Ihre Privatsphäre ist uns wichtig

Ihre Sicherheit und Ihr Datenschutz

Als Deutschlands führender Anbieter für 360° Rundgänge hat die Sicherheit Ihrer Daten und die Ihrer Kunden und Interessenten für uns oberste Priorität.

Nachfolgend können Sie die wichtigsten Maßnahmen nachlesen, die wir zum Schutz Ihrer Daten ergreifen. Zusätzlich wenden wir ein breites Spektrum weiterer Schutzmaßnahmen an, die entweder (i) sehr komplex und daher an dieser Stelle zu kompliziert zu erklären sind oder (ii) die besser nicht an öffentlicher Stelle geteilt werden sollten. Falls Sie Fragen dazu haben, nehmen Sie bitte jederzeit Kontakt zu uns auf.

Hostinganbieter

Unsere Software wird auf Systemen gehostet, welche uns von Amazon Web Services (AWS) in ihren europäischen Rechenzentren bereitgestellt werden. Amazon Web Services ist ein führender „Platform as a Service“ Anbieter, der es Kunden aus allen Bereichen und in allen Größen (u.a. Siemens, Expedia und AirBnB) ermöglicht, Anwendungen zu entwickeln, zu verwenden und zu verwalten, ohne sich um die damit verbundene Infrastruktur kümmern zu müssen.

Amazon Web Services stellt mit einer erstklassigen Sicherheitsinfrastruktur auch Backups, Protokollierung, Überwachung und andere infrastrukturbezogene Dienste bereit.

Amazon Web Services führt fortwährende Audits durch und erfüllt unter anderem folgende Standards:

N

ISO 9001

N

ISO 27001

N

ISO 27017

N

ISO 27018

N

C5-Zertifizierung des BSI

N

SOC 2

N

SOC 3

Andere Dienstleister, die von Ogulo zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.

N

Mailgun Technologies, Inc.

N

Twilio, Inc.

Eine Übermittlung von personenbezogenen oder personennahen Daten an einen Staat, der weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums ist, erfolgt einzig und allein im Einklang mit der Allgemeinen Datenschutzgrundverordnung (DSGVO) und auch nur dann, wenn die spezifischen Anforderungen des Artikels 44 ff. der DSGVO erfüllt sind.

Hierbei werden die Datenschutzniveaus von denen durch das Privacy-Shield Abkommen zertifizierten Anbietern und / oder gemäß der von der Europäischen Kommission festgelegten Standardvertragsklauseln garantiert.

Passwörter

Ihre Passwörter liegen ausschliesslich in verschlüsselter Form vor (Hashfunktion, mit Salz und Pfeffer). Beim Login wird das eingegebene Passwort auf die selbe Weise verschlüsselt und dann geprüft ob das Ergebnis mit dem bei uns hinterlegten, verschlüsselten Passwort übereinstimmt.

Das hat auch zur Folge dass wir keine Passwörter wiederherstellen können, da wir schlichtweg keine haben, sondern lediglich die verschlüsselte Version, aus der sich kein Klartext-Passwort ableiten lässt.

Sollten Sie ihr Passwort verlieren, so bedeutet dass, das Sie Ihr Passwort zurücksetzen müssen. Sie können sich auch mittels Social-Media über das sog. Social Sign On (SSO) bei uns registrieren.

Das bedeutet, dass Sie sich mittels aktivem Google oder Facebook-Account bei Ogulo ganz ohne Passwort anmelden können. Ogulo wird dann seitens des Social-Media-Dienstes als vertrauenswürdiger Dienst hinterlegt. Dazu wird ein sog. Token generiert, welchen wir dann Ihnen als Benutzer zuordnen. Dieser Token enthält keinerlei Benutzerdaten und wird ausschließlich vom von Ihnen gewählten Social-Media-Dienst verwaltet. Diese Einstellungen können Sie jederzeit innerhalb des von Ihnen gewählten Social-Media-Dienstes angepasst oder widerrufen werden.

Cookies und Token

Ogulo verwendet in seinen Apps und WebApps Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Cookies und Token enthalten niemals Ihr tatsächliches Passwort oder andere vertrauliche Informationen. Alles, was gespeichert wird, ist ein zufällig erstelltes Token, mit dem Sie auf die grundlegenden Funktionen zugreifen können. Um auf kritische Funktionen zuzugreifen – beispielsweise beim Ändern Ihres Passworts -, müssen Sie das Passwort erneut eingeben.

Datenverschlüsselung

Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Systemen erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet.

Sichere Frameworks

Durch die Verwendung sicherer Frameworks wie u.a. Angular im Frontend und spezialisierter Micro-Frameworks wie u.a. Lumen im Backend, welche stetig auf dem neuesten Stand gehalten werden, haben wir „Privacy by Design“ schon in der Planung unserer Systeme berücksichtigt.

Durch das durchschleusen der Daten durch eine statische Middelware in Verbindung mit Input-Sanitizern sorgen wir für zusätzlichen Schutz, bevor die Daten unsere Systeme erreichen.

Die Kommunikation, intern wie extern, erfolgt ausschliesslich über SSL und unter Verwendung von OAuth2 um beispielsweise Cross-Site-Scripting (CSS/XSS) ausschließen zu können.

Unsere Services werden in der sicheren Umgebung von Amazon Web Services gehostet, welche ihrerseits die Systeme auf dem neuesten Stand der Technik hält und eventuelle Sicherheitslücken sofort schließt.

Zugriffe von innen verhindern

Durch Einsatz eines strikten Rechte-Rollen-Systems muss jede Aktion im Vorfeld definiert und für einzelne Nutzer-Typen oder Nutzer-Gruppen freigeschaltet werden. Dies verhindert z.B. dass ein Mitarbeiter(in), welche(r) keine Berechtigung dazu hat, beispielsweise Firmendaten zu ändern / zu löschen.

Zugriffsbeschränkung für Code und Datenbank

Unsere Systeme werden bei Amazon Web Services physisch streng überwacht. Aber auch die Zugriffsmöglichkeiten auf die Daten sind stark eingeschränkt. Unsere Mitarbeiter haben zu keiner Zeit die Möglichkeit auf unsere Datenbanken zuzugreifen. Unsere Entwickler arbeiten auf Dummy-Systemen mit eigenen Datenbanken und jede Zeile Code muss vor dem Ausrollen durch das Team geprüft und verifiziert werden. Unsere Administratoren-Zugänge werden über eine striktes Rechte-Rollen-Konzept verwaltet und überwacht.

Unsere Mitarbeiter haben keinen Zugriff auf Ihre personenbezogenen Daten, es sei denn Sie erlauben es uns temporär um Ihnen Hilfe geben zu können. Selbst im Falle der Erlaubnis haben Sie jederzeit die Möglichkeit uns den temporären Zugang sofort zu entziehen.

Auftragsdatenverarbeitungsvertrag (ADV-Vertrag)

Um im Sinne der DSGVO rechtskonform arbeiten zu können bitten wir Sie mit uns einen Auftragsdatenverarbeitungsvertrag (AV) zu schließen, bevor Sie personenbezogene Daten bspw. Ihrer Mitarbeiter oder Interessenten in unserem System hinterlegen.

Dieser AV legt fest, wie wir mit Ihren Daten umgehen dürfen und welche Sicherheitsmaßnahmen wir Ihnen vertraglich zusichern.

Interne Sicherheitsrichtlinien

Wir leben Datenschutz und Sicherheit, jeden Tag.

Aus diesem Grund finden bei uns regelmäßig interne Sicherheitsschulungen zum Verhalten am Arbeitsplatz, Verhalten am Telefon, Umgang mit Daten im allgemeinen und personenbezogenen Daten, usw. statt.

Unsere Sicherheitsrichtlinien sind nicht „in Stein gemeißelt“ und werden fortwährend aktualisiert und verbessert.

Verfügbarkeit und Notfallwiederherstellung

Unsere Systeme werden vom Amazon Web Services gehostet und sind dort allesamt mehrfach-redundant aufgesetzt.

Das bedeutet dass wenn ein System ausfällt, sofort und ohne Zeitverzug ein anderes dessen Aufgabe übernimmt.

Die stündliche Sicherung unsere Datenbanken erlaubt es uns den gesamten Datenbestand zu einem bestimmten Zeitpunkt wiederherzustellen, jedoch nicht einzelne Datensätze. Wenn also etwas „versehentlich“ gelöscht wurde, bleibt es gelöscht.

Überwachung

Wir überwachen unsere bei Amazon Web Services gehosteten Systeme mittels der bereitgestellten Tools und Metriken von Amazon Web Services. Laufzeitfehler werden protokolliert und lösen Benachrichtigungen bei unseren Administratoren aus.

Durch die bereits in der Datenbank pseudonymisierten Daten werden auch hier keinerlei personenbezogenen Daten affektiert.

Nutzeranfragen und Fehlerberichte

Egal wie gut man etwas plant, baut und testet, Fehler lassen sich nie ganz vermeiden. Falls Sie einen Fehler in unserer Software finden sollten, so bitten wir Sie uns diesen zu melden. Dazu schreiben Sie uns einfach eine E-Mail an support@ogulo.de oder rufen Sie uns an unter der Support-Rufnummer +49 (0) 221 954 919 – 50

Haben Sie eine Sicherheitsbedrohung gefunden?

Wenn Sie eine potenzielle Sicherheitsbedrohung oder einen Sicherheitsverstoß gefunden haben, nehmen Sie bitte unverzüglich Kontakt zu uns auf.

Dies können Sie per E-Mail an privacy@ogulo.de oder telefonisch unter der Support-Rufnummer +49 (0) 221 954 919 – 50 melden

Transparenz-Richtlinie

Im Falle einer Bedrohung Ihrer uns anvertrauter Daten, informieren wir Sie unverzüglich und umfassend über den Vorfall, damit Sie die notwendigen Vorkehrungen treffen und einen Schaden abwenden können. Diese Transparenz empfinden wir als unabdingbare.

Unsere Teilnahme bei der Allianz für Cyber-Sicherheit

Die „Allianz für Cyber-Sicherheit“ ist eine Initiative, die sich in Deutschland für die Stärkung der Cyber-Sicherheit engagiert. Unser Datenschutz verfolgt die Ziele dieser Allianz aktiv:

Bewusstseinsförderung: Wir setzen uns dafür ein, das Bewusstsein unserer Mitarbeiter für Cyber-Sicherheitsrisiken zu schärfen. Schulungsmaßnahmen und Sensibilisierungsinitiativen stehen im Mittelpunkt unserer Bemühungen.

Wissensaustausch: Wir fördern den Austausch von Informationen und bewährten Sicherheitspraktiken, um unser Unternehmen vor aktuellen Bedrohungen zu schützen.

Stärkung der Sicherheitsinfrastruktur: Unsere Datenschutzverordnung zielt darauf ab, unsere Cyber-Sicherheitsinfrastruktur kontinuierlich zu verbessern, um widerstandsfähiger gegen Angriffe zu sein.

Frühwarnsystem: Wir nutzen die Ressourcen der Allianz, um frühzeitig vor Cyber-Bedrohungen gewarnt zu werden und effektiv darauf reagieren zu können.

Zusammenarbeit: Wir arbeiten eng mit anderen Unternehmen, Behörden und relevanten Partnern zusammen, um die Gesamtsicherheit im Cyberraum zu erhöhen.

Indem wir diese Ziele in unsere Datenschutzverordnung integrieren, demonstrieren wir unser Engagement für die Sicherheit und den Schutz von sensiblen Daten. Wir verpflichten uns, die Datenschutzbestimmungen strikt einzuhalten und sicherzustellen, dass unsere Datenschutzmaßnahmen den geltenden Datenschutzgesetzen und -vorschriften in Deutschland entsprechen.

Auftragsverarbeitungsvertrag

Laut Art. 28 DSGVO muss eine Auftragsverarbeitung zwischen Unternehmen geschlossen werden. Um diesen Prozess für Sie zu vereinfachen, haben wir die Vertragsvereinbarung automatisiert. Hierzu klicken Sie einfach auf den Button „Jetzt AVV abschließen“ Für mögliche Rückfragen stehen wir Ihnen gerne zur Verfügung.