Datenschutz bei ChurchDesk – ein detaillierter Bericht

Heutige IT-Systeme verarbeiten eine gewaltige Menge an Informationan und Daten. Externe Angriffe und Datendiebstähle, sowie auch menschliches Fehlverhalten können zum Verlust vertraulicher Daten führen. Sorgen und Zweifel über die Sicherheit und Vertrauenswürdigkeit im Zeitalter von facebook, twitter und anderen mobilen Anwendungen steigen stetig. Datenschutz ist für ChurchDesk sehr wichtig. Im Folgenden werden die häufigsten Fragen zum Thema Datenschutz bei ChurchDesk erläutert.

Der Server von ChurchDesk sitzt in Deutschland. Durch die technischen Einrichtungen der Deutschen Telekom, T-Systems, besitzt er eine ISO27001 – Zulassung. Der ISO27001-Standard ist ein international anerkannter Standard für die Bewertung der Sicherheit von Informationen und IT-Umgebungen. Der Standard beschreibt die Anforderungen, die an die Planung, Umsetzung, Dokumentation und kontinuierliche Verbesserung der Informationssicherheit bis ins kleinste Detail.

Die TÜV Informationstechnik GmbH verleiht das notwendige Vertrauen für das Arbeiten mit IT-Produkten, -Prozessen, und IT-Systemen, so wie ChurchDesk es anbietet. Der TÜViT prüft  und bewertet Sicherheits- und Qualitätseigenschaften anhand anerkannter und vorgeschriebener Kriterien. TÜViT hat ChurchDesk hinsichtlich der Einhaltung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland geprüft. ChurchDesk erfüllt die Datenschutzrichtlinien der EU und entspricht den aktuellen Sicherheitseinrichtungen der Evangelischen Kirche in Deutschland. Lesen Sie mehr über das Europäische Datenschutzrecht hier und über die IT-Sicherheitsstandards der EKD hier.

Im Folgenden erhalten Sie eine Übersicht über die wichtigsten, datenschutzrechtlichen Spezifikationen zum Schutz von personenbezogenen Daten, die für öffentliche Organisationen in unseren Systemen verarbeitet werden:

  • ChurchDesk verpflichtet sich dazu, die gesamte Kommunikation zwischen den Servern und der ChurchDesk-Plattform des Kunden zu verschlüsseln.
  • ChurchDesk verpflichtet sich dazu Zugangsberechtigungen/Autorisierungsprozesse bereitzustellen, über welche festgelegt wird, welche Benutzer Zugang zu personenbezogenen Daten erhalten.
  • ChurchDesk verpflichtet sich dazu, den Anmeldebereich nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu sperren.
  • Kundendaten, die von ChurchDesk verarbeitet werden, werden von ChurchDesk ausschließlich für den Betrieb der Plattform genutzt. Dies umfasst neben der Verarbeitung der Daten für den technischen Betrieb auch die Kundenbetreuung und Aktualisierungsprozesse.
  • Im Falle einer Kündigung durch den Kunden verpflichtet sich ChurchDesk dazu, sämtliche Kundendaten innerhalb von 60 Tagen nach Ablauf des letzten Abrechnungszeitraums zu löschen.
  • Darüber hinaus verpflichtet sich ChurchDesk dazu, als Auftragnehmer für eine Datenverarbeitung im Auftrag die gleichen Richtlinien zu befolgen, die für Kirchengemeinden bei der Verarbeitung von personenbezogenen Daten gültig sind.

Die ISO27001 Zertifizierung.

Auf der Webseite gibt T-Systems einen umfassenden Überblick über die Bedeutung der ISO27001 Zertifizierung. Wir haben die wichtigsten Elemente für Sie hier zusammengeführt:

Durch die Zertifizierung gemäß der international anerkannten Norm ISO/IEC 27001:2013 wird bescheinigt, dass das Information Security Management System für die Bereiche der Entwicklung, Bereitstellung und Betrieb von Information-Communication-Technology (ICT) Lösungen von Geschäftskunden, so wie ChurchDesk es ist, alle notwendigen Anforderungen in Deutschland und weiteren Ländern wie Österreich, Brasilien, Spanien, Italien, in vollem Umfang erfüllt.

Durch die umfassende Erstreckung über die unten aufgelisteten Bereiche ist die ISO27001 Zertifizierung eines der wichtigsten Kriterien im Bereich IT-Security:

  • Sicherheitsstrategie: Richtungsvorgabe erfolgt durch die Geschäftsführung
  • Sicherheitsorganisation: Es besteht eine Infrastruktur zur Gewährleistung der Informationssicherheit
  • Erfassung und Klassifizierung der Werte: Einstufung, Kennzeichnung und Behandlung von Informationen werden festgelegt
  • Personelle Sicherheit: Stellenbeschreibungen, Benutzerschulungen, Verhalten bei sicherheitsrelevanten Vorfällen
  • Physische Sicherheit und Umgebungssicherheit: Geräte, Zonen, Maßnahmen
  • Management und Kommunikation des Betriebes: Verfahren und Verantwortlichkeiten, Systemplanung und -abnahme, Schutz vor Malware, Netzwerkmanagement und weiteres

Zugangskontrolle:

  • Verwaltung von Benutzerrechten, Zugriffskontrollen für Systeme und Anwendungen, Überwachung von Mobile Computing und Telearbeit und weiteres

Technische Prüfung der ChurchDesk Zertifizierung:

Referenznr.:- 300-097-14

Prüfer: Ulrich Lindenpütz

Rechtliche Prüfung der ChurchDesk Zertifizierung:

Referenznr.: 300-097-14

Prüfer: Monika Wojtowicz

Detailliertere informationen

Wir freuen uns über Ihr Interesse an unserem Unternehmen und unserem Produkt und möchten, dass Sie sich hinsichtlich des Schutzes Ihrer Daten bei uns sicher fühlen.

Der Schutz der Privatsphäre ist, insbesondere für die Zukunft internetbasierter Geschäftsmodelle von entscheidender Bedeutung. Daher wollen wir mit dieser detaillierten Erläuterung zum Thema Datenschutz unser Engagement für den Schutz Ihrer Privatsphäre unterstreichen.

Die sichere basis der it

T-Systems Rechenzentren
Rechenzentren verarbeiten, analysieren und speichern Informationen und Daten – 24 Stunden am Tag, 365 Tage im Jahr. T-Systems verwendet ausschließlich die neueste und innovativste Technologie in seinen Rechenzentren. Ständige Aktualisierungen der Software, wie zum Beispiel die Firewalls, Virenscanner oder Spam-Filter, sind gesetzter Standard bei T-Systems.

Doch geht es neben dem Schutz der Daten auch darum, dass die Gebäudekomplexe, in denen die Rechner stehen, dementsprechend sicher und geschützt sind. Die Bezeichnung „Fabriken des 21. Jahrhunderts“ triff es daher genau: eine ausfallsichere Stromversorgung, Energieverteilung, Zutrittskontrolle, Brandschutz, rückstandslose Gaslöschung und eine energieeffiziente Kühlung von Serverräumen. Das sind im Groben, die Sicherheitskriterien die in allen Rechenzentren von T-Systems erfüllt werden. Von außen wirken die Rechenzentren meist sehr unscheinbar. Bei genauerem Hinsehen kann man bis zu 300 Kameras entdecken, die jede Bewegung auf dem Außengelände erfassen. Die Türen im Inneren wiegen zwischen einer und zwei Tonnen und sind panzerwaffenerprobt; ein Sicherheitsdienst ist rund um die Uhr im Einsatz. Mitarbeiter gelangen auch nur durch strengste Kontrollen und technisch einwandfreie Sicherheitsanlagen in die Gebäudekomplexe. Zu den Servern gelangen sie dann ausschließlich über Hochbrücken. Bei einem Stromausfall stehen zur Sicherheit zwölf Notstromaggregate für die Energieversorgung bereit.

Brandschutz.
T-Systems arbeitet mit technisch einwandfreien Rauchdetektoren in allen Räumlichkeiten der Gebäude. Im Falle eines Brandes könnten konventionelle Löschsysteme beim Auslösen einen extrem hohen Geräuschpegel erzeugen, der die sensiblen Festplatten in den Serverräumen irreversibel schädigen kann. T-Systems hat daher in Kooperation mit Siemens ein deutlich leiseres Löschsystem („Silent Extinguishing Technology“) entwickelt. Diese speziellen Löschdüsen reduzieren den Lärmpegel um bis zu 20 Dezibel.

Stromversorgung.
Die Stromversorgung in allen Rechenzentren von T-Systems ist dazu ausgelegt in ständigem Betrieb zu sein. Sollte es jedoch zu einem Stromausfall kommen, stehen zur Sicherheit zwölf Notstromaggregate für die Energieversorgung bereit. Das würde reichen um ein Rechenzetrum für ca. 24 Stunden autark zu betreiben.

Kühlkonzept.
Die Temperatur in den Serverräumen ist essentiell für eine kontinuierliche Prozesskette. Kühlkonzepte halten die optimale Temperatur in den Räumlichkeiten konstant und reduzieren somit das Risiko der Überhitzung und Stromausfällen. Denn bereits ab 37 Grad Celsius überhitzen die Server und können wertvolle Firmenressourcen schädigen. Das von T-Systems verwendete Kühlkonzept hebt sich stark gegenüber vergleichbaren Rechenzentren ab: es soll den Gesamtenergiebdarf um etwa ein Drittel senken. Der PuE-Wert beträgt 1,3. PUE steht für „Power Usage Effectiveness“ und besagt, wie viel Strom für andere Dinge als Rechenleistung genutzt wird – beispielsweise Kühlsysteme. Je näher der Wert an einer glatten Eins liegt, desto besser.

Technische sicherheit

Die Netzwerk-Infrastruktur inklusive Firewall und weiteren Virenschutzprogrammen überwachen und kontrollieren jegliche Art von Datentransfer innerhalb und außerhalb des Netzwerks.

’Twin-Core’ Konzept.
Twin-Core Rechenzentren ist ein bewährtes Konzept. Es bedeutet lediglich, dass sämtliche Daten, Informationen und Systeme in ein Zwillingsrechenzentrum gespiegelt werden. Der genaue Standort dieses Rechenzentrums wird strengstens geheim gehalten. Das soll für ein Backup der ganz besonderen Art sorgen, falls es in einem der beiden Zentren zu Störungen oder zu einem externen Angriff kommt.

IP-VPN Tunnel.
ChurchDesk arbeitet mit einer Vielzahl von automatisierten Sicherheitsmechanismen von T-Systems, die bestmöglichen Service garantieren. Diese Mechanismen sind speziell dafür ausgelegt ungewöhnliche oder gar unbefugte Aktivitäten zu entdecken und zu bearbeiten. So sind die Virtual Private Networks (VPN) für Unternehmen wie ChurchDesk unumgänglich. Denn gewünschte Daten müssen zu jeder Zeit an jedem Ort in entsprechender Qualität verfügbar sein. VPN erfüllen die hohen Anforderungen an Sicherheitsanforderungen. Daten werden in einem nach außen geschützten Tunnel übertragen und hindern Dritte am mitlesen der Daten.

Firewall.
Bei T-Systems wird die Firewall durch weitere Sicherheitsmechanismen und –systemen ergänzt, die Datenströme auf verdächtige Bestandteile wie zum Beispiel Schadcodes untersucht. Diese Sicherheitssysteme werden in Zusammenarbeit mit dem Cyber Defense Center des Mutterkonzerns Telekom ausgebaut, um neue Formen von Hackerangriffen rechtzeitig zu erkennen und ihnen vorzubeugen. In den Büroräumen von ChurchDesk verbindet sich das Personal mit der Firewall über Kabel, um das Mitlesen von Daten zu verhindern. W-Lan verbundene Geräte verbinden sich mit der Firewall durch die standardisierte Norm AES WPA2-PSK. Das W-Lan Passwort routiert daher regelmäßig.

Sichere Zugriffsstellen.
T-Systems hat lediglich eine begrenzte Anzahl an Zugriffsstellen zur Cloud zugelassen, die ein verständlicheres und somit sicheres Kontrollieren der internen und externen Datenkommunikation sicherstellen.

Datenverkehr.
Alle Daten, die von und zu ChurchDesk übertragen werden, sind mit einem 256-Bit-SS-L-Zertifikat verschlüsselt. Jeglicher Datenverkehr von und zu ChurchDesks mobilen Browser-Anwendungen sind ebenfalls mit dem 256-Bit-Zertifikat verschlüsselt. Interner Datentransfer zwischen den ChurchDesk-Servern wird von VPC geschützt, eine sichere Isolation der Daten durch die T-Systems Infrastruktur. Datenbanksicherheit wird bei ChurchDesk durch den Industriestandard AES-256 gewährleistet.

Betriebliche sicherheit

Bevollmächtigung.
Alle Mitarbeiter von ChurchDesk, die Zugang zu personenbezogenen Daten, werden von ChurchDesk autorisiert. Solche Bevollmächtigungen zeigen auf für welchen Zweck Zugang zu welchen Daten gewährt wurde. ChurchDesk Mitarbeiter sind ausschließlich aus betrieblichen oder technischen Gründen dazu berechtigt, auf personenbezogene Daten zuzugreifen. Erteilte Genehmigngen werden regelmäßig geprüft und gegebenenfalls angepasst.

Verschwiegenheit.
Unsere Mitarbeiter sind durch ihr Beschäftigungsverhältnis und darüber hinaus zur Verschwiegenheit und zur Einhaltung der Bestimmungen des Datenschutzgesetzes und weiterer relevanter Datenschutzbestimmungen verpflichtet.

Protokollieren.
Jeglicher Zugang zu personenbezogenen Daten, die in Verbindung mit der ChurchDesk Plattform stehen, werden automatisch protokolliert. Solch ein Protokoll beinhaltet die IP-Adresse, Uhrzeit, Benutzername und andere Informationen über die eingesehenen personenbezogenen Daten. Sollten personenbezogene Daten im Rahmen des Kundenservice eingesehen werden, so wird auch dieser Vorgang protokolliert.

Datenschutz ist uns bei ChurchDesk sehr wichtig. Wir arbeiten stetig daran, dass Ihre Daten vor Außenwelt sicher und geschützt sind. Zugegeben, ist dieser Artiekl sehr technisch und detailliert. Sollten Sie also Fragen zu dem Thema Datenschutz bei ChurchDesk haben, kontaktieren Sie unseren Kundenservice unter support@churchdesk.com.