Allgemeines
DSGVO-konform
Wir legen auf Datensicherheit und Datenschutz sehr großen Wert und arbeiten DSGVO-konform, weshalb hunderte namhafte Kunden auf Just Social vertrauen. Dazu gehören Unternehmen und Organisationen jedweder Branche und Art:
- Agenturen
- Banken
- Dienstleistungsunternehmen
- Hochschulen
- Industrieunternehmen
- Industrie- und Handelskammern (IHKs)
- Kirchen
- Krankenkassen
- Schulen
- Städte, Gemeinden und Landkreise
- Stiftungen
- Vereine
- ...
Auftragsverarbeitungsvertrag (AVV)
Selbstverständlich kannst Du mit uns eine Vereinbarung zur Auftragsverarbeitung (AV bzw. AVV) auf Basis der ab dem 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung gem. Art. 28 DSGVO nach neuestem Stand abzuschließen.
Du kannst dies ganz einfach elektronisch tun: Das erspart allen Beteiligten Aufwand und ermöglicht dennoch eine rechtlich sichere Datenschutzbasis für unsere zukünftige Zusammenarbeit.
Audits und Testat
Wir lassen unsere Systeme und Prozesse regelmäßig von der Unternehmensberatung audatis in Hinblick auf Datensicherheit und Datenschutz überprüfen und optimieren. Das aktuelle Testat kannst Du hier herunterladen:
audatis ist auf die Bereiche Datenschutz und Informationssicherheit spezialisiert und berät renommierte Kunden aus verschiedenen Branchen. Unser Datenschutzbeauftragter Carsten Knoop ist Gründer und Geschäftsführer von audatis und war zuvor Chief Information Security Officer (CISO) bei der Bertelsmann AG. Er verfügt über jahrelange Erfahrung und exzellente Fachkenntnisse auf dem Gebiet.
Mehr Informationen über audatis
Penetration-Tests
Wir lassen unsere Software regelmäßig von externen IT-Security Spezialisten z.B. durch Penetration-Tests überprüfen. Anhand der Ergebnisse verbessern wir gemeinsam mit unseren Sicherheitsexperten kontinuierlich die Sicherheit unserer Software.
ISO 27001 Zertifiziertes Rechenzentrum
Sofern wir das Hosting von Just Social übernehmen, hosten wir Dein Serversystem in einem hochprofessionellen und ISO 27001-zertifizierten Rechenzentrum in Deutschland, das höchste Sicherheitsstandards erfüllt:
- Hosting nach deutschem Datenschutzrecht
- DSGVO-konform
- Standort der Server: Nürnberg
- Zertifiziert nach DIN ISO/IEC 27001
- 24/7 Videoüberwachung
- Redundante Stromversorgung, Netzanbindung und Klimatisierung
- 99,6% Mindestverfügbarkeit
- DDoS Schutz
- Umweltschutz: 100% Strom aus regenerativen Quellen
- Vielfache Auszeichnungen
ISO Zertifikat sowie weitere Informationen zu unserem Rechenzentrum
Technisches
On Premise oder private Cloud (Enterprise Version)
Mit der Enterprise Version von Just Social bekommst Du ein eigenes „Stück Software“, über das Du vollständige Kontrolle hast: Du kannst es entweder in einem Rechenzentrum Deiner Wahl selber hosten (self-hosted), von uns dort hosten lassen (Fernwartung) oder uns das komplette Hosting in unserem ISO-zertifizierten Rechenzentrum überlassen (private Cloud). In jedem Fall befinden sich Deine Daten an einem sicheren Ort Deiner Wahl.
Betrieb hinter Firewall (Enterprise Version)
Die Enterprise Version von Just Social kannst Du selbstverständlich auch geschützt durch eine Firewall in Deinem internen IT-Netzwerk betreiben. In diesem Fall ist ein Zugriff auf das Just Social System – analog zu Deinen anderen IT Systemen „hinter der Firewall“ – nur innerhalb Deines internen IT-Netzwerkes oder per VPN Tunnel möglich.
In unseren Standardprozessen zur Installation ist vorgesehen, einen Paketfilter entsprechend einzurichten, so dass ein Zugriff von außen nur auf die entsprechenden Services möglich ist, und zwar i.d.R. über SSH zur Wartung (Port 22) und HTTP/HTTPS (Port 80/443).
Monitoring
Sofern wir das Hosting Deines Just Social Systems übernehmen, überwachen wir den Status der verwendeten Services und Ressourcen durch ein Monitoring-System. Bei Überschreiten von Schwellenwerten werden wir automatisch benachrichtigt. Wir überwachen beispielsweise:
- Just Social Status (Heartbeat)
- Heartbeat der einzelnen Just Social Microservices
- Backup Status
- Festplattenbelegung
- CPU-Auslastung
- Speicherbelegung (RAM)
- Auslastung verschiedener Queues und Prozesse
- Überwachung auf Auffälligkeiten und DDOS Angriffe
Sicherheits-Updates
Sofern wir das Hosting Deines Just Social Systems übernehmen, installieren wir täglich die aktuellen Sicherheitsupdates für das Betriebssystem auf dem Serversystem.
Backups
Sofern wir das Hosting Deines Just Social Systems übernehmen, sichern wir die Daten täglich inkrementell und verschlüsselt auf einem separaten Backup-Space. Darüber hinaus legen wir wöchentlich ein vollständiges Backup der Daten verschlüsselt auf einem Backup-Space an.
Verschlüsselte Datenübertragung
Just Social überträgt sämtliche Daten zum Client verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist. Der verwendete Algorithmus hängt vom TLS-Schlüssel ab. In der Regel ist dies AES mit 256 Bit Schlüssellänge. Neben HTTPS verwenden wir SMTP, SSH (für Wartungszugänge) sowie FTP für die Übertragung von verschlüsselten Backups.
Passwort-Verschlüsselung
Die Passwörter der Nutzer werden mittels eines Hash-Algorithmus per bcrypt und einem geheimen Salt gesichert und in der Datenbank gespeichert. Eine Entschlüsselung ist somit nicht möglich.
Passwort-Mindestanforderungen
Unsere Mindestanforderungen für die Passwörter der Nutzer gewährleisten ein hohes Maß an Sicherheit: Sie erfordern mindestens 8 Zeichen, 1 Buchstabe sowie Groß- und Kleinschreibung oder 1 Zahl oder 1 Sonderzeichen.
Pflichtangaben
Folgende Pflichtangaben sind zur Nutzung von Just Social zwingend erforderlich:
- Name (Vorname, Nachname)
- E-Mail-Adresse
Alle weiteren Angaben sind optional.
Authentisierung/Autorisierung
Jede Benutzerinteraktion in JUST unterliegt einer Authentisierung und Autorisierungsprüfung. Im Standardfall erfolgt die Authentisierung über Nutzername und Passwort. Sollte SSO konfiguriert sein, erfolgt diese Prüfung über die Anbindung an Dein eigenes Active Directory bzw. eines Microsoft AD FS / IDP Servers.
Chat Nachrichten
Chat-Nachrichten werden in der Datenbank gespeichert. Der Chat speichert keine Statusänderungen (Online/offline).
Revisionssicherheit (Enterprise Version)
Alle Informationen, die in Just Social von Nutzern gelöscht werden, werden zunächst in Schattentabellen verschoben. Damit sind die Informationen für „normale“ Nutzer in Just Social nicht mehr sichtbar. Für Administratoren ist es auf Datenbankebene möglich, die Informationen aus den Schattentabellen wiederherzustellen.
Die endgültige Löschung der Daten geschieht automatisiert über einen Cronjob. Die zeitliche Frequenz des Cronjobs (z.B. täglich, monatlich, jährlich, alle 5 oder 10 Jahre) kann auf die Anforderungen des jeweiligen Kunden angepasst werden.
Durch dieses zweistufige Löschkonzept ist Just Social sowohl revisionssicher als auch datenschutzkonform.
IP-Adressen und Serverlogs
IP-Adressen und Serverlogs werden nur eine befristete Zeit gespeichert. Die genaue Zeit hängt von der Log-Rotation ab (max 60 Tage). In den Logs werden folgende Informationen gespeichert:
- IP-Adresse des/der Nutzers/Nutzerin
- Betriebssystem und Browsertyp
- Datum und Uhrzeit des Zugriffs
- Zugriffsmethoden, angeforderte Funktionen, übertragene Datenmenge
- Zugriffsstatus des Plattformservers
- ggf. Name der angeforderten Datei
- ggf. URL, von der aus die Daten angefordert wurde
Cookies
Cookies sind kleine Textdateien, die im Browser des Benutzers gespeichert werden und zu unterschiedlichen Zwecken verwendet werden. Nachfolgend werden die Cookies beschrieben die Just Social erzeugt und verwendet.
Just Social erkennt den Nutzer an folgenden Cookies wieder: just-id, rememberMe und trusted-device.
- just-id: Enthält die serverseitig verschlüsselte, interne Id des Nutzers und loggt den Nutzer in Just Social ein. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)). Außerdem wird dieser Cookie bei der Abmeldung von Just Social gelöscht.
- trusted-device: Enthält die serverseitig signierte, interne Id des Nutzers im Klartext. Der Cookie wird nach einer erfolgreichen Anmeldung gespeichert. Dies ermöglicht dem entsprechenden Gerät auch dann Anmeldeversuche durchzuführen, wenn der Account des Nutzers durch zu viele fehlgeschlagene vorausgegangene Anmeldungsversuche temporär gesperrt ist. Es handelt sich um einen langlebigen Cookie (wird nach einem Monat gelöscht). Dieser Cookie wird bei der Abmeldung von Just Social nicht gelöscht.
- rememberMe: Enthält die serverseitig signierte, Emailadresse des Nutzers im Klartext. Diese Cookie wird erzeugt wenn die Option „Angemeldet bleiben“ bei der Anmeldung bei Just Social ausgewählt wird. Es handelt sich um einen langlebigen Cookie (wird nach einem Jahr gelöscht). Außerdem wird dieser Cookie bei der Abmeldung von Just Social gelöscht.
Neben den oben genannten personenbezogenen Cookies werden noch weitere technische Cookies erzeugt:
- jc_locale: Speichert die Spracheinstellung des Nutzers. Es handelt sich um einen langlebigen Cookie (wird nach einem Jahr gelöscht).
- loadproxy: Bei Cluster-Systemen wird dieser gesetzt, damit der Nutzer immer auf demselben App-Server landet. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)).
- XSRF-TOKEN: Hier wird eine zufälliger Wert gespeichert, der sogenannte Cross-Site-Request-Forgery Angriffe verhindert. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)).
- Optional: Durch die Einbindung von Trackingtools wie z.B. Piwik/Matomo oder Google Analytics können weitere Cookies angelegt werden. Die Einbindung solcher Tools unterliegt der Entscheidung des jeweiligen Plattformbetreibers.
(*) Wird beim erneuten Öffnen des Browsers die "Letzte Sitzung wiederherstellen"-Funktion des Browsers verwendet, so werden auch die Session Cookies wiederhergestellt.
Cross-Site Scripting
Cross-Site Scripting wird durch den Einsatz unseres GWT Frameworks sowie im WYSIWYG-Editor über Antisamy verhindert.
SQL-Injection
Das Einfügen von SQL-Abfragen wird durch unseren Einsatz von Prepared Statements mittels mybatis verhindert, das für die Datenbankzugriffe verwendet wird.
Mobile
Verschlüsselte Datenübertragung
Just Social überträgt sämtliche Daten von allen Endgeräten der Nutzer bis zu Deinem Serversystem verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist.
Zentrale Datenspeicherung
Just Social speichert grundsätzlich alle Daten zentral auf Deinem Serversystem – so befindet sich das gesamte Wissen an einem einzigen, sicheren Ort. Dies gilt auch für Daten, die über unsere mobilen Apps gesendet oder empfangen wurden.
Minimale Datenablage
Im Gegensatz zu privaten Chat-Tools wie z.B. WhatsApp oder Threema speichert Just Social alle Daten grundsätzlich zentral auf einem Serversystem Deiner Wahl (siehe oben). Auf den Endgeräten der Nutzer werden Daten nur temporär und in dem Umfang gespeichert, wie es für das Funktionieren der Apps notwendig ist.
Jedwede Speicherung von Daten erfolgt dabei ggf. ausschließlich im geschützten App-Bereich, so dass Bilder und Dateien nicht in den zentralen Bildergalerien und Dateiablagen der Mobiltelefone angezeigt werden.
MDM und EMM Lösungen
Just Social ist kompatibel mit allen gängigen Mobile Device Management (MDM) bzw. Enterprise Mobility Management (EMM) Lösungen (z.B. MobileIron, Airwatch). Diese erlauben Dir z.B. die Verteilung und Verwaltung der Just Social Apps auf den Smartphones der Nutzer oder die Verbindung mit dem Just Social Serversystem über VPN.
Ferngesteuerter Log-out
Falls Du Dein Mobiltelefon verlieren solltest, kannst Du Dich ferngesteuert über Deinen Desktop PC auf Deinem mobilen Endgerät ausloggen, um unerwünschten Zugriff auf Deine Just Social Apps zu verhindern.
Fingerprint- bzw. Code-Eingabe (Enterprise Version)
Die Just Social Apps können optional die Benutzung auf Geräten verweigern, auf denen keine Gerätesperre durch Fingerabdruck oder Code eingerichtet ist. In diesem Fall sind nicht nur die Just Social Apps, sondern das gesamte Gerät vor unerwünschten Zugriffen geschützt. Darüber hinaus werden die Daten dann im geschützten App-Bereich durch die mobilen Betriebssysteme sicher verschlüsselt – dies ist nur im Falle einer Gerätesperre der Fall.
Schutz vor gehackten Smartphones (Enterprise Version, in Entwicklung)
Die Just Social Apps können optional die Benutzung auf Geräten verweigern, die mit einem Jailbreak versehen (iOS) oder gerootet (Android) sind. Damit kann gewährleistet werden, dass Nutzer keine schädliche Software installieren können, die auf geschützte Daten der Just Social Apps zugreifen kann.