Datenschutz & Sicherheit

Machen Sie sich keine Sorgen hinsichtlich der Sicherheit, Kontrolle und Schutz Ihrer Daten.

VerschlÜsselung

Die Daten werden beim Transport über https (TLS1.2) verschlüsselt.
Die Speicherung der folgenden Daten erfolgt unter Verwendung einer AES 256 Bit Verschlüsselung:

Authentifizierung

Der Login in die Applikation erfolgt über E-Mail-Adresse und Passwort. Es besteht jedoch auch die Möglichkeit einer SSO-Anbindung über das SAML-Protokoll.

Berechtigungen

Es existiert ein Rollen- und Berechtigungskonzept, welches den Zugriff auf die Daten des jeweiligen Lizenznehmers beschränkt:

Lizenzierte Benutzer (Administratoren und Nutzer in der HR-Abteilung) greifen mit ihrem individuellen, selbst generierten Passwort in Kombination mit der im System hinterlegten E-Mail- Adresse zu. Hierbei kommen ausschließlich etablierte Standard-Protokolle zum Einsatz.

Audit-Log

Im Audit-Log werden Aktionen (keine Zeugnisdaten) mit der UserID und OrganisationsID protokolliert. Diese Protokollierung dient der Sicherheit und erfasst u.a.:

  • Zeugnis laden

  • Zeugnis editieren

  • Zeugnis an Vorgesetzte weiterleiten

  • Zeugnis archivieren

  • Zeugnis löschen

  • Zeugnis aus dem Archiv bearbeiten

  • Zeugnis wandeln

Backup

Alle Haufe-Server werden über ein eigenes Backup-LAN gesichert. Somit ist eine Trennung des Sicherungsnetzes und des Haufe-Applikationsnetzes gegeben.

Alle Filesysteme und Verzeichnisse werden inkrementell gesichert. Bei allen Haufe-Datenbanken werden neben dem Backup der Transaktionslogs auch Vollsicherungen der Datenbanken erstellt.

  • Für alle Haufe-Server werden Sicherungen der Filesysteme, Verzeichnisse und Datenbanken auf Sicherungsrobotersystemen durchgeführt.

  • Diese Sicherungssysteme sind verteilt auf zwei Rechenzentren und werden in eigenen Brandschutzzonen betrieben. Diese Zonen sind von den betriebenen Haufe-Servern getrennt und gewährleisten somit die Sicherheit der Haufe-Applikationsdaten.

Datenschutz

Innerhalb der Haufe Group existieren diverse Richtlinien und Vorgaben hinsichtlich der Informationssicherheit beziehungsweise der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Zu unseren internen Richtlinien gehören unter anderem:

Vertraulichkeitsvereinbarungen

Innerhalb der Haufe Group existieren diverse Vorlagen für ein- oder beidseitige Vertraulichkeitsvereinbarungen. Auch sind entsprechende Vereinbarungen Teil der Verträge, die durch den Stabsbereich Legal erstellt sowie betreut werden.

Datenschutzrichtlinie der Haufe Group

Ziel und Zweck ist es, die Grundlagen für die Umsetzung der Datenschutzanforderungen aus der Datenschutz-Grundverordnung (DSGVO) und dem BDSG-neu festzulegen. Festgelegt sind Grundprinzipien der Datenverarbeitung, der Aufbau der Datenschutzorganisation, Rollenverteilung der Organe innerhalb der Datenschutzorganisation, Datenschutzmanagement-Grundlagen, die Datenübertragung an Dritte, das Verhalten bei Datenschutzvorfällen sowie die Sanktionen bei Verstößen.

Richtlinie Datenschutzvorfälle in der Haufe Group

Geregelt werden der Umgang mit Datenschutzvorfällen oder Datenpannen, angemessene und rechtskonforme Reaktion bei Datenschutzvorfällen und die rechtlichen Meldepflichten.

Entwicklung, Authentifizierung und Passwörter

Darüber hinaus existieren bei der Haufe Group Richtlinien zum Themengebiet der Datensicherheit, welche Handlungsanweisungen hinsichtlich sicherer Entwicklung, Authentifizierung und dem Umgang mit Passwörtern enthalten.

Für die Haufe-Lexware GmbH & Co. KG, Haufe-Lexware Services GmbH & Co. KG und Haufe Service Center GmbH ist:

Herr Raik Mickler
E-Mail: dsb@haufe-lexware.com

als Datenschutzbeauftragter bestellt.

Alle Mitarbeiter/-innen sind schriftlich auf die Vertraulichkeit verpflichtet. Die Dokumentation der Verpflichtung erfolgt in der Personalabteilung der Haufe-Lexware Services GmbH & Co. KG. Weiterhin erfolgen jährliche Datenschutzschulungen der Datenschutzvorgaben in Form von Präsenzschulungen oder webbasierten Trainings.

Die Haufe-Lexware Services GmbH & Co. KG verarbeitet die Daten ausschließlich im Zusammenhang mit der Erfüllung von Vertrags-/Bestellverpflichtungen ihrer Kunden. Zu diesem Zweck werden Verträge gem. Art. 28 DSGVO über die Auftragsdatenverarbeitung abgeschlossen.

Rechenzentrum

Der Betrieb der Haufe Zeugnis Manager Applikation erfolgt in einem ISO 27001 zertifizierten Rechenzentrum der Arvato Systems GmbH, An der Autobahn 200, 33333 Gütersloh. Mit diesem Dienstleister besteht ein Vertrag nach Art. 28 DSGVO über Auftragsdatenverarbeitung.

Dieses Unternehmen verfügt über die folgenden Zertifizierungen:

Zertifizierungen auswählen

Die internationale Norm ISO/IEC 27001 spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems

EN ISO 9001 legt die Mindestanforderungen an ein Qualitätsmanagementsystem (QM-System) fest, denen eine Organisation zu genügen hat, um Produkte und Dienstleistungen bereitstellen zu können, welche die Kundenerwartungen sowie allfällige behördliche Anforderungen erfüllen.

Als IT-Grundschutz bezeichnet die Bundesverwaltung eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT). Das Ziel des Grundschutzes ist das Erreichen eines mittleren, angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Zum Erreichen des Ziels empfehlen die IT-Grundschutz-Kataloge technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen.

Die Information Technology Infrastructure Library (ITIL) ist eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur mittlerer und großer Unternehmen vorkommen.

Die praktische Zuweisung der Tätigkeiten erfolgt anhand von Rollen und Funktionen. Es handelt sich dabei um Best-Practice-Vorschläge, die an die Bedürfnisse des Unternehmens angepasst werden müssen

FAQS

WERDEN (REGELMÄßig) unabhängige Sicherheitsüberprüfungen durch externe stellen durchgeführt?
Kann sichergestellt werden, dass Daten nicht außerhalb einer geographisch-definierten Region migrieren?
Einsatz von Verschlüsselungstechnik in Datenbanken  
Werden produktive Daten des Mandanten auf anderen Systemen als dem Produktivsystem (z.B. Verwendung der Echtdaten auf den Testsystemen zu Testzwecken) gespeichert?
Existiert ein Notfall - und Wiederanlaufverfahren mit regelmäßiger Erprobung (Notfallplan)?
Liegt mit Subunternehmern ein schriftlicher Vertrag zur Auftragsdatenverarbeitung gemäß Art. 28 DSGVO, sowie eine Verpflichtung zur Vertraulichkeit vor?