Sicherheit bei Factorial

Factorial HR kann sowohl für die Verarbeitung als auch für den Umgang mit personenbezogenen Daten im Sinne der DSGVO verantwortlich sein. Beispielsweise ist Factorial für die Verarbeitung personenbezogener Daten verantwortlich, wenn ein Kunde direkt mit uns einen Vertrag über die Verarbeitung der Daten des Kunden abschließt.

In den meisten Fällen hat Factorial jedoch aufgrund der Art unseres Geschäfts keine direkte Beziehung zu den betroffenen Personen und verarbeitet die personenbezogenen Daten der Endnutzer ausschließlich im Namen der Kunden und gemäß deren Anweisungen. Wenn Sie also ein Arbeitnehmer sind, der unsere Plattform nutzt, handeln wir bei der Verarbeitung Ihrer Daten ausschließlich als Datenverarbeiter. Unsere Kunden entscheiden, zu welchen Zwecken sie unsere Plattform nutzen und mit welchen Mitteln sie Daten mithilfe der Vielzahl von Funktionen unserer Plattform sammeln. 

Im Falle von Nutzern, die auf unserer Website surfen, wird Factorial ein Verarbeiter der hier gesammelten Daten sein, wie z. B. von Cookies oder aller Daten, die von Interesse sind, um unsere Inhalte zu genießen. 

Sie können Factorials Auftragsverarbeiter-Vertrag online ausfüllen und unterzeichnen.

Factorial HR hat einen Datenschutzbeauftragten ernannt. Die Kontaktdaten sind:

Pridatect, S.L. Carrer de Tarragona 161, 3. Stock, 08014, Barcelona, Spanien. legal@pridatect.com

Falls Factorial einen Sicherheitsverstoß feststellt, wird ein Verfahren zur Analyse des Sicherheitsverstoßes aktiviert, das Aufschluss gibt über:

-Art der Sicherheitsverletzung -Die Kategorien der betroffenen personenbezogenen Daten - Ungefähre Anzahl der betroffenen Personen - Ungefähre Anzahl der betroffenen personenbezogenen Datensätze; und - Folgen der Sicherheitsverletzung

Parallel zur Untersuchung ergreift Factorial die erforderlichen Sofortmaßnahmen zur Eindämmung und Korrektur und zeichnet den Vorfall auf, um die Rückverfolgbarkeit der im Unternehmen aufgetretenen Vorfälle zu gewährleisten.

Nach der Analyse wird Factorial entscheiden, ob eine Meldung an die Datenschutzbehörde erforderlich ist, wobei bewertet wird, ob die Verletzung der personenbezogenen Daten ein Risiko für die Rechte und Freiheiten der von der Verletzung betroffenen Personen darstellen kann. 

Ebenso wird Factorial entscheiden, ob es notwendig ist, die betroffenen Personen über den Vorfall zu informieren.

In jedem Fall wird Factorial Kunden innerhalb von weniger als 48 Stunden über die Sicherheitsverletzung informieren. Diese Mitteilung wird Folgendes umfassen:

- Ergriffene Maßnahmen zur Risikominderung - Technische Verbesserungen - Änderungen am Vorfallmanagement - Aktualisierung der Verfahren

Bitte senden Sie eine E-Mail an security@factorial.co

Vorgeschlagene zu übermittelnde Angaben (falls zutreffend):

- Beschreibung des Vorfalls:

- Namen betroffener Firmen und Benutzer:

- Art der betroffenen Daten:

- Umfang des festgestellten Vorfalls: 

- Grad der Beeinträchtigung der Rechte der betroffenen Personen:

Factorial ist zertifiziert nach ISO/IEC 27001:2013 und es hat seine Zertifizierung im März 2023 erneuert. Dieser bietet die höchste Sicherheitsstufe unter den heute verfügbaren globalen Informationssicherheitsstandards, der den Kunden die Gewissheit gibt, dass wir strenge internationale Sicherheitsstandards erfüllen.

Sie können unser ISO 27001-Zertifikat hier herunterladen.

Factorial verfügt seit August 2022 über einen SOC 2 Typ I-Bericht und seit Februar 2024 über einen SOC 2 Typ II-Bericht.

Zugehörige Zertifizierungsdetails und -berichte können auf formelle Anfrage und nach Unterzeichnung einer NDA durch den Anforderer weitergegeben werden.

Alle unsere Dienste laufen in der Cloud. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server.

Alle unsere Kundendaten werden auf den Servern von Amazon Web Services (AWS) in Frankfurt, Deutschland, gespeichert, einer Reihe von Webdiensten in der Cloud, die maximale Sicherheit garantieren. Unternehmen wie Netflix oder Airbnb verlassen sich auf AWS, um die Daten von Millionen von Benutzern zu verwalten.

Das Rechenzentrum von Amazon Web Services wird durch drei physische Sicherheitsebenen geschützt. Ebenso sind die Einrichtungen stoßgeschützt und nur mit nicht übertragbarer persönlicher Karte und Pin zugänglich.

Hier können Sie mehr über ihre Sicherheitspraktiken lesen: AWS

Unsere Netzwerksicherheitsarchitektur setzt sich aus mehreren Sicherheitszonen zusammen. Mit folgenden Maßnahmen überwachen und schützen wir unser Netzwerk, um sicherzustellen, dass kein unbefugter Zugriff erfolgt:

- Virtual Private Cloud (VPC)

- Eine Firewall, die den eingehenden und ausgehenden Netzwerkverkehr überwacht und steuert

- Verschlüsselung bei der Übertragung: Alle Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung nach besten Branchenpraktiken unter Verwendung von Transport Layer Security (TLS) verschlüsselt. Sie können unseren Bericht zur Verschlüsselung der Datenkommunikation bei SSL LABS einsehen.

- Verschlüsselung im Ruhezustand: Wir verlassen uns auf AWS Key Management Service (AWS KMS), um unsere kryptografischen Schlüssel zu verwalten. Standardmäßig ist der Verschlüsselungsalgorithmus „SYMMETRIC_DEFAULT“ ausgewählt, was derzeit für AES-256-GCM steht, ein symmetrischer Algorithmus, der auf dem Advanced Encryption Standard (AES) basiert. Diese Schlüssel werden verwendet, um unsere S3-Buckets, Datenbanken, Secret Manager, Lambda, Redshift und Lightsail zu verschlüsseln/entschlüsseln.

Wir speichern Ihre Daten für einen Zeitraum von 1 Jahr, nachdem Sie Ihr Konto geschlossen haben. Nach diesem Zeitraum werden alle Daten vollständig von den Servern entfernt. Einmal gelöschte Daten können erst nach 30 Tagen wiederhergestellt werden.

- Wir verwenden Technologien zur Überwachung von Ausnahmen, Protokollen und zur Erkennung von Anomalien in unseren Anwendungen.

- Wir sammeln und speichern Protokolle, um einen Prüfpfad für unsere Software und Aktivitäten bereitzustellen. Abhängig von dem von unseren Kunden gewählten Plan können Administratoren alle Aktionen und die Nutzung von Mitarbeiterdatensätzen auf der Plattform verfolgen und eine größere Sichtbarkeit erlangen. Weitere Informationen zu den Audit-Logs finden Sie hier.

Wir entwickeln die folgenden Best Practices und Frameworks für Sicherheit (OWASP Top 10, SANS Top 25), um das höchste Maß an Sicherheit in unserer Software zu gewährleisten:

- Wir überprüfen unseren Code regelmäßig auf Sicherheitslücken - Wir aktualisieren regelmäßig unsere Abhängigkeiten und stellen sicher, dass keine davon bekannte Schwachstellen aufweist - Wir verwenden Static Application Security Testing (SAST), um Sicherheitslücken in unserer Codebasis zu erkennen und Codestandards durchzusetzen. - Wir suchen regelmäßig nach Sicherheitsvorfällen – die von Bug-Bounty-Jägern oder Pentest-Anbietern gemeldet werden – und beheben diese eifrig. Unser letzter Pentest wurde von Cobalt durchgeführthttps://cobalt.io/ Interne Schwachstellentests werden kontinuierlich durchgeführt, ebenso wie kontinuierliche Penetrationstests über HackerOne. (https://hackerone.com/factorial). - Wir halten Geheimnisse vom Code fern - Wir halten Betriebssystem- und Docker-Images auf dem neuesten Stand und führen die Dienste mit einer nicht privilegierten Rolle aus

- Wir stellen die Trennung von Umgebungen und Aufgabentrennung während des Entwicklungsprozesses sicher. Entwickler haben nicht die Möglichkeit, Änderungen in Produktionsumgebungen zu migrieren.

- Wir schützen unsere Nutzer vor Datenschutzverletzungen, indem wir Brute-Force-Angriffe überwachen und abwehren.

- Wir bieten Single Sign-On (SSO) mit Google, Microsoft und Linkedin.

- Wir bieten eine rollenbasierte Zugriffskontrolle für alle unsere Konten an und ermöglichen unseren Nutzern das Definieren von Berechtigungen.

- Wir verwenden AWS Cognito, welches die Multi-Faktor-Authentifizierung (MFA) unterstützt.

- Wir verwenden die Sicherheitstools von GitHub, um im Falle einer Sicherheitslücke Warnmeldungen zu erhalten. Das Sicherheitsteam installiert regelmäßig Sicherheitspatches. 

- We perform quarterly access rights reviews over our critical applications, including steps such as review of authorizations, generic accounts, and ensuring terminated employees' access are removed.

Die gesamte Verarbeitung der Zahlungsmittel wird sicher an Stripe ausgelagert, das als "PCI Level 1 Service Provider“ zertifiziert ist. Wir sammeln keinerlei Zahlungsinformationen und unterliegen daher nicht den PCI-Verpflichtungen.

- Wir verwenden eine zentrale Kontoverwaltung - Wir setzen auf ein Passwortverwaltungssystem - Wir verwenden nominale Konten mit erzwungener 2FA - Wir wechseln Passwörter alle 90 Tage - Wir führen das Onboarding/Offboarding neuer Mitarbeiter anhand einer Checkliste durch, die bewährte Sicherheitspraktiken berücksichtigt.

- Wir stellen sicher, dass die Zugriffsrechte dem Prinzip der geringsten Rechte entsprechen.

- Wir sichern die Zugangskontrolle zu den Büros, um sicherzustellen, dass nur Mitarbeiter Zugang dazu haben - Wir erinnern Mitarbeiter routinemäßig daran, ihre Computer zu sperren

- Wir haben Verfahren in Bezug auf die Nutzung von Mobilgeräten und Wechselmedien eingerichtet

Wir stellen sicher, dass alle unsere Mitarbeiter spezifische Schulungen zum Datenschutz und zur Informationssicherheit erhalten. Darüber hinaus gibt es Schulungen und Sicherheitsworkshops, die auf sichere Softwareentwicklungspraktiken abzielen.

Wir führen Hintergrundprüfungen bei potenziellen Neueinstellungen durch.

Factorial wird alle Anstrengungen unternehmen, um mit einer prozentualen monatlichen Betriebszeit von mindestens 99,95 % verfügbar zu sein. Vorbehaltlich der SLA-Ausschlüsse ist der Kunde berechtigt, eine Servicegutschrift zu erhalten, wenn wir die Serviceverpflichtung nicht erfüllen. Das bedeutet, dass wir garantieren, dass Sie nicht mehr als 21,56 Minuten/Monat an Nichtverfügbarkeit erfahren werden. Wir unterhalten eine öffentlich zugängliche Quelle für unsere Verfügbarkeit unter https://status.factorialhr.com. Bitte zögern Sie nicht, diese Seite zu abonnieren, um Vorfall-Updates zu erhalten.

Factorial sichert Daten täglich und bewahrt die Backups 30 Tage lang auf. Mit RDS Multi-AZ ist eine hohe Verfügbarkeit gewährleistet. Da für einen Datenverlust beide Verfügbarkeitszonen gleichzeitig einen Vorfall haben müssten, verringert dies die Möglichkeit eines Datenverlusts. Unser Recovery Time Objective (RTO) beträgt 1 Stunde und unser Recovery Point Objective (RPO) 1 Tag.

Zugehörige Business-Continuity- und Disaster-Recovery-Pläne sind auf der Grundlage der ISO27001- und SOC2-Framework-Anforderungen formal dokumentiert.

Servicegutschriften werden als Prozentsatz der auf Ihrer Factorial-Rechnung fälligen Gesamtgebühren für den monatlichen Abrechnungszeitraum berechnet, in dem die Nichtverfügbarkeit aufgetreten ist.

Bei einem monatlichen Betriebszeitprozentsatz von weniger als 99,95 % haben Sie Anspruch auf eine Servicegutschrift in Höhe von 5 % der Gebühren für den aktuellen Zeitraum.

Wir werden alle Service-Gutschriften nur auf zukünftige Zahlungen für die Services anrechnen, die andernfalls von Ihnen fällig sind.

Um eine Servicegutschrift zu erhalten, müssen Sie einen Anspruch per E-Mail an support@factorial.co mit Datum und Uhrzeit jedes Nichtverfügbarkeitsvorfalls, den Sie geltend machen, einreichen.

Wenn der Prozentsatz der monatlichen Betriebszeit einer solchen Anfrage von uns bestätigt wird und geringer ist als die Serviceverpflichtung, dann stellen wir Ihnen die Servicegutschrift innerhalb eines Abrechnungszeitraums nach dem Monat aus, in dem Ihre Anfrage von uns bestätigt wurde. Wenn Sie die Anfrage und andere oben erforderliche Informationen nicht bereitstellen, werden Sie vom Erhalt einer Service-Gutschrift ausgeschlossen.

Die Serviceverpflichtung gilt nicht für Nichtverfügbarkeit: - Verursacht durch Faktoren außerhalb unserer angemessenen Kontrolle, einschließlich Ereignisse höherer Gewalt, Internetzugang oder Probleme jenseits des Demarkationspunktes von Factorial. - Die sich aus Handlungen oder Unterlassungen von Ihnen oder Dritten ergeben. - Die sich aus der Ausrüstung, Software oder anderen Technologie von Ihnen oder Dritten ergeben (mit Ausnahme von Ausrüstungen Dritter unter unserer direkten Kontrolle). - Das ergibt sich aus jeglicher Wartung. Wenn die Verfügbarkeit von Faktoren beeinflusst wird, die nicht in unserer Berechnung des Prozentsatzes der monatlichen Betriebszeit verwendet werden, können wir unter Berücksichtigung dieser Faktoren nach unserem Ermessen eine Servicegutschrift ausstellen.

Hier finden Sie unsere aktualisierten Datenschutzbestimmungen.

Hier finden Sie Factorials Allgemeine Geschäftsbedingungen.

Ausdrücklich, aber nicht einschränkend, werden als vertrauliche Informationen die Informationen verstanden, die sich beziehen auf: Kundendaten, ihre Existenz, ihre Struktur, Verkaufsförderungs- und Verkaufspläne, Quellcodes und Gegenstände von Computerprogrammen, Systemen, Techniken, Erfindungen, Verfahren, Patenten, Marken, Geschmacksmuster, Urheberrechte, Know-how, Handelsnamen, technische und nichttechnische Daten, Zeichnungen, Skizzen, Finanzdaten, Pläne für neue Produkte, Daten über Kunden oder potenzielle Kunden sowie alle anderen Informationen, die im Geschäftsumfang von Factorial und dem Kunden verwendet werden.

Die Verpflichtung zur Vertraulichkeit bleibt auch nach der Auflösung des Vertragsverhältnisses zwischen den Parteien aus irgendeinem Grund bestehen, ohne dass irgendeine Art von Entschädigung entsteht.

Die Verletzung der in dieser Vereinbarung angenommenen Vertraulichkeitsverpflichtung oder die Rückgabe der oben festgelegten vertraulichen Informationen berechtigt jede der Parteien, den vollen Betrag des Schadens zu fordern, der durch eine solche Verletzung entstanden wäre.