Infos bzgl. Auslagerung und Sicherheit
Auf dieser Seite finden Sie weitere allgemeine Informationen zu den okular-Tools im Basis-Abo und LSI-Paket sowie allgemein zur okular-Tool-Plattform, auf denen die okular-Tool Webanwendungen betrieben werden.
Zusammen mit dem von uns gesendeten Verträgen sollten Sie alle Informationen z.B. für eine Risikoanalyse bzw. Einstufung in Auslagerung oder Fremdbezug vorliegen haben.
Einstufung der Cloud-Dienstleistung
Die okular-Tools sind aus Sicht einer nutzenden Bank Software-as-a-Service (SaaS) Leistungen. Die Webanwendungen werden dabei von der parcIT in der Microsoft Azure Cloud (Azure) betrieben. Ausschließlich freigeschaltete Kunden der parcIT haben Zugriff auf die okular-Tool-Plattform. Die Cloud-Infrastruktur ist dabei virtuell abgetrennt, so dass es sich um eine (virtuelle) Community Clouddienstleistung handelt.
Mandantentrennung
Die Daten der Kunden, die ggf. je nach okular-Tool gespeichert werden, werden dabei logisch voneinander getrennt. Die effektive Mandantentrennung erfolgt dabei über die Nutzerdaten (eindeutige Zuordnung eines authentifizierten Nutzers zu einem Mandanten).
RZ-Standort
Die verwendete Infrastruktur der okular-Tool-Plattform wird in der Region Germany West Central betrieben. Backups erfolgen im Server-Netz der parcIT.
Der Authentifizierungsdienst wird ebenfalls in Deutschland betrieben, wobei sich das gemanagte Backup-System in Dublin (Irland) befindet.
Daten in der okular-Tool-Plattform
In der okular-Tool-Plattform selbst gespeicherte Personenbezogene Daten sind ausschließlich die Nutzernamen und Mailadressen der durch die Bank registrierten Nutzer.
Darüber hinaus ist der Umfang der zu verarbeitenden und ggf. zu speichernden Daten vollständig von jeder einzelnen App abhängig.
Die Webanwendungen auf der okular-Tool-Plattform haben dabei keinen Zugriff auf andere Systeme in der Bank. Datenaustausch (Import / Export von Daten) erfolgt immer nur direkt durch den Nutzer.
Schnittstellen
Die okular-Tool-Plattform hat keine direkte Verbindung zum parcIT-internem Netz. Für Wartungs-/Servicezugriffe werden adhoc sichere Verbindungen aufgebaut und nach Fertigstellung wieder geschlossen.
Unser Dienstleister Microsoft Azure verfügt über verschiedene anerkannte Zertifikate z.B. zur IT-Sicherheit. Informationen hierzu können den folgenden Ressourcen entnommen werden:
Vor Vertragsabschluss bestätigen wir Ihnen gerne, dass unser Datenschutzbeauftragter im letzten vor-Ort-Audit 2021 keine Verstöße gegen die mit unseren Kunden vereinbarten TOM festgestellt hat.
Sobald zwischen unseren Unternehmen eine entsprechende vertragliche Basis existiert, stellen wir Ihnen gerne den detaillierten Bericht über das Audit zur Verfügung.
Im Wesentlichen sind das aktuell gemäß Rahmenvertrag §8.1.2:
- IDW PS 951 (jährlich)
- IDW PS 880 (anlassbezogen, für die okular-Tools gerade in Vorbereitung)
- Revisionsberichte (quartalsweise)
- Datenschutzbericht (jährlich)
- Notfallberichte (jährlich)
Diese Berichte können Sie jederzeit über das Kundenportal einsehen und herunterladen.
Ebenfalls können Sie sich bei der Einstellung von neuen Berichten informierten lassen.
Der Inhalt des Basis-Abos wird im Laufe der Zeit angepasst. Alle paar Monate werden neue okular-Tools dem Basis-Abo hinzugefügt. Der aktuelle Inhalt des Abos ist unten auf dieser Seite aufgeführt.
Neue Tools werden unter anderem über das Kundenportal der parcIT angekündigt. Alle wichtigen Informationen zu den okular-Tools finden unsere Kunden im Kundenportal:
- Kurzbeschreibung
- Handbuch und ggf. Leitfaden
- Video-Tutorials (sofern vorhanden)
- Testabschlussbericht
- Informationen aus einer Funktionsprüfung z.B. gemäß IDW PS 880
Es ist geplant, zwei Mal pro Jahr gesammelt Funktionsprüfungen neuer Anwendungen und Major-Releases durchzuführen. Die Prüfung der ersten okular-Tool-Webanwendungen wird voraussichtlich in Q3 2022 erfolgen und ist aktuell in der Vorbereitung. (Dies betrifft nicht okular-IRIS. okular-IRIS wird aktuell geprüft).
Ergebnisse der Prüfungen werden im Kundenportal veröffentlicht.
Microsoft investiert jährlich mehrere Milliarden Dollar in das Thema Cyber-Security. Die Sicherheitsmaßnahmen von Azure können auf der folgenden Seite nachgelesen werden:
Hier können beispielsweise zu den Themen:
- Schutz von Daten
- Netzwerksicherheit
- Sicherheit der Infrastruktur (unter Anderem physische Sicherheit im Rechenzentrum)
- Sicherheit virtueller Computer
- Datenbanksicherheit
Informationen eingeholt werden.
Microsoft wird regelmäßig zu IT-Sicherheitsthemen zertifiziert:
Aufbau der Infrastruktur
Zur Darstellung der Sicherheitsmaßnahmen folgt ein stark vereinfachter Aufbau der Infrastruktur:
Abbildung 1: Aufbau okular-Tool-Plattform
Segmentierung und Firewallschutz
Die verschiedenen Komponenten sind durch die Bildung von verschiedenen Netzen segmentiert. So können Zugriffe und Datenflüsse bedarfsgerecht gesteuert bzw. abgesichert werden. Den Servern bzw. Webanwendungen im Produktions-Netz werden die notwendigen Zugriffe gewährt.
Die okular-Tool-Plattform ist auch vom parcIT-Internen Netz separiert. Service-Zugriffe durch parcIT Mitarbeiter können nur von wenigen Mitarbeitern durchgeführt werden.
Zugriff durch Nutzer
Der einzige Zugriffspunkt auf die Plattform (das Produktions-Netz) von außen liegt am Azure Application Gateway (App-Gateway; links im Bild). Der App-Gateway wird durch eine Firewall und ein Standard Intrusion Detection System geschützt.
Der App-Gateway weist dann einen anfragenden Nutzer nach erfolgreicher Authentifizierung für ein okular-Tool einen der Server im Produktions-Netz zu oder fährt ggf. einen neuen Server hoch. Auf die virtuellen Maschinen im Produktions-Netz oder das Service-Netz kann nicht direkt von außen zugegriffen werden (siehe auch Segmentierung).
Der Zugriff erfolgt dann end-to-end verschlüsselt (https mit Transport Layer Security (TLS) in Version >= 1.2). Der Zugriff eines Browsers, der diesen Verschlüsselungsstandard nicht beherrscht wird abgelehnt.
Virtualisierung
Die eigentlichen Server der okular-Tool-Plattform im Produktions-Netz, auf denen die Webanwendungen laufen, sind virtuelle Maschinen (VM) ohne Gedächtnis. Das bedeutet, dass alle Daten, die im Arbeitsspeicher oder temporären Speicherinstanzen dieser Server zwischengespeichert wird, nach Herunterfahren der VM gelöscht werden. Die VMs werden dabei regelmäßig automatisch neu gestartet. Die temporären Daten in den VMs sind verschlüsselt.