Passwörter
Ihre Passwörter liegen ausschliesslich in verschlüsselter Form vor (Hashfunktion, mit Salz und Pfeffer). Beim Login wird das eingegebene Passwort auf die selbe Weise verschlüsselt und dann geprüft ob das Ergebnis mit dem bei uns hinterlegten, verschlüsselten Passwort übereinstimmt.
Das hat auch zur Folge dass wir keine Passwörter wiederherstellen können, da wir schlichtweg keine haben, sondern lediglich die verschlüsselte Version, aus der sich kein Klartext-Passwort ableiten lässt.
Sollten Sie ihr Passwort verlieren, so bedeutet dass, das Sie Ihr Passwort zurücksetzen müssen. Sie können sich auch mittels Social-Media über das sog. Social Sign On (SSO) bei uns registrieren.
Das bedeutet, dass Sie sich mittels aktivem Google oder Facebook-Account bei Ogulo ganz ohne Passwort anmelden können. Ogulo wird dann seitens des Social-Media-Dienstes als vertrauenswürdiger Dienst hinterlegt. Dazu wird ein sog. Token generiert, welchen wir dann Ihnen als Benutzer zuordnen. Dieser Token enthält keinerlei Benutzerdaten und wird ausschließlich vom von Ihnen gewählten Social-Media-Dienst verwaltet. Diese Einstellungen können Sie jederzeit innerhalb des von Ihnen gewählten Social-Media-Dienstes angepasst oder widerrufen werden.
Cookies und Token
Ogulo verwendet in seinen Apps und WebApps Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Cookies und Token enthalten niemals Ihr tatsächliches Passwort oder andere vertrauliche Informationen. Alles, was gespeichert wird, ist ein zufällig erstelltes Token, mit dem Sie auf die grundlegenden Funktionen zugreifen können. Um auf kritische Funktionen zuzugreifen – beispielsweise beim Ändern Ihres Passworts -, müssen Sie das Passwort erneut eingeben.
Datenverschlüsselung
Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Systemen erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet.
Sichere Frameworks
Durch die Verwendung sicherer Frameworks wie u.a. Angular im Frontend und spezialisierter Micro-Frameworks wie u.a. Lumen im Backend, welche stetig auf dem neuesten Stand gehalten werden, haben wir „Privacy by Design“ schon in der Planung unserer Systeme berücksichtigt.
Durch das durchschleusen der Daten durch eine statische Middelware in Verbindung mit Input-Sanitizern sorgen wir für zusätzlichen Schutz, bevor die Daten unsere Systeme erreichen.
Die Kommunikation, intern wie extern, erfolgt ausschliesslich über SSL und unter Verwendung von OAuth2 um beispielsweise Cross-Site-Scripting (CSS/XSS) ausschließen zu können.
Unsere Services werden in der sicheren Umgebung von Amazon Web Services gehostet, welche ihrerseits die Systeme auf dem neuesten Stand der Technik hält und eventuelle Sicherheitslücken sofort schließt.
Zugriffe von innen verhindern
Durch Einsatz eines strikten Rechte-Rollen-Systems muss jede Aktion im Vorfeld definiert und für einzelne Nutzer-Typen oder Nutzer-Gruppen freigeschaltet werden. Dies verhindert z.B. dass ein Mitarbeiter(in), welche(r) keine Berechtigung dazu hat, beispielsweise Firmendaten zu ändern / zu löschen.
Zugriffsbeschränkung für Code und Datenbank
Unsere Systeme werden bei Amazon Web Services physisch streng überwacht. Aber auch die Zugriffsmöglichkeiten auf die Daten sind stark eingeschränkt. Unsere Mitarbeiter haben zu keiner Zeit die Möglichkeit auf unsere Datenbanken zuzugreifen. Unsere Entwickler arbeiten auf Dummy-Systemen mit eigenen Datenbanken und jede Zeile Code muss vor dem Ausrollen durch das Team geprüft und verifiziert werden. Unsere Administratoren-Zugänge werden über eine striktes Rechte-Rollen-Konzept verwaltet und überwacht.
Unsere Mitarbeiter haben keinen Zugriff auf Ihre personenbezogenen Daten, es sei denn Sie erlauben es uns temporär um Ihnen Hilfe geben zu können. Selbst im Falle der Erlaubnis haben Sie jederzeit die Möglichkeit uns den temporären Zugang sofort zu entziehen.
Auftragsdatenverarbeitungsvertrag (ADV-Vertrag)
Um im Sinne der DSGVO rechtskonform arbeiten zu können bitten wir Sie mit uns einen Auftragsdatenverarbeitungsvertrag (AV) zu schließen, bevor Sie personenbezogene Daten bspw. Ihrer Mitarbeiter oder Interessenten in unserem System hinterlegen.
Dieser AV legt fest, wie wir mit Ihren Daten umgehen dürfen und welche Sicherheitsmaßnahmen wir Ihnen vertraglich zusichern.
Interne Sicherheitsrichtlinien
Wir leben Datenschutz und Sicherheit, jeden Tag.
Aus diesem Grund finden bei uns regelmäßig interne Sicherheitsschulungen zum Verhalten am Arbeitsplatz, Verhalten am Telefon, Umgang mit Daten im allgemeinen und personenbezogenen Daten, usw. statt.
Unsere Sicherheitsrichtlinien sind nicht „in Stein gemeißelt“ und werden fortwährend aktualisiert und verbessert.
Verfügbarkeit und Notfallwiederherstellung
Unsere Systeme werden vom Amazon Web Services gehostet und sind dort allesamt mehrfach-redundant aufgesetzt.
Das bedeutet dass wenn ein System ausfällt, sofort und ohne Zeitverzug ein anderes dessen Aufgabe übernimmt.
Die stündliche Sicherung unsere Datenbanken erlaubt es uns den gesamten Datenbestand zu einem bestimmten Zeitpunkt wiederherzustellen, jedoch nicht einzelne Datensätze. Wenn also etwas „versehentlich“ gelöscht wurde, bleibt es gelöscht.
Überwachung
Wir überwachen unsere bei Amazon Web Services gehosteten Systeme mittels der bereitgestellten Tools und Metriken von Amazon Web Services. Laufzeitfehler werden protokolliert und lösen Benachrichtigungen bei unseren Administratoren aus.
Durch die bereits in der Datenbank pseudonymisierten Daten werden auch hier keinerlei personenbezogenen Daten affektiert.
Nutzeranfragen und Fehlerberichte
Egal wie gut man etwas plant, baut und testet, Fehler lassen sich nie ganz vermeiden. Falls Sie einen Fehler in unserer Software finden sollten, so bitten wir Sie uns diesen zu melden. Dazu schreiben Sie uns einfach eine E-Mail an support@ogulo.de oder rufen Sie uns an unter der Support-Rufnummer +49 (0) 221 954 919 – 50
Haben Sie eine Sicherheitsbedrohung gefunden?
Wenn Sie eine potenzielle Sicherheitsbedrohung oder einen Sicherheitsverstoß gefunden haben, nehmen Sie bitte unverzüglich Kontakt zu uns auf.
Dies können Sie per E-Mail an privacy@ogulo.de oder telefonisch unter der Support-Rufnummer +49 (0) 221 954 919 – 50 melden
Transparenz-Richtlinie
Im Falle einer Bedrohung Ihrer uns anvertrauter Daten, informieren wir Sie unverzüglich und umfassend über den Vorfall, damit Sie die notwendigen Vorkehrungen treffen und einen Schaden abwenden können. Diese Transparenz empfinden wir als unabdingbare.