Swiftpage und Sicherheit

 

Zusammenfassung

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die Swiftpage in Bezug auf Folgendes ergreift:

  • Produkte von Swiftpage;
  • personenbezogene Daten, die Swiftpage als Datenverarbeiter im Auftrag seiner Endbenutzer verarbeitet; und
  • personenbezogene Daten, die Swiftpage als Datenverantwortlicher kontrolliert.

Damit werden Kunden unterstützt, ihren Verpflichtungen gemäß der Datenschutz-Grundverordnung in Bezug auf die Sicherheit nachzukommen, wenn sie einen Vertrag mit Swiftpage schließen.

 

Hintergrund

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Die DSGVO verpflichtet alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, zur Einhaltung der Datenschutzrichtlinien und anderer DSGVO-Vorschriften. Einer der in der DSGVO festgelegten Standards ist, dass Unternehmen personenbezogene Daten durch „geeignete technische und organisatorische Maßnahmen“ auf sichere Weise verarbeiten müssen. Diese Maßnahme wird als Sicherheit der Verarbeitung bezeichnet. In diesem Dokument haben die definierten Begriffe der DSGVO die gleiche Bedeutung.

 

Welche technischen Maßnahmen ergreift Swiftpage in Bezug auf seine Produkte Act! Pro, Act! CRM Cloud, Act! emarketing und Swiftpage emarketing?

Beschreibung der verschiedenen Act! CRM Produkttypen
Welche technischen Maßnahmen ergriffen werden müssen, hängt davon ab, wie Act! vom Nutzer eingesetzt wird. Act! CRM kann von Swiftpage als eine Cloud-Bereitstellung erworben werden, wenn die Act! CRM Software und die Datenbank auf Servern installiert sind, die in einem Remote-Rechenzentrum gehostet werden und auf die über eine Internet- oder Cloud-Verbindung via Webbrowser zugegriffen wird. Act! CRM kann optional auf Computern installiert werden, die vom Nutzer (oder von seinem Unterauftragnehmer) direkt bedient werden. Diese Bereitstellungsmethode heißt „Self-Hosting“ bzw. auch „lokale Installation“ oder „Desktop“. (Act! Pro ist ein ausschließlich selbst gehostetes Produkt.) Wenn Sie nicht wissen, ob Ihr Act! Produkt selbst gehostet ist oder in einer Cloud bereitgestellt wird, sehen Sie bitte in Ihrer Rechnung und in der dazugehörigen Dokumentation Ihres Act! Produkts nach.

Selbst gehostete Act! Software
Das Schutzniveau für selbst gehostete Act! Software hängt davon ab, welche Schutzmaßnahmen der Act! Administrator umgesetzt hat. Wenn Sie nicht der Administrator sind und weitere Informationen benötigen, wenden Sie sich bitte an den verantwortlichen Administrator. Falls der Administrator einen Dritten, z. B. einen Hosting-Provider oder Act! Certified Consultant (ACC), mit dem Hosting der Act! Software beauftragt hat, muss sich der Administrator an diesen Hosting-Provider oder ACC wenden.

Welches Produkt-Schutzniveau ist gegeben, wenn Act! selbst gehostet wird?
Act! CRM verfügt über integrierte Schutzmaßnahmen, die vom Act! Administrator verwaltet werden, wie zum Beispiel:

  • Benutzername und Kennwörter,
  • Definierbare Kennwortrichtlinie
  • Sicherheitseinstellungen auf Feldebene (Anzeige der Informationen, die Nutzer sehen dürfen)
  • Sicherheitseinstellungen auf Datensatzebene (Steuerung des Zugriffs auf bestimmte Einheiten)
  • Fünf Sicherheitsrollen
  • Konfiguration des Clients für Act! for Web für eine sichere Verbindung, z. B. mit SSL-Verschlüsselung

Weitere Informationen, wie Sie bei selbst gehosteten Produkten die Anforderungen der DSGVO erfüllen, finden Sie in unserem ausführlichem eBook CRM-Systeme und DSGVO-Compliance.

Act! CRM Cloud Produkte
Dieser Abschnitt bezieht sich auf Act! CRM Cloud von Swiftpage (im Folgenden „Act! CRM Cloud“). Dieser Abschnitt bezieht sich auf personenbezogene Daten, die Kunden in den Datenbanken auf den Servern der Act! CRM Cloud Produkte speichern, wobei Swiftpage die Nutzung dieser Daten nicht festlegt und ein Datenverarbeiter im Sinne der DSGVO ist.

Sicherheit von Act! CRM Cloud
Die oben genannten Maßnahmen für den Schutz des Produkts gelten für alle Act! CRM Cloud Produkte. Der Punkt für Act! for Web ist jedoch nicht relevant, da Swiftpage die Verschlüsselung der Browser-Verbindungen verwaltet. Nachfolgend werden die zusätzlichen Schutzmaßnahmen beschrieben, die für die Act! CRM Cloud gelten.

Kommunikation zwischen Ihrem Gerät und Ihrer Instanz (oder Kopie) eines Act! CRM Cloud
Sie greifen über einen Browser auf Ihrem Gerät auf ein Act! CRM Cloud zu. Stellen Sie deshalb sicher, dass dieses Gerät geschützt ist. Die Kommunikation Ihres Geräts mit den Act! CRM Cloud ist nach dem aktuellen Branchenstandard verschlüsselt. Zum Zeitpunkt der Erstellung dieses Dokuments (2019) wird beispielsweise TLS 1.2 unterstützt. Wir werden die Kommunikationssicherheit an die Entwicklungen der Branche anpassen.

Schutz Ihrer Act! CRM Cloud Instanz
Die Act! CRM Cloud Server werden von Google über den Service „Google Compute Engine“ gehostet. Die Server befinden sich für Kunden mit einer Rechnungsadresse in der EU (Großbritannien ist davon ausgenommen) in Brüssel (Belgien) sowie für Kunden mit einer Rechnungsadresse in Großbritannien in London (England). Swiftpage hat außerdem mit Google einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen. Weitere Informationen zur Google Compute Engine und zur Erfüllung der DSGVO-Anforderungen finden Sie auf der DSGVO-Website von Google. Jede Kundeninstanz von Act! CRM Cloud ist über ein einmaliges virtuelles Verzeichnis von den Instanzen anderer Kunden auf demselben Server getrennt. Es ist daher ausgeschlossen, dass die Daten eines Kunden mit den Daten eines anderen Kunden auf demselben Server verwechselt werden oder dass ein Kunde auf die Daten eines anderen Kunden zugreifen kann. Auf jeder Instanz ist eine Antivirenlösung installiert, die aktualisiert wird, falls erforderlich. Überwachungstools ermöglichen dem Cloud Operations-Team von Act! CRM die Überwachung der Server im Hintergrund auf unübliche Aktivitäten oder außergewöhnliches Verhalten. Diese Überwachung erfolgt rund um die Uhr. Wenn Probleme oder Auffälligkeiten festgestellt werden, wird das Cloud Operations-Team benachrichtigt, das daraufhin Maßnahmen ergreift. Kunden, die Ihrem Act! CRM Cloud Produkt zusätzlichen Schutz hinzufügen möchten, steht die Option „Private Cloud“ – d. h. eine dedizierte Instanz – zur Verfügung. Bitte wenden Sie sich an Ihren zuständigen Vertriebsmitarbeiter oder an Ihren ACC, wenn Sie weitere Informationen zu dieser Option erhalten möchten.

Schutz des Rechenzentrums
Swiftpage hat mit Google einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen, einschließlich der Vorschrift, die Google verpflichten, die Daten nur mit angemessenen Sicherheitsvorkehrungen in die USA gemäß DSGVO zu übermitteln. Die Act! Datenbanken von Kunden mit Sitz in der EU werden auf Servern gespeichert, die sich in Google-Rechenzentren in Europa befinden. Weitere Informationen zur Sicherheit der Google Cloud Platform finden Sie auf der Google-Webseite über die Sicherheit der Google-Rechenzentren.

Act! Marketing Automation
Act! Marketing Automation ist eine Software zur Marketing-Automatisierung die als Dienstleistung über das Internet bereitgestellt wird. Act! Marketing Automation ist in Act! CRM (sowohl in der Cloud-Bereitstellung als auch als selbst gehostete Instanz) integriert. Der Zugriff erfolgt über einen Browser. Die Act! Marketing Automation Server werden von Amazon über den AWS-Service gehostet. Die Server befinden sich für Kunden mit einer Rechnungsadresse in der EU (Großbritannien ist davon ausgenommen) in Frankfurt (Deutschland) sowie für Kunden mit einer Rechnungsadresse in Großbritannien in London (England). Swiftpage hat außerdem mit Amazon einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen. Weitere Informationen zu AWS und zur Erfüllung der DSGVO-Anforderungen finden Sie auf der DSGVO-Website von Amazon zu AWS.

Act! emarketing
Act! emarketing ist ein cloudbasiertes E-Mail-Marketing-Produkt, das in allen selbst gehosteten sowie in der Cloud bereitgestellten Act! Produkten integriert ist. Dies bedeutet, dass alle personenbezogenen Daten der Empfänger an die Act! emarketing Server übermittelt werden, wenn Sie eine Act! Kampagne über Act! emarketing senden. Die Act! emarketing Server werden von Amazon über den AWS-Service gehostet. Die Server befinden sich in den USA. Swiftpage hat mit Amazon einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen, einschließlich der Vorschrift, die Amazon verpflichten, die Daten nur mit angemessenen Sicherheitsvorkehrungen in die USA gemäß DSGVO zu übermitteln. Weitere Informationen zu AWS und zur Erfüllung der DSGVO-Anforderungen finden Sie auf der DSGVO-Website von Amazon zu AWS..

Swiftpage emarketing
Swiftpage emarketing war ein eigenständiger cloudbasierter E-Mail-Marketing-Dienst, den Swiftpage eingestellt hat. Der Service wurde in Denver (Colorado, USA) auf Servern gehostet, die von Viawest verwaltet werden. Es wurde kein DSGVO-konformer Auftragsverarbeitungsvertrag geschlossen. Daher bestanden keine Garantien für die Übermittlung von Swiftpage emarketing Daten in die USA.

 

Welche organisatorischen Maßnahmen ergreift Swiftpage, um personenbezogene Daten zu schützen?

Swiftpage Standorte und Innenräume
Die Zugangskontrolle zu den physischen Standorten von Swiftpage erfolgt über Proximity-Karten. Das Aktivieren und Deaktivieren der Mitarbeiter wird über einen Prozess gesteuert. Ein separater Prozess kontrolliert den Zugang von Besuchern. Die Räumlichkeiten für die IT (z. B. Räume mit den Dateiservern und mit der Hardware für die Kommunikation) sind gesperrt und ausschließlich für IT-Mitarbeiter zugänglich. Auf dem gesamten Betriebsgelände wird rund um die Uhr eine Videoüberwachung und -aufzeichnung eingesetzt.
In der Regel werden auf dem Swiftpage Betriebsgelände keine personenbezogenen Daten in den Act! Datenbanken von Kunden gespeichert. Eine Ausnahme hiervon ist, wenn Sie einen Service direkt von Swiftpage angefordert haben, der von Swiftpage verlangt, mit Ihren Daten zu arbeiten, z. B. bei einer Wiederherstellung einer beschädigten Act! Datenbank. Weitere Informationen, wie Swiftpage unter diesen Umständen Daten (und personenbezogene Daten) verarbeitet und speichert, finden Sie in der Dokumentation, die wir Ihnen zu diesem Service zur Verfügung gestellt haben.

Swiftpage Mitarbeiter und Vertraulichkeit
Die Mitarbeiter von Swiftpage heißen Swifties und werden auf ihre Identität überprüft, bevor Sie eingestellt werden. Alle Swifties unterzeichnen eine vertraglich verpflichtende Vertraulichkeitserklärung. Die Swifties im europäischen Büro in Newcastle upon Tyne (Großbritannien) haben eine DSGVO-Schulung durchlaufen. Alle Swifties erhalten eine rollenspezifische Einarbeitung und Schulung. Das Vertriebsteam erhält z. B. eine jährliche Auffrischung zur PCI-Compliance und unser technisches Support-Team wird regelmäßig qualitätsgeprüft. Telefongespräche mit Kunden werden zu Sicherheits- und Schulungszwecken aufgezeichnet. Sie werden häufig von einem Swiftie und seinem Vorgesetzten wiedergegeben und überprüft, wenn Verbesserungen, einschließlich der Einhaltung von Vorschriften, erforderlich sind und geeignete Maßnahmen ergriffen werden müssen.

Arbeitspraxis von Swiftpage
Alle Mitarbeiter müssen die IT-Nutzungsrichtlinien befolgen, um die Systemhardware und -infrastruktur zu schützen. Es gibt Standardarbeitsanweisungen für kundenbezogene Aktivitäten. Dies hilft Swifties dabei, unsere Prozesse einzuhalten. Zudem werden die Qualität und Konsistenz unserer Serviceleistungen sichergestellt. („Das Richtige tun“ ist einer der wichtigsten Werte von Swiftpage.)

SOC 2- und SOC 3-Zertifizierung
Im Jahr 2017 wurde ein Bericht nach Service Organization Control 2 (SOC 2) erstellt. Im November 2018 wurde dieser Bericht aktualisiert und um einen SOC 3-Bericht ergänzt, der auf schriftliche Anfrage erhältlich ist. Jeder Bericht ist das Ergebnis einer strengen 2-stufigen und unabhängigen Auditierung unserer internen Systeme, die für die Prinzipien für einen vertrauenswürdigen Service (Trust Services Principles) und Kriterien für Sicherheit, Integrität der Verarbeitung, Verfügbarkeit, Datenschutz und Vertraulichkeit relevant sind. Jedes Prinzip kann bis zu 35 Unterkategorien haben. Um den Bericht zu vervollständigen, führte der Auditor eine Prüfung durch, die das gesamte Spektrum unseres Leistungsangebots abdeckt, einschließlich technischer Datensicherheit, Disaster Recovery, physischer Sicherheit, Personalmanagement und damit zusammenhängender Geschäftsprozesse. Es wurden zwei Typen von SOC 2-Audits durchgeführt. Der Audit Typ 1 untersuchte unsere Kontrollen (Prozesse), um sicherzustellen, dass sie zum Zeitpunkt des Audits den vorgeschriebenen Prinzipien und Standards entsprechen. Der Audit Typ 2 wurde mindestens vier Monate nach dem Audit Typ 1 durchgeführt und bestätigte, dass die im Audit Typ 1 bewerteten Kontrollen (Prozesse) wie vorgesehen funktionieren. Dazu hat Swiftpage mehr als 450 Artefakte für den Audit Typ 1 und 200 Artefakte für den Audit Typ 2 zur Verfügung gestellt. Die Audits wurden vor Ort in fünf bzw. drei Tagen durchgeführt. Seit Fertigstellung des Abschlussberichts gilt Swiftpage als konform. Um die Compliance durchgehend sicherzustellen, wird Swiftpage jährliche Audits durchführen. Um den SOC 3-Bericht (Zusammenfassung des SOC 2-Berichts für eine allgemeine Zielgruppe) anzufordern, senden Sie bitte eine E-Mail an folgende Adresse: privacy@swiftpage.com.

Unterauftragsverarbeiter (im Sinne der DSGVO)
Swiftpage beauftragt eine Reihe von Unternehmen, die Kundendaten im Namen von Swiftpage verarbeiten. Swiftpage fordert gemäß DSGVO von allen Unterauftragsverarbeitern, dass sie einen Auftragsverarbeitungsvertrag eingehen. Wenn sich Unterauftragsverarbeiter außerhalb der EU befinden, verlangt Swiftpage außerdem, dass sie geeignete Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten

Zusätzliche organisatorische Maßnahmen für Act! CRM Cloud

  • Personenbezogene Sicherheitsmaßnahmen: Die Mitarbeiter von Swiftpage haben keinen physischen Zugang zu den Servern von Act! Cloud Produkten; wenn Sie Zugang erhalten, dann als einmaliger Besucher der betreffenden Räumlichkeit. Der physische Zugang von Google- und Amazon-Mitarbeitern auf die Server wird durch die entsprechenden Webseiten (siehe Links oben) von Google und Amazon abgedeckt.
  • Sicherheit der Kundendaten: Swiftpage-Mitarbeiter können nur über firmeneigene Softwaretools auf die auf den Act! Cloud Produkt-Servern gespeicherten Kundendaten zugreifen. Die Softwaretools stellen sicher, dass nur autorisierte Mitarbeiter Zugang zu diesen Kundendaten und nur einen kontrollierten sowie überprüften Zugang erhalten. Wenn Swiftpage die Daten eines Cloud-Kunden (in Ausnahmefällen) manuell importieren muss, wird der Kunden zum Zeitpunkt des Imports über die durchgeführten Schutzmaßnahmen informiert.
    Die in der Datenbank des Act! Cloud Produkts gespeicherten Daten sind Eigentum des Kunden und werden von ihm kontrolliert. Der Kunde weist Swiftpage an, wann und wie die Daten zu Vertragsbeginn hochgeladen bzw. wann und wie sie ggf. endgültig gelöscht werden sollen. Nach Ende der Vertragslaufzeit des Act! Cloud Produkts hat der Kunde die Möglichkeit, seine Daten mit den in Act! verfügbaren Tools zu exportieren. Swiftpage bewahrt diese Daten nach Beendigung des Vertrages für einen begrenzten Zeitraum auf und löscht die Daten gemäß der jeweils gültigen Richtlinie.
  • Backup der Datenbanken von Act! Cloud Produkten: Alle 6 Stunden werden Backups von den Act! Cloud Datenbanken erstellt. Das erste Backup des Tages wird um 02:00 Uhr UTC (koordinierte Weltzeit) und dann alle 6 Stunden über den Tag verteilt durchgeführt. Der vollständige Backup-Plan lautet 02:00 UTC, 08:00 UTC, 14:00 UTC und 20:00 UTC. Die Uhrzeiten werden in UTC (Universal Time Coordinated) angegeben, sodass der Zeitplan für alle Zeitzonen abgeleitet werden kann. Die Backups werden jeweils 7 Kalendertage ab dem Zeitpunkt ihrer Erstellung aufbewahrt. So ist beispielsweise ein Backup, das am Montag um 02:00 Uhr UTC erstellt wurde, bis zum darauffolgenden Montag bis 02:00 Uhr UTC verfügbar. Diese Informationen sind seit Mai 2018 korrekt.
  • Unterauftragsverarbeiter: Swiftpage beauftragt für Act! CRM Cloud Google sowie für Act! emarketing Amazon als Unterauftragsverarbeiter für Rechenzentrumsleistungen. Sowohl Google als auch Amazon müssen Informationen über ihre eigenen Unterauftragsverarbeitern zur Verfügung stellen. Diese Informationen können über die entsprechenden Webseiten abgerufen werden, siehe dazu die oben genannten Links.

 

Können wir einen Vertrag über die Auftragsverarbeitung unterzeichnen, die unsere Nutzung der Act! Cloud Produkte abdeckt, sodass wir die DSGVO-Anforderungen erfüllen?

Ja. Senden Sie eine E-Mail an GDPR.DPA@swiftpage.comfür eine vorab unterschriebene Kopie der Vereinbarung. Unterschreiben Sie die Vereinbarung, scannen Sie sie ein und senden Sie sie per E-Mail an uns zurück. Bitte beachten Sie, dass wir ausschließlich diese Vereinbarung mit Ihnen schließen und keine andere Version berücksichtigen, z. B. eine von Ihren Anwälten erstellte Version, die Sie uns zur Unterschrift vorlegen. Außerdem akzeptieren wir keine Änderungen dieser Standardvereinbarung. Bitte beachten Sie, dass kein Vertrag über eine Auftragsverarbeitung erforderlich ist, wenn Swiftpage personenbezogene Daten von Mitarbeitern Ihres Unternehmens im Zusammenhang mit einer Transaktion zwischen Ihrem Unternehmen und Swiftpage verarbeitet. Denn Swiftpage bestimmt in diesen Fällen die Nutzung der personenbezogenen Daten und ist daher ein Datenverantwortlicher, der die DSGVO einzuhalten hat.

 

Werden personenbezogene Daten außerhalb der EU übermittelt? Sind ausreichende Schutzniveaus vorhanden, wenn Daten außerhalb der EU übermittelt werden? Wenn ja, um welche Sicherheitsmaßnahmen handelt es sich?

Bitte beachten Sie unsere Datenschutzerklärung, die aktuelle Informationen zu diesem Thema enthält.

 

Welche Auftragsverarbeiter setzt Swiftpage ein, um personenbezogene Daten im Rahmen der eigenen Geschäftstätigkeit zu verarbeiten? Gibt es ausreichende Garantien?

In Übereinstimmung mit den DSGVO-Verpflichtungen von Swiftpage hat Swiftpage schriftliche Auftragsverarbeitungsverträge mit den Verarbeitern abgeschlossen, die mit der Verarbeitung Ihrer personenbezogenen Daten beauftragt sind.
Verarbeiter mit Sitz in den USA haben sich beim Privacy Shield Framework des Handelsministeriums der Vereinigten Staaten (US Department of Commerce) selbst zertifiziert.