Daten-Hosting, Sicherheit und Schutz von Kundendaten

Wir bei OpenSpace sind stolz auf unseren proaktiven Ansatz in Bezug auf Sicherheit und Datenschutz, insbesondere angesichts der Menge an Kundendaten, die uns anvertraut werden. Wir haben mehr als eine Milliarde Quadratmeter an Standortbildern in 91 Ländern und sechs Kontinenten erfasst, und diese Zahl wächst exponentiell. Hier finden Sie alle Informationen über unsere Richtlinien zur Informationssicherheit und zum Datenschutz sowie zu den Maßnahmen, die wir zum Schutz der erfassten Daten unserer Kunden ergreifen.

Eingebaute Sicherheit

Die wichtigsten Grundsätze des Sicherheitsprogramms von OpenSpace sind der Schutz von Kundendaten und die Aufrechterhaltung des Kundenvertrauens. OpenSpace verwendet einen “Defense-in-Depth”-Ansatz, um Schutzebenen in unserer gesamten Organisation zu implementieren. Wir legen großen Wert darauf, neue Sicherheitskontrollen zu bestimmen und bestehende Kontrollen kontinuierliche zu optimieren. Unser Sicherheitsprogramm orientiert sich nicht nur an der Einhaltung von Vorschriften und gesetzlichen Bestimmungen, sondern auch an branchenüblichen Best Practices wie den OWASP Top 10, CIS Benchmarks, ISO 27001 und Threat Intelligence.

Schwachstellen minimieren

Das OpenSpace-Sicherheitsteam verfolgt einen mehrstufigen Ansatz beim Prüfen von Schwachstellen und verwendet eine Vielzahl von branchenweit anerkannten Tools, um eine umfassende Abdeckung unseres Technologie-Stacks zu gewährleisten. Wir führen regelmäßig Schwachstellen-Scans für unsere Plattformen durch. Netzwerkbasierte und anwendungsbezogene Schwachstellen-Scans stellen sicher, dass wir neue Risiken erkennen und auf diese reagieren. Die statische Code-Analyse überprüft automatisch den aktuellsten Code, um potenzielle Sicherheitslücken bereits in einem frühen Stadium des Entwicklungszyklus zu erkennen. Regelmäßige Scans helfen OpenSpace, vielen Sicherheitsbedrohungen einen Schritt voraus zu sein.

Wir beauftragen branchenweit anerkannte Drittanbieter mit der Durchführung jährlicher Penetrationstests. Die Penetrationstests werden auf den Anwendungs- und Netzwerkebenen des OpenSpace-Technologiestacks durchgeführt, und die Penetrationstester erhalten internen Zugang zu den OpenSpace-Produktnetzwerken, um die Arten potenzieller Faktoren, die evaluiert werden sollten, zu maximieren.

Datenschutz

Unsere Priorität ist es, die Vertraulichkeit der Daten, die Sie uns anvertrauen, zu schützen. Die Daten, die Sie auf der OpenSpace-Plattform speichern, gehören Ihnen – wir haben unser Sicherheitsprogramm so eingerichtet, um diese zu schützen und sie nur so zu verwenden, wie es in unseren Servicebedingungen, Datenschutzrichtlinien und Master Service Agreements erlaubt ist. Wir geben Ihre Daten niemals an andere Kunden weiter und verkaufen sie auch nicht.

OpenSpace bietet seine Lösungen global an. Daher haben wir Kontrollen implementiert, die sicherstellen, dass wir die Datenschutzprogramme verschiedener Länder einhalten. Das bedeutet, dass OpenSpace Schritte unternimmt, um persönlich identifizierbare Informationen (PII) durch Kontrollen wie De-Identifizierung, Verschlüsselung und strenge Zugriffskontrolle zu schützen. OpenSpace ist Ihr Datenverarbeiter. Datenverarbeitungsverträge (DPAs) stehen Kunden zur Verfügung, welche die DSGVO, CCPA, PIPEDA und andere globale Rahmenwerke einhalten müssen, die möglicherweise separate DPA-Vereinbarungen erfordern.

Die Daten bleiben in dem Land gespeichert, das in Ihrer Vereinbarung mit uns angegeben ist. Wir übertragen Ihre Daten niemals ohne Ihre schriftliche Zustimmung außerhalb der geografischen Datenschutzregion.

Höchster Anspruch an Sicherheit: SOC 2

OpenSpace ist nach einer strengen externen Prüfung SOC 2 zertifiziert, einem der höchsten Standards für IT-Sicherheit. Der vollständige Bericht ist für Kunden und potenzielle Kunden verfügbar, die eine Geheimhaltungsvereinbarung unterzeichnet haben.

Was ist ein SOC 2 Bericht?

SOC steht für System & Organization Controls (System- und Organisationskontrollen). Dessen Standards werden von der AICPA festgelegt. Das AICPA entwickelte SOC 2 als umfassende Bewertung der Kontrollen, Prozesse und Richtlinien eines Unternehmens in Bezug auf Informationssicherheit, Datenschutz, Vertraulichkeit, Risikomanagement, Änderungsmanagement und mehr.

Es gibt verschiedene Stufen von SOC 2 Audits, die auf den Trust Service Principles basieren, auf Basis derer Unternehmen auditiert werden. Die drei von OpenSpace ausgewählten und für die Dienstleistungen, die wir unseren Kunden anbieten, relevanten Trust-Service-Prinzipien sind:

  • Sicherheit
  • Verfügbarkeit
  • Vertraulichkeit

InfoSec und Datenschutzgesetze wie die DSGVO, PIPEDA und CCPA bedeuten, dass Audits wie diese immer wichtiger werden, um zu verdeutlichen, dass OpenSpace in der Lage ist, Ihre Daten sicher zu handhaben. Unabhängige Auditoren überprüfen und testen, ob Sicherheitskontrollen effektiv durchgeführt wurden. Die Kontrollen und Testergebnisse sind im SOC 2 Bericht enthalten.

Das ist aber nicht alles…

Ein wichtiger Teil der SOC 2 Compliance ist die stetige Einhaltung und Verbesserung der Sicherheitssysteme und -prozesse. Die SOC-Standards entwickeln sich mit dem Wandel des technologischen Ökosystems. Um auf dem neuesten Stand zu bleiben, sind kontinuierliche Verbesserungen der Kontrollen erforderlich. OpenSpace plant jährliche SOC 2 Typ II-Audits, damit unsere Kunden darauf vertrauen können, dass ihre Daten bei uns sicher sind.

Darüber hinaus nutzt OpenSpace ISO 27001 als Grundlage für sein Sicherheitsprogramm und arbeitet an der offiziellen ISO-Zertifizierung. Wenn Sie Fragen an das OpenSpace-Sicherheitsteam haben, können Sie sich direkt an uns wenden: compliance@openspace.ai.

FAQs zu Sicherheit und Datenschutz

Sicherheit

F: Verfügt OpenSpace über einen SOC 2 Bericht?
A: Ja, der Bericht ist für Interessenten vor und nach dem Kauf nach Unterzeichnung einer Geheimhaltungsvereinbarung (NDA) erhältlich. Der Erwerb einer OpenSpace-Lizenz ist nicht erforderlich – Sie können eine NDA über Ihren OpenSpace Ansprechpartner erhalten oder uns unter support@openspace.ai kontaktieren.

F: Ist OpenSpace nach ISO 27001 zertifiziert?
A: OpenSpace arbeitet an der Zertifizierung nach ISO 27001 und wird auf der OpenSpace Website bekannt geben, wenn diese abgeschlossen ist.

F: Welche Sicherheitsstandards hat OpenSpace implementiert?
A: OpenSpace hat eine Kombination aus den gemäß ISO 27001/Anhang A erforderlichen Kontrollen und den für FedRAMP Moderate (NIST 800-53) erforderlichen Kontrollen implementiert.

F: Können Kunden einen Penetrationstest der OpenSpace-Plattform durchführen?
A: Nein, da dies vom OpenSpace Sicherheitsteam als Angriff gewertet werden würde, was eine interne Incident Response auslösen würde. OpenSpace führt regelmäßig Penetrationstests durch qualifizierte Drittanbieter durch. Informationen über diese Tests finden Sie im SOC 2 Bericht und sind auch unter NDA verfügbar.

F: Unterstützt OpenSpace Multi-Factor Authentication (MFA), SAML 2.0 oder OpenID Connect?
A: OpenSpace ermöglicht es Kunden, den Zugang zu ihrem eigenen Identity Provider (IdP) zu nutzen, der OpenID Connect (OIDC) oder SAML 2.0 unterstützt, wie z. B. Azure Active Directory oder Okta. Kunden können ihre eigenen Anforderungen an die Zugriffskontrolle gemäß ihrem internen Sicherheitsplan implementieren.

F: Wie klassifiziert OpenSpace Kundendaten?
A: Alle Kundendaten werden als urheberrechtlich geschützt und vertraulich eingestuft. Alle persönlich identifizierbaren Informationen werden entsprechend behandelt.

F: Wie werden die Benutzer authentifiziert?
A: Kunden können sich mit einem eindeutigen Benutzernamen und Kennwort anmelden oder ihr Identitätszugangsmanagement mit ihrem eigenen Identitätsanbieter (IdP) verknüpfen.

F: Erfordert OpenSpace eine Integration mit anderen Systemen?
A: Für OpenSpace ist keine Integration von Drittanbietern erforderlich.

F: Lässt sich OpenSpace direkt in Systeme von Kunden integrieren?
A: Nein – OpenSpace integriert sich nicht direkt in Kundensysteme, außer für die Authentifizierung.

F: Wo werden meine Daten gespeichert? Woher weiß ich, dass meine Daten sicher sind?
A: Die Sicherheit Ihrer Daten ist unsere oberste Priorität. Wir sind Privacy-Shield-zertifiziert und erfüllen sogar die strengsten Datenschutzrichtlinien der Welt, die DSGVO. Wir behandeln alle auf unseren Systemen gespeicherten Informationen, unabhängig von Kunden, Benutzern oder Anwendungsfällen, als gleich wichtig und vertraulich. Alle Kundendaten werden bei der Übertragung mit TLS-Verschlüsselung und im Ruhezustand mit der branchenüblichen 256-Bit-AES-Verschlüsselung verschlüsselt. Unsere Daten werden bei AWS gespeichert. Lesen Sie mehr über die Sicherheitsrichtlinien von AWS unter Amazon Security.

Datenschutz

F: Verfügt OpenSpace über eine Datenschutzrichtlinie?
A: Die aktuelle Datenschutzrichtlinie von OpenSpace ist auf der Website unter folgender URL verfügbar: https://www.openspace.ai/de/datenschutzrichtlinie-von-open-space/.

F: Welche Daten werden von OpenSpace gesammelt, und zu welchem Zweck?
A: Alle Informationen dazu finden Sie in unserer aktuellen Datenschutzrichtlinie.

F: Welche Datenschutzbestimmungen werden von OpenSpace angewandt?
A: Wie viele andere Länder auch, verwendet OpenSpace die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union als Grundlage für seinen Ansatz zum Datenschutz. OpenSpace arbeitet auch mit einzelnen Kunden zusammen, um festzustellen, wie  spezifische gesetzliche Anforderungen am besten erfüllt werden können.

F: Wer ist der für die Datenverarbeitung Verantwortliche (Data Controller)?
A: Kunden sind für die Erhebung und Bereitstellung aller Informationen über einzelne Personen verantwortlich. Daher ist der Kunde der für die Datenverarbeitung Verantwortliche (Data Controller) für betroffenen Daten und Personen (Data Subjects).

F: Welche Funktion hat OpenSpace in Bezug auf Datenschutz?
A: OpenSpace ist der Datenverarbeiter (Data Processor).

F: Schließt OpenSpace Datenverarbeitungsvereinbarungen (DPA) mit Kunden ab?
A: Ja, Ihr Kundenbetreuer kann eine DPA erstellen. Bitte füllen Sie die DPA vollständig aus, bevor Sie sie an OpenSpace senden. Wenn Sie sich nicht sicher sind, welche Daten zur Verarbeitung an OpenSpace gesendet werden sollen, wenden Sie sich bitte an Ihren Kundenbetreuer.

F: Wo werden Kundendaten gespeichert und verarbeitet?
A: Kundendaten werden in einer einzigen, vom Kunden ausgewählten Region gespeichert und verarbeitet. Wenden Sie sich an Ihren Kundenbetreuer, um zu erfahren, welche Regionen verfügbar sind. OpenSpace expandiert ständig und fügt neue geografisch abgegrenzte Regionen zur Speicherung und Verarbeitung von Kundendaten hinzu.

F: Mit welchen Partnern, Anbietern und Kunden arbeitet OpenSpace zusammen?
A: OpenSpace gibt die Namen von Partnern, Kunden und Anbietern grundsätzlich nicht bekannt.