OTRS beantworten wir solch eine Anfrage innerhalb von dreißig (30) Tagen. Wir bewahren personenbezogene Daten, die wir im Auftrag unserer Kunden verarbeiten und speichern, so lange auf, wie es für die Erbringung der Dienste für unsere Kunden erforderlich ist.
Datenschutzbeauftragter: Der Datenschutzbeauftragte (DSB) von OTRS kann unter aumiller@iitr.de oder unter dataprivacy@otrs.com kontaktiert werden.
Personal Data Protection Act of Singapore (PDPA)
Der Singapore Personal Data Protection Act legt gesetzliche Bestimmungen fest, die die Erhebung, Nutzung und Weitergabe bzw. Offenlegung personenbezogener Daten mit Stand vom 2. Juli 2014 regeln. OTRS ist ein durch die Infocomm Development Authority of Singapur (IDA) anerkannter Datenintermediär in seiner Eigenschaft als „Software-as-a-Service“-Dienstleister („SaaS“).
DS-GVO und Brexit
Das Vereinigte Königreich hat zum 31. Januar 2021 die Europäische Union verlassen. Am 28. Juni 2021 verabschiedete die Europäische Kommission Angemessenheitsentscheidungen für die Übermittlung personenbezogener Daten ins Vereinigte Königreich im Rahmen der DS-GVO.
Sie können den AVV-Vertrag von OTRS unter portal.otrs.com/externalhttps://portal.otrs.com/external/c/data-processing-documents abschließen und/oder einsehen. Der OTRS-AVV deckt die konkreten Datenverarbeitungsprozesse und Sicherheitsmaßnahmen ab, die für unsere Dienstleistungen gelten, und enthält die neuen EU-Standardvertragsklauseln („EU SCCs“).
Wenn Sie Ihren bestehenden OTRS-AVV aktualisieren müssen, um die neuen EU-SCCs und den Anhang für das Vereinigte Königreich einzubeziehen, Sie aber keinen neuen AVV abschließen möchten, können Sie den Anhang zur Datenübertragung von OTRS unter https://portal.otrs.com/external/c/data-processing-documents einsehen und/oder unterzeichnen.
Hier finden Sie unsere detaillierte Datenschutzerklärung.
Unsere Kunden können alle Angaben und Dokumente mit Informationen zur Verarbeitung ihrer Daten innerhalb des OTRS Kundenportals einsehen.
Alle externen Dienstleister werden von OTRS gemäß der geltenden gesetzlichen Standards regelmäßig überprüft. Alle mit uns zusammenarbeitenden Anbieter, insbesondere diejenigen, die auf unsere Daten oder Systeme zugreifen können, entsprechen den vorherrschenden Richtlinien.
Bei Fragen oder Anmerkungen kontaktieren Sie uns gerne unter:
security@otrs.com oder datenschutz@otrs.com