DSGVO & Sicherheit?

   .

   .

 

Vertrag über die Datenverarbeitung mit Doctena unterzeichnen

Einleitung

Dieses Dokument ist sowohl für zukünftige und bestehende Kunden (Praktiker) als auch für Gateway-Partners gedacht. Es beschreibt, wo, warum und wie Doctena S.A. und ihre Tochtergesellschaften Sicherheit und Compliance für die von ihnen angebotenen Dienstleistungen umsetzen.

Das Dokument beginnt mit dem Compliance-Teil, indem es beschreibt, welche unterschiedlichen Rollen und Verantwortlichkeiten Patienten, Behandler, Gateway-Partner und Doctena im Rahmen von GDPR übernehmen. Dieser Teil beschreibt auch einige wichtige Elemente, wie wir Compliance mit Hilfe von Datenverarbeitungsvereinbarungen durchsetzen.

Der zweite Teil des Dokuments konzentriert sich darauf, wie Doctena die Sicherheit sowohl technisch als auch auf Unternehmensebene umsetzt, um den Schutz Ihrer Daten gemäß den Industriestandards zu gewährleisten.

Compliance

DSGVO

Die Allgemeine Datenschutzverordnung (DSGVO) ist die europäische Verordnung zum Schutz personenbezogener Daten, die für alle in der EU tätigen Unternehmen (einschließlich Arztpraxen) gilt, aber auch für alle Nicht-EU-Unternehmen, die Daten von Personen in der EU verarbeiten. Die Definition der personenbezogenen Daten im Rahmen von GDPR wurde zu “allen Informationen, die es ermöglichen, eine Person zu identifizieren”, zusammengefasst. Ziel von GDPR ist es, die Datenschutzgesetze in allen Mitgliedsstaaten der EU zu harmonisieren, um die Integrität des Einzelnen zu stärken. Das Gesetz ist seit dem 25. Mai 2018 in Kraft.

GDPR gilt sowohl für die für die Datenverarbeitung Verantwortlichen als auch für die Datenverarbeiter. Der für die Datenverarbeitung Verantwortliche ist die Partei, die den Zweck und die Art und Weise bestimmt, in der die erfassten personenbezogenen Daten verarbeitet werden. Während der Datenverarbeiter ein Drittunternehmen ist, das personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Doctena ist dabei sehr klar und transparent: Der Behandler ist Controller und Eigentümer seiner Patienten-/Termindaten.

Rollen und Verantwortlichkeiten?

Doctena ist sowohl Datenverantwortlicher als auch Datenverarbeiter.

  1. Als Cloud-Kalenderunternehmen, das Praktikern einen Service bietet, fungiert Doctena hauptsächlich als Datenverarbeiter. Wir verarbeiten Daten im Auftrag des Praktikers, der definiert, was mit diesen Daten geschieht (Änderung, Entfernung, Übertragung, GDPR-Rechte…) und der Praktiker bleibt Eigentümer der Daten. Zu diesen Daten gehören das Patientenprofil, die Termindaten und die mit den Terminen verknüpften optionalen Arzt-/Patientennotizen. Dies gilt auch, wenn der Praktiker eine Synchronisation mit unseren Diensten über einen Gateway-Provider durchführt.
  2. Für Patienten mit einem Doctena-Konto übernimmt Doctena nur die Rolle des Controllers für die Kontodaten (Präferenzen, Name, Adresse, Telefon, E-Mail, Adresse, Bewertungen, etc.), die nur dazu dienen, die Verwaltung der Termine des Patienten über unsere Online-Services zu erleichtern. Bei jeder Buchung kopieren wir grundsätzlich die Daten aus dem Doctena-Konto in das Arzt-Patientenprofil und den Arzttermin, von wo aus diese Kopie vom Arzt kontrolliert wird. Als Teil des Doctena-Kontos steuern wir auch eine logische Verknüpfung zu den Arztterminen, so dass wir die Ärzte und Termine des Patienten anzeigen können.

Unterschiedliche Informationsflüsse

In der folgenden Abbildung sehen Sie die drei Möglichkeiten, wie persönliche Informationen vom Patienten in unsere Systeme fließen können.

Patient

Der Patient ist die Person, die die Dienstleistungen von Doctena direkt oder indirekt über den Arzt nutzt, um seinen Arzttermin zu finden und zu verwalten. Im Sinne der GDPR ist der Patient immer das Betroffene (Endbesitzer der persönlichen Daten) und hat immer das Recht zu bestimmen, was mit seinen Daten geschieht, es sei denn, es bestehen gesetzliche Verpflichtungen zum Antrag (z.B. Gerichtsbeschluss, strafrechtliche Untersuchung, …)

Praktiker

Der Praktiker ist die natürliche oder juristische Person, die Doctena mit der Bereitstellung einer Online-Agenda und der Erfassung der zugehörigen Patientendaten beauftragt. Der Praktiker ist der endgültige Empfänger der Patientendaten (DOCTOR-PATIENT) und definiert den Zweck der Verarbeitung und Datenerfassung. Es liegt in seiner Verantwortung, bei der Auswahl von Subunternehmern wie Doctena oder einem mit Doctena verbundenen Gateway-Partner für einen sicheren und vorschriftsmäßigen Umgang mit den Patientendaten zu sorgen. Diese Sicherheitsdurchsetzung erfolgt im guten Vertrauen und durch die Verwendung von Datenverarbeitungsvereinbarungen, die von Doctena zur Verfügung gestellt werden und die klar definieren, was Doctena im Namen des Behandlers mit den Daten tun darf und welches Sicherheitsniveau Doctena zum Schutz dieser Daten implementiert.
Im Sinne der GDPR ist der Behandler immer der Verantwortliche (Hauptverantwortlicher) für die Patientendaten und die zugehörigen Termindaten (DOCTOR-PATIENT).

Gateway-Partner

Es gibt viele verschiedene medizinische Software, die von den Praxen/Schränken intern verwendet werden. Gateway-Partner sind juristische Personen (manchmal die gleichen wie der Anbieter der medizinischen Software)
die darauf spezialisiert sind, einige Daten aus der medizinischen Software mit den Doctena-Diensten zu verknüpfen. Bei der Integration mit Doctena sind nur die Daten des Arztes (DOCTOR-PATIENT) betroffen. Dies kann von der medizinischen Software zu Doctena, von Doctena zur medizinischen Software oder in beide Richtungen erfolgen, je nach den Bedürfnissen des Arztes. Doctena stellt auch externe Plugins wie Kalender-Synchronisationen (z.B. Cronofy) zur Verfügung, die Doctena-Agenda’s zum Austausch synchronisieren, gsuite, outlook, … die auch als Gateway-Partner betrachtet werden.

Im Sinne von GDPR sind Gateway-Partner immer Prozessoren (Unterauftragnehmer) des Praktikers. Der Praktiker muss eine Datenverarbeitungsvereinbarung mit dem Gateway-Partner haben, in der die
Der Praktiker legt klar fest, was mit seinen Daten gemacht werden kann und zu welchem Zweck und wie sie gesichert werden. Gateway-Partner werden von Doctena als Subprozessor der
Praktiker, der die Beglaubigungen/Erlaubigungen erhalten hat, um in ihrem Namen zu handeln. Daher ist keine spezielle Datenverarbeitungsvereinbarung zwischen Doctena und dem Gateway-Partner erforderlich, es sei denn, es handelt sich um eine spezielle zusätzliche Verarbeitung personenbezogener Daten, die eine zusätzliche Vereinbarung erfordert.

Doctena

Die Doctena-Gruppe bezieht sich auf Doctena S.A. und ihre Tochtergesellschaften in den verschiedenen Ländern:

  • Doctena SA – 6 Rue Adolphe, L-1116 Luxembourg (Luxembourg)
  • Doctena Austria (formally a3L e-solutions) – Mooslackengasse 17, A-1190 Wien (Austria)
  • Doctena Belgium Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)
  • Doctena Switzerland GmbH – Hagenholzstrasse 83b, 8050 Zürich (Switzerland)
  • Doctena Germany GmbH – Am Treptower Park 28-30, Haus A, 12435 Berlin (Germany)
  • Doctena Netherlands BV – Barbara Strozzilaan 201, 1083 HN Amsterdam (Netherlands)
  • Sanmax Sprl – Square de Meeus 37, B-1000 Bruxels (Belgium)

Datenverarbeitungsvereinbarung 

Doctena hält sich an die in der Verordnung festgelegten Standards und unsere Nutzungsbedingungen und Datenschutzerklärung beschreiben, wie wir die Rechte unserer Nutzer respektieren.

Wir haben eine für alle unsere Kunden gleiche Datenverarbeitungsvereinbarung (DPA) vorbereitet, die Sie als Praktiker (Datenverantwortlicher) mit Doctena (Datenverarbeiter) unterzeichnen können, um festzulegen, wie Doctena Ihre Daten verwenden darf. Als Teil der GDPR sind Praktiker verpflichtet, eine solche Vereinbarung mit allen ihren Subunternehmern zu haben, um die Verordnung einzuhalten, und Sie sollten sie Ihrer eigenen GDPR-Dokumentation beifügen. Die Datenschutzbestimmungen beschreiben die GDPR-Bedingungen, die Rollen und die Verpflichtungen der Datenverarbeitung sowohl für den Auftragsverarbeiter als auch für den für die Verarbeitung Verantwortlichen. Sie enthält die meisten Informationen, die wir in diesem Artikel beschreiben.

Vertrag über die Datenverarbeitung mit Doctena unterzeichnen 

Download Muster-PDF für Datenverarbeitungsvertrag mit Doctena

Wenn Sie eine Gateway-Integration in unser System verwenden, müssen Sie sicherstellen, dass Sie eine Datenverarbeitungsvereinbarung mit diesem Integrator abgeschlossen haben, in der Sie dem Integrator eindeutig den Auftrag erteilen, dass Sie als für die Datenverarbeitung Verantwortlicher dem Integrator erlauben, in Ihrem Namen auf Ihre Doctena-Ressourcen einzuwirken.

Verarbeitungstätigkeiten

Doctena definiert die folgenden Leistungen als Teil der immer zusammenzufassenden Lohnveredelungsaktivitäten:

    (i)   Verwaltung der Patientendaten in Bezug auf seine Arzttermine und Nachsorgeleistungen;
    (ii)  Verwaltung der Agenda/des Kalenders des Arztes;
    (iii) Verwaltung der IT-Infrastruktur, Software, Wartung und administration im Zusammenhang mit den Dienstleistungen des Hauptvertrags.

Die Art der Operationen, die mit den Daten für die Zwecke der Ziffern i), ii) und iii) durchgeführt werden, sind:

  • Erfassung, Speicherung und Änderung der persönlichen Daten des Patienten, die der Arzt für die Organisation des Termins benötigt;
  • Suche des Patientenkontos unter Verwendung seiner gespeicherten persönlichen Daten;
  • Kommunikation mit der betroffenen Person per E-Mail oder (Mobil-)Telefon;
  • Datenimport in Doctena-Dienste unter Verwendung der vom Arzt bereitgestellten strukturierten Daten (z.B. Onboarding);
  • Automatische Datensicherung.

Die Kategorie der betroffenen Person ist: Patienten.

Da es mehrere Arten von Daten gibt, die im Rahmen Ihrer Nutzung in unsere Systeme eingehen können, nehmen wir die gängigsten Datenkategorien, die typischerweise in unserem System verwendet werden, in die Vereinbarung zur Datenverarbeitung auf. Dies bedeutet nicht, dass Sie oder die Patienten verpflichtet sind, alle Arten von Daten zu teilen, sondern dass Doctena berechtigt ist, diese Daten im Namen des Arztes zu verarbeiten, wenn sie in unsere Arzt-/Patientennotizen oder bei der allgemeinen Nutzung unseres Systems eingegeben werden. Dies sind die Kategorien und Arten von Daten, die von unserem Service erfasst werden können

  1. Persönliche Daten zur Identifizierung: Name, Titel, E-Mail-Adresse, Anschrift (privat und beruflich), frühere Anschriften, (Mobil-)Telefonnummer (privat, beruflich), vom Datenverantwortlichen vergebene Kennungen;
  2. Angaben zur Person: Alter, Geschlecht, Geburtsdatum, Geburtsort, Standesamt und Staatsangehörigkeit;
  3. Daten elektronischer Identifikation: IP-Adressen, Cookies, Verbindungsmomente, elektronische Signatur.
  4. Behandlungsbezogene Daten: Angaben zu den für die medizinische und paramedizinische Versorgung der Patienten verwendeten Ressourcen und Verfahren (z.B. Arzt-/Patientennotizen, Besuchsgrund).
  5. Angaben zu anderen Familienmitgliedern oder zum Hausstand: Kinder, unterstützte Personen, andere Haushaltsmitglieder, Informationen über Eltern und Verwandte.
  6. Pseudonymisierung: Kontrollen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten (z.B. Hash-Credentials).
  7. (nur wenn Option aktiviert ist) Identifikationsdaten: von öffentlichen Diensten, z.B. nationale Identifikationsnummer, Sozialversicherungsnummer, Nummer des Personalausweises, Reisepass.

Einwilligung des Patienten

Bei allen Terminen, die Sie über unsere Website oder über Widgets in Ihre eigene Website, vereinbaren, informieren wir den Patienten über die Datenschutzbestimmungen und die Tatsache, dass Doctena medizinische Daten im Auftrag des Behandlers verarbeitet. Unsere Dienste sammeln und speichern diese Einwilligung, um diesen Prozess im Namen des Behandlers zu erleichtern. Der Behandler ist für die Verwaltung dieser Einwilligung verantwortlich, wenn der Termin nicht online gebucht wird und wenn er über einen Gateway-Provider in unsere Systeme eingegeben wird.

Doctena-Subunternehmer

Wenn wir mit externen Partnern oder Subunternehmern zusammenarbeiten, verlangen wir von ihnen, dass sie mindestens die gleichen Sicherheitsstandards anwenden wie wir. Wir wollen keine Schwachstellen in unserer Produktions- und Betriebskette haben, wenn es um Sicherheit geht. Doctena veröffentlicht im Rahmen des Datenverarbeitungsvertrages eine Liste der eigenen Subunternehmer (Cloud, SMS, E-Mail-Dienste…). Diese Subunternehmer wurden nach der Einhaltung der Sicherheits- und Datenschutzbestimmungen ausgewählt. Wir unterhalten eigene Datenverarbeitungsvereinbarungen mit jedem dieser Verarbeiter (Unterauftragnehmer), in denen wir den Zweck der Verarbeitung definieren und in denen wir mindestens das gleiche Sicherheits-/Privatheitsniveau durchsetzen, das den Praktikern in der Hauptvereinbarung zur Datenverarbeitung zugesagt wird. Den Auftragsverarbeitern (Unterauftragnehmern) von Doctena ist es untersagt, Daten in einem Drittland (Länder außerhalb der EU/EEA) zu verarbeiten oder zu übermitteln, es sei denn, sie verfügen über eine gültige Angemessenheitsentscheidung der Europäischen Kommission zum Schutz personenbezogener Daten). Jeder Wechsel des Verarbeiters (Unterauftragnehmers) von Doctena wird allen für die Verarbeitung Verantwortlichen (Praktikern) mitgeteilt, die 14 Tage Zeit haben, um dieser Änderung zu widersprechen, bevor sie umgesetzt wird.

Datenaufbewahrungsrichtlinien

Aufgrund der gesetzlichen medizinischen Datenspeicherungspflichten in den verschiedenen Ländern, in denen Doctena tätig ist, haben wir uns entschieden, dass alle Daten 10 Jahre gespeichert und dann automatisch anonymisiert werden. Die Daten können auch jederzeit vom Arzt über die Online-Agenda anonymisiert werden.

Rechte der betroffenen Personen

Um sowohl Patienten als auch Ärzten die Beantwortung häufig gestellter Fragen zu GDPR zu erleichtern und ihnen die Wahrnehmung ihrer Rechte zu ermöglichen, haben wir ein eigenes Doctena-Datenschutzzentrum eingerichtet. Unser Datenschutzzentrum stellt Ihnen einige Fragen, damit Sie schnell zu den Informationen gelangen, die Sie suchen.

Öffnen Sie das Datenschutzzentrum Doctena

Wenn wir Anfragen zur Ausübung der GDPR-Rechte (Recht auf Berichtigung, Recht auf Löschung, …) erhalten, werden diese Anfragen intern durch den Chief Information Security Officer (CISO) oder einen speziell geschulten Support Officer bearbeitet und validiert. Wenn die Anfrage gültig ist, kann abhängig von der Art der Anfrage zwei Arten von Aktionen stattfinden.

  • Bei DOCTOR-PATIENT-bezogenen Anfragen wird die Anfrage immer an den Controller (Praktiker) weitergeleitet. Nur wenn dieser der Aktion ausdrücklich zustimmt, wird Doctena die Anfrage ausführen.
  • Bei DOCTENA-ACCOUNT-bezogenen Anfragen wird die Anfrage ohne Beteiligung des Behandlers ausgeführt.

Wir versprechen in unserer Datenschutzerklärung, dass solche Anfragen innerhalb eines Monats ausgeführt werden, um beiden Parteien ausreichend Zeit zur Beantwortung zu geben. Alle wichtigen Sicherheitsvorfälle/Anfragen werden von unserem CISO weitergeleitet und persönlich verfolgt, um sicherzustellen, dass sie sofort beantwortet werden.

Meldungen

Doctena benachrichtigt den Verantwortlichen (Praktiker) per E-Mail über jede Datenschutzverletzung spätestens 48 Stunden, nachdem er davon Kenntnis erlangt hat. Die Benachrichtigung wird zusammen mit der notwendigen Unterlagen, die es dem für die Verarbeitung Verantwortlichen (Praktiker) ermöglichen, diesen Verstoß gegebenenfalls der zuständigen Aufsichtsbehörde zu melden.

Datenverarbeitung und Speicherort

Die Server-Infrastruktur von Doctena wird bei Amazon Web Services gehostet und nutzt ausschließlich Rechenzentren in der Frankfurter Region (eu-central-1), um sicherzustellen, dass die Daten die EU nicht verlassen. Amazon Web Services ist vollständig konform mit GDPR, zu dem Sie unter dem untenstehenden Link weitere Informationen erhalten.

https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

Warum ein externer Datenschutzbeauftragter?

Wir hätten einen internen datenschutzbeauftragen wählen können, aber da wir für Patienten, Ärzte und Autoritäten sehr transparent sein wollten, haben wir uns entschieden, diese Rolle einem externen, unparteiischen Unternehmen zu übertragen, das auf Datenschutz und die Entwicklung der Verordnung spezialisiert ist. Diese fungieren als Vermittler zwischen den betroffenen Personen (Patienten) und Doctena, um sicherzustellen, dass die Rechte der Patienten ordnungsgemäß wahrgenommen werden. Bei Nichteinhaltung durch Doctena ist der Datenschutzbeauftragte verpflichtet, dies den entsprechenden Behörden zu melden. Dies zwingt uns dazu, die Anforderungen und deren jährliche Audits zu überwachen. Unsere regelmäßigen Treffen helfen Doctena dabei, die Anforderungen einzuhalten.

DSGVO-Konformitätszertifikat für Österreich

DSGVO-Konformitätsbescheinigung für Belgien

DSGVO-Konformitätszertifikat für Deutschland

DSGVO-Konformitätszertifikat für Luxemburg

DSGVO-Konformitätszertifikat für die Niederlande

DSGVO-Konformitätszertifikat für die Schweiz

Sicherheit

Unser Engagement für Sicherheit

Wir nehmen Sicherheit und Datenschutz bei Doctena sehr ernst. Der Schutz der Daten unserer Kunden und ihrer Patienten ist uns sehr wichtig und wir haben als Unternehmen eine Reihe von Maßnahmen ergriffen, um die Sicherheit dieser Daten zu gewährleisten!

Sicherheit ist für uns nicht nur ein Wort, sondern ein Konzept, das man sich täglich zu eigen machen und umsetzen muss. Deshalb gehen wir die Sicherheit von mehreren Standpunkten aus an.

Feste Mitarbeiter und Verantwortlichkeiten

Doctena verfügt über einen festen Chief Information Security Officer (CISO). Er ist ein Senior-Mitarbeiter mit einem Master-Abschluss in Sicherheit und verfügt über einen professionellen Hintergrund in der Computersicherheit. Seine Aufgabe ist es, dafür zu sorgen, dass die Sicherheit ein täglicher Schwerpunkt bleibt. Dies tut er durch die Implementierung von Prozessen und Technologien sowie durch die Koordination der verschiedenen Teams und Geschäftsbereiche rund um das Thema Sicherheit. Er berichtet direkt an unseren Chief Information Officer (CIO) und auch an unseren Group Chief Executive Officer (CEO), um sicherzustellen, dass der Fokus auf Sicherheit auf der obersten Führungsebene beginnt.

Sicherheit per Design

Immer wenn wir innovieren und an neuen Produkten und Funktionen arbeiten, ist der Punkt “Sicherheit” einer der ersten Schritte auf der Checkliste. Auf diese Weise können wir sicher sein, dass wir unsere Produkte mit Blick auf Sicherheit konzipieren und die technologischen und organisatorischen Entscheidungen treffen, die zu sicheren Implementierungen führen.

Multidimensionale Sicherheitsinfrastruktur

Wir verwenden mehrere bekannte Industriestandardlösungen, um unsere Plattformen permanent zu überprüfen und vor möglichen Sicherheitsproblemen zu schützen:

  • Eine Web Application Firewall, die unsere erste Verteidigungslinie gegen gängige Bedrohungen wie Distributed Denial of Service (DDOS) und bösartige Webanfragen ist. Dazu gehört auch die automatische Blockierung bekannter Bad-Reputation-Quellen (z.B. Dark Web) im Internet.
  • Eine Plattform für automatisierte Penetrationstests, die unsere Plattformen regelmäßig scannt und unsere Entwicklungsteams benachrichtigt, wenn ein potenzielles neues Sicherheitsrisiko (z.B. eine kürzlich entdeckte Schwachstelle) besteht, so dass wir sofort Korrekturmaßnahmen ergreifen können.
  • Eine Plattform zur statischen Codeanalyse, die ein noch höheres Maß an Sicherheit bietet, indem sie sich unseren sich ständig weiterentwickelnden Code ansieht und jeden möglichen Einstiegspunkt in unsere Anwendung bewertet. Sie erkennt und benachrichtigt unsere Entwicklungsteams, wenn sie etwas übersehen haben.
  • Unsere Tools zur Software composition analysis ermöglichen es uns, die externen Abhängigkeiten (Bibliotheken), die von unserem Code verwendet werden, auf Schwachstellen zu scannen.
  • Ein Intelligentes Angriffsvermeidungssystem, das mittels KI normales Verhalten lernt und uns benachrichtigt, sobald verdächtige, ungewöhnliche Aktivitäten auf der Plattform entdeckt werden. Solche Sicherheitsrisiken werden durch dieses System automatisch verhindert und informiert unser Sicherheitsteam über diese Aktivitäten für Folgeaktionen.

Diese Dienstleistungen haben ihren Preis, und Doctena setzt einen Großteil Teil seines IT-Budgets für diese Sicherheitstools ein, denn wir wissen, wie wichtig dies ist für Sie, aber auch für das Überleben unseres Unternehmens.

Pseudonymisierung

  • In unseren Testumgebungen oder auf lokalen Entwicklergeräten werden keine echten Patientendaten verwendet.
  • Unsere Business Intelligence Abteilung erhält nur Zugriff auf vollständig anonymisierte Daten.
  • Wir versenden niemals E-Mails mit persönlichen Daten von Patienten. Wenn persönliche Daten per E-Mail versendet werden müssen, werden sie anonymisiert versendet.

Automatisierte Sicherheitsupdates

Als Teil unseres Continuous Deployment Systems fügen wir wöchentlich, bei den meisten sogar fast täglich, die neuesten Sicherheitsupdates in alle unsere Systeme ein. Das bedeutet, dass unsere Sicherheitsteams auch ohne Kenntnis der neu veröffentlichten Sicherheitspatches automatisch jedes Mal, wenn wir eine neue Version unserer Software bereitstellen, diese mit einfließen.

Verschlüsselung

Wir haben vier vollständig isolierte Umgebungen, die jeweils ihre eigenen dedizierten Server mit unterschiedlichen Anmeldeinformationen pro Umgebung haben, um sicherzustellen, dass ein potenzieller Einbruch in einer von ihnen nicht
den anderen beeinflussen.

  • Testen – Wird von der Entwicklung verwendet, um neuen Code auszuprobieren.
  • Staging – Eine isolierte Umgebung, die der Produktion am ähnlichsten ist, wird als letzter Schritt vor der Übergabe des Codes an die Produktion verwendet.
  • Produktion – Hochgradig überwachte Umgebung, zu der nur eine begrenzte Anzahl von Personen Zugang hat.
  • Demo – Identische Umgebung wie die Produktion, nur mit Daten von potentiellen Kunden, die das System testen wollen.

Versionskontrolle

Unsere Code wird mit einem Versionskontrollsystem und verschiedenen Branchen pro Umgebung vollständig überwacht. Dies ist Teil unseres Änderungsprozesses, der es uns erlaubt, klar zu sehen, wer welchen Code hinzugefügt hat und zu welcher Zeit. Jede neue Ergänzung des Codes wird von einem Senior-Teamleiter überprüft und löst automatisierte Tests unserer gängigsten Geschäftslogik aus. Nur Projektleiter können den Code für die Produktion und Demo-Umgebungen.

Wiederherstellung im Notfall

Ein wichtiges Element unseres kontinuierlichen Deployment-Systems ist die Tatsache, dass unsere gesamte Infrastruktur durch Code und nicht durch manuelle Konfiguration definiert ist. Dies erlaubt uns, schnell identische Umgebungen und Serverkonfigurationen einzurichten, die keinen Raum für manuelle Fehler oder Sicherheitsfehler lassen. Es erlaubt uns auch, unsere Produktionsserver automatisch zu skalieren, wenn mehr Leistung benötigt wird, ohne dass wir bei möglichen Fehlern manuell eingreifen müssen.

Hohe Verfügbarkeit

Alle unsere Datenbanken sind hochverfügbar eingerichtet, so dass sich alle Daten zu jedem Zeitpunkt in mindestens 2 geografisch isolierten Rechenzentren befinden. Täglich wird eine automatisierte Momentaufnahme aus diesen Datenbanken für die Notfallwiederherstellung in Kombination mit einer weiteren täglichen Disaster Recovery Kopie, die in einer hochsicheren und verschlüsselten Speicherlösung in einem anderen Rechenzentrum gespeichert wird. Die Webserver, die unsere Dienste bereitstellen, sind ebenfalls hochverfügbar eingerichtet.

Überwachung und Alarmierung

Alle wichtigen Server und Ressourcen werden mit speziellen Tools überwacht, die uns alarmieren, in der Regel noch bevor etwas wirklich schief geht. So kann unser Infrastruktur-Team die erforderlichen Teams schnell informieren, um zu handeln.

Sicherheitsaudits

Einmal im Jahr werden unsere Plattformen von einem anerkannten IT-Sicherheitsunternehmen geprüft, das auch große und komplexe Banksysteme auf Sicherheit und Ausfallsicherheit zertifiziert. Die Ergebnisse dieser Audits werden von unseren IT-Teams analysiert und umgesetzt, so dass die Auditgesellschaft uns ein Zertifikat ausstellen kann, das unser hohes Sicherheitsniveau belegt.

ISO 27001

Um einen weiteren Beweis für unser Sicherheitsniveau zu erbringen, arbeitet Doctena an der Zertifizierung nach ISO27001. Wir haben bereits ein solides internes Informationssicherheits-Managementsystem eingeführt, das intern strenge Richtlinien und Verfahren vorschreibt, und wir werden uns bald für diese Zertifizierung entscheiden, um Ihnen ein noch höheres Maß an Vertrauen in unsere Systeme zu geben.

ISO/IEC 27001:2013 (ISO 27001) ist die internationale Norm, die die besten Verfahrensweisen für ein ISMS (Informationssicherheits-Managementsystem) beschreibt. Der Erhalt einer akkreditierten Zertifizierung nach ISO 27001 belegt, dass Ihr Unternehmen die besten Verfahrensweisen im Bereich Informationssicherheit befolgt, und stellt eine unabhängige sachkundige Überprüfung dar, dass das Management der Informationssicherheit im Einklang mit besten internationalen Verfahrensweisen und Unternehmenszielsetzungen erfolgt. Die ISO 27001 wird durch den Leitfaden für Informationssicherheitsmaßnahmen ISO/IEC 27002:2013 unterstützt.

Erfolgsbilanz

Seit der Unternehmensgründung ist es bei Doctena noch niemals zu irgendwelchen Sicherheitsverletzungen gekommen!

Weitere Informationen

Wenn Sie Fragen zur DSGVO und Ihrer Nutzung von Doctena haben, können Sie sich gerne per E-Mail an uns wenden:

support+gdpr@doctena.com

Bitte beachten Sie, dass diese Mitteilung ausschließlich zu Informationszwecken erfolgt und nicht als Rechtsberatung aufzufassen ist.

 

Links

https://dsgvo-gesetz.de/