FAQ

Erfüllt die xperience.cloud die Vorgaben der DSGVO?

Die xperience.cloud erfüllt die Vorgaben der DSGVO.

Ist xperience.cloud TISAX und/oder ISO 27001 zertifiziert?

Der Betreiber der xperience.cloud, die Parasol Island GmbH ist nach TISAX VDA ISA in der Stufe Stufe 3 zertifiziert.

In welchen Ländern werden die Informationen/Daten, die Metadaten und die Applikation bzw. das System gehosted?

Die xperience.cloud ist auf AWS in der Zone eu-central-1 (Frankfurt, Deutschland) gehostet. Sämtliche angebundenen Dienste (Twilio, 3Q, PubNub) sind ebenfalls in Frankfurt, Deutschland gehostet.

Bei Bedarf kann die xperience.cloud auch in der Infrastruktur des Kunden gehostet werden.

Liegt ein (Architektur-) Schaubild der xperience.cloud vor?

Ein (Architektur-) Schaubild der xperience.cloud liegt vor und wird im Rahmen der Projektkonzeption gerne zur Prüfung überlassen.

Mit welchem Standard werden öffentliche Daten verschlüsselt?

Web-Client to Web-Server: https AES-256; Web-Server to REST API’s: https AES-256; VOD und Live Video: https AES-256 Outbound; RTMP oder SRT mit AES-256 Inbound; Realtime Video: (S)RTP mit AES-256; Formulardaten, bsp. Anmeldedaten: https AES256

Mit welchem Standard werden nicht öffentliche Daten verschlüsselt?

Teilnehmer-Datenbank: AES256; Metadaten: AES256

Wurde ein Penetration-Test der Applikation durchgeführt?

Die xperience.cloud wurden von den Experten der SySS GmbH, Tübingen einem Penetration-Test unterzogen. Die Prüfung ergab keine Schwachstellen.

Wurde ein Schwachstellen- und Code-Scan der Applikation durchgeführt?

Die xperience.cloud wurden von den Experten der SySS GmbH, Tübingen einem Schwachstellen-Scan und einem teil manuellen Code-Scan unterzogen. Die Prüfung ergab keine Schwachstellen.

Welche personenbezogene Daten werden von der xperience.cloud erhoben?

In der Regel werden Berufliche Kontakt- und Arbeits-Organisationsdaten, sowie Positions- bzw. Geo- und IT-Nutzungsdaten erhoben.

Optional werden auf freiwilliger Basis ein Portraitfoto, Daten zu persönlichen und beruflichen Merkmalen und Verhältnissen erhoben.

Nicht erhoben werden personenbezogene Bonitäts- und Bankdaten, Besonders sensible personenbezogene Daten gem. Art. 9 DSGVO sowie Daten zu Straftaten und/oder Ordnungswidrigkeiten.

Welche Authentifizierungsmethoden sind implementiert?

Neben dem Magic-Link-Login können SSO Provider wie Office365, Google, Apple etc. implementiert werden. Auf Wunsch kann der Login mit einem Passwort und/oder einer 2FA zusätzlich gesichert werden, sowie auf bestimmte Domains, Nutzer, geografische Regionen etc. eingeschränkt werden.

Werden Anmeldeinformationen durchgängig und systemweit verschlüsselt übertragen?

Die Anmeldeinformationen werden durchgängig und systemweit verschlüsselt übertragen und abgespeichert.

Wie erfolgt die Autorisierung (Benutzer/Rollen/Rechte)?

Die Autorisierung der “Besucher” erfolgt automatisch bzw. auf Wunsch regelbasiert bzw. teilautomatisch. Die Autorisierung höherer Rollen (Repräsentanten, Moderatoren, etc.) erfolgt manuell nach dem „Need to Know-Prinzip“, so dass die Anwender nur jeweils ihren benötigten Umfang sehen können.

Die Berechtigungen werden nach Veranstaltungsende zurückgesetzt. Während der Veranstaltung werden die Berechtigungen bei manueller Deaktivierung oder Löschung, bei Verlust des Zugriff auf die eigene Mailbox (Magic Link Login) oder bei Veranstaltungsende entzogen. Bei langlaufendem Einsatz der xperience.cloud erfolgt eine mindestens quartalsweise Kontrolle der Rollen bzw. Berechtigungen auf Notwendigkeit und Plausibilität.

Existiert eine durchgängige Verschlüsselung der Daten bei Übertragung?

Sämtliche Daten werden durchgängig “End-to-End” AES256 verschlüsselt.

Werden die Daten bei Ablage bzw. Speicherung verschlüsselt?

Sämtliche Personenbezogenen- und Meta-Daten werden durchgängig AES256 verschlüsselt.

Wie erfolgt das Schlüsselmanagement?

Das Management der kryptografische Schlüssel erfolgt über Let’s Encrypt (Server), Cloudflare (WAF) und über die zentral verwaltete Verteilung und Erneuerung der kryptografischen Schlüssel über SaltStack.

In welchem Rhythmus werden Sicherheitsupdates und –patches eingespielt?

Stabile (“Stable”) Sicherheitsupdates und –patches werden einmal die Woche eingespielt. Patches kritische Sicherheitslücken (“Zero-Day-Exploits”) werden unverzüglich aufgespielt.

Ist eine System-Härtung für das Host-System umgesetzt?

Das System ist nach dem minimum Ports, Services, Applikationen Anspruch gehärtet.

Besteht eine Richtlinie zum Umgang mit Informations-Sicherheitsvorfällen?

Zum Umgang bei Informations-Sicherheitsvorfällen erfolgt eine automatische Erstellung von Log-Dateien sowie eine automatische Analyse der Logfile, Firewall und Datei-Scanner bei sofortige Benachrichtigung der Systemadministratoren.

Im begründeten Verdachts- und Schadensfall erfolgt eine unverzügliche Benachrichtigung der Betroffenen nach den gesetzlichen Vorgaben.

Ist ein Notfall- bzw. Wiederaufsetzplan, der im Falle einer Störung zum Einsatz kommt, dokumentiert?

Ein Notfall- bzw. Wiederaufsetzplan ist dokumentiert und wird im Falle einer Störung umgesetzt. Alle nötigen Systeme sind redundant in verschiedenen Verfügbarkeitszeiten vorgehalten und schalten sich im Fehlerfall automatisch um.

Ist ein Plan zur Datensicherung und Backup definiert und wurde der Vorgang erfolgreich getestet?

Der Plan zur Datensicherung und Backup ist definiert und wird zyklisch getestet.

Fallen Protokolldateien mit personenbezogenen Daten an?

Personenbezogenen Daten werden nicht, bzw. ausschließlich pseudonymisiert protokolliert.

Welche Dienstleister werden mit der Verarbeitung personenbezogener Daten beauftragt?

Mit der Erfassung, dem Import, der Verarbeitung und Löschung von Teilnehmerdaten ist die Parasol Island GmbH, Neusser Strasse 125, 40219 Düsseldorf, Deutschland betraut.

Liegt eine Vorlage zur Datenfluss-Übersicht der personenbezogenen Daten, sowie ein Lösch-/ Archivierungs-Konzept vor?

Eine Empfehlung und Vorlage zur Datenflussübersicht von personenbezogenen Daten liegt vor. Die für die Datenverarbeitung eingesetzte Software ist mandantenfähig. Das Rollen- und Berechtigungskonzept für die Datenverarbeitung ist beschrieben.

Die Datenverarbeitung findet in Deutschland statt. Das Lösch-/ Archivierungs-Konzept personenbezogener Daten ist definiert.

Welche Browserkompatibilität erfüllt die xperience.cloud?

Live Session (Niedrigste erfolgreich getestete Browserversion)

  Windows 10 macOS iOS Android
Chrome 60 x64 62 x64 77 57
Firefox 60 x64 56 n/a 61
Edge 14 n/a n/a 42
Safari 72 13 11 n/a
Internet Explorer 11 (Due to React) 11 (Due to React) n/a n/a

Realtime Session (Niedrigste erfolgreich getestete Browserversion)

  Windows 10 macOS iOS Android
Chrome 64 x64 78 most recent and the two previous versions (Due to Twillo)
Firefox 60 x64 70 most recent and the two previous versions (Due to Twillo)
Edge 79 n/a n/a
Safari   13 13
Internet Explorer n/a n/a