Auftragsverarbeitungsvertrag
Unsere Verpflichtung zum Schutz Ihrer Daten gemäß DSGVO und den geltenden Datenschutzvorschriften.
Bedingungen der Auftragsverarbeitung
Dieser Auftragsverarbeitungsvertrag (das « DPA ») wird zwischen dem Kunden, der als Verantwortlicher handelt, und der FGRibreau SARL, einer Gesellschaft mit beschränkter Haftung nach französischem Recht (Société à Responsabilité Limitée) mit einem Stammkapital von 2 000 EUR, eingetragen im Handels- und Gesellschaftsregister von La Roche-sur-Yon unter der Nummer 850 824 350, mit Sitz in 3 rue de l'Aubépine, 85110 Chantonnay, Frankreich, die als Auftragsverarbeiter handelt (bezeichnet als « Hook0 » oder der « Auftragsverarbeiter »), geschlossen.
Dieses DPA hat zum Zweck, die Vereinbarung der Parteien hinsichtlich der Verarbeitung personenbezogener Daten gemäß den Anforderungen der Datenschutzvorschriften wiederzugeben.
In Bezug auf die Verarbeitung der personenbezogenen Daten des Kunden durch Hook0 im Rahmen der Nutzungsbedingungen erkennen die Parteien an, dass der Kunde der Verantwortliche und Hook0 der Auftragsverarbeiter ist, und beide kommen überein, sämtliche entsprechenden Pflichten gemäß den Datenschutzvorschriften zu erfüllen.
Der Kunde erteilt Hook0 die Weisung, diese personenbezogenen Daten in seinem Auftrag zu verarbeiten, soweit dies für die Zwecke der Nutzungsbedingungen erforderlich ist und in Anhang 1 « Beschreibung der Verarbeitung personenbezogener Daten » definiert ist. Anhang 1 wird vom Kunden ausgefüllt und ist bei jeder vom Kunden vorgenommenen Änderung zu aktualisieren.
1. Einhaltung der Datenschutzvorschriften
Jede Partei kommt ihren Pflichten gemäß den Datenschutzvorschriften nach.
Alle in diesem DPA großgeschriebenen Begriffe haben die Bedeutung, die ihnen in der DSGVO, in den Datenschutzvorschriften und in den Nutzungsbedingungen zugewiesen wird.
2. Verarbeitungsvorgänge im Rahmen des DPA
Zur Erinnerung, für jede im Rahmen dieses DPA durchgeführte Verarbeitung muss der Kunde:
- die Weisungen zu den personenbezogenen Daten dokumentieren,
- die für das Ausfüllen von Anhang 1 erforderlichen Informationen zur Verarbeitung bereitstellen, indem er Hook0 unter der Support-Adresse kontaktiert: [email protected].
Der Kunde sichert Hook0 zu, dass er berechtigt ist, die personenbezogenen Daten an Hook0 und/oder die Unterauftragsverarbeiter zu übermitteln, und zwar unter vollständiger Einhaltung der Datenschutzvorschriften, einschließlich, soweit erforderlich, der Einhaltung etwaiger vorgängiger Formalitäten und der Rechte der betroffenen Personen, etwa der Informationspflicht oder der Einholung einer Einwilligung, sofern die Datenschutzvorschriften dies verlangen.
Der Kunde erkennt an, dass er allein verantwortlich bleibt für die Festlegung der Zwecke und der Mittel der Verarbeitung der personenbezogenen Daten durch Hook0. Der Verantwortliche bleibt allein verantwortlich für die Richtigkeit und Angemessenheit der vorgenannten Weisungen. Jede Änderung der erteilten Weisungen oder der vom Kunden geforderten Sicherheitsmaßnahmen, auch zur Einhaltung der geltenden Datenschutzgesetze, ist von den Parteien zu vereinbaren oder per Nachtrag zu diesem DPA festzuhalten. Die Kosten, die Hook0 zur Umsetzung solcher Änderungen entstehen, trägt der Kunde.
Der Kunde verpflichtet sich, sicherzustellen, dass die betroffenen Personen vor der Übermittlung ihrer personenbezogenen Daten an Hook0 im Rahmen der Dienste informiert wurden oder werden.
Das Produkt ist nicht zur Verarbeitung besonderer Kategorien personenbezogener Daten bestimmt. Der Kunde verpflichtet sich daher, jede Verarbeitung besonderer Kategorien personenbezogener Daten über das Produkt und die Dienste zu unterbinden. Auf Wunsch des Kunden kann Hook0 jedoch besondere Kategorien personenbezogener Daten verarbeiten. In diesem Fall wird die Verarbeitung in einem gesonderten Nachtrag zum DPA geregelt, der zwischen dem Kunden und Hook0 abzuschließen ist.
Verlangt der Kunde ausdrücklich die Unterstützung von Hook0 bei der Erfüllung seiner Pflichten gemäß den Datenschutzvorschriften, übermittelt Hook0 dem Kunden eine Kostenschätzung für diese Unterstützung. Nach ausdrücklicher Annahme der Kostenschätzung leistet Hook0 die Unterstützung gemäß den Weisungen des Kunden und den Bedingungen des vorliegenden DPA.
3. Umfang und Weisungen
Hook0 verpflichtet sich:
- die vom Kunden offengelegten personenbezogenen Daten sowie die während der Laufzeit der Nutzungsbedingungen erhobenen oder erzeugten Daten ausschließlich zur Erfüllung der Pflichten aus den Nutzungsbedingungen und in Übereinstimmung mit den dokumentierten Weisungen des Kunden zu verarbeiten, sofern die geltenden Datenschutzvorschriften nichts anderes vorschreiben;
- sicherzustellen, dass jede unter ihrer Aufsicht handelnde Person, die Zugang zu den vom Kunden offengelegten personenbezogenen Daten sowie zu den während der Laufzeit der Nutzungsbedingungen erhobenen oder erzeugten Daten hat, diese Daten ausschließlich zur Erfüllung der Pflichten von Hook0 aus den Nutzungsbedingungen und auf Weisung des Kunden verarbeitet, sofern die geltenden Datenschutzvorschriften nichts anderes vorschreiben;
- die personenbezogenen Daten des Kunden nicht für zweckentfremdete, betrügerische oder persönliche Zwecke zu verwenden, einschließlich kommerzieller Zwecke;
- den Kunden unverzüglich zu informieren, sofern eine Weisung des Kunden nach ihrer Auffassung gegen die geltenden Datenschutzvorschriften verstößt.
4. Übermittlung der personenbezogenen Daten des Kunden an Dritte
Die im Rahmen des DPA verarbeiteten personenbezogenen Daten des Kunden dürfen weder abgetreten, vermietet, lizenziert, übermittelt noch an Dritte offengelegt werden, einschließlich an Unterauftragsverarbeiter von Hook0, es sei denn, dies wird durch die Nutzungsbedingungen oder durch eine zwingende rechtliche oder regulatorische Bestimmung verlangt.
In einem solchen Fall informiert Hook0 den Kunden über diese rechtliche Anforderung vor der Verarbeitung, sofern die zwingende rechtliche oder regulatorische Bestimmung diese Information nicht aus wichtigen Gründen des öffentlichen Interesses untersagt.
5. Unterauftragsverarbeitung
Unter den in den Absätzen 2 und 4 des Artikels 28 DSGVO genannten Bedingungen für die Inanspruchnahme eines weiteren Auftragsverarbeiters (des « Unterauftragsverarbeiters ») stimmt der Kunde zu, dass Hook0 die Verarbeitung der personenbezogenen Daten des Kunden im Wege der Unterauftragsverarbeitung erbringen darf.
Ungeachtet der allgemeinen Genehmigung des Kunden informiert Hook0 den Kunden über jede geplante Änderung in Bezug auf die Hinzufügung oder Ersetzung eines Unterauftragsverarbeiters innerhalb einer angemessenen Frist vor der Umsetzung dieser Änderung und räumt dem Kunden eine angemessene Frist zur Erhebung eines Widerspruchs vor Wirksamwerden der Änderung ein. Die Liste der Unterauftragsverarbeiter, die unter der Aufsicht von Hook0 stehen, ist für den Kunden unter Hook0 / DSGVO-Unterauftragsverarbeiter einsehbar.
Beauftragt Hook0 einen Unterauftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Kunden, erlegt Hook0 dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auf, wie sie im DPA festgelegt sind.
Diese Vereinbarung muss insbesondere eine Verpflichtung des Unterauftragsverarbeiters vorsehen, hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung den Anforderungen der Datenschutzvorschriften und des DPA entspricht.
6. Übermittlung der personenbezogenen Daten des Kunden außerhalb des Europäischen Wirtschaftsraums (EWR)
Hook0 sichert zu, dass die Datenebene der Webhooks (Webhook-Payloads des Kunden, Datenbank und Anwendungs-Backups) in Frankreich oder innerhalb des Europäischen Wirtschaftsraums (EWR) verortet ist. Die ergänzende Edge-Schicht (CDN und DDoS-Schutz durch Cloudflare, Inc.) umfasst Transfers in die Vereinigten Staaten, die durch die von der Europäischen Kommission erlassenen Standardvertragsklauseln 2021 und ein dokumentiertes Transfer Impact Assessment sowie gegebenenfalls durch das EU-US Data Privacy Framework abgesichert werden. Die vollständige Liste der Unterauftragsverarbeiter und die anwendbaren Transfermechanismen werden unter Hook0 / DSGVO-Unterauftragsverarbeiter aktuell gehalten.
Auf Wunsch und nach Weisung des Kunden kann Hook0 personenbezogene Daten an andere Hook0-Einheiten und/oder an Unterauftragsverarbeiter in Ländern außerhalb des EWR (« Drittländer ») speichern oder übermitteln. In diesem Fall und sofern für die Drittländer kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, verpflichtet sich Hook0 dazu, dass die Übermittlung gemäß den Datenschutzvorschriften erfolgt und mit geeigneten Garantien versehen ist, die ein dem Datenschutzrecht gleichwertiges Schutzniveau gewährleisten, etwa durch die Unterzeichnung der von der Europäischen Kommission erlassenen Standardvertragsklauseln, abrufbar unter commission.europa.eu.
Der Kunde bevollmächtigt Hook0 hiermit, in seinem Namen und für seine Rechnung die Standardvertragsklauseln mit Hook0-Einheiten und Unterauftragsverarbeitern in Drittländern zu unterzeichnen.
Auf Wunsch des Kunden unterstützt Hook0 den Kunden bei der Durchführung eines Transfer Impact Assessment, um Lücken zwischen den Datenschutzvorschriften und dem Recht des Drittlands zu identifizieren und die erforderlichen ergänzenden Maßnahmen umzusetzen, die ein dem Datenschutzrecht gleichwertiges Schutzniveau gewährleisten.
7. Sicherheitsmaßnahmen und Vertraulichkeit der Verarbeitung
Hook0 ergreift, soweit dies für die Bereitstellung der Dienste oder die Einhaltung der übrigen Pflichten aus dem DPA relevant ist, angemessene Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten des Kunden zu gewährleisten, und berücksichtigt bei der Ausführung des DPA die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.
Hook0 verpflichtet sich:
- sämtliche geeigneten technischen und organisatorischen Maßnahmen zu treffen, um personenbezogene Daten vor der unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten zu schützen, insbesondere alle in Anhang 2 genannten Maßnahmen;
- sämtliche vom Kunden mitgeteilten Weisungen zu Sicherheits- und Vertraulichkeitsmaßnahmen, die in zumutbarer Weise umsetzbar sind, einzuhalten;
- die personenbezogenen Daten des Kunden ausschließlich ordnungsgemäß autorisierten Personen zugänglich zu machen;
- die Vertraulichkeit der im Rahmen des DPA verarbeiteten personenbezogenen Daten des Kunden zu gewährleisten und sicherzustellen, dass sich alle unter der Aufsicht von Hook0 zur Verarbeitung der personenbezogenen Daten des Kunden befugten Personen (einschließlich Mitarbeiter und Unterauftragsverarbeiter) zur Vertraulichkeit dieser Daten verpflichten oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8. Meldung von Verletzungen des Schutzes personenbezogener Daten
Hook0 meldet dem Kunden jede Verletzung des Schutzes personenbezogener Daten unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntniserlangung von der Verletzung, gemäß Artikel 33 DSGVO, und schriftlich nach Kenntniserlangung von einer Verletzung des Schutzes personenbezogener Daten. Sofern die Informationen Hook0 vorliegen, enthält die Meldung:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen sowie der Kategorien und ungefähren Zahl der betroffenen personenbezogenen Daten;
- die Mitteilung des Namens und der Kontaktdaten des Datenschutz-Ansprechpartners ([email protected]) oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
Soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, dürfen sie ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.
Auf Wunsch des Kunden verpflichtet sich Hook0 zudem, dem Kunden angemessene Unterstützung und Mitwirkung dabei zu leisten, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden und diese Verletzung den betroffenen Personen gemäß Artikel 34 DSGVO mitzuteilen, in Übereinstimmung mit den geltenden Datenschutzvorschriften.
9. Rechte der betroffenen Personen
Aufgrund der Art der Verarbeitungstätigkeiten verpflichtet sich Hook0:
- den Kunden unverzüglich über jede erhaltene Anfrage oder Beschwerde im Zusammenhang mit dem Schutz der personenbezogenen Daten des Kunden zu informieren;
- dem Kunden auf dessen Wunsch angemessene Unterstützung und Mitwirkung zu leisten, damit der Kunde (i) Anträge der betroffenen Personen zur Ausübung ihrer Rechte (Auskunftsrecht, Rechte auf Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch) oder (ii) Anfragen der zuständigen Datenschutzbehörden oder des Datenschutzbeauftragten des Kunden beantworten kann; insbesondere geeignete technische und organisatorische Maßnahmen umzusetzen, damit der Kunde jeder Auskunftsanfrage des Kunden zeitnah und schriftlich nachkommen kann;
- den betroffenen Personen die angemessenen Informationen über die im Rahmen der Nutzungsbedingungen durchgeführten Verarbeitungsvorgänge zu ihren personenbezogenen Daten ordnungsgemäß bereitzustellen, sofern dies vom Kunden angefordert und auf dessen Kosten erfolgt.
10. Datenschutz-Folgenabschätzung
Auf Wunsch des Kunden verpflichtet sich Hook0, dem Kunden angemessene Unterstützung und Mitwirkung zu leisten, um eine Folgenabschätzung der im Rahmen des vorliegenden DPA durchgeführten Verarbeitungsvorgänge personenbezogener Daten für den Schutz personenbezogener Daten durchzuführen und gegebenenfalls die zuständigen Datenschutzbehörden zu konsultieren, auf Kosten des Kunden (nach Zeitaufwand).
11. Aufbewahrung, Rückgabe oder Vernichtung der personenbezogenen Daten
Der Kunde bleibt allein verantwortlich für die Umsetzung und die Verwaltung der Aufbewahrungsfristen für personenbezogene Daten und verpflichtet sich, das Produkt entsprechend zu nutzen.
Unbeschadet der geltenden Gesetze und Vorschriften verpflichtet sich Hook0, zum Ende der Nutzungsbedingungen:
- auf Wunsch des Kunden alle personenbezogenen Daten des Kunden automatisiert oder manuell zurückzugeben oder zu vernichten, nach zuvor zwischen den Parteien vereinbarten Verfahren und Vorgaben;
- alle vorhandenen Kopien der personenbezogenen Daten zu löschen, es sei denn und soweit Hook0 verpflichtet ist, Kopien der personenbezogenen Daten gemäß geltendem Recht aufzubewahren (insbesondere Rechnungs- und Buchhaltungsunterlagen, die nach französischem Steuerrecht 10 Jahre lang aufzubewahren sind);
- die Vernichtung der personenbezogenen Daten schriftlich zu bescheinigen.
12. Dokumentation und Audit
Nach schriftlicher Vorankündigung von dreißig (30) Werktagen durch den Kunden legt Hook0 dem Kunden die zum Nachweis der Einhaltung der in diesen Nutzungsbedingungen festgelegten Pflichten zwingend erforderlichen Informationen offen.
Auf Wunsch des Kunden und einmal jährlich verpflichtet sich Hook0, angemessene Audits, einschließlich Inspektionen, die vom Kunden oder von einem von ihm beauftragten Dritten durchgeführt werden, zu ermöglichen und an ihnen mitzuwirken, um die Einhaltung der Datenschutzvorschriften und der Bestimmungen des DPA durch Hook0 zu beurteilen.
Hook0 verpflichtet sich zudem, Audits zuständiger Datenschutzbehörden zu ermöglichen und an ihnen mitzuwirken.
Der Kunde hat keinerlei Recht, Systeme, Daten, Aufzeichnungen oder sonstige Informationen einzusehen oder darauf zuzugreifen, die andere Kunden von Hook0 betreffen.
Jedes derartige Audit durch den Kunden oder in seinem Auftrag erfolgt auf eigene Kosten. Der Kunde übermittelt Hook0 eine Kopie des Auditberichts.
Wird der Kunde Gegenstand einer Untersuchung oder einer Auskunftsanfrage einer zuständigen Datenschutzbehörde, die einen der von Hook0 in seinem Auftrag durchgeführten Verarbeitungsvorgänge betrifft, verpflichtet sich der Kunde, Hook0 schnellstmöglich zu informieren und der Untersuchung oder Anfrage nach besten Möglichkeiten, auf eigene Kosten und in Übereinstimmung mit den von der Datenschutzbehörde festgelegten Verfahren nachzukommen.
Der Kunde verpflichtet sich, sämtliche Vertraulichkeitsbestimmungen, Richtlinien und/oder Standortregeln einzuhalten, die ihm Hook0 im Zusammenhang mit dem Audit mitteilen kann.
Anhang 1 - Verarbeitungstätigkeiten personenbezogener Daten, die Hook0 im Auftrag des Kunden durchführt
| Verantwortlicher | Der Kunde (wie in den Nutzungsbedingungen identifiziert). |
|---|---|
| Auftragsverarbeiter | FGRibreau SARL, eine Gesellschaft mit beschränkter Haftung nach französischem Recht mit einem Stammkapital von 2 000 EUR, eingetragen im RCS La Roche-sur-Yon unter der Nummer 850 824 350, USt-ID FR27850824350, Geschäftsadresse 3 rue de l'Aubépine, 85110 Chantonnay, Frankreich. |
| Art der Verarbeitungsvorgänge |
|
| Zweck(e) der Verarbeitung | Bereitstellung der Webhook-as-a-Service-Plattform Hook0, wie in den Nutzungsbedingungen beschrieben. |
| Name und Kontaktdaten des Datenschutzbeauftragten des Kunden (sofern zutreffend) | [vom Kunden auszufüllen] |
| Kategorie(n) personenbezogener Daten | E-Mail-Adressen, Namen, IP-Adressen, Inhalte der Webhook-Payloads (vom Kunden bestimmt), Authentifizierungstoken, Abrechnungsinformationen (verarbeitet durch Stripe). Sensible Daten: standardmäßig keine. Der Kunde ist dafür verantwortlich, sicherzustellen, dass die Webhook-Payloads keine besonderen Kategorien personenbezogener Daten enthalten, sofern nichts Abweichendes schriftlich vereinbart wurde. Auf Wunsch des Kunden kann Hook0 besondere Kategorien personenbezogener Daten verarbeiten. In diesem Fall wird die Verarbeitung in einem gesonderten Nachtrag zum DPA zwischen Kunde und Hook0 geregelt. |
| Kategorie(n) betroffener Personen | Endnutzer des Kunden, deren Daten über Webhooks übermittelt werden; befugte Nutzer des Kunden mit Zugang zur Hook0-Plattform. |
| Ort(e) der Verarbeitungsvorgänge | Datenebene der Webhooks: Frankreich / EWR. CDN und DDoS-Schutz: Vereinigte Staaten (Cloudflare, Inc.), abgesichert durch SCC 2021 + TIA und, sofern zutreffend, durch das EU-US Data Privacy Framework. Verlangt der Kunde die Speicherung der personenbezogenen Daten außerhalb des EWR, wird diese Verarbeitung in einer gesonderten Vereinbarung zwischen Kunde und Hook0 geregelt. Siehe: Hook0 / DSGVO-Unterauftragsverarbeiter |
| Identität der Unterauftragsverarbeiter | Siehe: Hook0 / DSGVO-Unterauftragsverarbeiter |
| Häufigkeit der Verarbeitung | Kontinuierliche, automatisierte Verarbeitung. |
| Dauer der Verarbeitungsvorgänge | Für die Laufzeit der Nutzungsbedingungen, zuzüglich 30 Tage nach Löschung des Kontos (Kontodaten). Die Aufbewahrungsdauer der Webhook-Ereignisdaten richtet sich nach dem vom Kunden gebuchten Plan, 7 Tage bei Developer, 14 Tage bei Startup, 30 Tage bei Pro, individuelle Dauer bei Enterprise. Rechnungs- und Buchhaltungsunterlagen werden nach französischem Steuerrecht 10 Jahre lang aufbewahrt. |
Anhang 2 - Umgesetzte angemessene technische und organisatorische Maßnahmen
Die folgenden technischen und organisatorischen Maßnahmen werden von Hook0 umgesetzt, um personenbezogene Daten vor der unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten zu schützen:
Infrastruktursicherheit (verwaltet durch Clever Cloud SAS)
- Anwendung gehostet auf der Infrastruktur der Clever Cloud SAS in Frankreich (EU);
- Verschlüsselung der Datenbank im Ruhezustand (verwaltet durch Clever Cloud);
- TLS 1.2+ Verschlüsselung für alle Daten in Übertragung (rustls, mit Unterstützung post-quantenfähiger Kryptografie);
- Tägliche automatisierte Backups mit 30-tägiger Aufbewahrung, gespeichert in einem multi-regionalen verteilten System (S3-kompatibel) auf Clever Cloud fr-par; die Integrität der Backups wird verifiziert und die Wiederherstellung wird monatlich getestet;
- CDN und DDoS-Schutz bereitgestellt durch Cloudflare, Inc. (Vereinigte Staaten), abgesichert durch SCC 2021 + TIA und, sofern zutreffend, durch das EU-US Data Privacy Framework;
- Die physischen Zugangskontrollen zu den Räumlichkeiten der Rechenzentren werden der Clever Cloud SAS gemäß deren dokumentiertem Sicherheitsprogramm übertragen.
Anwendungssicherheit
- Passwort-Hashing mit Argon2 (speicherintensive Funktion, resistent gegen GPU- und ASIC-Angriffe; eindeutiges zufälliges Salt pro Passwort; niemals im Klartext oder mit reversibler Verschlüsselung gespeichert);
- Autorisierungstoken auf Capability-Basis (Biscuit);
- Rollenbasierte Zugriffskontrolle (RBAC) für den Plattformzugang;
- Automatische Sitzungs-Expiration.
Hinweis zur Mehr-Faktor-Authentifizierung (MFA): Die MFA ist für alle Infrastrukturzugänge (Clever Cloud, GitLab, Stripe) aktiviert. Die MFA für individuelle Hook0-Nutzerkonten ist auf Anwendungsebene noch nicht umgesetzt und ist für eine spätere Version vorgesehen. Bis die kundenseitige MFA verfügbar ist, sorgen strenge Passwortanforderungen (Argon2-Hashing, Mindestkomplexität) und die Sitzungs-Expiration für einen Grundschutz.
Entwicklungssicherheit
- Jede Codeänderung erfordert eine Peer-Review über eine Merge Request;
- Automatisierte CI/CD-Pipeline mit:
- statischer Anwendungssicherheitsprüfung (SAST, GitLab-Vorlage);
- dynamischer Anwendungssicherheitsprüfung (DAST, GitLab-Vorlage);
- Container- und Dateisystem-Scanning (Trivy);
- Abhängigkeits-Schwachstellenscan (osv-scanner);
- Geheimnis-Erkennung (GitLab-Vorlage).
- Striktes Code-Linting (Clippy mit Warnungen als Fehler behandelt) und einheitliche Formatierung (cargo fmt --check), erzwungen in der CI.
Überwachung und Reaktion auf Vorfälle
- Fehler-Tracking über Sentry;
- Verteiltes Tracing über OpenTelemetry (OTLP-Export);
- Verfügbarkeitsüberwachung über BetterUptime mit öffentlicher Statusseite;
- Meldung von Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden gemäß Artikel 33 DSGVO (siehe Abschnitt 8);
- Responsible-Disclosure-Richtlinie mit PGP-gesicherter Meldung.
Organisatorische Maßnahmen
- Klassifikationsrichtlinie für Informationen (Public, Internal, Confidential, Sensitive);
- Vertraulichkeitsvereinbarungen (NDA) für sämtliches Personal verpflichtend;
- Praktiken zur Sicherheitssensibilisierung;
- Need-to-know-Prinzip beim Zugriff;
- MFA aktiviert für Infrastrukturzugänge (Clever Cloud, GitLab, Stripe);
- Penetrationstests jährlich oder nach wesentlichen architektonischen Änderungen durchgeführt.
Aufbewahrungsfristen
- Webhook-Ereignisdaten, je nach Plan des Kunden, 7 Tage bei Developer, 14 Tage bei Startup, 30 Tage bei Pro, individuelle Dauer bei Enterprise;
- Kontodaten (Benutzername, E-Mail, gehashtes Passwort, API-Schlüssel), Laufzeit des Servicevertrags zuzüglich 30 Tage nach Löschung des Kontos;
- Rechnungs- und Buchhaltungsunterlagen, 10 Jahre (französisches Steuerrecht, art. L102 B Livre des procédures fiscales);
- Serverprotokolle, mindestens 30 Tage, danach automatische Rotation und Löschung;
- Support-Kommunikation, 3 Jahre ab dem letzten Austausch (gesetzliche Verjährungsfrist für vertragliche Ansprüche).