Welche Maßnahmen ergreift i-Reserve hinsichtlich der Sicherheit und des Datenschutzes (personenbezogener Daten)?

Warum sollten Sie Kundendaten schützen?

Als Geschäftsinhaber wissen Sie, wie wichtig der Schutz von Kundendaten ist. Hacker und Cyberkriminelle suchen ständig nach neuen Wegen, um Informationen zu stehlen. Deshalb ist es wichtig, Maßnahmen zu ergreifen, um Ihre Kundendaten zu schützen. Auch in unserem Online-Buchungssystem sind die Daten Ihrer Kunden gemäß der DSGVO geschützt.

DSGVO als Ersatz für Wbp

Seit dem 25. Mai 2018 hat die DSGVO das niederländische Datenschutzgesetz (Wbp) abgelöst. Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-weites Datenschutzgesetz. Obwohl die DSGVO neu ist, basiert sie auf den Grundprinzipien des Wbp. Ziel der DSGVO ist der Schutz der Privatsphäre und der personenbezogenen Daten von EU-Bürgern. Sie gilt für jedes Unternehmen, das personenbezogene Daten von EU-Bürgern erhebt. Lesen Sie hier mehr über die DSGVO.

Die Sicherheit und der Datenschutz (personenbezogener Daten) im i-Reserve -Reservierungssystem

Erfahren Sie, wie die Sicherheit und der Schutz Ihrer (persönlichen) Daten in unserem Reservierungssystem gewährleistet werden.

Sichere Verbindung

Als Serviceleistung stellen wir unser Reservierungssystem standardmäßig mit einem SSL-Zertifikat bereit (Datenschutz ist standardmäßig aktiviert). SSL (genauer: TLS) erkennen Sie am Präfix „https://“ in der URL. Diese Technologie sichert die Verbindung zwischen Website-Besucher und Server, auf dem die Website gehostet wird, mit einer sehr starken Verschlüsselung. Mit einer SSL-Verbindung stellen wir sicher, dass die im Buchungsdialog übertragenen Daten nicht von Dritten gelesen oder verändert werden können.

Verschlüsselung von Informationen

Zusätzlich zur Verschlüsselung des Datenverkehrs im Internet mittels SSL (auch Datenübertragung genannt) bietet das Reservierungssystem -Reserve auch die Möglichkeit, physische Daten zu verschlüsseln (auch ruhende Daten genannt).

Passwörter werden in i-Reserve verschlüsselt gespeichert. Sollten Sie Ihr Passwort vergessen haben, senden wir Ihnen niemals ein Ersatzpasswort, sondern lediglich einen Link, über den Sie es selbst zurücksetzen können.

Firewall

Beim Einsatz einer Firewall erlauben wir nur öffentlichen IP-Adressen den Zugriff auf die erforderlichen Ports. Für sicherheitskritische Ports und Funktionen verwenden wir eine Whitelist. Nur IP-Adressen auf dieser Liste haben Zugriff auf das Reservierungssystem.

Web Application Firewall (WAF)

Eine Web Application Firewall (WAF) ist eine Anwendung, die den ein- und ausgehenden Datenverkehr überwacht. Jeglicher Datenverkehr, der von der Firewall abweicht oder gegen ihre Regeln verstößt, wird blockiert. Bei schwerwiegenderen Verstößen, wie beispielsweise wiederholten MySQL-Injection-Versuchen, wird die IP-Adresse umgehend auf eine Blacklist gesetzt, wodurch der Absender keine Verbindung mehr zum Reservierungssystem herstellen kann.

IP-Whitelist

Es ist möglich, eine i-Reserve -Reservierungsumgebung vollständig vor externen Zugriffen abzuschirmen. Dies lässt sich durch IP-Whitelisting erreichen. Dadurch wird die Domain, auf der das Reservierungssystem gehostet wird, vollständig blockiert, sodass der Zugriff nur noch von bestimmten IP-Adressen möglich ist. Diese Methode wird beispielsweise von Kunden genutzt, die i-Reserve als interne Anwendung einsetzen möchten.

Vorbereitete Erklärungen

SQL-Injection ist eine Art Sicherheitslücke in Computeranwendungen. Anwendungen, die Informationen in einer Datenbank speichern, verwenden häufig SQL zur Kommunikation mit der Datenbank. SQL-Injection kann auftreten, wenn Benutzereingaben in einer SQL-Anweisung nicht korrekt verarbeitet werden.

Im i-Reserve -Reservierungssystem verwenden wir vorbereitete Anweisungen. Dieser Mechanismus verhindert, dass unerwünschter Code in den von der Anwendung ausgeführten SQL-Abfragen verarbeitet wird.

Verlangsamungsmechanismus

Bei Brute-Force-Angriffen versuchen böswillige Akteure, die Anmeldungen im Reservierungssystem mithilfe einer Liste von Passwörtern und Benutzernamen zu automatisieren, bis die richtige Kombination gefunden ist.

Um Brute-Force-Angriffe zu verhindern, verwenden wir einen Verzögerungsmechanismus. Bei der ersten falschen Eingabe von Benutzername und Passwort wird eine zweisekündige Wartezeit eingelegt, bevor ein neuer Versuch unternommen werden kann. Beim zweiten Mal sind es vier Sekunden und beim dritten Mal sechzehn Sekunden. Dadurch werden Brute-Force-Angriffe praktisch unmöglich gemacht.

Abriegelungsmechanismus

Sollte ein Eindringling Zugang erlangen und versuchen, weitere Rechte zu erlangen, wird er daran gehindert und ausgesperrt.

Hosting und Speicherung von Daten

Alle unsere Daten werden in den Niederlanden gespeichert. Die i-Reserve -Reservierungsanwendung und die zugehörige Datenbank laufen auf einem dedizierten Server. Dieser Server ist speziell für das i-Reserve -Reservierungssystem konfiguriert und wird ausschließlich von Kunden von Teqa Web Services genutzt. Der Zugriff auf die Daten ist nur innerhalb der Anwendung möglich; anderen Quellen ist der Zugriff auf die Datenbank nicht gestattet.

Datenbanken

i-Reserve verwendet keine gemeinsam genutzten Datenbanken. Jeder Kunde verfügt über eine eigene Datenbank mit individuellen Zugangsdaten. Dies minimiert das Risiko im Falle eines Datenlecks.

Tägliche Datensicherungen

Um Datenverlust zu vermeiden, führen wir täglich automatische Backups durch. Diese Backups des Reservierungssystems umfassen täglich sowohl die Datenbank als auch das Dateisystem. Die Backups werden auf einem separaten Server gespeichert und 30 Tage lang aufbewahrt.

Tägliche Scans

Wir führen täglich einen automatisierten Systemscan mit McAfee Secure durch, der die Sicherheit unserer Server testet. Zusätzlich scannen wir täglich nach Malware und Viren und überwachen diese proaktiv.

Funktionstrennung

Funktionstrennung bedeutet, dass eine bestimmte Verantwortung auf mehrere Personen verteilt wird. Beispielsweise haben Programmierer und Entwickler keinen Zugriff auf Kundendatenbanken. Nur diejenigen, die für ihre Arbeit Zugriff auf Produktionssysteme und -datenbanken benötigen, haben diesen Zugriff.

Automatische Anonymisierung personenbezogener Daten

Um den Bestimmungen der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten zu entsprechen, ermöglicht unser Reservierungssystem die automatische Anonymisierung relevanter personenbezogener Daten. Dies bedeutet, dass personenbezogene Daten nicht länger als nötig gespeichert oder anonymisiert werden. Dies fällt unter das „Recht auf Vergessenwerden“.

Diese Funktionalität ist nicht standardmäßig aktiviert und muss vom Administrator aktiviert werden (Datenschutz durch Technikgestaltung).

Open Web Application Security Project

Das Reservierungssystem i-Reserve erfüllt die weit verbreiteten OWASP Top 10. Die aktuellsten Themen der OWASP Top 10 werden bei der Entwicklung der Anwendung berücksichtigt. Darüber hinaus wird die Anwendung regelmäßig in verschiedenen Testphasen geprüft, um ihre fortlaufende Einhaltung dieser Anforderungen sicherzustellen.

Wie können Sie selbst die Sicherheit Ihrer Kundendaten gewährleisten?

Selbstverständlich sind Sie auch für die Sicherheit und den Datenschutz der Daten Ihrer Kunden verantwortlich. Häufige Beispiele hierfür sind die Verwendung einfacher Passwörter, die gemeinsame Nutzung von Benutzerkonten und das Vergessen des Abmeldens. Daher bieten wir die Möglichkeit, Passwörter mit einer Mindestanzahl an Zeichen, Zahlen, Großbuchstaben und Sonderzeichen vorzuschreiben. Die obligatorische Passwortänderung alle paar Tage ist ebenfalls eine Funktion, die wir in das i-Reserve -Reservierungssystem integriert haben.

Selbstverständlich liegt es in Ihrer Verantwortung als Organisation, sicherzustellen, dass für jeden Benutzer ein Benutzerkonto angelegt wird (dies verursacht keine zusätzlichen Kosten) und dass die Berechtigungen basierend auf Benutzergruppen korrekt konfiguriert sind. Durch die Verkürzung der Sitzungsdauer kann das Problem des Vergessens des Abmeldens behoben werden.

Kurz gesagt, es bedarf ausreichender Möglichkeiten, selbst Verantwortung zu übernehmen und den Missbrauch (personenbezogener) Daten zu verhindern.

Neugierig auf unser Reservierungssystem?

Möchten Sie erfahren, was das i-Reserve -Reservierungssystem sonst noch für Sie tun kann? Oder wünschen Sie weitere Informationen zur Sicherung von Kundendaten? Dann kontaktieren Sie uns.