Die xperience.cloud erfüllt die Vorgaben der DSGVO.

Der Betreiber der xperience.cloud, die Parasol Island GmbH ist nach TISAX VDA ISA in der Stufe Stufe 3 zertifiziert.

Die xperience.cloud ist auf AWS in der Zone eu-central-1 (Frankfurt, Deutschland) gehostet. Sämtliche angebundenen Dienste (Twilio, 3Q, PubNub) sind ebenfalls in Frankfurt, Deutschland gehostet.

Bei Bedarf kann die xperience.cloud auch in der Infrastruktur des Kunden gehostet werden.

Ein (Architektur-) Schaubild der xperience.cloud liegt vor und wird im Rahmen der Projektkonzeption gerne zur Prüfung überlassen.

Web-Client to Web-Server: https AES-256; Web-Server to REST API’s: https AES-256; VOD und Live Video: https AES-256 Outbound; RTMP oder SRT mit AES-256 Inbound; Realtime Video: (S)RTP mit AES-256; Formulardaten, bsp. Anmeldedaten: https AES256

Teilnehmer-Datenbank: AES256; Metadaten: AES256

Die xperience.cloud wurden von den Experten der SySS GmbH, Tübingen einem Penetration-Test unterzogen. Die Prüfung ergab keine Schwachstellen.

Die xperience.cloud wurden von den Experten der SySS GmbH, Tübingen einem Schwachstellen-Scan und einem teil manuellen Code-Scan unterzogen. Die Prüfung ergab keine Schwachstellen.

In der Regel werden Berufliche Kontakt- und Arbeits-Organisationsdaten, sowie Positions- bzw. Geo- und IT-Nutzungsdaten erhoben.

Optional werden auf freiwilliger Basis ein Portraitfoto, Daten zu persönlichen und beruflichen Merkmalen und Verhältnissen erhoben.

Nicht erhoben werden personenbezogene Bonitäts- und Bankdaten, Besonders sensible personenbezogene Daten gem. Art. 9 DSGVO sowie Daten zu Straftaten und/oder Ordnungswidrigkeiten.

Neben dem Magic-Link-Login können SSO Provider wie Office365, Google, Apple etc. implementiert werden. Auf Wunsch kann der Login mit einem Passwort und/oder einer 2FA zusätzlich gesichert werden, sowie auf bestimmte Domains, Nutzer, geografische Regionen etc. eingeschränkt werden.

Die Anmeldeinformationen werden durchgängig und systemweit verschlüsselt übertragen und abgespeichert.

Die Autorisierung der “Besucher” erfolgt automatisch bzw. auf Wunsch regelbasiert bzw. teilautomatisch. Die Autorisierung höherer Rollen (Repräsentanten, Moderatoren, etc.) erfolgt manuell nach dem „Need to Know-Prinzip“, so dass die Anwender nur jeweils ihren benötigten Umfang sehen können.

Die Berechtigungen werden nach Veranstaltungsende zurückgesetzt. Während der Veranstaltung werden die Berechtigungen bei manueller Deaktivierung oder Löschung, bei Verlust des Zugriff auf die eigene Mailbox (Magic Link Login) oder bei Veranstaltungsende entzogen. Bei langlaufendem Einsatz der xperience.cloud erfolgt eine mindestens quartalsweise Kontrolle der Rollen bzw. Berechtigungen auf Notwendigkeit und Plausibilität.

Sämtliche Daten werden durchgängig “End-to-End” AES256 verschlüsselt.

Sämtliche Personenbezogenen- und Meta-Daten werden durchgängig AES256 verschlüsselt.

Das Management der kryptografische Schlüssel erfolgt über Let’s Encrypt (Server), Cloudflare (WAF) und über die zentral verwaltete Verteilung und Erneuerung der kryptografischen Schlüssel über SaltStack.

Stabile (“Stable”) Sicherheitsupdates und –patches werden einmal die Woche eingespielt. Patches kritische Sicherheitslücken (“Zero-Day-Exploits”) werden unverzüglich aufgespielt.

Das System ist nach dem minimum Ports, Services, Applikationen Anspruch gehärtet.

Zum Umgang bei Informations-Sicherheitsvorfällen erfolgt eine automatische Erstellung von Log-Dateien sowie eine automatische Analyse der Logfile, Firewall und Datei-Scanner bei sofortige Benachrichtigung der Systemadministratoren.

Im begründeten Verdachts- und Schadensfall erfolgt eine unverzügliche Benachrichtigung der Betroffenen nach den gesetzlichen Vorgaben.

Ein Notfall- bzw. Wiederaufsetzplan ist dokumentiert und wird im Falle einer Störung umgesetzt. Alle nötigen Systeme sind redundant in verschiedenen Verfügbarkeitszeiten vorgehalten und schalten sich im Fehlerfall automatisch um.

Der Plan zur Datensicherung und Backup ist definiert und wird zyklisch getestet.

Personenbezogenen Daten werden nicht, bzw. ausschließlich pseudonymisiert protokolliert.

Mit der Erfassung, dem Import, der Verarbeitung und Löschung von Teilnehmerdaten ist die Parasol Island GmbH, Neusser Strasse 125, 40219 Düsseldorf, Deutschland betraut.

Eine Empfehlung und Vorlage zur Datenflussübersicht von personenbezogenen Daten liegt vor. Die für die Datenverarbeitung eingesetzte Software ist mandantenfähig. Das Rollen- und Berechtigungskonzept für die Datenverarbeitung ist beschrieben.

Die Datenverarbeitung findet in Deutschland statt. Das Lösch-/ Archivierungs-Konzept personenbezogener Daten ist definiert.