Sicherheit und Datenschutz

 

 

Allgemeines

DSGVO-konform

Wir legen auf Datensicherheit und Datenschutz sehr großen Wert und arbeiten DSGVO-konform, weshalb hunderte namhafte Kunden auf Just Social vertrauen. Dazu gehören Unternehmen und Organisationen jedweder Branche und Art:

  • Agenturen
  • Banken
  • Dienstleistungsunternehmen
  • Hochschulen
  • Industrieunternehmen
  • Industrie- und Handelskammern (IHKs)
  • Kirchen
  • Krankenkassen
  • Schulen
  • Städte, Gemeinden und Landkreise
  • Stiftungen
  • Vereine
  • ...

Auftragsverarbeitungsvertrag (AVV)

Selbstverständlich kannst Du mit uns eine Vereinbarung zur Auftragsverarbeitung (AV bzw. AVV) auf Basis der ab dem 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung gem. Art. 28 DSGVO nach neuestem Stand abzuschließen.

Du kannst dies ganz einfach elektronisch tun: Das erspart allen Beteiligten Aufwand und ermöglicht dennoch eine rechtlich sichere Datenschutzbasis für unsere zukünftige Zusammenarbeit.

Zum Auftragsverarbeitungsvertrag

Audits und Testat

Wir lassen unsere Systeme und Prozesse regelmäßig von der Unternehmensberatung audatis in Hinblick auf Datensicherheit und Datenschutz überprüfen und optimieren. Das aktuelle Testat kannst Du hier herunterladen:

Datenschutz-Testat anzeigen

audatis ist auf die Bereiche Datenschutz und Informationssicherheit spezialisiert und berät renommierte Kunden aus verschiedenen Branchen. Unser Datenschutzbeauftragter Carsten Knoop ist Gründer und Geschäftsführer von audatis und war zuvor Chief Information Security Officer (CISO) bei der Bertelsmann AG. Er verfügt über jahrelange Erfahrung und exzellente Fachkenntnisse auf dem Gebiet.

Mehr Informationen über audatis

Penetration-Tests

Wir lassen unsere Software regelmäßig von externen IT-Security Spezialisten z.B. durch Penetration-Tests überprüfen. Anhand der Ergebnisse verbessern wir gemeinsam mit unseren Sicherheitsexperten kontinuierlich die Sicherheit unserer Software.

ISO 27001 Zertifiziertes Rechenzentrum

Sofern wir das Hosting von Just Social übernehmen, hosten wir Dein Serversystem in einem hochprofessionellen und ISO 27001-zertifizierten Rechenzentrum in Deutschland, das höchste Sicherheitsstandards erfüllt:

  • Hosting nach deutschem Datenschutzrecht
  • DSGVO-konform
  • Standort der Server: Nürnberg
  • Zertifiziert nach DIN ISO/IEC 27001
  • 24/7 Videoüberwachung
  • Redundante Stromversorgung, Netzanbindung und Klimatisierung
  • 99,6% Mindestverfügbarkeit
  • DDoS Schutz
  • Umweltschutz: 100% Strom aus regenerativen Quellen
  • Vielfache Auszeichnungen

ISO Zertifikat sowie weitere Informationen zu unserem Rechenzentrum

 

 

Technisches

On Premise oder private Cloud (Enterprise Version)

Mit der Enterprise Version von Just Social bekommst Du ein eigenes „Stück Software“, über das Du vollständige Kontrolle hast: Du kannst es entweder in einem Rechenzentrum Deiner Wahl selber hosten (self-hosted), von uns dort hosten lassen (Fernwartung) oder uns das komplette Hosting in unserem ISO-zertifizierten Rechenzentrum überlassen (private Cloud). In jedem Fall befinden sich Deine Daten an einem sicheren Ort Deiner Wahl.

Betrieb hinter Firewall (Enterprise Version)

Die Enterprise Version von Just Social kannst Du selbstverständlich auch geschützt durch eine Firewall in Deinem internen IT-Netzwerk betreiben. In diesem Fall ist ein Zugriff auf das Just Social System – analog zu Deinen anderen IT Systemen „hinter der Firewall“ – nur innerhalb Deines internen IT-Netzwerkes oder per VPN Tunnel möglich.

In unseren Standardprozessen zur Installation ist vorgesehen, einen Paketfilter entsprechend einzurichten, so dass ein Zugriff von außen nur auf die entsprechenden Services möglich ist, und zwar i.d.R. über SSH zur Wartung (Port 22) und HTTP/HTTPS (Port 80/443).

Monitoring

Sofern wir das Hosting Deines Just Social Systems übernehmen, überwachen wir den Status der verwendeten Services und Ressourcen durch ein Monitoring-System. Bei Überschreiten von Schwellenwerten werden wir automatisch benachrichtigt. Wir überwachen beispielsweise:

  • Just Social Status (Heartbeat)
  • Heartbeat der einzelnen Just Social Microservices
  • Backup Status
  • Festplattenbelegung
  • CPU-Auslastung
  • Speicherbelegung (RAM)
  • Auslastung verschiedener Queues und Prozesse
  • Überwachung auf Auffälligkeiten und DDOS Angriffe

Sicherheits-Updates

Sofern wir das Hosting Deines Just Social Systems übernehmen, installieren wir täglich die aktuellen Sicherheitsupdates für das Betriebssystem auf dem Serversystem.

Backups

Sofern wir das Hosting Deines Just Social Systems übernehmen, sichern wir die Daten täglich inkrementell und verschlüsselt auf einem separaten Backup-Space. Darüber hinaus legen wir wöchentlich ein vollständiges Backup der Daten verschlüsselt auf einem Backup-Space an.

Verschlüsselte Datenübertragung

Just Social überträgt sämtliche Daten zum Client verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist. Der verwendete Algorithmus hängt vom TLS-Schlüssel ab. In der Regel ist dies AES mit 256 Bit Schlüssellänge. Neben HTTPS verwenden wir SMTP, SSH (für Wartungszugänge) sowie FTP für die Übertragung von verschlüsselten Backups.

Passwort-Verschlüsselung

Die Passwörter der Nutzer werden mittels eines Hash-Algorithmus per bcrypt und einem geheimen Salt gesichert und in der Datenbank gespeichert. Eine Entschlüsselung ist somit nicht möglich.

Passwort-Mindestanforderungen

Unsere Mindestanforderungen für die Passwörter der Nutzer gewährleisten ein hohes Maß an Sicherheit: Sie erfordern mindestens 8 Zeichen, 1 Buchstabe sowie Groß- und Kleinschreibung oder 1 Zahl oder 1 Sonderzeichen.

Pflichtangaben

Folgende Pflichtangaben sind zur Nutzung von Just Social zwingend erforderlich:

  • Name (Vorname, Nachname)
  • E-Mail-Adresse

Alle weiteren Angaben sind optional.

Authentisierung/Autorisierung

Jede Benutzerinteraktion in JUST unterliegt einer Authentisierung und Autorisierungsprüfung. Im Standardfall erfolgt die Authentisierung über Nutzername und Passwort. Sollte SSO konfiguriert sein, erfolgt diese Prüfung über die Anbindung an Dein eigenes Active Directory bzw. eines Microsoft AD FS / IDP Servers.

Chat Nachrichten

Chat-Nachrichten werden in der Datenbank gespeichert. Der Chat speichert keine Statusänderungen (Online/offline).

Revisionssicherheit (Enterprise Version)

Alle Informationen, die in Just Social von Nutzern gelöscht werden, werden zunächst in Schattentabellen verschoben. Damit sind die Informationen für „normale“ Nutzer in Just Social nicht mehr sichtbar. Für Administratoren ist es auf Datenbankebene möglich, die Informationen aus den Schattentabellen wiederherzustellen.

Die endgültige Löschung der Daten geschieht automatisiert über einen Cronjob. Die zeitliche Frequenz des Cronjobs (z.B. täglich, monatlich, jährlich, alle 5 oder 10 Jahre) kann auf die Anforderungen des jeweiligen Kunden angepasst werden.

Durch dieses zweistufige Löschkonzept ist Just Social sowohl revisionssicher als auch datenschutzkonform.

IP-Adressen und Serverlogs

IP-Adressen und Serverlogs werden nur eine befristete Zeit gespeichert. Die genaue Zeit hängt von der Log-Rotation ab (max 60 Tage). In den Logs werden folgende Informationen gespeichert:

  • IP-Adresse des/der Nutzers/Nutzerin
  • Betriebssystem und Browsertyp
  • Datum und Uhrzeit des Zugriffs
  • Zugriffsmethoden, angeforderte Funktionen, übertragene Datenmenge
  • Zugriffsstatus des Plattformservers
  • ggf. Name der angeforderten Datei
  • ggf. URL, von der aus die Daten angefordert wurde

Cookies

Cookies sind sitzungsbezogen und werden nach Beendigung der Session wieder gelöscht. Diese Cookies beinhalten keine personenbezogenen Daten. Wenn die Option „Angemeldet bleiben“ ausgewählt wird, wird ein weiteres Cookie erzeugt, das die Anmeldedaten verschlüsselt speichert und bei einem folgenden Abmeldevorgang wieder gelöscht wird.

Wir erkennen den Nutzer an folgenden Cookies wieder: SSO, jwt, JUST_SESSION, LL. Der Inhalt besteht aus Informationen zum Nutzer und einem Ablaufdatum und wird serverseitig verschlüsselt (und wieder entschlüsselt).

  • jsChatTabCount: Ermöglichen das Chatten über mehrere Tabs/Fenster. Session Cookie (wird z.B. beim Schließen des Browsers gelöscht).
  • jc_locale: Speichert die Spracheinstellung des Nutzers. Langlebiger Cookie.
  • ll (Last Login): Hier wird ein Hash gespeichert. Bei erneutem Aufruf der Seite als nicht eingeloggter Benutzer wird dieser Hash mit der Datenbank abgeglichen, die über ein entsprechendes Mapping zur E-Mail-Adresse (oder Benutzername) verfügt. Dadurch wird der Wert der E-Mail-Adresse (Benutzername) in der Anmeldebox entsprechend vorbelegt. Langlebiger Cookie.
  • JUST_SESSION: Loggt den Nutzer in machen Apps von Just Social ein. Session Cookie (wird z.B. beim Schließen des Browsers gelöscht).
  • jwt: Loggt den Nutzer in machen Apps von Just Social ein. Session Cookie (wird z.B. beim Schließen des Browsers gelöscht).
  • loadproxy: Bei Cluster-Systemen wird dieser gesetzt, damit man immer auf demselben App-Server landet. (Gültigkeit 1 Tag)
  • Optional: Durch die Einbindung von Trackingtools wie z.B. Piwik/Matomo oder Google Analytics können weitere Cookies angelegt werden.

Cross-Site Scripting

Cross-Site Scripting wird durch den Einsatz unseres GWT Frameworks sowie im WYSIWYG-Editor über Antisamy verhindert.

SQL-Injection

Das Einfügen von SQL-Abfragen wird durch unseren Einsatz von Prepared Statements mittels mybatis verhindert, das für die Datenbankzugriffe verwendet wird.

 

 

Mobile

Verschlüsselte Datenübertragung

Just Social überträgt sämtliche Daten von allen Endgeräten der Nutzer bis zu Deinem Serversystem verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist.

Zentrale Datenspeicherung

Just Social speichert grundsätzlich alle Daten zentral auf Deinem Serversystem – so befindet sich das gesamte Wissen an einem einzigen, sicheren Ort. Dies gilt auch für Daten, die über unsere mobilen Apps gesendet oder empfangen wurden.

Minimale Datenablage (in Entwicklung)

Im Gegensatz zu privaten Chat-Tools wie z.B. WhatsApp oder Threema speichert Just Social alle Daten grundsätzlich zentral auf einem Serversystem Deiner Wahl (siehe oben). Auf den Endgeräten der Nutzer werden Daten nur temporär und in dem Umfang gespeichert, wie es für das Funktionieren der Apps notwendig ist.

Jedwede Speicherung von Daten erfolgt dabei ggf. ausschließlich im geschützten App-Bereich, so dass Bilder und Dateien nicht in den zentralen Bildergalerien und Dateiablagen der Mobiltelefone angezeigt werden.

MDM und EMM Lösungen

Just Social ist kompatibel mit allen gängigen Mobile Device Management (MDM) bzw. Enterprise Mobility Management (EMM) Lösungen (z.B. MobileIron, Airwatch). Diese erlauben Dir z.B. die Verteilung und Verwaltung der Just Social Apps auf den Smartphones der Nutzer oder die Verbindung mit dem Just Social Serversystem über VPN.

Ferngesteuerter Log-out

Falls Du Dein Mobiltelefon verlieren solltest, kannst Du Dich ferngesteuert über Deinen Desktop PC auf Deinem mobilen Endgerät ausloggen, um unerwünschten Zugriff auf Deine Just Social Apps zu verhindern.

Fingerprint- bzw. Code-Eingabe (Enterprise Version, in Entwicklung)

Die Just Social Apps können optional die Benutzung auf Geräten verweigern, auf denen keine Gerätesperre durch Fingerabdruck oder Code eingerichtet ist. In diesem Fall sind nicht nur die Just Social Apps, sondern das gesamte Gerät vor unerwünschten Zugriffen geschützt. Darüber hinaus werden die Daten dann im geschützten App-Bereich durch die mobilen Betriebssysteme sicher verschlüsselt – dies ist nur im Falle einer Gerätesperre der Fall.

Schutz vor gehackten Smartphones (Enterprise Version, in Entwicklung)

Die Just Social Apps können optional die Benutzung auf Geräten verweigern, die mit einem Jailbreak versehen (iOS) oder gerootet (Android) sind. Damit kann gewährleistet werden, dass Nutzer keine schädliche Software installieren können, die auf geschützte Daten der Just Social Apps zugreifen kann.