Allgemeines

DSGVO-konform

Wir legen auf Datensicherheit und Datenschutz sehr großen Wert und arbeiten DSGVO-konform, weshalb hunderte namhafte Kunden auf Just Social vertrauen. Dazu gehören Unternehmen und Organisationen jedweder Branche und Art:

  • Agenturen
  • Banken
  • Dienstleistungsunternehmen
  • Hochschulen
  • Industrieunternehmen
  • Industrie- und Handelskammern (IHKs)
  • Kirchen
  • Krankenkassen
  • Schulen
  • Städte, Gemeinden und Landkreise
  • Stiftungen
  • Vereine
  • ...

Auftragsverarbeitungsvertrag (AVV)

Selbstverständlich kannst Du mit uns eine Vereinbarung zur Auftragsverarbeitung (AV bzw. AVV) auf Basis der ab dem 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung gem. Art. 28 DSGVO nach neuestem Stand abzuschließen.

Du kannst dies ganz einfach elektronisch tun: Das erspart allen Beteiligten Aufwand und ermöglicht dennoch eine rechtlich sichere Datenschutzbasis für unsere zukünftige Zusammenarbeit.

Auftragsverarbeitungsvertrag

Audits und Testat

Wir lassen unsere Systeme und Prozesse regelmäßig von der Unternehmensberatung audatis in Hinblick auf Datensicherheit und Datenschutz überprüfen und optimieren. Das aktuelle Testat kannst Du hier herunterladen:

Datenschutz-Testat anzeigen

Audatis Bericht zum Testat

audatis ist auf die Bereiche Datenschutz und Informationssicherheit spezialisiert und berät renommierte Kunden aus verschiedenen Branchen. Unser Datenschutzbeauftragter Carsten Knoop ist Gründer und Geschäftsführer von audatis und war zuvor Chief Information Security Officer (CISO) bei der Bertelsmann AG. Er verfügt über jahrelange Erfahrung und exzellente Fachkenntnisse auf dem Gebiet.

Mehr Informationen über audatis

Penetration-Tests

Just Social wurde in der Vergangenheit von kundenbeauftragten, externen Pentestern überprüft. Mittlerweile verfügen wir über entsprechende Expertise bei uns im Team und beschäftigen einen professionellen internen Pentester. Dies hat folgende Vorteile:

  • Just Social wird kontinuierlich Pentests unterzogen (statt nur punktuell)
  • Wir können Features etc. bereits in der Entwicklung entsprechend überprüfen und ggf. verbessern
  • Durch das interne Pentesting sind nicht nur Black Box Tests, sondern jedwede Methoden problemlos möglich

Da unser Pentester kein Mitglied unserer Entwicklungsteams ist und in seiner Nebentätigkeit auch für andere Kunden arbeitet, ist seine Unabhängigkeit dennoch gewahrt.

ISO 27001 Zertifiziertes Rechenzentrum

Sofern wir das Hosting von Just Social übernehmen, hosten wir Dein Serversystem in einem hochprofessionellen und ISO 27001-zertifizierten Rechenzentrum in Deutschland, das höchste Sicherheitsstandards erfüllt:

  • Hosting nach deutschem Datenschutzrecht
  • DSGVO-konform
  • Standort der Server: Nürnberg
  • Zertifiziert nach DIN ISO/IEC 27001
  • 24/7 Videoüberwachung
  • Redundante Stromversorgung, Netzanbindung und Klimatisierung
  • 99,6% Mindestverfügbarkeit
  • DDoS Schutz
  • Umweltschutz: 100% Strom aus regenerativen Quellen
  • Vielfache Auszeichnungen

ISO Zertifikat sowie weitere Informationen zu unserem Rechenzentrum

Technisches

On Premise oder private Cloud (Enterprise Version)

Mit der Enterprise Version von Just Social bekommst Du ein eigenes „Stück Software“, über das Du vollständige Kontrolle hast: Du kannst es entweder in einem Rechenzentrum Deiner Wahl selber hosten (self-hosted), oder uns das komplette Hosting in unserem ISO-zertifizierten Rechenzentrum überlassen (private Cloud). In jedem Fall befinden sich Deine Daten an einem sicheren Ort Deiner Wahl. In unseren Standardprozessen zur Installation der private Cloud ist vorgesehen, einen Paketfilter entsprechend einzurichten, so dass ein Zugriff von außen nur auf die entsprechenden Services möglich ist, und zwar i.d.R. über SSH zur Wartung (Port 22) und HTTP/HTTPS (Port 80/443). Zusätzlich haben wir einen DDOS Schutz aktiv.

Monitoring

Sofern wir das Hosting Deines Just Social Systems übernehmen, überwachen wir den Status der verwendeten Services und Ressourcen durch ein Monitoring-System. Bei Überschreiten von Schwellenwerten werden wir automatisch benachrichtigt. Wir überwachen beispielsweise:

  • Just Social Status (Heartbeat)
  • Heartbeat der einzelnen Just Social Microservices
  • Backup Status
  • Festplattenbelegung
  • CPU-Auslastung
  • Speicherbelegung (RAM)
  • Auslastung verschiedener Queues und Prozesse
  • Überwachung auf Auffälligkeiten und DDOS Angriffe
  • Sicherheits-Updates

Sicherheits-Updates

Sofern wir das Hosting Deines Just Social Systems übernehmen, installieren wir täglich die aktuellen Sicherheitsupdates für das Betriebssystem auf dem Serversystem.

Backups

Sofern wir das Hosting Deines Just Social Systems übernehmen, sichern wir die Daten täglich und komplett verschlüsselt auf einem separaten Backup Server.

Verschlüsselte Datenübertragung

Just Social überträgt sämtliche Daten zum Client verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist. Der verwendete Algorithmus hängt vom TLS-Schlüssel ab. In der Regel ist dies AES mit 256 Bit Schlüssellänge. Neben HTTPS verwenden wir SSH für Wartungszugänge.

Passwort-Verschlüsselung

Die Passwörter der Nutzer werden mittels eines Hash-Algorithmus per bcrypt und einem geheimen Salt gesichert und in der Datenbank gespeichert. Eine Entschlüsselung ist somit nicht möglich.

Passwort-Mindestanforderungen

Unsere Mindestanforderungen für die Passwörter der Nutzer gewährleisten ein hohes Maß an Sicherheit: Sie erfordern mindestens 8 Zeichen, 1 Buchstabe sowie Groß- und Kleinschreibung oder 1 Zahl oder 1 Sonderzeichen.

Pflichtangaben

Folgende Pflichtangaben sind zur Nutzung von Just Social zwingend erforderlich:

  • Name (Vorname, Nachname)
  • E-Mail-Adresse

Alle weiteren Angaben sind optional.

Authentisierung/Autorisierung

Jede Benutzerinteraktion in JUST unterliegt einer Authentisierung und Autorisierungsprüfung. Im Standardfall erfolgt die Authentisierung über Nutzername und Passwort. Sollte SSO konfiguriert sein, erfolgt diese Prüfung über die Anbindung an Dein eigenes Active Directory bzw. eines Microsoft AD FS / IDP Servers.

Chat Nachrichten

Chat-Nachrichten werden in der Datenbank gespeichert. Der Chat speichert keine Statusänderungen (Online/offline).

Revisionssicherheit (Enterprise Version)

Alle Informationen, die in Just Social von Nutzern gelöscht werden, werden zunächst nur als gelöscht markiert und nicht mehr angezeigt. Damit sind die Informationen für „normale“ Nutzer in Just Social nicht mehr sichtbar. Für Administratoren ist es auf Datenbankebene möglich, die Informationen aus den wiederherzustellen.

Die endgültige Löschung der Daten geschieht automatisiert über einen Cronjob. Die zeitliche Frequenz des Cronjobs (z.B. täglich, monatlich, jährlich, alle 5 oder 10 Jahre) kann auf die Anforderungen des jeweiligen Kunden angepasst werden.

Durch dieses zweistufige Löschkonzept ist Just Social sowohl revisionssicher als auch datenschutzkonform.

IP-Adressen und Serverlogs

IP-Adressen und Serverlogs werden nur eine befristete Zeit gespeichert. Die genaue Zeit hängt von der Log-Rotation ab (max 60 Tage). In den Logs werden folgende Informationen gespeichert:

  • IP-Adresse des/der Nutzers/Nutzerin
  • Betriebssystem und Browsertyp
  • Datum und Uhrzeit des Zugriffs
  • Zugriffsmethoden, angeforderte Funktionen, übertragene Datenmenge
  • Zugriffsstatus des Plattformservers
  • ggf. Name der angeforderten Datei
  • ggf. URL, von der aus die Daten angefordert wurde

Cookies

Cookies sind kleine Textdateien, die im Browser des Benutzers gespeichert werden und zu unterschiedlichen Zwecken verwendet werden. Nachfolgend werden die Cookies beschrieben die Just Social erzeugt und verwendet.

Just Social erkennt den Nutzer an folgenden Cookies wieder: just-id, rememberMe und trusted-device.

  • just-id: Enthält die serverseitig verschlüsselte, interne Id des Nutzers und loggt den Nutzer in Just Social ein. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)). Außerdem wird dieser Cookie bei der Abmeldung von Just Social gelöscht.
  • trusted-device: Enthält die serverseitig signierte, interne Id des Nutzers im Klartext. Der Cookie wird nach einer erfolgreichen Anmeldung gespeichert. Dies ermöglicht dem entsprechenden Gerät auch dann Anmeldeversuche durchzuführen, wenn der Account des Nutzers durch zu viele fehlgeschlagene vorausgegangene Anmeldungsversuche temporär gesperrt ist. Es handelt sich um einen langlebigen Cookie (wird nach einem Monat gelöscht). Dieser Cookie wird bei der Abmeldung von Just Social nicht gelöscht.
  • rememberMe: Enthält die serverseitig signierte, Emailadresse des Nutzers im Klartext. Diese Cookie wird erzeugt wenn die Option „Angemeldet bleiben“ bei der Anmeldung bei Just Social ausgewählt wird. Es handelt sich um einen langlebigen Cookie (wird nach einem Jahr gelöscht). Außerdem wird dieser Cookie bei der Abmeldung von Just Social gelöscht.

Neben den oben genannten personenbezogenen Cookies werden noch weitere technische Cookies erzeugt:

  • jc_locale: Speichert die Spracheinstellung des Nutzers. Es handelt sich um einen langlebigen Cookie (wird nach einem Jahr gelöscht).
  • loadproxy: Bei Cluster-Systemen wird dieser gesetzt, damit der Nutzer immer auf demselben App-Server landet. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)).
  • XSRF-TOKEN: Hier wird eine zufälliger Wert gespeichert, der sogenannte Cross-Site-Request-Forgery Angriffe verhindert. Es handelt sich um einen Session Cookie (wird z.B. beim Schließen des Browsers gelöscht (*)).
  • Optional: Durch die Einbindung von Trackingtools wie z.B. Piwik/Matomo oder Google Analytics können weitere Cookies angelegt werden. Die Einbindung solcher Tools unterliegt der Entscheidung des jeweiligen Plattformbetreibers.

 

(*) Wird beim erneuten Öffnen des Browsers die "Letzte Sitzung wiederherstellen"-Funktion des Browsers verwendet, so werden auch die Session Cookies wiederhergestellt.

Cross-Site Scripting

Cross-Site Scripting wird durch den Einsatz unseres GWT Frameworks sowie im WYSIWYG-Editor über Antisamy verhindert.

SQL-Injection

Das Einfügen von SQL-Abfragen wird durch unseren Einsatz von Prepared Statements mittels mybatis verhindert, das für die Datenbankzugriffe verwendet wird.

Mobile

Verschlüsselte Datenübertragung

Just Social überträgt sämtliche Daten von allen Endgeräten der Nutzer bis zu Deinem Serversystem verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist.

Zentrale Datenspeicherung

Just Social speichert grundsätzlich alle Daten zentral auf Deinem Serversystem – so befindet sich das gesamte Wissen an einem einzigen, sicheren Ort. Dies gilt auch für Daten, die über unsere mobilen Apps gesendet oder empfangen wurden.

Minimale Datenablage

Im Gegensatz zu privaten Chat-Tools wie z.B. WhatsApp oder Threema speichert Just Social alle Daten grundsätzlich zentral auf einem Serversystem Deiner Wahl (siehe oben). Auf den Endgeräten der Nutzer werden Daten nur temporär und in dem Umfang gespeichert, wie es für das Funktionieren der Apps notwendig ist.

Jedwede Speicherung von Daten erfolgt dabei ggf. ausschließlich im geschützten App-Bereich, so dass Bilder und Dateien nicht in den zentralen Bildergalerien und Dateiablagen der Mobiltelefone angezeigt werden.

MDM und EMM Lösungen

Just Social ist kompatibel mit allen gängigen Mobile Device Management (MDM) bzw. Enterprise Mobility Management (EMM) Lösungen (z.B. MobileIron, Airwatch). Diese erlauben Dir z.B. die Verteilung und Verwaltung der Just Social Apps auf den Smartphones der Nutzer oder die Verbindung mit dem Just Social Serversystem über VPN.

Ferngesteuerter Log-out

Falls Du Dein Mobiltelefon verlieren solltest, kannst Du Dich ferngesteuert über Deinen Desktop PC auf Deinem mobilen Endgerät ausloggen, um unerwünschten Zugriff auf Deine Just Social Apps zu verhindern.

Fingerprint- bzw. Code-Eingabe (Enterprise Version)

Die Just Social Apps können optional die Benutzung auf Geräten verweigern, auf denen keine Gerätesperre durch Fingerabdruck oder Code eingerichtet ist. In diesem Fall sind nicht nur die Just Social Apps, sondern das gesamte Gerät vor unerwünschten Zugriffen geschützt. Darüber hinaus werden die Daten dann im geschützten App-Bereich durch die mobilen Betriebssysteme sicher verschlüsselt – dies ist nur im Falle einer Gerätesperre der Fall.

Berechtigungskonzept

Zweistufiges Berechtigungskonzept

Just Social verfügt über ein zweistufiges Berechtigungskonzept:

  1. die zentrale Administration der Plattform (z.B. zur Verwaltung von Nutzern oder Vorgabe von Strukturen),
  2. als auch Nutzern das schnelle und dezentrale Anlegen und Administrieren von Inhalten wie z.B. Newsartikel oder Chatgruppen erlaubt.

Zentrale Administration der Plattform

Super-Administratoren können das gesamte Just Social System administrieren und haben u.a. Zugriff auf alle Inhalte und Container (mit Ausnahme von Chats). Sie haben globale Rechte für alle Funktionen, z.B. können sie:

  • Alle Inhalte sehen, erstellen, bearbeiten oder löschen (bis auf Chats, denen sie nicht angehören)

  • Nutzer einladen, sperren, deaktivieren, löschen

  • Nutzerprofile und Passwörter ändern

  • Design wie z.B. Farben und Logo ändern

  • Systemfunktionen nutzen wie z.B. Suche neu indizieren

  • ...

Dezentrale Administration von Inhalten

Um die unterschiedlichen Anforderungen zu erfüllen und gleichzeitig eine einfache Bedienbarkeit zu gewährleisten, besteht Just Social aus mehreren Apps, die jeweils auf einen Anwendungsfall spezialisiert sind. In jeder unserer Apps kann jeweils ein zentrales Element („Container“) erstellt werden, für das der jeweilige Ersteller des Containers Berechtigungen zum Lesen, Schreiben und Verwalten vergeben kann:

  • News App: Newskanäle

  • Wiki App: Wikis

  • Drive App: Laufwerke

  • Connect App: Chats

  • People App: Gruppen

App-Schreiber haben innerhalb einer App die Berechtigung, neue Container wie z.B. neue Laufwerke, Newskanäle oder Wikis zu erstellen.

Container-Admins haben Lese-, Schreib- und Verwalten-Rechte innerhalb eines Containers (z.B. Laufwerk, Wiki, Newskanal), so dass sie z.B. innerhalb eines Laufwerks:

  • Dateien ansehen und herunterladen können.

  • Dateien verändern (z.B. löschen oder hochladen) können.

  • die Berechtigungen des Laufwerks verändern (z.B. Nutzer hinzufügen oder löschen) können.

Container-Schreiber haben Lese- und Schreib-Rechte innerhalb eines Inhalts-Containers (z.B. Laufwerk, Wiki, Newskanal), so dass sie z.B. innerhalb eines Laufwerks:

  • Dateien ansehen und herunterladen können.

  • Dateien verändern (z.B. löschen oder hochladen) können.

Container-Leser haben Lese-Rechte innerhalb eines Inhalts-Containers (z.B. Laufwerk, Wiki, Newskanal), so dass sie z.B. innerhalb eines Laufwerks:

  • Dateien ansehen und herunterladen können.

Notfall- und Wiederanlaufkonzept

Im Notfall informiert das Monitoring-Tool das Supportteam von Just Software, dass der Server des Kunden nicht erreichbar ist. Das Supportteam bearbeitet den Notfall ggf. in folgenden Schritten:

  • Das Supportteam überprüft und untersucht den Notfall
  • Das Supportteam unterrichtet den Kunden per Ticket-System bzw. E-Mail über die Art des Vorfalls und dessen Ausmaß
  • Das Supportteam stellt das Just Social System des Kunden wieder her und unternimmt dazu die (je nach Art des Vorfalls) notwendigen Schritte (z.B. Austausch von Hardware, Einspielen von Backups).
  • Sofern es notwendig oder sinnvoll ist, geschieht dies unter Absprache mit dem Kunden
  • Sobald das Just Social System des Kunden wiederhergestellt ist, überprüft das Supportteam die Funktionalität des Systems mit Hilfe des Monitoring-Tools (z.B. Heartbeat)
  • Nach erfolgreicher Prüfung informiert das Supportteam den Kunden, dass das Just Social System wieder erreichbar ist
  • Sofern relevant erstellt das Supportteam ein internes Ticket samt Dokumentation und Maßnahmen zur weiteren Umsetzung, um ähnliche Vorfälle in Zukunft von vornherein zu verhindern

Die Konzepte für alle Just-Server und internen Systeme werden regelmäßig geprüft und auditiert.

Für Banken: Auswirkungsanalyse nach MaRisk AT 8.2

Die Norm des AT 8.2 MaRisk besagt, dass vor wesentlichen Änderungen in der IT-Organisation die Auswirkungen der geplanten Änderungen zu prüfen sind:

„Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut die Auswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren.“

Da Just Software das Just Social System für den Kunden als Software-as-a-Service (SaaS) in einer private Cloud betreibt, gibt es jedoch (mit Ausnahme des Nutzerimports) kaum Berührungspunkte mit der IT des Kunden. Daher ist von einer nicht-wesentlichen Veränderung der IT-Organisation des Kunden auszugehen, so dass auf eine Detailanalyse verzichtet werden kann.

IT-Systemarchitektur

 

Systemanforderungen von Just Social

Kostenlos testen

Mein Unternehmen hat Mitarbeiter.