Sicherheit bei Factorial
Datenschutz
Factorials Datenverarbeitungsvereinbarung (DVV)
Factorial HR kann sowohl für die Verarbeitung als auch für den Umgang mit personenbezogenen Daten im Sinne der DSGVO verantwortlich sein. Beispielsweise ist Factorial für die Verarbeitung personenbezogener Daten verantwortlich, wenn ein Kunde direkt mit uns einen Vertrag über die Verarbeitung der Daten des Kunden abschließt.In den meisten Fällen hat Factorial jedoch aufgrund der Art unseres Geschäfts keine direkte Beziehung zu den betroffenen Personen und verarbeitet die personenbezogenen Daten der Endnutzer ausschließlich im Namen der Kunden und gemäß deren Anweisungen. Wenn Sie also ein Arbeitnehmer sind, der unsere Plattform nutzt, handeln wir bei der Verarbeitung Ihrer Daten ausschließlich als Datenverarbeiter. Unsere Kunden entscheiden, zu welchen Zwecken sie unsere Plattform nutzen und mit welchen Mitteln sie Daten mithilfe der Vielzahl von Funktionen unserer Plattform sammeln. Im Falle von Nutzern, die auf unserer Website surfen, wird Factorial ein Verarbeiter der hier gesammelten Daten sein, wie z. B. von Cookies oder aller Daten, die von Interesse sind, um unsere Inhalte zu genießen. Sie finden Factorials DVV hier und können sie online ausfüllen und unterzeichnen.
Datenschutzbeauftragter (DSB)
Factorial HR hat einen Datenschutzbeauftragten ernannt. Die Kontaktdaten sind:Pridatect, S.L.
Carrer de Tarragona 161, 3. Stock, 08014, Barcelona, Spanien.
legal@pridatect.com
Richtlinien zu Datenschutzverletzungen bei Factorial
Falls Factorial einen Sicherheitsverstoß feststellt, wird ein Verfahren zur Analyse des Sicherheitsverstoßes aktiviert, das Aufschluss gibt über:
-Art der Sicherheitsverletzung
-Die Kategorien der betroffenen personenbezogenen Daten
- Ungefähre Anzahl der betroffenen Personen
- Ungefähre Anzahl der betroffenen personenbezogenen Datensätze; und
- Folgen der Sicherheitsverletzung
Parallel zur Untersuchung ergreift Factorial die erforderlichen Sofortmaßnahmen zur Eindämmung und Korrektur und zeichnet den Vorfall auf, um die Rückverfolgbarkeit der im Unternehmen aufgetretenen Vorfälle zu gewährleisten.
Nach der Analyse wird Factorial entscheiden, ob eine Meldung an die Datenschutzbehörde erforderlich ist, wobei bewertet wird, ob die Verletzung der personenbezogenen Daten ein Risiko für die Rechte und Freiheiten der von der Verletzung betroffenen Personen darstellen kann.
Ebenso wird Factorial entscheiden, ob es notwendig ist, die betroffenen Personen über den Vorfall zu informieren.
In jedem Fall wird Factorial Kunden innerhalb von weniger als 48 Stunden über die Sicherheitsverletzung informieren. Diese Mitteilung wird Folgendes umfassen:
- Ergriffene Maßnahmen zur Risikominderung
- Technische Verbesserungen
- Änderungen am Vorfallmanagement
- Aktualisierung der Verfahren
Wie kann ich Factorial ein Sicherheitsproblem melden?
Bitte senden Sie eine E-Mail an security@factorial.coVorgeschlagene zu übermittelnde Angaben (falls zutreffend):- Beschreibung des Vorfalls:- Namen betroffener Firmen und Benutzer:- Art der betroffenen Daten:- Umfang des festgestellten Vorfalls: - Grad der Beeinträchtigung der Rechte der betroffenen Personen:
Zertifizierungen
ISO/IEC 27001:2017
Factorial ist zertifiziert nach ISO/IEC 27001:2017. Dieser bietet die höchste Sicherheitsstufe unter den heute verfügbaren globalen Informationssicherheitsstandards, der den Kunden die Gewissheit gibt, dass wir strenge internationale Sicherheitsstandards erfüllen.Sie können unser ISO 27001-Zertifikat hier herunterladen.
SOC 2 Typ I
Factorial hat bereits mit dem Verfahren zum Erlangen des „SOC II Typ I“-Zertifikats begonnen und rechnet damit, bis zum Sommer 2022 vollständig zertifiziert zu sein.
Whitepaper DSGVO
Whitepaper DSGVO
Sie können das Whitepaper von Factorial hier herunterladen
Produktsicherheit
Cloud-Infrastruktur
Alle unsere Dienste laufen in der Cloud. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server.
Alle unsere Kundendaten werden auf den Servern von Amazon Web Services (AWS) in Frankfurt, Deutschland, gespeichert, einer Reihe von Webdiensten in der Cloud, die maximale Sicherheit garantieren. Unternehmen wie Netflix oder Airbnb verlassen sich auf AWS, um die Daten von Millionen von Benutzern zu verwalten.
Das Rechenzentrum von Amazon Web Services wird durch drei physische Sicherheitsebenen geschützt. Ebenso sind die Einrichtungen stoßgeschützt und nur mit nicht übertragbarer persönlicher Karte und Pin zugänglich.
Hier können Sie mehr über ihre Sicherheitspraktiken lesen: AWS
Sicherheitsüberwachung und Schutz auf Netzwerkebene
Unsere Netzwerksicherheitsarchitektur setzt sich aus mehreren Sicherheitszonen zusammen. Mit folgenden Maßnahmen überwachen und schützen wir unser Netzwerk, um sicherzustellen, dass kein unbefugter Zugriff erfolgt:- Virtual Private Cloud (VPC)- Eine Firewall, die den eingehenden und ausgehenden Netzwerkverkehr überwacht und steuert
Datenverschlüsselung
- Verschlüsselung bei der Übertragung: Alle Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung nach besten Branchenpraktiken unter Verwendung von Transport Layer Security (TLS) verschlüsselt. Sie können unseren Bericht zur Verschlüsselung der Datenkommunikation bei SSL LABS einsehen.- Verschlüsselung im Ruhezustand: Wir verlassen uns auf AWS Key Management Service (AWS KMS), um unsere kryptografischen Schlüssel zu verwalten. Standardmäßig ist der Verschlüsselungsalgorithmus „SYMMETRIC_DEFAULT“ ausgewählt, was derzeit für AES-256-GCM steht, ein symmetrischer Algorithmus, der auf dem Advanced Encryption Standard (AES) basiert. Diese Schlüssel werden verwendet, um unsere S3-Buckets, Datenbanken, Secret Manager, Lambda, Redshift und Lightsail zu verschlüsseln/entschlüsseln.
Aufbewahrung und Löschung von Daten
Wir speichern Ihre Daten für einen Zeitraum von 1 Jahr, nachdem Sie Ihr Konto geschlossen haben. Nach diesem Zeitraum werden alle Daten vollständig von den Servern entfernt. Einmal gelöschte Daten können erst nach 30 Tagen wiederhergestellt werden.
Überwachung der Anwendungssicherheit
- Wir verwenden Technologien zur Überwachung von Ausnahmen, Protokollen und zur Erkennung von Anomalien in unseren Anwendungen.- Wir sammeln und speichern Protokolle, um einen Prüfpfad für unsere Software und Aktivitäten bereitzustellen.
Sichere Entwicklung
Wir entwickeln die folgenden Best Practices und Frameworks für Sicherheit (OWASP Top 10, SANS Top 25), um das höchste Maß an Sicherheit in unserer Software zu gewährleisten:
- Wir überprüfen unseren Code regelmäßig auf Sicherheitslücken
- Wir aktualisieren regelmäßig unsere Abhängigkeiten und stellen sicher, dass keine davon bekannte Schwachstellen aufweist
- Wir verwenden Static Application Security Testing (SAST), um Sicherheitslücken in unserer Codebasis zu erkennen und Codestandards durchzusetzen.
- Wir suchen regelmäßig nach Sicherheitsvorfällen – die von Bug-Bounty-Jägern oder Pentest-Anbietern gemeldet werden – und beheben diese eifrig. Unser letzter Pentest wurde von Cobalt durchgeführthttps://cobalt.io/
- Wir halten Geheimnisse vom Code fern
- Wir halten Betriebssystem- und Docker-Images auf dem neuesten Stand und führen die Dienste mit einer nicht privilegierten Rolle aus
Schutz der Anwender
- Wir schützen unsere Nutzer vor Datenschutzverletzungen, indem wir Brute-Force-Angriffe überwachen und abwehren.- Wir bieten Single Sign-On (SSO) mit Google, Microsoft und Linkedin.- Wir bieten eine rollenbasierte Zugriffskontrolle für alle unsere Konten an und ermöglichen unseren Nutzern das Definieren von Berechtigungen.- Wir verwenden AWS Cognito, welches die Multi-Faktor-Authentifizierung (MFA) unterstützt.- Wir verwenden die Sicherheitstools von GitHub, um im Falle einer Sicherheitslücke Warnmeldungen zu erhalten. Das Sicherheitsteam installiert regelmäßig Sicherheitspatches.
Zahlungsinformationen
Die gesamte Verarbeitung der Zahlungsmittel wird sicher an Stripe ausgelagert, das als "PCI Level 1 Service Provider“ zertifiziert ist. Wir sammeln keinerlei Zahlungsinformationen und unterliegen daher nicht den PCI-Verpflichtungen.
Innere Sicherheit
Konto Sicherheit
- Wir verwenden eine zentrale Kontoverwaltung
- Wir setzen auf ein Passwortverwaltungssystem
- Wir verwenden nominale Konten mit erzwungener 2FA
- Wir wechseln Passwörter alle 90 Tage
- Wir führen das Onboarding/Offboarding neuer Mitarbeiter anhand einer Checkliste durch, die bewährte Sicherheitspraktiken berücksichtigt.
Physische Sicherheit
- Wir sichern die Zugangskontrolle zu den Büros, um sicherzustellen, dass nur Mitarbeiter Zugang dazu haben
- Wir erinnern Mitarbeiter routinemäßig daran, ihre Computer zu sperren
Schulungen
Wir stellen sicher, dass alle unsere Mitarbeiter spezifische Schulungen zum Datenschutz und zur Informationssicherheit erhalten.
Hintergrundkontrollen
Wir führen Hintergrundprüfungen bei potenziellen Neueinstellungen durch.
Vereinbarung zum Servicelevel
Betriebszeit
Factorial wird alle Anstrengungen unternehmen, um mit einer prozentualen monatlichen Betriebszeit von mindestens 99,95 % verfügbar zu sein. Vorbehaltlich der SLA-Ausschlüsse ist der Kunde berechtigt, eine Servicegutschrift zu erhalten, wenn wir die Serviceverpflichtung nicht erfüllen. Das bedeutet, dass wir garantieren, dass Sie nicht mehr als 21,56 Minuten/Monat an Nichtverfügbarkeit erfahren werden.
Wir unterhalten eine öffentlich zugängliche Quelle für unsere Verfügbarkeit unter https://status.factorialhr.comhttps://status.factorialhr.com
. Bitte zögern Sie nicht, sich zu abonnieren, um Vorfall-Updates zu erhalten.
RTO and RPO
Factorial sichert alle Daten täglich und bewahrt die Sicherungen von 30 Tagen auf. Daher beträgt unser RPO 1 Tag. Es ist erwähnenswert, dass wir mit RDS Multi-AZ eine hohe Verfügbarkeit haben. Das bedeutet, dass für einen Datenverlust beide Verfügbarkeitszonen gleichzeitig einen Vorfall haben müssten (ein äußerst unwahrscheinliches Szenario). In diesem Fall ist es für uns sehr einfach, ein Backup wiederherzustellen. Unsere RTO beträgt 15 Minuten.
Dienstguthaben
Servicegutschriften werden als Prozentsatz der auf Ihrer Factorial-Rechnung fälligen Gesamtgebühren für den monatlichen Abrechnungszeitraum berechnet, in dem die Nichtverfügbarkeit aufgetreten ist.
Bei einem monatlichen Betriebszeitprozentsatz von weniger als 99,95 % haben Sie Anspruch auf eine Servicegutschrift in Höhe von 5 % der Gebühren für den aktuellen Zeitraum.
Wir werden alle Service-Gutschriften nur auf zukünftige Zahlungen für die Services anrechnen, die andernfalls von Ihnen fällig sind.
Kreditanfrage und Zahlungsverfahren
Um eine Servicegutschrift zu erhalten, müssen Sie einen Anspruch per E-Mail an support@factorial.co mit Datum und Uhrzeit jedes Nichtverfügbarkeitsvorfalls, den Sie geltend machen, einreichen.
Wenn der Prozentsatz der monatlichen Betriebszeit einer solchen Anfrage von uns bestätigt wird und geringer ist als die Serviceverpflichtung, dann stellen wir Ihnen die Servicegutschrift innerhalb eines Abrechnungszeitraums nach dem Monat aus, in dem Ihre Anfrage von uns bestätigt wurde. Wenn Sie die Anfrage und andere oben erforderliche Informationen nicht bereitstellen, werden Sie vom Erhalt einer Service-Gutschrift ausgeschlossen.
SLA-Ausschlüsse
Die Serviceverpflichtung gilt nicht für Nichtverfügbarkeit:
- Verursacht durch Faktoren außerhalb unserer angemessenen Kontrolle, einschließlich Ereignisse höherer Gewalt, Internetzugang oder Probleme jenseits des Demarkationspunktes von Factorial.
- Die sich aus Handlungen oder Unterlassungen von Ihnen oder Dritten ergeben.
- Die sich aus der Ausrüstung, Software oder anderen Technologie von Ihnen oder Dritten ergeben (mit Ausnahme von Ausrüstungen Dritter unter unserer direkten Kontrolle).
- Das ergibt sich aus jeglicher Wartung.
Wenn die Verfügbarkeit von Faktoren beeinflusst wird, die nicht in unserer Berechnung des Prozentsatzes der monatlichen Betriebszeit verwendet werden, können wir unter Berücksichtigung dieser Faktoren nach unserem Ermessen eine Servicegutschrift ausstellen.
Vereinbarungen und Bedingungen
Vertraulichkeit
Was betrachtet Factorial als vertrauliche Informationen?
Ausdrücklich, aber nicht einschränkend, werden als vertrauliche Informationen die Informationen verstanden, die sich auf Kundendaten, ihre Existenz, ihre Struktur, Verkaufsförderungs- und Verkaufspläne, Quellcodes und Gegenstände von Computerprogrammen, Systemen, Techniken, Erfindungen, Verfahren, Patenten, Marken, Geschmacksmuster, Urheberrechte, Know-how, Handelsnamen, technische und nichttechnische Daten, Zeichnungen, Skizzen, Finanzdaten, Pläne für neue Produkte, Daten über Kunden oder potenzielle Kunden sowie alle anderen Informationen, die in der verwendet werden Geschäftsumfang von Factorial und dem Kunden.
Wie lange gilt die Schweigepflicht?
Die Verpflichtung zur Vertraulichkeit bleibt auch nach der Auflösung des Vertragsverhältnisses zwischen den Parteien aus irgendeinem Grund bestehen, ohne dass irgendeine Art von Entschädigung entsteht.
Was würde passieren, wenn die Geheimhaltungspflicht verletzt würde?
Die Verletzung der in dieser Vereinbarung angenommenen Vertraulichkeitsverpflichtung oder die Rückgabe der oben festgelegten vertraulichen Informationen berechtigt jede der Parteien, den vollen Betrag des Schadens zu fordern, der durch eine solche Verletzung entstanden wäre.
Zertifikate und Sicherheitsprotokolle
Alle unsere Kundendaten werden auf den Servern von Amazon Web Services (AWS) in Deutschland gespeichert, einer Reihe von Web-Services in der Cloud, die maximale Sicherheit garantieren. Unternehmen wie Netflix oder Airbnb verlassen sich auf AWS, um die Daten von Millionen von Benutzern zu verwalten.Das Amazon Web Services-Rechenzentrum wird durch drei physische Sicherheitsebenen geschützt. Ebenso sind die Einrichtungen gegen äußere Einflüsse geschützt und nur über eine nicht übertragbare persönliche Zugangskarte und Pin zugänglich.
Haben Sie Fragen oder Anmerkungen?
Zögern Sie nicht, gdpr@factorial.com zu kontaktieren.