Gemeinsam halten wir PrivacyDocs sicher. In diesem Dokument beschreiben wir, wie.
Sie kontrollieren Ihren Computer und Ihre E-Mails
Sie müssen den Zugriff auf Ihren Bereich bei PrivacyDocs auf die Personen beschränken, die dazu berechtigt sind. Wir werden Ihnen nicht beibringen, wie Sie Ihr Unternehmen sichern. Wir gehen davon aus, dass Sie PrivacyDocs die E-Mail-Adressen der entsprechenden und autorisierten Personen zur Verfügung stellen.
Wir verlassen uns auf E-Mails als Mittel, um die Personen zu kontaktieren.
E-Mails und Sitzungen
Jeder mit Zugriffsrechten auf Ihren Bereich in PrivacyDocs kann sich in den Bereich einloggen. Dazu gehören Sie und die Personen, die Sie eingeladen haben, indem Sie ihnen Zugang zu PrivacyDocs gewährt haben. Sie müssen sicherstellen, dass die entsprechenden E-Mail-Adressen an PrivacyDocs übermittelt werden.
Wir empfehlen dringend, E-Mail-Adressen zu verwenden, die mit bestimmten Personen verknüpft sind, und vermeiden Sie die Verwendung von Team-E-Mails (wie sales@yourcompany.com). Wenn mehrere Personen Zugriff auf eine E-Mail-Adresse haben, kann jede von ihnen sich bei PrivacyDocs anmelden, möglicherweise andere einladen, und Sie würden nicht wissen, wer das getan hat. Wenn mehrere Personen zusammenarbeiten müssen, können Sie sie zu PrivacyDocs einladen und jedem die entsprechenden Berechtigungen im Dialogfeld 'Kundeneinstellungen' gewähren.
Nachdem Sie sich angemeldet haben, speichern wir ein sogenanntes 'Session-Cookie' auf Ihrem Computer. Sie können gleichzeitig von mehreren Browsern bei PrivacyDocs angemeldet sein. Denken Sie an Ihr Smartphone und Ihren Bürocomputer. Das Setzen dieses Session-Cookies ist erforderlich, damit PrivacyDocs funktioniert, und ist in den Nutzungsbedingungen von PrivacyDocs enthalten. Wir halten Sie einen Monat lang angemeldet, damit Sie Ihre Arbeit ununterbrochen fortsetzen können. Sie können sich jederzeit selbst abmelden.
Sie müssen sicherstellen, dass Sie (oder Ihre Kollegen, die mit PrivacyDocs arbeiten) Ihre Computer während der Anmeldung kontrollieren. Wenn jemand anderes Zugriff auf Ihren Computer erhält (Ihr Kollege oder ein Eindringling), kann er in Ihrem Namen handeln, und wir wären nicht in der Lage, seine Handlungen von Ihren zu unterscheiden.
All dies ist eine Standardmethode zur Bereitstellung von Webdiensten. Ihr Web-E-Mail, Büro oder soziale Medien funktionieren auf die gleiche Weise: Nach dem Anmelden wird ein Sitzungscookie gesetzt, das Sie monatelang angemeldet hält.
Notfälle
Was tun, wenn Sie die Kontrolle über Ihre E-Mail, Ihren Computer oder Ihr Smartphone verlieren?
Kontaktieren Sie PrivacyDocs sofort über das 'Kontakt'-Formular oder per E-Mail und teilen Sie uns mit, welche E-Mail kompromittiert wurde. Wir werden Sie dann von PrivacyDocs abmelden und Ihre E-Mail für drei Tage sperren, damit Sie sich von dem Vorfall erholen können.
We will ask you to verify your identity using the emergency contact details. Provide them now in the 'User settings' dialog. We generally respond during office hours, but no response times are guaranteed or should be expected. We would generally be able to recover your data from the backups if needed. We are happy to help, but we will charge you for the effort that we spend to remedy the incident (regular consultancy rate).Bitte beachten Sie, dass Sicherheitsvorfälle häufig zu Datenschutzverletzungen führen, die innerhalb von 72 Stunden gemeldet werden müssen.
Warum gibt es keine Passwörter auf PrivacyDocs?
Viele Webdienste verlangen (oft lange und komplexe) Passwörter zum Anmelden. Bei PrivacyDocs verwenden wir keine Passwörter, da sie oft tatsächlich die Sicherheit verringern (das sogenannte 'Sicherheits-Theater').
Denken Sie an viele Dienste, die Sie nutzen, die ein Passwort erfordern, aber auch die Möglichkeit bieten, Ihr Passwort per E-Mail zurückzusetzen. Wenn Sie Ihr Passwort zurücksetzen, senden sie Ihnen einen einmaligen Anmeldelink (genauso wie PrivacyDocs, wenn Sie sich anmelden). Ein Eindringling, der Zugriff auf Ihre E-Mail hat, kann Ihr Passwort leicht zurücksetzen und Zugriff auf den Dienst erhalten. Darüber hinaus kann ein Eindringling, der Zugriff auf Ihr Passwort hat (denken Sie an die gelben Aufkleber auf Ihrem Schreibtisch), ebenfalls Zugriff auf den Dienst erhalten. Und wenn Sie dasselbe Passwort für mehrere Dienste verwenden...
Auf diese Weise schafft die Verwendung sowohl eines Passworts als auch die Möglichkeit, das Passwort per E-Mail zurückzusetzen, nur einen zusätzlichen 'Schlüssel' zu Ihrem System, den Sie schützen müssen. Bei PrivacyDocs verwenden wir nur den minimal erforderlichen Schlüssel (Ihre E-Mail). Und wir werden Ihre Passwörter niemals weitergeben.
Dieser Ansatz ist nicht einzigartig und viele andere Dienste verwenden ihn.
Und was ist mit MFA (Multi-Faktor-Authentifizierung)?
Höchstwahrscheinlich wird Ihr E-Mail-Anbieter von Ihnen verlangen, dass Sie eine Form der MFA verwenden, wie z. B. Textnachrichten (SMS) oder eine separate Smartphone-App. Bei PrivacyDocs profitieren wir davon, da es hilft, Ihre Kontrolle über Ihre E-Mails sicherzustellen, das wichtigste Kommunikationsmittel zwischen PrivacyDocs und Ihnen.
Wir verwenden zusätzliche (Notfall-)Kommunikationsmittel, um während Sicherheitsvorfällen mit Ihnen zu kommunizieren. Auf diese Weise verwenden wir MFA, wenn die regulären Authentifizierungsmittel nicht vertrauenswürdig sind.
Es ist sehr wichtig, Ihr MFA-Gerät (normalerweise Ihr Smartphone) nicht für die reguläre Arbeit zu verwenden. Wenn ein Eindringling Zugriff auf Ihr Smartphone erhält, werden die E-Mails zum Zurücksetzen des Passworts und die MFA-SMS-Nachrichten an dasselbe Smartphone gesendet. Wenn Sie Ihr Smartphone verlieren oder es beschädigen, verlieren Sie den Zugriff auf Ihre MFA-Token und können sich nicht anmelden.
Als Faustregel: Arbeiten Sie nicht auf Ihrem Mobilgerät (wir wissen, dass das sehr schwierig ist).
Organisatorische Sicherheitsmaßnahmen von PrivacyDocs
PrivacyDocs wird von einem kleinen Team betrieben, wobei nur zwei Personen auf Ihre Daten für betriebliche und unterstützende Zwecke zugreifen. Beide sind durch Geheimhaltungs- und Vertraulichkeitsvereinbarungen gebunden, die ausreichende Anreize zur Einhaltung enthalten.
Die Operation und der Datenzugriff von PrivacyDocs erfolgen in den Niederlanden gemäß dem niederländischen Recht. Es sind keine ausländischen Auftragnehmer oder Anbieter beteiligt.
Technische Sicherheitsmaßnahmen von PrivacyDocs
Wir verwenden branchenübliche technische Sicherheitsmaßnahmen, um Ihren Bereich auf PrivacyDocs zu schützen.
Wir verlassen uns auf Amazon Web Services (AWS), um PrivacyDocs zu hosten, und auf Microsoft für KI und interne E-Mails. Wir verwenden die folgenden wichtigen Sicherheitsmaßnahmen:
- Limited access.
- Access to production environment and your data is limited to the authorized individuals.
- Authorization and authentication.
- The authorized individuals need to authenticate using secret passwords (used by AWS or O365) and MFA devices to get access.
- Encryption in transit and at rest.
- Your data is encrypted with industry-standard means both when in transit (think of HTTPS) and at rest (think of disk and file encryption).
- AWS Dynamo DB.
- Your data is stored using AWS DynamoDB, partitioned per client, and is continuously backed up by Amazon. We crate regular off-site backups of the data as well. The backups are stored encrypted and accessible to the same individuals who manage the production environments.
- AWS Lambdas.
- Your data is processed using AWS lambdas. These are special kind of 'servers' that are created for each Web request and destroyed after the request is completed. As a result, there are no PrivacyDocs servers that can be compromised.
- Emails.
- AWS is used for all automatic emails, and Microsoft O365 is used for info@privacydocs.eu and emails inside the PrivacyDocs organisation.
- AI.
- Microsoft Azure is used as the provider of the AI engine. All data submitted to the PrivacyDocs 'Ask AI' feature will be sent to Microsoft.
- Logging in.
- When you login, we email you a single-use login link that is valid for one hour. During a login session, we store a session cookie. Both, the login link and the cookie are sufficiently long, to be considered secure, given their usage patterns.
All diese Maßnahmen helfen, Ihren Bereich auf PrivacyDocs sicher zu halten.