Maximale Datensicherheit

desk.ly ist von unabhängiger Stelle nach der ISO 27001 Norm zertifiziert. Dieser international anerkannte Standard definiert die Wirksamkeit von Informationssicherheits-Managementsystemen, kurz ISMS, in Organisationen.

Durch die Zertifizierung geben wir dir die Gewissheit, dass deine Daten bei desk.ly in guten Händen sind. Sie erleichtert außerdem die Compliance mit eigenen Sicherheitsvorgaben deines Unternehmens. 

Erfahre mehr über unsere ISO 27001 Zertifizierung.

desk.ly setzt beim Hosting der Software auf die Dienste der Amazon Web Services (AWS) in Frankfurt (https://aws.amazon.com/de/compliance/gdpr-center/). Die genutzten Rechenzentren sind ISO/IEC 27001 zertifiziert und erfüllen somit unsere hohen Anforderungen an die physische Sicherheit der Daten unserer Kund:innen.

Alle Kundendaten werden auf AWS-Diensten gespeichert, die einer strengen Stilllegungsrichtlinie folgen, die in ihrem Sicherheits-Whitepaper beschrieben wird:
"AWS uses the techniques detailed in DoD 5220.22-M (“National Industrial Security Program Operating Manual “) or NIST 800-88 (“Guidelines for Media Sanitization”) to destroy data as part of the decommissioning process."
Bei kundenspezifischen Daten werden wir auf Anfrage alle identifizierbaren Buchungsdaten, die mit dem Konto verbunden sind, manuell aus unserer Datenbank entfernen. Abgeleitete anonymisierte Daten (z. B. "Gesamtzahl der in diesem Monat auf der Plattform gebuchten Veranstaltungen") werden nicht entfernt, da sie nicht mit den Quelldaten verknüpft werden können. Benutzerkonten deines Unternehmens können auf Anfrage ebenfalls entfernt werden. Wir bewahren Backups 30 Tage lang auf, danach sind die Daten nicht mehr verfügbar.

Bei desk.ly habt ihr die Möglichkeit, Buchungen anonym zu tätigen. Dort gibt es zwei verschiedene Möglichkeiten.

Zum Einen kann der Admin einstellen, dass jede/r für sich selbst individuell entscheiden kann, ob anonym gebucht wird. Zum Anderen kann vom Admin eingestellt werden, dass alle Mitarbeitenden komplett anonym buchen.

Bei der Beratung in Datenschutzfragen sowie Unterstützung als betrieblicher Datenschutzbeauftragter setzen wir auf die Dienste von der PROLIANCE GmbH. 

PROLIANCE GmbH
www.datenschutzexperte.de
Leopoldstr. 21
80802 München

Sofern du Fragen zum Thema Datenschutz bei desk.ly hast, wende dich bitte an datenschutz@desk.ly.

Wir führen automatische Zugangs- und Sicherheitsprotokolle an mehreren Standorten. Alle Mitarbeiter sind verpflichtet, eine Zwei-Faktor-Authentifizierung und sichere Passwörter zu verwenden, die sich von denen anderer Dienste unterscheiden. Der Zugriff auf Kundendaten ist begrenzt und wird nur einer kleinen Gruppe von Mitarbeitern gestattet, die für Support und Wartung benötigt werden. Der Zugang ist außerdem auf eine kleine Whitelist von IP-Adressen über VPN beschränkt und erfordert eine Authentifizierung mit öffentlichem Schlüssel.

Der Zugriff einzelner Mitarbeiter erfolgt nach dem „need to know“ Prinzip, und die Zugriffsrechte werden vierteljährlich überprüft.

Kundendaten werden während der Übertragung und „at rest“ verschlüsselt. Alle Verbindungen mit desk.ly Diensten sind verschlüsselt und werden über SSL/TLS 1.2+ bereitgestellt. Du kannst nicht auf den Dienst zugreifen, ohne HTTPS zu verwenden. Alle Zertifikate werden auf beiden Seiten von Drittanbietern überprüft. Die Daten werden auf jedem Schritt des Weges verschlüsselt:

• Anwendungen → Amazon Web Services
• REST-Anfrage → desk.ly-Anwendungsschicht
• desk.ly-Anwendungsschicht → SQL-Session
• API-Antwort → Anwendungen

Im Ruhezustand werden die Kundendaten mit einem Schlüsselverwaltungssystem verschlüsselt, das jeden Zugriff automatisch protokolliert. Darüber hinaus werden die Passwörter mit einer Einwegverschlüsselung sowohl gehasht als auch “salted”, wodurch sie auch im unwahrscheinlichen Fall eines unbefugten Datenbankzugriffs geschützt sind. Die Anmeldedaten der Anwendung werden getrennt von der Codebasis gespeichert. Clients authentifizieren sich bei desk.ly über ein Token-System.

Jedes Token hat einen bestimmten Zugriffsbereich, der individuell widerrufen werden kann, ohne dass dies Auswirkungen auf andere Benutzer der Plattform hat. Außerdem können wir im Falle eines Sicherheitsvorfalls Token für die gesamte Plattform sofort ungültig machen.