Sicherheit - GDPR

Hosting, Zuverlässigkeit und Sicherheit

Hosting

Das physische Hosting unserer primären Infrastruktur wird von Equinix bereitgestellt, dem weltweit führenden Anbieter von Rechenzentren mit mehr als 145 Rechenzentren rund um den Globus. Von mehreren Organisationen (SSAE16, ISO, LEED, Uptime Institute) zertifiziert, garantiert Equinix eine durchschnittliche Verfügbarkeitsrate von über 99,99999 %.

Unsere Infrastruktur wird in Rechenzentren in Paris gehostet, was eine hervorragende Konnektivität in Europa und insbesondere in Frankreich ermöglicht.

Unsere Server bestehen aus Hardware, die von unserem Partner Alwaysdata ausgewählt wurde, aus den neuesten Generationen professioneller Serien namhafter Hersteller (Intel, Western Digital, Supermicro

Verlässlichkeit

Elektrizität und Klimatisierung

Alle Geräte (Netzwerkhardware, Server) werden über zwei völlig unabhängige Stromketten versorgt;
Wechselrichter und Generatoren garantieren eine unterbrechungsfreie Stromversorgung, auch bei einem mehrtägigen EFRE-Ausfall auf der Baustelle;
Die Klimatisierung der Räume erfolgt über zwei unabhängige Ketten, die unabhängig von den Außenbedingungen eine stabile Temperatur aufrechterhalten können;
Jeden Monat werden Simulationen von Elektro- und Klimaanlagenausfällen durchgeführt, um die ordnungsgemäße Funktion aller Geräte, einschließlich der Notfallgeräte, sicherzustellen.

Überwachung

Alle unsere Server werden durch interne und externe Sonden (in vielen Ländern) überwacht, so dass wir im Falle einer Anomalie, die von unseren Überwachungswerkzeugen nicht automatisch korrigiert werden kann, sofort alarmiert werden können;
Die Techniker sind 24 Stunden am Tag in Bereitschaft, um innerhalb von Minuten nach Erkennen einer Störung einzugreifen;
In unseren Rechenzentren sind 24 Stunden am Tag Techniker anwesend, die auf Anfrage unserer Ingenieure Manipulationen durchführen.

Netzwerk

Unsere Konnektivität wird von 4 vollständig redundanten Netzbetreibern bereitgestellt;
Alle unsere Netzwerkgeräte (Switches, Router) arbeiten paarweise mit Hardware von 2 verschiedenen Herstellern, was die Kontinuität des Dienstes im Falle eines Hardware- oder Softwarefehlers gewährleistet;
Jeder Server hat eine doppelte Netzwerkverbindung zu den Switches, mit automatischem Failover im Falle eines Ausfalls.
Alle Festplatten werden in Echtzeit dupliziert (RAID) und können ohne Unterbrechung ausgetauscht werden (Hot-Swap) ;
Ersatzhardware ist vor Ort verfügbar, um defekte Teile oder sogar einen kompletten Server sofort zu ersetzen.

Sicherheit

Physik

Der Zugang zu den Rechenzentren erfolgt auf sichere Weise mit :

Biometrische Erkennung ;
Namensschilder ;
Sicherheitsteams.

Server

Alle unsere Server sind :

Geschützt durch eine Firewall, mit einem automatischen Sperrmechanismus für IPs, die Angriffe durchführen ;
Wird sofort nach der Entdeckung einer signifikanten Sicherheitsverletzung aktualisiert.

Netzwerk

Unser Netzwerk und alle unsere Server sind dank einer 4-stufigen Verteidigung vor DDoS-Angriffen geschützt:

Jeder Server ist so konfiguriert und optimiert, dass er auch mittelgroßen Angriffen ohne manuelles Eingreifen standhalten kann;
Im Falle eines größeren Angriffs wird der Anti-DDoS-Schutz bei unseren Netzwerkprovidern automatisch aktiviert, dank 2 verschiedener und redundanter Implementierungen;
Für noch komplexere Angriffe können unsere Ingenieure benutzerdefinierte Blockierungsregeln definieren, gegebenenfalls in Abstimmung mit den Ingenieuren unserer Netzwerkanbieter;
Für den Fall eines hypothetischen extrem massiven Angriffs (mehrere hundert Gb/s) kann eine DNS-Umleitungsstrategie zu einem Drittanbieter eingerichtet werden, die regelmäßig simuliert wird.

Backups

Wir machen Backups von allen Daten unserer Kunden:

auf täglicher Basis;
für 30 Tage aufbewahrt;
direkt für unsere Kunden im Nur-Lese-Modus zugänglich;
in externen Rechenzentren gespeichert, die mindestens mehrere Kilometer entfernt sind und von einem separaten Betreiber verwaltet werden.

GDPR

Es werden alle Maßnahmen ergriffen, um die vollständige Einhaltung der Vorschriften zu gewährleisten und Sie dabei zu unterstützen, den Umfang der Daten, die Sie über Ihre Kunden, Mitarbeiter und Partner sammeln, einzuhalten.

Besondere Merkmale und Maßnahmen

SSL-Verschlüsselung der Kommunikation
Einweg-Passwortgeschützter Zugang mit Hashing / Salting
Vollständige Verschlüsselung von Client-Dateien
Auflistung und Datenzentralisierung
Reservierte Datenzugriffskontrolle
Rechteverwaltung nach Spalten
Möglichkeit zum Löschen von Daten
Möglichkeit der Datenportabilität
Historie aller Änderungen (wenn diese Funktion vom Kunden aktiviert wird)
Logbuchöffnungshistorie (wenn diese Funktion vom Kunden aktiviert wurde)
Liste der Unterlieferanten
Überprüfung der Einhaltung von Unterauftragnehmern
Benachrichtigung im Falle eines Datenzugriffs
Datenschutzbeauftragter
Registerkategorie der im Auftrag des Kunden ausgeführten Aktivitäten
Garantierte Datenverfügbarkeit und Ausfallsicherheit
Wöchentliche Tests der vollständigen Datenbankwiederherstellung aus Backups
Vollständige Pseudonymisierung der Daten für Praxistests auf Pre-Production-Servern
Testverfahren
Dokumentation
Automatische tägliche Sicherung über 30 Tage hinweg
Automatische Sicherung mehrerer Standorte
Möglichkeit, Kontakten das Anzeigen und Aktualisieren von Daten mit einem Klick zu ermöglichen
Möglichkeit, bestimmte Datenspalten mit einem Passwort zu verschlüsseln
Neuer Spaltentyp "verschlüsselt" zum Schutz sensibler Informationsinhalte
Admin-Zugang nur für 2 TimeTonic-Manager (CEO, CTO)
Neuer Spaltentyp "Passwort" völlig sicher, der die Erstellung eines Extranets erleichtert

Für die nahe Zukunft geplante Funktionen

Mögliche Pseudonymisierung von Daten
Historie der Wiedergabezugriffe nach Aufzeichnung
Lesezugriffshistorie pro Datei
Verlauf nach Datensatz exportieren
Historie nach Tabelle exportieren

Sie behalten die Kontrolle über Ihre Daten. TimeTonic stellt nur ein Werkzeug zur Verfügung, um sie zu zentralisieren, zu verwalten und zu schützen, und kann keine detaillierten Maßnahmen in Ihrem Namen ergreifen.

Wir greifen nicht auf Ihre Daten zu, kennen Ihre Daten nicht und geben keinen Zugriff auf Ihre Daten an Dritte weiter, es sei denn, Sie fordern uns ausdrücklich dazu auf.

Weitere Details finden Sie in den Nutzungsbedingungen von TimeTonic.

FAQ

Sicherheit des Zugriffs auf Informationen/Daten

Welche Authentifizierungsmöglichkeiten gibt es für den Zugriff auf Ihren Dienst?

OAUTH2-Authentifizierung für den API-Zugang
2FA
SSO über SAML2, alle anderen Standards werden auf Anfrage geprüft
Anmeldung / Passwort

Ist es möglich, das Single Sign-On (SSO) von Google zu verwenden?

Wir sind mit allen SAML2.0-kompatiblen SSO-Diensten kompatibel, jeder andere Standard wird auf Anfrage untersucht.

Wie sehen die Passwortsicherheitsrichtlinien für lokale Benutzerkonten aus?

Passwörter müssen keine Leerzeichen, mindestens 8 Zeichen, eine Zahl, einen Groß- und einen Kleinbuchstaben enthalten.
Passwörter werden mit einem Hashwert und einem Saltwert versehen und sind daher verschlüsselt und können nicht wiederhergestellt, sondern nur ersetzt werden.
Passwörter müssen jedes Jahr erneuert werden
Konten sind nominativ

Ist die duale Authentifizierung oder die starke Authentifizierung für lokale Konten verfügbar?

TOTP 2FA ist für jedes Konto verfügbar und kann über das Benutzerprofil aktiviert werden.

Welche verschiedenen Zugangsmöglichkeiten gibt es? Verwenden alle Streams starke Verschlüsselungsalgorithmen, um die Vertraulichkeit unserer Daten zu gewährleisten?

TimeTonic ist eine öffentliche SaaS-Plattform, die über einen Internetzugang verfügbar ist.
Alle Datenübertragungen sind mit TLS1.2 ssl gesichert (HTTPS erzwungen)

Handelt es sich um eine gemeinsam mit anderen Kunden genutzte Umgebung oder um eine spezielle Lösung? Welche Mittel werden eingesetzt, um die Wasserdichtigkeit der verschiedenen Umgebungen zu gewährleisten?

Daten und Software werden auf unseren eigenen Servern gehostet und nicht mit anderen Unternehmen geteilt.
Eine sehr feine und sehr strenge Verwaltung der Zugriffsrechte verbietet den Zugriff auf Arbeitsbereiche, Spalten und Datenzeilen sowohl auf der Client- als auch auf der Serverseite
Dedizierte Datenbanken können auf Anfrage erstellt werden, um Daten in Bezug auf Zugriff und Leistung weiter zu isolieren
Dedizierte Server können auf Anfrage eingerichtet werden, um die Leistung zu erhöhen
On-Premise-Hosting ist auf Anfrage ebenfalls möglich.

Wie funktioniert der Zugriff auf den Dienst und unsere Daten?

Kundendateien (PDF, Word, E-Mails usw.) werden verschlüsselt und auf der Festplatte an nicht über http zugänglichen Stellen gespeichert; es wird lediglich ein Link generiert, aufbewahrt und als Datenbank verwendet
Die Daten werden pro Arbeitsbereich, dem sogenannten "Workspace", verwaltet. Jeder Arbeitsbereich hat seine eigenen Datenbanken und der Zugriff auf den Arbeitsbereich wird durch eine spezielle Rechteverwaltung verwaltet
Der Zugriff nach Benutzer oder Benutzergruppe ist möglich, auch nach Ansicht, Zeile oder Spalte - z. B. können einige Personen alle Daten sehen, aber nicht den Änderungsverlauf, oder andere können nur Lesezugriff auf einen Teil der Daten, Schreibzugriff auf einen anderen Teil und überhaupt keinen Zugriff auf einen anderen Teil haben
Der Zugriff auf die Dateien erfolgt über anonyme lange URLs, die in einer Datenbank generiert und verwaltet werden und daher von Suchmaschinen nicht referenziert und durchsucht werden können - keine Datei ist daher direkt zugänglich
Es gibt zwei Arten von URLs:

eine, die dem Inhaber der URL freien Zugang gewährt
Das andere erfordert immer eine gültige Zugangsberechtigung über TimeTonic Login / Passwort

Welche Sicherheitssoft- und -hardwaremittel sind implementiert, um die Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit der Daten zu gewährleisten (IPS/IDS, SOC, Antivirus-Gateway, Supervision, Log, usw.)?

Die Hardware und die betriebliche Wartung der TimeTonic-Server werden von Alwaysdata verwaltet und die Server werden physisch in Equinix-Rechenzentren in Frankreich gehostet
SOC 2, PCI DSS, SOC 1 Typ 2 (SSAE 18 ersetzt SSAE 16) Zertifizierungen sind daher vorhanden
Die physischen Zugänge zum Rechenzentrum werden von einer Sicherheitsstation und anschließend von einzelnen Magnetkarten- und Biometrielesern kontrolliert (siehe Video).
Wir verwenden intern ein Audit-Tool (OpenVAS), um unsere Server auf Schwachstellen zu prüfen, und Tools (z. B. rkhunter), um die Integrität kritischer Dateien täglich zu überprüfen.

Sicherheit der Speicherung, Aufbewahrung und Rückgabe von Informationen/Daten

Werden unsere Daten in einem sicheren Rechenzentrum gespeichert (ISO-Norm, Klassifizierung des betreffenden Rechenzentrums usw.)? Ist es möglich, den Speicherort unserer Daten zu wählen?

Die Hardware und die betriebliche Wartung der TimeTonic-Server werden von Alwaysdata verwaltet, und die Server werden physisch in Equinix-Rechenzentren in Frankreich gehostet.SOC 2, PCI DSS, SOC 1 Typ 2 (SSAE 18 ersetzt SSAE 16) Zertifizierungen sind daher vorhanden.physische Zugänge im Rechenzentrum werden durch eine Sicherheitsstation, dann durch individuelle Magnetkarten- und biometrische Leser kontrolliert Video ansehen
Es ist nicht möglich, Ihr Rechenzentrum zu wählen
Die Backups werden auf verschiedenen Servern in Frankreich gespeichert, die mindestens einige Kilometer vom Hauptstandort entfernt sind und von einem anderen Hoster (Scaleway) gehostet werden.

Sind die Daten (Speicher, Datenbank, etc.) verschlüsselt?

Die Dateien sind verschlüsselt
Der Zugriff auf die Benutzerdatenbanken durch andere Benutzer ist unmöglich (mit Ausnahme der Daten, die von den Benutzern selbst freigegeben wurden, die vorübergehend TimeTonic-Support-Mitglieder eingeladen haben - die selbst unter strengen NDAs stehen), und nur der CEO und der CTO von TimeTonic haben die Administrator-Zugangsdaten der Server, die mindestens zweimal im Jahr geändert werden. Selbst für den CEO und den CTO gilt die strikte Regel, dass sie niemals ohne vorherige Genehmigung der Kunden auf die Daten zugreifen.

Haben Sie eine Backup-Strategie (Backup-Plan, Haltbarkeit usw.)?

Täglich wird eine rollierende 30-Tage-Sicherung aller Datenbanken und Dateien erstellt, und eine monatliche Sicherung wird erstellt und 12 Monate lang aufbewahrt.
Die Daten der Nutzer werden so lange aufbewahrt, wie die Lizenzen aktiv sind, und dann für 1 Jahr archiviert, es sei denn, es wird ein Antrag auf Löschung eines Kontos gestellt.
Die Benutzeridentifikationsdaten (Name, Login) werden für die Dauer der Lizenz- / Inkassoperiode aufbewahrt und bei der Löschung des Kontos mit der letzten Zahlung gelöscht.

Wie viele Stufen der Sicherung und Wiederherstellung sind verfügbar (teilweise, vollständig usw.)?

Die Backups werden täglich um 4 Uhr morgens mit Kopien der Backups auf separaten Servern erstellt.
Die Restaurierung kann vollständig oder teilweise sein und wird auf Anfrage durchgeführt.
TimeTonic ermöglicht es auch, die Historie aller von den Benutzern vorgenommenen Änderungen zu speichern (wer hat was wann geändert und was war der vorherige Wert), was nicht nur eine sehr nützliche Rückverfolgbarkeit zum Verständnis der vorgenommenen Änderungen ermöglicht, sondern es auch erlaubt, bei Bedarf sehr genau zurückzugehen, ohne die Änderungen zu verlieren, die während des Tages seit dem letzten täglichen Backup vorgenommen wurden.
Ein ctrl-z (Rückgängig machen) steht auch direkt in der Tabellenkalkulation zur Verfügung für Änderungen, die gerade vorgenommen werden
TimeTonic generiert außerdem eine vollständige tägliche Sicherungsdatei für alle Datentabellen des Arbeitsbereichs im Excel-kompatiblen XML-Format, auf die Sie zugreifen und die Sie standardmäßig ein Jahr lang aufbewahren können
‍

Wie lange dauert die Wiederherstellung einer vorherigen Sicherung? Erfordert diese Wiederherstellung Ihr Eingreifen? Ist eine Wiederherstellung in diesem speziellen Fall mit Kosten verbunden?

Die Sicherung erfolgt bei Bedarf und dauert zwischen 2h und 8h, je nach Art der angeforderten Verpflegung (außer ctrl-z, das sofort die vorherigen Daten wiederherstellt)
Abgesehen von ctrl-z, das von den Benutzern selbst ausgeführt werden kann, erfordert die Wiederherstellung den Eingriff von TimeTonic
Die Intervention wird nach der aufgewendeten Zeit in Rechnung gestellt (im Verhältnis zu den geltenden Tageskosten, derzeit 950€ / Tag)
TimeTonic generiert außerdem eine vollständige tägliche Sicherungsdatei für alle Datentabellen des Arbeitsbereichs im Excel-kompatiblen XML-Format, auf die Sie zugreifen und die Sie standardmäßig ein Jahr lang aufbewahren können

Werden die Backups regelmäßig getestet, um sicherzustellen, dass sie funktionieren?

Eine komplette Datenrettung wird jede Woche getestet

Kontinuität und Notfallwiederherstellung

Welche Mittel werden eingesetzt, um die Geschäftskontinuität im Falle eines Hardware- oder Softwareausfalls zu gewährleisten?

Vollständige Software-Installationsverfahren werden etwa 4 Mal pro Jahr getestet, und vollständige Datenwiederherstellungen werden wöchentlich getestet.
Wir verwenden Pingdom, um den Zugriff auf den Dienst jede Minute mit SMS- und E-Mail-Übertragung an 3 Personen im Falle der Nichtverfügbarkeit zu testen
Wir verwenden newrelic zur Messung der Antwortzeiten und der Anzahl der Anwendungs- und Datenbankabfragen
Wir verwenden auch unsere eigenen Tools, die uns im Falle eines Zugriffsfehlers, eines wiederholten unberechtigten Zugriffs oder einer Anfrage nach einem vergessenen Passwort eine SMS senden

Ist ein zweiter Standort vorhanden, um ein Disaster Recovery zu ermöglichen?

Alwaysdata verwaltet Server in mehreren Equinix-Rechenzentren und kann den Service für andere Server wiederherstellen. Wir haben auch unsere Vorproduktionsserver, die innerhalb von 8 Stunden in Produktionsserver umgewandelt werden können.

Haben Sie schriftliche PCA/PRA, die Sie uns zusenden können?

Prozeduren werden nicht kommuniziert

Hinterlegen Sie die Quellen Ihrer Anwendungen bei einer vertrauenswürdigen Drittpartei?

Die Quellcodes der Anwendungen werden derzeit nicht hinterlegt, doch kann dies bei Verträgen, die einen solchen Antrag rechtfertigen, nachgeholt werden.

Qualität der Dienstleistung

Wie hoch ist das durchschnittliche OTN über Ihre gesamte Infrastruktur? Und für den jeweiligen Dienst?

Maximal beobachteter Service-Ausfall von 11 Minuten im letzten Jahr
Beobachtete Verfügbarkeitsrate über 99,95%

Wird eine Vorproduktionsumgebung mit dem Dienst bereitgestellt?

Ja, jeder Kunde kann eine unbegrenzte Anzahl von Arbeitsbereichen erstellen, einschließlich der Vorproduktion.
Wir haben auch unseren eigenen Vorproduktionsserver

Können Sie uns die wichtigsten SLAs für die Dienstleistungen nennen?

SLA:

Pro-Lizenzen beinhalten folgende Serviceverfügbarkeit (Online-Zugriff)

Garantierte Reaktionszeit (GRT): 60 Minuten (während der Supportzeiten)
GST (Garantierte Service-Reparaturzeit): 2h (während der Supportzeiten)
Garantierte monatliche Serviceverfügbarkeit: 99,5 % (während der Supportzeiten)
Die Dauer der Fehlerbehebung kann nicht garantiert werden, aber wir werden natürlich alle wirtschaftlich vertretbaren Anstrengungen unternehmen, um die Fehler zu beheben.

Unterstützung

E-Mail- und Telefon-Support wird von Montag bis Freitag während der Geschäftszeiten (9:30 Uhr bis 18:30 Uhr MEZ) angeboten. Supportanrufe, deren Bearbeitung mehr als 15 Minuten dauert, werden auf Stundenbasis berechnet
Werden in einem Monat mehr als 8 Stunden bezahlter Support in Anspruch genommen, erhält der Kunde eine Benachrichtigung mit der Frage, ob der Support fortgesetzt werden soll oder nicht.
Professionelle Nutzerlizenzen können derzeit auch Vor-Ort-Support im Großraum Paris anfordern. Für den Vor-Ort-Support außerhalb des Großraums Paris fallen zusätzliche Geschäfts-, Reise- und Bearbeitungskosten an

‍

Wie werden die Upgrades durchgeführt?

Spezifikationen, Tests auf den Arbeitsplätzen der Entwickler, Einheitstests, Funktionstests, Zusammenführung mit dem Master, Tests auf dem Pre-Prod-Server, Freigabe auf dem Produktionsserver und vollständige Tests nach 18 Uhr, ggf. ein Klick zurück

Kontinuität des Dienstes RPO, RTO

Wenden Sie sich an Alwaysdata, wenn Sie allgemeine Zugangsprobleme haben. Alwaysdata hat einen ausgezeichneten Service, der auch in Notfällen zur Verfügung steht
Direkter Zugriff durch CEO/CTO zur Protokollanalyse / Neuinstallation von Vorgängerversionen/Datenbank

Umkehrbarkeit unserer Daten

Haben Sie Prozesse und Verfahren eingerichtet, um die Reversibilität von Daten sicherzustellen?

Ja, siehe oben

Welche Unterstützung bieten Sie Ihren Kunden?

Admin-Schulung, damit Sie Ihre eigenen Anwendungen/Geschäftsprozesse in völliger Selbständigkeit erstellen oder verwalten können
Professionelle Dienstleistungen zur Unterstützung bei der Konzeption und Erstellung von Anwendungen / Geschäftsprozessen
Schulung / Dokumentation für Anwender
Vor-Ort- oder Fernsupport
Hilfe zum Datenimport
Exporthilfe / Datenrückgabe
Spezifische Entwicklungen
Schnittstellen zu Ihren bestehenden Tools (insbesondere haben wir bereits Schnittstellen zu MS Navision, Office, Google, Dropbox und Salesforce geschaffen)

In welchem Format werden die Daten zurückgegeben?

Export csv / xml für Daten, ZIP für Dateien

Fallen für die Datenwiederherstellung Kosten an?

Ja, die Intervention wird auf Zeitbasis abgerechnet (im Verhältnis zu den geltenden Tageskosten, derzeit 950 €/Tag)
Auf Wunsch können wir Ihnen Ihre Daten auch wöchentlich per FTP zusenden.
Bei Business-Lizenzen können Sie auch Ihre eigenen Datenexporte erstellen, einschließlich Dateien

Wir würden gerne periodische Reversibilitätstests durchführen (2-4 mal pro Jahr), wie ist Ihre Position?

Es ist möglich

Compliance

Erfüllen Sie die Anforderungen der Europäischen Datenschutzverordnung (GDPR)?

Ja, siehe oben

Ist die Datenspeicherung in der EU-Zone?

Ja, in Frankreich

Welche Verpflichtungen gehen Sie hinsichtlich des Eigentums und der Verwendung der Daten ein?

Alle Ihre Daten gehören Ihnen, und niemand sonst hat Zugang zu ihnen, es sei denn, Sie bitten ausdrücklich darum oder das Gesetz verlangt es.
Sie können jederzeit die Rückgabe Ihrer Daten und die Vernichtung aller Ihrer Daten verlangen