Security & Privacy
Datenschutz & Informationssicherheit
„Unsere Kunden vertrauen uns im Rahmen der Software-Nutzung als auch bei Projekten zahlreiche sensible Daten an. Diese zu schützen ist für uns existenziell notwendig.“
Nina Rahn, Geschäftsführerin in der d.vinci-Leitlinie Informationssicherheit
Seit Mai 2019 sind wir übrigens Teilnehmer der Allianz für Cybersicherheit!
Die 2012 durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), gegründete Allianz für Cyber-Sicherheit hat zum Ziel, die Widerstandsfähigkeit des Standortes Deutschland gegenüber Cyber-Angriffen zu stärken. Unternehmen, Verbänden, Behörden und Organisationen steht somit eine Plattform zur Verfügung, über die Informationen zu aktuellen Bedrohungslagen und praxisnahe Cyber-Sicherheitsmaßnahmen ausgetauscht werden. Teilnehmer profitieren vom Know-how sowie der zahlreichen engagierten Partner und können so den Schutz der eigenen IT-Infrastruktur deutlich verbessern.
Die DSGVO – Grundlage für den Schutz der Daten
Wir verarbeiten personenbezogene Daten und andere schützenswerte Informationen nicht nur gemäß den jeweils geltenden datenschutzrechtlichen Vorschriften, sondern erfüllen zudem seit 2011 ohne Ausnahme alle Anforderungen des ISO/IEC 27001-Standards. Dies gilt nicht nur für uns als Unternehmen, sondern auch in der Zusammenarbeit mit Kunden, Dienstleistern und Partnern.
Qualität aus dem Norden
Rechenzentrum, Softwareentwicklung & Service/Support in Hamburg
Direkter Kontakt zu uns
Unser Datensicherheitsteam ist immer persönlich für euch da
ISO/IEC 27001 Zertifizierung
Wir setzen ein starkes Zeichen für die Sicherheit von Informationen, Daten und Systemen.
Prinzipien des Datenschutzes und der Informationssicherheit bei d.vinci
Das höchste Gut ist das Vertrauen unserer Kunden. Somit ist es für uns essenziell wichtig in allen Projekten, Prozessen und Entscheidungen die Anforderungen an den Datenschutz zu berücksichtigen und potenzielle Risiken zu betrachten.
Auch wenn Datenschutzvorfälle und Informationssicherheitsvorfälle auftreten können: es ist unser Ziel, auf erkannte Risiken so zu reagieren, dass wir die Vorfälle zügig erkennen, geeignete Gegenmaßnahmen einleiten können und kein Schaden für unsere Kunden und Mitarbeiter:innen entsteht.
Hohe Professionalität und Qualität
in unserer Beratung, Software und unseren Dienstleistungen sicherstellen.
Integrität und Vertraulichkeit wahren
von personenbezogenen und schützenswerten Daten.
Ausfälle und Datenverlust begrenzen
und auf ein tolerierbares Minimum reduzieren.
Betriebsgeheimnisse schützen
durch die Vereinbarung & Einhaltung unserer technisch-organisatorischer Maßnahmen (TOM).
Gesetzliche Rahmen-bedingungen einhalten
Datenschutzgesetze sowie Informationssicherheitsnormen beachten und berücksichtigen.
Softwarelösungen sicher gestalten
Innovativ sein, aber gleichzeitig robust und datenschutzsicher entwickeln.
Schützenswerte Rechte & Daten
Personenbezogenen Daten, die Privatsphäre der Betroffenen und das Recht auf informationelle Selbstbestimmung schützen.
KI verantwortungsvoll einsetzen
Die Möglichkeit von KI nutzen und dabei Verantwortung, Sicherheit und Transparenz beachten.
Hereinspaziert: Transparenz & Dialog
Kaum ein Thema beschäftigt unsere Kunden so sehr wie der Schutz ihrer Daten – verständlich, immerhin vertrauen sie uns sensible Daten an. Umso wichtiger ist es uns, jedem die Möglichkeit zu geben, sich selbst einen Eindruck zu machen, wie Datenschutz und Informationssicherheit bei uns gelebt werden. Gerne öffnen wir für Kunden und Interessenten unsere Türen – vor Ort im Hamburger Büro oder auch virtuell!
Pentests durchführen
Gerne geben wir unseren Kunden die Möglichkeit selbst Penetrationstests (Pentests) durchzuführen, um die Sicherheit aller Systembestandteile auf ein unautorisiertes Eindringen zu prüfen. Im Anschluss wir besprechen wir die Ergebnisse dann mit euch.
Audits bei d.vinci machen
Um zu prüfen ob Prozesse, Anforderungen und Richtlinien die geforderten Standards erfüllen, laden wir unsere Kunden gerne ein selbst Audits bei d.vinci zu machen. Wir vereinbaren dafür einen Termin mit euch und nehmen uns dann – virtuell oder vor Ort in unserem Hamburger Büro – Zeit für eure Fragen.
Mit dem Datensicherheitsteam austauschen
Unser Datensicherheitsteam ist immer persönlich für euch da. Vor allem Ralf (zum Interview) & Matthias (zum Interview) pflegen einen tollen Kontakt zu unseren Kunden und beantworten, neben allen Fragen rund um die Sicherheit bei d.vinci, auch mal die eine oder andere allgemeine Frage zu Datenschutz und Informationssicherheit.
So leben wir Datenschutz und Informationssicherheit im d.vinci Alltag
Wir sorgen dafür, dass…
- Dokumente leicht verständlich sind und gerne gelesen werden.
- es eine praktikable Methode zur Risikobewertung gibt, die sich am alltäglichen Bedarf orientiert.
- unsere Mitarbeiter:innen mindestens jährlich in aktuellen Themen des Datenschutzes und der Informationssicherheit geschult werden.
- jederzeit Feedback von Mitarbeiter:innen über die Wahrnehmung und Wirksamkeit des DSMS und des ISMS in Verbesserungen einfließt.
- wir schnell aus Erfahrungen und Rückmeldungen unserer Kunden lernen.
- wir unsere Systeme regelmäßig auditieren lassen, um Verbesserungspotenziale noch besser zu erkennen.
- wir unsere People Leads aktiv einbeziehen, um so die Teams gezielt für Datenschutz und Informationssicherheit zu sensibilisieren.
- wir unsere Regelungen immer wieder in Frage stellen, um sie verbessern zu können.
Informationssicherheit @ d.vinci
Hier erklärt unsere Geschäftsführerin Nina, wie wir Informationssicherheit bei d.vinci leben.
Zertifikate, Berichte und Leitlinien
ISO/IEC 27001 Zertifikat und Anwendungsbereich der ISO/IEC 27001
Hier findest du das aktuelle ISO/IEC 27001 Zertifikat und in welchen Bereichen des Unternehmens sie Anwendung findet.
Leitlinie Informationssicherheit
Scope, Ziele & Anforderungen, damit die Informationssicherheit gewährleistet werden kann.
Leitlinie Datenschutz
Scope, Ziele & Anforderungen, damit die Rechtsvorschriften zur Verarbeitung personenbezogener Daten eingehalten werden.
Jahresbericht des Datenschutzbeauftragten 2023
Prüfergebnis des Datenschutzbeauftragten sowie Stellungnahme zu den technischen & organisatorischen Maßnahmen gem.
Art. 32 DSGVO.
Datenschutzzertifikat
Unser Datenschutzzertifikat (Juni 2024).
Vertragsrelevante Dokumente wie unseren AVV oder unsere TOM findest du hier.
Fragen & Antworten
FAQ rund um Datenschutz & Informationssicherheit bei d.vinci
Welche Grundsätze für den Umgang mit personenbezogenen Daten gelten bei d.vinci?
- Privacy by design: Datenschutz wird von Anfang an in die Entwicklung integriert.
- Privacy by default: Datenschutzfreundliche Voreinstellungen sind unser Standard.
- Rechtmäßigkeit der Verarbeitung: Es muss eine Rechtsgrundlage für die Verarbeitung vorliegen.
- Verarbeitung nach Treu und Glauben: Die Verarbeitung der Daten muss redlich und anständig sein (fair).
- Transparenz: Wir müssen die Betroffenen über die Datenverarbeitung informieren und die Betroffenen haben Auskunftsrechte darüber, welche personenbezogenen Daten wir verarbeiten.
- Zweckbindung: Die Zwecke der Datenverarbeitung müssen dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim sein.
- Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden.
- Richtigkeit der Datenverarbeitung: Personenbezogenen Daten müssen sachlich richtig sein. Unrichtige Daten sind unverzüglich zu löschen.
- Speicherbegrenzung: Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist.
- Integrität und Vertraulichkeit: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.
Was passiert, wenn es zu einem Datenschutzvorfall bei d.vinci kommt?
Zunächst müssen Datenschutzvorfälle von unseren geschulten Mitarbeiter:innen bei d.vinci unverzüglich der Geschäftsführung, dem externen Datenschutzbeauftragten, dem internen Datenschutzberater und dem Informationssicherheitsbeauftragten gemeldet werden. Anschließend müssen unverzüglich die Betroffenen und die Datenschutzbehörde informiert werden. Die Prozesse und das Verfahren werden regelmäßig bei d.vinci geschult und getestet.
Handelt es sich um eine Cloud-Lösung? Wo werden die Daten gespeichert?
Es handelt sich um eine SAAS-Lösung. Unsere Server stehen im Rechenzentrum pop-interactive in Hamburg, und nur wir (d.vinci) haben Zutritt und Zugang zu den Servern und administrieren diese, niemand sonst. Vom Rechenzentrum nehmen wir nur die Infrastruktur in Anspruch (Brandschutz, Internetleitung, etc.).
Existiert ein Disaster Recovery Plan?
Ja. Die Daten werden nach einem etablierten Verfahren täglich gesichert und verschlüsselt außerhalb des Rechenzentrums in einer Cloud gespeichert. So können die Systeme mit den gesicherten Daten im Falle eines „Disasters“ wiederhergestellt werden. Die einzelnen Schritte hierfür sind dokumentiert und werden regelmäßig getestet.
Sind die Daten und die Übertragungswege nach Stand der Technik verschlüsselt?
Ja. Die Daten (“data at rest”) sind mit AES-256 verschlüsselt, die Übertragungswege mit mindestens TLS 1.2.
Lässt sich Single Sign On (SSO) einsetzen?
Ja. Die Anwendung lässt sich via SAML 2.0 an das Active Directory des Kunden anbinden, um SSO zu ermöglichen.
Was für Cookies setzt d.vinci ein?
Nur technisch notwendige. Weitere Details findest du hier.
