Aktualisiert am 28. August 2023
Einführung
Edusign möchte so transparent wie möglich sein, wenn es um den Umgang mit Ihren Daten geht. Weitere Informationen finden Sie auch in unserer Datenschutzrichtlinie und auf unserer DSGVO-Seite.
Wir haben technische und organisatorische Maßnahmen ergriffen, um Ihre personenbezogenen Daten zu schützen. Diese Maßnahmen werden regelmäßig aktualisiert, um das höchstmögliche Schutzniveau zu bieten.
Datentransfers und Verschlüsselung
Die gesamte Datenverarbeitungskette ist durch Verschlüsselung gesichert.
Edusign verwendet moderne Verschlüsselungstechnologien, die den von der ANSSI herausgegebenen Standards entsprechen.
- Sicherung von Transaktionen über TLS-Verschlüsselung zu und von unseren Diensten.
- Ruheverschlüsselung von Dokumenten vor und nach der Unterzeichnung mittels AES-256-Bit-Verschlüsselung.
- Verwendung von Schlüsseln mit einer Länge von mehr als 2048 Bit und sicheren Protokollen wie RSA.
Zertifizierungen
Edusign verfügt über Zertifikate für die elektronische Signatur, den elektronischen Stempel und den Zeitstempel. Einzelheiten zu diesen Zertifikaten sind auf Anfrage unter support@edusign.fr erhältlich.
Um sicherzustellen, dass wir unsere Compliance aufrechterhalten, führen wir regelmäßig Audits durch.
Sicherheit der Entwicklungen
Für unsere Teams werden interne Entwicklungsprozesse eingeführt, um eine sichere Entwicklung unserer Lösung zu gewährleisten.
Ein Sicherheitsbeauftragter ist für die Organisation, Steuerung und Kontrolle der Sicherheitsmaßnahmen für das Sicherheitsmanagement des Informationssystems zuständig.
- Befolgung der vom Open Web Application Security Project (OWASP) diktierten Best Practices.
- Ansatz “security by design”. Mit anderen Worten: Die Entwicklung wird erst nach einer Analyse der Sicherheitsfolgen durchgeführt.
- Automatische und manuelle Tests.
- Überprüfungen und Änderungen des Codes.
- Peer Reviews.
Personalverwaltung
Alle Mitarbeiterinnen und Mitarbeiter von Edusign sind mit IT-Tools vertraut. Sie werden in den von der ANSSI empfohlenen Best Practices für IT-Sicherheit geschult. Darüber hinaus werden die Mitarbeiter über die neuesten Praktiken und technologischen Entwicklungen im Bereich der IT-Sicherheit auf dem Laufenden gehalten.
Die Mitarbeiter von Edusign handeln in Kenntnis der Sachlage und tun ihr Bestes, um Ihre persönlichen Daten zu schützen.
Folgende Maßnahmen sind vorhanden:
- Schulung neuer Mitarbeiter in den Bereichen Informationssicherheit und Schutz personenbezogener Daten.
- Regelmäßige Mitteilungen an alle Teams, um sie zu sensibilisieren.
- Politik zur Verwaltung von Zugängen und Rollen.
- Richtlinie für die Verwaltung von Passwörtern.
- Verpflichtung zum Datenschutz
Wir haben eine Politik zur Verwaltung von Rollen eingeführt und beschränken als solche den Zugriff auf die Rolle jedes Mitarbeiters unter Beachtung des Prinzips des geringsten Privilegs. Eine Überprüfung der Rechteverwaltung wird vierteljährlich durchgeführt.
Zugang zu Infrastruktur
Edusign stützt sich auf Hosting-Partner, um eine optimale Sicherheit seiner Infrastrukturen zu gewährleisten. Edusign hat insbesondere eine Sicherheitsrichtlinie für Informationssysteme eingeführt, die den Anforderungen mehrerer Normen und Zertifizierungen entspricht (PCI-DSS-Zertifizierung, ISO/IEC 27001-Zertifizierung, SOC 1 TYPE II und SOC 2 TYPE II Bescheinigungen usw.).
Verwaltung des physischen Zugangs :
- Überprüfung der Identität.
- Zentrale Verwaltung der Zugangstüren durch ein Badge-System.
- Schleuse mit nur einer Person.
- Überwachungsausrüstung.
Logische Datenzugriffskontrolle :
- Richtlinien für die Verwaltung von Passwörtern.
- Firewall & Antivirusprogramme, die regelmäßig aktualisiert werden.
- Protokollierung & dokumentierte Richtlinien für die Zugriffskontrolle.
Aufspüren von Schwachstellen
Edusign führt regelmäßig Scans durch, um potenzielle Schwachstellen aufzuspüren. Edusign zieht auch Dritte hinzu, um diese Scans zu verfeinern. Anschließend werden Maßnahmen ergriffen, um diese Schwachstellen zu beseitigen oder einzuschränken. Eine nicht erschöpfende Liste von Protokollen, die eingesetzt werden:
- “Bug bounty”-Programm
- Regelmäßiges Scannen nach Schwachstellen
- Alarmierung und Überwachung von Schwachstellen
- Code-Reviews
Verwaltung von Vorfällen
Im Falle einer Schwachstelle im Programm zur Erkennung von Schwachstellen, die zu einem Cyberangriff führt, verpflichtet sich Edusign, Kunden und zuständigen Behörden die Informationen mitzuteilen, die sie benötigen, um die Schwachstellen bestmöglich zu verwalten.
Edusign wird so schnell wie möglich auf Anfragen von Behörden und Kunden bezüglich dieser Schwachstelle reagieren.
Bis heute berichtet Edusign über keine Schwachstelle in seinem IT-System, die zu einem Zugriff auf personenbezogene Daten geführt hat. Wir tun unser Bestes, damit dies so bleibt.
Verfügbarkeit von Diensten und Datensicherung
Edusign unternimmt alle Anstrengungen, um eine hohe Verfügbarkeit und Kontinuität der Dienste zu gewährleisten. Ihre Daten werden auf gesicherten Servern mit täglicher Sicherung auf einem anderen Server gespeichert. Nicht erschöpfende Liste der eingesetzten Protokolle :
- Überwachung der Server und Datenbanken in Echtzeit mit Alarmierung.
- Benachrichtigungsprotokolle im Falle des Ausfalls eines Partners.
- Skalierbare Server mit redundanten Backups.
- Tests auf Schwachstellen und Eindringlinge
- Plan zur Aufrechterhaltung der Geschäftstätigkeit
- Plan zur Wiederherstellung der Geschäftstätigkeit
Im Falle einer Nichtverfügbarkeit unserer Dienste wird Edusign seine Nutzer auf jede erdenkliche Weise informieren.
Bei Fragen zu den technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit und des Datenschutzes wenden Sie sich bitte an support@edusign.fr