Sicherheitserklärung Minddistrict

Minddistrict ist ein führendes Unternehmen für E-Health-Lösungen. Eine Vielzahl von Organisationen im Healthcare Bereich nutzt die Leistungen von Minddistrict und hat uns mit der Speicherung ihrer Daten auf unserer Plattform betraut.

Und weil unsere Kunden Anbieter von medizinischen Leistungen sind, nehmen wir deren Sorgen bezüglich Datensicherheit und Privatsphäre sehr ernst. Wir sind bestrebt sicherzustellen, dass die Daten unserer Nutzer sicher und gemäß den relevanten und strengen Vorschriften zum Schutz der Privatsphäre behandelt werden. Hierfür setzt Minddistrict modernste Technologie und weitere Maßnahmen ein, um den Grad an Schutz zu bieten, der heutzutage angemessen und im Handel erhältlich ist. Diese Sicherheitserklärung soll Sie transparent über unsere Sicherheitsinfrastruktur und unsere Praktiken informieren und Ihnen versichern, dass Ihre Daten bei uns angemessen geschützt sind. Die Sicherheit und die Richtlinien von Minddistrict werden von uns regelmäßig überprüft und bei Bedarf angepasst. Zudem informiert Sie unsere Datenschutzrichtlinie über den Umgang mit den auf unserer Plattform gespeicherten personenbezogenen Daten.

Nutzersicherheit

  • Authentifizierung: Die Nutzerdaten in unserer Datenbank sind durch kontenbasierte Zugangsregeln logisch voneinander getrennt. Nutzerkonten haben ihre eigenen individuellen Nutzernamen und Passwörter, die bei jeder Anmeldung eingegeben werden müssen. Minddistrict legt nur einen Sitzungscookie auf Ihrem Gerät ab, mit dem während der Dauer einer bestimmten Sitzung verschlüsselte Authentifizierungsdaten aufgezeichnet werden. Dieser Sitzungscookie enthält jedoch nicht das Passwort des Nutzers.
  • Passwörter: Nutzer müssen ihre Passwörter mit einem Mindestmaß an Komplexität erstellen, z. B. mit einer Mindestanzahl an Zeichen (12) und Sonderzeichen. Passwörter werden verschlüsselt gespeichert.
  • Einmalanmeldung (SSO): Für bestimmte Kunden unterstützt Minddistrict eine Zugangskontrolle zu Minddistrict-Lösungen.
  • Datenübertragbarkeit und -archivierung: Minddistrict ermöglicht es Kunden, ihre Daten nach Durchlaufen eines Verfahrens zum Schutz vor Missbrauch oder unbefugter Verbreitung von unserem System zu exportieren. Darüber hinaus speichern wir Daten oder nutzen diese mit anderen Anwendungen, die wir in unserer Datenschutzrichtlinie weiter erklären.
  • Datenschutz: Unsere Datenschutzrichtlinie führt transparent die Vorgehensweisen auf, nach welchen wir Ihre Daten verarbeiten, nutzen, teilen und speichern.
  • Datenspeicherung: Sämtliche Nutzerdaten von Minddistrict werden in sicheren Datenbanken auf Servern innerhalb der Europäischen Union (EU) gespeichert. Die EU verlangt eine äußerst hohe Datenschutzstufe. Für Kunden im Vereinigten Königreich erfolgt die Speicherung sämtlicher personenbezogener Daten von Kunden an Standorten in diesem Land. Personenbezogene Daten von Endnutzern werden nur auf bestimmten Produktionsservern, jedoch nicht auf Entwicklungsservern gespeichert. Unsere Bürodaten sowie die Unternehmenswebseite von Minddistrict speichern wir getrennt von unserer Produktionsumgebung an einem gesonderten (physischen und logischen) Standort.

Physische Sicherheit
Die Speicherung der Lösungs- und Produktionsumgebungen von Minddistrict erfolgt in hochgesicherten Datenzentren. Diese Datenzentren verfügen über sämtliche notwendigen physischen Sicherheitskontrollen, welche Sie in modernen Datenzentren erwarten können (Rund-um-die-Uhr-Überwachung, Kameras, Besucherprotokolle, Zugangsvoraussetzungen). Unser Hosting-Partner besitzt u.a. die folgenden Zertifikate: ISO 27001:2013, ISAE 3402 Type II, NEN 7510 sowie ISO 14001. Für weitere Informationen besuchen Sie Intermax.

Netzwerksicherheit

  • Tests & Entwicklung: Die Systemfunktionalität und Änderungen an ihrer Gestaltung werden in einer gesonderten Testumgebung überprüft und unterliegen vor dem Einsatz in unseren aktiven Produktionssystemen automatischen und manuellen Tests.
  • Firewalls: Minddistrict verwendet eine mehrschichtige Firewall-Lösung, um den Zugang auf zugelassene Nutzer und kontrollierte Prozesse zu beschränken.
  • Zugangskontrolle: Der Zugang von Mitarbeitern auf unsere App erfordert eine 2-Faktoren-Authentifizierung, zudem wenden wir einen rollenbasierten Zugang an, um sicherzugehen, dass lediglich autorisiertes Personal Zugriff auf bestimmte Umgebungen oder Daten erhält.
  • Protokollierung und Auditing: Zentrale Protokollierungssysteme erfassen und archivieren Zugriffe auf interne Systeme, inkl. Authentifizierungsversuche.
  • Verschlüsselung bei Übermittlung: Minddistrict hat standardmäßig Transport Layer Security (TLS) aktiviert, mit welcher der Verkehr zwischen Ihnen und unserer E-Health-Plattform verschlüsselt wird. Sämtliche Kommunikation mit unseren Domänen (minddistrict.com, mindistrict.co.uk und Minddistrict.de) erfolgt über TLS-Verbindungen, welche die Kommunikation durch Nutzung der Nutzerauthentifizierung sowie der Datenverschlüsselung schützen. Damit wird gewährleistet, dass gerade übertragene Nutzerdaten sicher, geschützt und nur von den für sie bestimmten Empfängern zu sehen sind. Wir sind bestrebt, bei SSL-Tests das höchstmögliche Rating zu erreichen.

Schwachstellen-Management

  • Patching: Um das Entstehen von Schwachstellen auf ein Minimum zu beschränken, stellen wir sicher, dass wichtige Sicherheitspatches sowohl in unseren Systemen und Anwendungen als auch in unserer Netzwerkinfrastruktur aufgespielt werden.
  • Scans durch Drittparteien: Unsere Umgebungen werden fortlaufend mit Best-of-Breed-Sicherheitstools gescannt. Diese Tools sind dazu konfiguriert, Bewertungen über Schwachstellen in Anwendungen und Netzwerken durchzuführen, anhand derer der jeweilige Patch-Status sowie die grundlegenden Fehlkonfigurationen von Systemen und Sites überprüft werden.
  • Eindringungstests: Von externen Organisationen werden regelmäßig Eindringungstests durchgeführt. Um hierbei einen hohen Grad an Sicherheit zu gewährleisten und das Beste aus den daraus zu ziehenden Konsequenzen zu machen, beauftragen wir hierfür hochspezialisierte und anerkannte Lieferanten.

Organisatorische und Administrative Sicherheit

  • Datensicherheitsrichtlinien: Bei uns gelten interne Datenschutzrichtlinien, inkl. Vorfallreaktionspläne, die wir regelmäßig überprüfen und aktualisieren.
  • Mitarbeiter-Screening: Unsere Mitarbeiter werden Sicherheitsprüfungen unterzogen. Zudem haben sämtliche unserer Mitarbeiter Vertraulichkeitserklärungen unterzeichnet und befolgen unsere internen Richtlinien.
  • Schulungen: Unsere Mitarbeiter nehmen “regelmäßig an Schulungen für Sicherheitsbewusstsein und Technologie teil.
  • Dienstleister: Wir überprüfen unsere Dienstleister und verlangen von ihnen, vom jeweiligen Umstand abhängige geeignete Vertraulichkeits- und Sicherheitspflichten zu erfüllen.
  • Zugang: Die Zugangskontrolle zu sensiblen Daten in unseren Datenbanken, Systemen und Umgebungen erfolgt gemäß unseren Richtlinien dem Need-to-know-/Least-Privilege-Prinzip.

Softwareentwicklungspraktiken

  • Kompatibilität: Wir sind bestrebt, dass die Lösungen von Minddistrict mit verschiedenen Betriebssystemen wie z. B. Windows, Android und iOS kompatibel bleiben. Zudem ist Minddistrict Teilnehmer an verschiedenen Kompatibilitätsprojekten wie z.b. ‘Koppeltaal‘,  welche es den Kunden erleichtern sollen, Lösungen von Minddistrict mit deren eigenen Umgebungen und Drittlösungen zu verbinden.
  • Coding-Praktiken: Unsere Ingenieure wenden Best Practices sowie branchenübliche Sicherheitscodes an, welche sich mit den ‘OWASP‘ decken.
  • Implementierung: Wir implementieren den Code regelmäßig, womit es uns möglich wird, bei Entdeckung eines Fehlers oder einer Schwachstelle im Code schnell reagieren zu können.

Umgang mit Sicherheitsverstößen

Auch wenn wir unser Bestes tun, gibt es keine Methode, welche die Übertragung über das Internet oder die elektronische Speicherung zu 100 % schützen kann. Und auch wir können keine absolute Sicherheit garantieren. Wenn uns jedoch ein Sicherheitsverstoß bekannt wird, werden wir gemäß den geltenden EU-Vorschriften zum Datenschutz  die betroffenen Kunden und bei Bedarf auch Nutzer informieren, damit diese geeignete Schutzmaßnahmen ergreifen können. Eine solche Benachrichtigung kann z. B. E-Mail-Nachrichten oder ein Hinweis auf unserer Website umfassen.

Ihre Verantwortlichkeiten

Der Schutz Ihrer Daten kann jedoch nicht von Minddistrict allein bestritten werden. Sicherheit hängt von allen Seiten ab und das betrifft auch Kunden und Klienten. Auch sie müssen ihre Konten schützen, z. B. indem sie verantwortungsvoll mit ihren Passwörtern umgehen und unsere Lösungen nur in sicheren Umgebungen nutzen. Bitte aktualisieren Sie Ihre Geräte und Software, damit diese stets gemäß den branchenüblichen Standards laufen. Auf diese Weise kann das Risiko einer Gefährdung gesenkt werden. Zudem sollten Kunden sicherstellen, dass sie durch ein Datenmanagement-Schutzsystem ausreichend geschützt sind und geeignete Maßnahmen für einen ausreichenden Schutz der betreffenden Daten ergriffen haben. Auf Anfrage können wir Sie hinsichtlich der Nutzung unserer Lösungen beraten, jedoch müssen auch Sie als Verantwortlicher für die Daten und/oder als Betroffener selbst sicherstellen, dass Ihre Daten auf sichere, verantwortungsvolle und rechtmäßige Art und Weise verarbeitet werden.

Kundenanfragen

Aufgrund der hohen Anzahl an Kunden, welche unsere Leistungen in Anspruch nehmen, können spezielle Sicherheitsfragen oder Kundenschutzformulare nur für Kunden bearbeitet werden, die eine bestimmte Anzahl an Lizenzen und Lösungen von Minddistrict erworben haben. Verfügt Ihr Unternehmen über eine große Anzahl an potenziellen oder bereits bestehenden Nutzern und ist dieses an einer Prüfung solcher Vereinbarungen interessiert, dann kontaktieren Sie unser Personal bitte via E-Mail oder per Post unter:

Minddistrict
Jan Evertsenstraat 749
1061 XZ Amsterdam, Niederlande

Wir stellen sicher, dass Ihre Anfrage mit der erforderlichen Sorgfalt behandelt wird.

V.1.0. Januar 2017