Act! und Sicherheit

Zusammenfassung

Dieses Dokument beschreibt die technischen und organisatorischen Maßnahmen, die Act! in Bezug auf Folgendes ergreift:

• Produkte von Act!;
• personenbezogene Daten, die Act! als Datenverarbeiter im Auftrag seiner Endbenutzer verarbeitet; und
• personenbezogene Daten, die Act! als Datenverantwortlicher kontrolliert.

Damit werden Kunden unterstützt, ihren Verpflichtungen gemäß der Datenschutz-Grundverordnung in Bezug auf die Sicherheit nachzukommen, wenn sie einen Vertrag mit Act! schließen.

Hintergrund

Die EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Die DSGVO verpflichtet alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, zur Einhaltung der Datenschutzrichtlinien und anderer DSGVO-Vorschriften. Einer der in der DSGVO festgelegten Standards ist, dass Unternehmen personenbezogene Daten durch „geeignete technische und organisatorische Maßnahmen“ auf sichere Weise verarbeiten müssen. Diese Maßnahme wird als Sicherheit der Verarbeitung bezeichnet. In diesem Dokument haben die definierten Begriffe der DSGVO die gleiche Bedeutung.

Welche technischen Maßnahmen ergreift Act! in Bezug auf seine Produkte?

Beschreibung der verschiedenen Act! Produkttypen
Welche technischen Maßnahmen ergriffen werden müssen, hängt davon ab, wie Act! vom Nutzer eingesetzt wird. Act! kann von Act! LLC als eine Cloud-Bereitstellung erworben werden, wenn die Act! CRM Software und die Datenbank auf Servern, die in einem Remote-Rechenzentrum von Act! LLC gehostet werden und auf die über eine Internet- oder Cloud-Verbindung via Webbrowser zugegriffen wird. Act! CRM, Act! CRM Cloud und Act! Growth Suite (Cloud-Bereitstellung) sind Beispiele unserer Cloud-Produkte. Act! Premium kann auf Computern installiert werden, die vom Nutzer (oder von seinem Unterauftragnehmer) direkt bedient werden. Diese Bereitstellungsmethode heißt „Self-Hosting“ bzw. auch „lokale Installation“. (Act! Premium und Act! Pro sind ausschließlich selbst gehostete Produkte.) Wenn Sie nicht wissen, ob Ihr Act! Produkt lokal installiert ist oder in einer Cloud bereitgestellt wird, sehen Sie bitte in Ihrer Rechnung und in der dazugehörigen Dokumentation Ihres Act! Produkts nach.

Selbst gehostete Act! Software
Das Schutzniveau für selbst gehostete Act! Software hängt davon ab, welche Schutzmaßnahmen der Act! Administrator umgesetzt hat. Wenn Sie nicht der Administrator sind und weitere Informationen benötigen, wenden Sie sich bitte an den verantwortlichen Administrator. Falls der Administrator einen Dritten, z. B. einen Hosting-Provider oder Act! Certified Consultant (ACC), mit dem Hosting der Act! Software beauftragt hat, muss sich der Administrator an diesen Hosting-Provider oder ACC wenden.

Welches Produkt-Schutzniveau ist gegeben, wenn Act! selbst gehostet wird?
Act! CRM verfügt über integrierte Schutzmaßnahmen, die vom Act! Administrator verwaltet werden, wie zum Beispiel:

• Benutzername und Kennwörter,
• Definierbare Kennwortrichtlinie
• Sicherheitseinstellungen auf Feldebene (Anzeige der Informationen, die Nutzer sehen dürfen)
• Sicherheitseinstellungen auf Datensatzebene (Steuerung des Zugriffs auf bestimmte Einheiten)
• Fünf Sicherheitsrollen
• Konfiguration des Clients für Act! for Web für eine sichere Verbindung, z. B. mit SSL-Verschlüsselung

Weitere Informationen, wie Sie bei selbst gehosteten Produkten die Anforderungen der DSGVO erfüllen, finden Sie in unserem ausführlichem eBook CRM-Systeme und DSGVO-Compliance.

Act! CRM Produkte
Dieser Abschnitt bezieht sich auf Act! CRM Produkte, die von Act! Software Limited und seinem verbundenen Unternehmen Act! LLC gehostet werden, einschließlich Act! CRM Cloud, Act! Growth Suite (Cloud-Bereitstellung) und Act! CRM. Dieser Abschnitt bezieht sich auf personenbezogene Daten, die Kunden in den Datenbanken auf den Servern der Act! CRM Produkte speichern, wobei Act! LLC die Nutzung dieser Daten nicht festlegt und ein Datenverarbeiter im Sinne der DSGVO ist.

Sicherheit von Act! Cloud
Die oben genannten Maßnahmen für den Schutz des Produkts gelten für alle Act! CRM Produkte. Der Punkt für Act! CRM for Web ist jedoch nicht relevant, da Act! die Verschlüsselung der Browser-Verbindungen verwaltet. Nachfolgend werden die zusätzlichen Schutzmaßnahmen beschrieben, die für die Act! CRM Cloud gelten.

Kommunikation zwischen Ihrem Gerät und Ihrer Instanz (oder Kopie) eines Act! CRM Cloud Produkts
Sie greifen über einen Browser auf Ihrem Gerät auf Act! CRM zu. Stellen Sie deshalb sicher, dass dieses Gerät geschützt ist. Die Kommunikation Ihres Geräts mit Act! CRM ist nach dem aktuellen Branchenstandard verschlüsselt. Zum Zeitpunkt der Erstellung dieses Dokuments (2019) wird beispielsweise TLS 1.2 unterstützt. Wir werden die Kommunikationssicherheit an die Entwicklungen der Branche anpassen.

Schutz Ihrer Act! CRM Instanz auf den von Amazon gehosteten Servern
Jede Act! Datenbank jedes Kunden wird als unabhängige Datenbank gespeichert und gesichert. Es ist daher ausgeschlossen, dass die Daten eines Kunden mit den Daten eines anderen Kunden auf demselben Server verwechselt werden oder dass ein Kunde auf die Daten eines anderen Kunden zugreifen kann.

Kunden, die Ihrem Act! CRM Produkt zusätzlichen Schutz hinzufügen möchten, steht die Option „Single-Tenant“ zur Verfügung. Bitte wenden Sie sich an Ihren zuständigen Vertriebsmitarbeiter oder an Ihren ACC, wenn Sie weitere Informationen zu dieser Option erhalten möchten. Auf jedem Server ist eine Antivirenlösung installiert, die aktualisiert wird, falls erforderlich. Überwachungstools ermöglichen dem Operations-Team von Act! CRM die Überwachung der Server im Hintergrund auf unübliche Aktivitäten oder außergewöhnliches Verhalten. Diese Überwachung erfolgt rund um die Uhr. Wenn Probleme oder Auffälligkeiten festgestellt werden, wird das Operations-Team benachrichtigt, das daraufhin Maßnahmen ergreift.

Schutz Ihrer Act! CRM Instanz
Die Act! CRM Server werden von Amazon über den Service „Amazon Web Services (AWS)“ gehostet. Die Server befinden sich für Kunden mit einer Rechnungsadresse in der EU (Großbritannien ist davon ausgenommen) in Frankfurt (Deutschland) sowie für Kunden mit einer Rechnungsadresse in Großbritannien in London (England). Act! hat außerdem mit Amazon einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen.

Act! Marketing Automation
Act! Marketing Automation ist eine Software zur Marketing-Automatisierung die als Dienstleistung über das Internet bereitgestellt wird. Act! Marketing Automation ist in Act! CRM (sowohl in der Cloud-Bereitstellung als auch als selbst gehostete Instanz) integriert. Der Zugriff erfolgt über einen Browser. Die Act! Marketing Automation Server werden von Amazon über den AWS-Service gehostet. Die Server befinden sich für Kunden mit einer Rechnungsadresse in der EU (Großbritannien ist davon ausgenommen) in Frankfurt (Deutschland) sowie für Kunden mit einer Rechnungsadresse in Großbritannien in London (England). Act! hat außerdem mit Amazon einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen. Weitere Informationen zu AWS und zur Erfüllung der DSGVO-Anforderungen finden Sie auf der DSGVO-Website von Amazon zu AWS. Wir verwenden Sparkpost, um von Act! Marketing Automation gesendete E-Mails zuzustellen. Im Rahmen der Bereitstellung dieses Dienstes werden die E-Mails der Empfänger vorübergehend (für ca. 10 Tage) auf den in den USA ansässigen Servern von Sparkpost gespeichert. In Bezug auf diesen Dienst besteht zwischen Act! und Sparkpost eine GDPR-konforme Datenverarbeitungsvereinbarung.

Act! emarketing
Act! emarketing wird am 1. Januar 2021 vom Markt genommen. Act! emarketing ist ein cloudbasiertes E-Mail-Marketing-Produkt, das in allen selbst gehosteten sowie in der Cloud bereitgestellten Act! Produkten integriert ist. Dies bedeutet, dass alle personenbezogenen Daten der Empfänger an die Act! emarketing Server übermittelt werden, wenn Sie eine Act! Kampagne über Act! emarketing senden. Die Act! emarketing Server werden von Amazon über den AWS-Service gehostet. Die Server befinden sich in den USA. Act! hat mit Amazon einen DSGVO-konformen Auftragsverarbeitungsvertrag in Bezug auf diesen Service geschlossen, einschließlich der Vorschrift, die Amazon verpflichten, die Daten nur mit angemessenen Sicherheitsvorkehrungen in die USA gemäß DSGVO zu übermitteln. Weitere Informationen zu AWS und zur Erfüllung der DSGVO-Anforderungen finden Sie auf der DSGVO-Website von Amazon zu AWS.

Swiftpage emarketing
Swiftpage emarketing war ein eigenständiger Cloud-basierter E-Mail-Marketing-Service, den Act! LLC vom Markt genommen hat. Swiftpage emarketing wurde auf Servern in Denver, Colorado (USA), die von Viawest verwaltet wurden, gehostet. Für Swiftpage emarketing gab es keine DSGVO-Datenverarbeitungsvereinbarung und keine Sicherheitsvorkehrungen hinsichtlich der Datenübertragung in die USA.

Welche organisatorischen Maßnahmen ergreift Act!, um personenbezogene Daten zu schützen?

Act! Standorte und Innenräume
Die Zugangskontrolle zu den physischen Standorten von Act! erfolgt über Proximity-Karten. Das Aktivieren und Deaktivieren der Mitarbeiter wird über einen Prozess gesteuert. Ein separater Prozess kontrolliert den Zugang von Besuchern. Die Räumlichkeiten für die IT (z. B. Räume mit den Dateiservern und mit der Hardware für die Kommunikation) sind gesperrt und ausschließlich für IT-Mitarbeiter zugänglich. Auf dem gesamten Betriebsgelände wird rund um die Uhr eine Videoüberwachung und -aufzeichnung eingesetzt.
In der Regel werden auf dem Act! Betriebsgelände keine personenbezogenen Daten in den Act! Datenbanken von Kunden gespeichert. Eine Ausnahme hiervon ist, wenn Sie z.B. einen Service anfordern, der Ihre Act! Datenbank auf die neueste Version aktualisiert. Weitere Informationen, wie Act! unter diesen Umständen Daten (und personenbezogene Daten) verarbeitet und speichert, finden Sie in der Dokumentation, die wir Ihnen zu diesem Service zur Verfügung gestellt haben.

Act! Mitarbeiter und Vertraulichkeit
Die Mitarbeiter von Act! werden auf ihre Identität überprüft, bevor Sie eingestellt werden. Alle Mitarbeiter unterzeichnen eine vertraglich verpflichtende Vertraulichkeitserklärung. Die Mitarbeiter im europäischen Büro in Newcastle upon Tyne (Großbritannien) haben eine DSGVO-Schulung durchlaufen. Alle Mitarbeiter erhalten eine rollenspezifische Einarbeitung und Schulung. Das Vertriebsteam erhält z. B. eine jährliche Auffrischung zur PCI-Compliance und unser technisches Support-Team wird regelmäßig qualitätsgeprüft. Telefongespräche mit Kunden werden zu Sicherheits- und Schulungszwecken aufgezeichnet. Sie werden häufig von einem Mitarbeiter und seinem Vorgesetzten wiedergegeben und überprüft, wenn Verbesserungen, einschließlich der Einhaltung von Vorschriften, erforderlich sind und geeignete Maßnahmen ergriffen werden müssen.

Arbeitspraxis von Act!
Alle Mitarbeiter müssen die IT-Nutzungsrichtlinien befolgen, um die Systemhardware und -infrastruktur zu schützen. Es gibt Standardarbeitsanweisungen für kundenbezogene Aktivitäten. Dies hilft den Mitarbeitern dabei, unsere Prozesse einzuhalten. Zudem werden die Qualität und Konsistenz unserer Serviceleistungen sichergestellt. („Das Richtige tun“ ist einer der wichtigsten Werte von Act!.)

SOC 2- und SOC 3-Zertifizierung
Im Jahr 2017 wurde ein Bericht nach Service Organization Control 2 (SOC 2) erstellt. Jedes Jahr wird dieser Bericht aktualisiert und um einen SOC 3-Bericht ergänzt, der auf schriftliche Anfrage erhältlich ist. Jeder Bericht ist das Ergebnis einer strengen 2-stufigen und unabhängigen Auditierung unserer internen Systeme, die für die Prinzipien für einen vertrauenswürdigen Service (Trust Services Principles) und Kriterien für Sicherheit, Integrität der Verarbeitung, Verfügbarkeit, Datenschutz und Vertraulichkeit relevant sind. Jedes Prinzip kann bis zu 35 Unterkategorien haben. Um den Bericht zu vervollständigen, führte der Auditor eine Prüfung durch, die das gesamte Spektrum unseres Leistungsangebots abdeckt, einschließlich technischer Datensicherheit, Disaster Recovery, physischer Sicherheit, Personalmanagement und damit zusammenhängender Geschäftsprozesse. Es wurden zwei Typen von SOC 2-Audits durchgeführt. Der Audit Typ 1 untersuchte unsere Kontrollen (Prozesse), um sicherzustellen, dass sie zum Zeitpunkt des Audits den vorgeschriebenen Prinzipien und Standards entsprechen. Der Audit Typ 2 wurde mindestens vier Monate nach dem Audit Typ 1 durchgeführt und bestätigte, dass die im Audit Typ 1 bewerteten Kontrollen (Prozesse) wie vorgesehen funktionieren. Dazu hat Act! mehr als 450 Artefakte für den Audit Typ 1 und 200 Artefakte für den Audit Typ 2 zur Verfügung gestellt. Die Audits wurden vor Ort in fünf bzw. drei Tagen durchgeführt. Seit Fertigstellung des Abschlussberichts gilt Act! als konform. Um die Compliance durchgehend sicherzustellen, wird Act! jährliche Audits durchführen. Um den SOC 3-Bericht (Zusammenfassung des SOC 2-Berichts für eine allgemeine Zielgruppe) anzufordern, senden Sie bitte eine E-Mail an folgende Adresse: privacy@act.com.

Unterauftragsverarbeiter (im Sinne der DSGVO)
Act! beauftragt eine Reihe von Unternehmen, die Kundendaten im Namen von Act! verarbeiten. Act! fordert gemäß DSGVO von allen Unterauftragsverarbeitern, dass sie einen Auftragsverarbeitungsvertrag eingehen. Wenn sich Unterauftragsverarbeiter außerhalb der EU befinden, verlangt Act! außerdem, dass sie geeignete Maßnahmen ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten

Zusätzliche organisatorische Maßnahmen für Act! CRM 

• Personenbezogene Sicherheitsmaßnahmen: Die Mitarbeiter von Act! haben keinen physischen Zugang zu den Servern von Act! CRM Produkten; wenn Sie Zugang erhalten, dann als einmaliger Besucher der betreffenden Räumlichkeit. Der physische Zugang von Amazon-Mitarbeitern auf die Server wird durch die entsprechenden Webseiten (siehe Links oben) von Amazon abgedeckt.
• Sicherheit der Kundendaten: Act!-Mitarbeiter können nur über firmeneigene Softwaretools auf die auf den Act! CRM Produkt-Servern gespeicherten Kundendaten zugreifen. Die Softwaretools stellen sicher, dass nur autorisierte Mitarbeiter Zugang zu diesen Kundendaten und nur einen kontrollierten sowie überprüften Zugang erhalten. Wenn Act! die Daten eines Act! CRM-Kunden (in Ausnahmefällen) manuell importieren muss, wird der Kunden zum Zeitpunkt des Imports über die durchgeführten Schutzmaßnahmen informiert.
  Die in der Datenbank des Act! CRM Produkts gespeicherten Daten sind Eigentum des Kunden und werden von ihm kontrolliert. Der Kunde weist Act! an, wann und wie die Daten zu Vertragsbeginn hochgeladen bzw. wann und wie sie ggf. endgültig gelöscht werden sollen. Nach Ende der Vertragslaufzeit des Act! CRM Produkts hat der Kunde die Möglichkeit, seine Daten mit den in Act! verfügbaren Tools zu exportieren. Act! LLC bewahrt diese Daten nach Beendigung des Vertrages für einen begrenzten Zeitraum auf (ungefähr sieben Tage) und löscht die Daten gemäß der aktuell gültigen internen Richtlinie von Act! LLC.
• Backup der Datenbanken von Act! CRM Produkten: Alle 6 Stunden werden Backups von den Act! CRM Datenbanken erstellt. Das erste (und vollständige) Backup des Tages wird um 02:00 Uhr UTC (koordinierte Weltzeit) und dann werden weitere Backups alle 6 Stunden über den Tag verteilt durchgeführt. Der vollständige Backup-Plan lautet 02:00 UTC, 08:00 UTC, 14:00 UTC und 20:00 UTC. Die Uhrzeiten werden in UTC (Universal Time Coordinated) angegeben, sodass der Zeitplan für alle Zeitzonen abgeleitet werden kann. Die Backups werden jeweils 7 Kalendertage ab dem Zeitpunkt ihrer Erstellung aufbewahrt. So ist beispielsweise ein Backup, das am Montag um 02:00 Uhr UTC erstellt wurde, bis zum darauffolgenden Montag bis 02:00 Uhr UTC verfügbar. Diese Informationen sind seit Mai 2018 korrekt.
• Unterauftragsverarbeiter: Act! beauftragt für Act! CRM sowie für Act! Marketing Automation Amazon als Unterauftragsverarbeiter für Rechenzentrumsleistungen. Amazon muss Informationen über ihre eigenen Unterauftragsverarbeitern zur Verfügung stellen. Diese Informationen können über die entsprechenden Webseiten abgerufen werden, siehe dazu die oben genannten Links.

Können wir einen Vertrag über die Auftragsverarbeitung unterzeichnen, die unsere Nutzung der Act! CRM Produkte abdeckt, sodass wir die DSGVO-Anforderungen erfüllen?

Ja. Senden Sie eine E-Mail an GDPR.DPA@act.com für eine vorab unterschriebene Kopie der Vereinbarung. Unterschreiben Sie die Vereinbarung, scannen Sie sie ein und senden Sie sie per E-Mail an uns zurück. Bitte beachten Sie, dass wir ausschließlich diese Vereinbarung mit Ihnen schließen und keine andere Version berücksichtigen, z. B. eine von Ihren Anwälten erstellte Version, die Sie uns zur Unterschrift vorlegen. Außerdem akzeptieren wir keine Änderungen dieser Standardvereinbarung. Bitte beachten Sie, dass kein Vertrag über eine Auftragsverarbeitung erforderlich ist, wenn Act! personenbezogene Daten von Mitarbeitern Ihres Unternehmens im Zusammenhang mit einer Transaktion zwischen Ihrem Unternehmen und Act! verarbeitet. Denn Act! bestimmt in diesen Fällen die Nutzung der personenbezogenen Daten und ist daher ein Datenverantwortlicher, der die DSGVO einzuhalten hat.

Werden personenbezogene Daten außerhalb der EU übermittelt? Sind ausreichende Schutzniveaus vorhanden, wenn Daten außerhalb der EU übermittelt werden? Wenn ja, um welche Sicherheitsmaßnahmen handelt es sich?

Bitte beachten Sie unsere Datenschutzerklärung, die aktuelle Informationen zu diesem Thema enthält.

Welche Auftragsverarbeiter setzt Act! ein, um personenbezogene Daten im Rahmen der eigenen Geschäftstätigkeit zu verarbeiten? Gibt es ausreichende Garantien?

In Übereinstimmung mit den DSGVO-Verpflichtungen von Act! hat Act! schriftliche Auftragsverarbeitungsverträge mit den Verarbeitern abgeschlossen, die mit der Verarbeitung Ihrer personenbezogenen Daten beauftragt sind.
Verarbeiter mit Sitz in den USA haben sich beim Privacy Shield Framework des Handelsministeriums der Vereinigten Staaten (US Department of Commerce) selbst zertifiziert.