Mit der neuen Version AYGOnet 2.0 haben wir das Thema Datenschutz und Sicherheit Ihrer Daten auf eine neue Ebene gestellt. Im Folgenden möchten wir Ihnen einen Überblick über die getroffenen Maßnahmen geben.
Für detaillierte Informationen werfen Sie gerne einen Blick in unser Whitepaper.
Persönliche Daten und private Anliegen spielen vor allem bei Beratungen eine große Rolle. Egal, ob in der Sozialberatung, im Gesundheitswesen oder in jedem anderen Beratungsfeld. Wir sind uns dieser sensiblen Inhalte und der damit verbundenen Verantwortung bewusst und wollen allen Beteiligten den höchstmöglichen Schutz für eine vertrauenswürdige Beratung bieten. So ist Datenschutz nicht erst seit der DSGVO, sondern schon seit Beginn ein wichtiger Bestandteil von AYGOnet.
Das Rollenkonzept der AYGOnet Anwendung soll dazu dienen, dass jede Rolle nur die Rechte erhält, die sie zur Erfüllung der Aufgaben benötigt. Zudem wird hierdurch eine Trennung der administrativen und der beratenden Tätigkeiten erreicht. Admins werden über alle wichtigen Prozesse informiert. So kann verhindert werden, dass unbemerkt weitere Accounts mit administrativen Rechten für eine Beratungsstelle angelegt werden. Passwörter werden immer durch den/die Nutzer*in vergeben und können nicht von Dritten geändert werden.
Auf den Server kommt man nur mit IP-Freigabe und SSH, also eine Art Whitelist für Zugriffe. Wir verteilen die Beratungsstellen auf verschiedene Server/Docker auf, um eine noch größere Sicherheit Ihrer Daten zu gewährleisten. Jede Beratungsstelle verfügt über eine eigene Datenbank, auf die nur aus dem jeweiligen Docker-Stack zugegriffen werden kann. Zudem wird jeder Beratungsstelle ein eigener Upload-Ordner bereitgestellt.
Mit AYGOnet 2.0 gibt es eine Zwei-Faktor-Authentifizierung. Dadurch können wir die Sicherheit des Zugangs weiter verstärken. Die in AYGOnet implementierte Zwei-Faktor-Authentifizierung erfolgt über eine E-Mail. Die Zwei-Faktor-Authentifizierung ist für alle administrativen Rollen standardmäßig aktiviert, kann aber von allen Nutzer*innen verwendet werden. Außerdem gibt es einen Freigabe Prozess beim Zurücksetzen des Passwortes, der bei Berater*innen und Admins den Einsatz eines QR Codes und die Bestätigung durch einen (anderen) Admin bedarf.
Die Verschlüsselung der Daten ist einer der wichtigsten Punkte um die Kommunikation privat zu halten. So haben wir folgende Maßnahmen getroffen: Transportverschlüsselung (TLS), Public-Private-Key Verfahren und verschlüsselte PHP-Sessions. Ausgenommen sind technisch notwendig Metadaten der Kommunikation, sowie einzelne systemrelevante Nutzungsdaten. Die Keys liegen AES-256-CBC-verschlüsselt in einer Datenbank. Dadurch können auch wir die Inhalte nicht lesen. Passwörter sind zudem doppelt gehasht. Eine Ebene des Hashes wird jedes Mal neu gelegt, wenn man sich in die Software einloggt.
Wir setzen auf Datensparsamkeit und sammeln keine Daten proaktiv, die nicht für den Betrieb notwendig sind. Systemnotwenige Daten sind beispielweise Logs und Login-Informationen. Die Speicherdauer aller Inhalte ist auf ein nötiges Minimum reduziert. Die Löschung von Accounts und Daten erfolgt unmittelbar. Logs werden nur temporär gespeichert. Auf Beratungsstellen Ebene können Sie das Thema Datenlöschung mancher Inhalte (z.B. inaktive Accounts) selber definieren.
Wir haben durch die TÜV TRUST IT GmbH einen unabhängigen Pentest durchführen lassen. Außerdem wurde unser Datenschutzkonzept von SCO-CON:SULT GmbH geprüft. Unser Server über den AYGOnet 2.0 läuft, wurde nach ISO27001 zertifiziert und der Serverstandort ist Deutschland.
Weitere detaillierte Informationen zur Sicherheit unserer Software zur Online-Beratung, können Sie unserem Datenschutz-Whitepaper entnehmen.
AYGOnet Hotline