Sicherheitsrichtlinie
Version: 7. November 2023
Mynewsdesk AB mit Hauptsitz in Stockholm ist ein modernes Software-as-a-Service (SaaS)-Unternehmen, das in der Lage ist, mit Hilfe von Dritten, wie Cloud-Anbietern, Open Source Software und modernen und flexiblen Produktentwicklungsprozessen ein wettbewerbsfähiges Produkt auf einem schnelllebigen Markt anzubieten.
Mynewsdesks Sicherheitsmaßnahmen entsprechen geltendem Recht und orientieren sich an den branchenüblichen Sicherheitsstandards für Cloud-Dienste.
Mynewsdesk gehört zur norwegischen Mediengruppe NHST. Für alle Unternehmen der Gruppe gilt eine Informationssicherheitsrichtlinie.
Technische und organisatorische Maßnahmen
Hosting
Mynewsdesk wird von Hetzner, Redpill Linpro und AWS gehostet, die kontinuierlich Sicherheitsbedrohungen untersuchen und entsprechende Maßnahmen unternehmen.
Amazon betreibt kontinuierlich Risikomanagement und wiederholte Begutachtungen, um die Einhaltung der Industriestandards zu gewährleisten. Amazons’ Data Center Operations wurde mit folgenden Standards akkreditiert:
- ISO 27001
- SOC 1 und SOC 2/SSAE 16/ISAE 3402 (davor SAS 70 Typ II)
- PCI Level 1
- FISMA Moderate
- Sarbanes-Oxley (SOX)
Hetzner und Redpill Lindpro entsprechen der ISO 27001-Zertifizierung.
Ort
Die Server von AWS, Hetzner und Redpill Linpro befinden sich innerhalb der EU.
Verfügbarkeit
Die Dienste von Mynewsdesk sollen aufs Jahr gerechnet eine Verfügbarkeit von 99,99% erreichen. Unsere Cloud-Hoster ermöglichen eine hohe Verfügbarkeit dank automatischer Failover und Vermeidung von Single Points of Failure. Der Status der Dienste von Mynewsdesk lässt sich einsehen unter status.mynewsdesk.com.
Application Stack
Mynewsdesk wurde mit dem Web-Framework Ruby on Rails geschrieben und von der Open Source Community in Bezug auf Sicherheit getestet. Die Technologien des Unternehmens werden in Java und Python integriert. Die Anwendungen laufen unter Linux-Umgebungen, die mit Sicherheitspatches gewartet werden. Interne Backend-Dienste kommunizieren über authentifizierte und verschlüsselte Kanäle mit branchenüblichen Verschlüsselungsmethoden und voller Nutzung von Extended-Validation-SSL-Zertifikaten.
Zugriffskontrolle
Mitarbeitern und Beratern von Mynewsdesk kann der Zugriff auf Betriebsdaten über Granularitätsstufen gewährt werden. Bei Bedarf wird die Zwei-Faktor-Authentifizierung aktiviert. Änderungen an Inhalten des Kunden über die Dienste werden protokolliert.
Datensicherung
Die Kundendaten werden von Mynewsdesk gesichert und 30 Tage zur Systemwiederherstellung gespeichert. Anwendungsprotokolle werden auf getrennten Systemen gespeichert und zwecks Konsistenz der Datensicherheit längere Zeit aufbewahrt.
Automatische Überwachung
Mynewsdesk nutzt Dienste von Drittanbietern Code-Änderungen auf Sicherheitsschwachstellen zu prüfen. An den Anwendungen werden ebenfalls durch externe Dritte Penetrationstests durchgeführt, bei denen IT-Schwachstellen mit CVSS – Common Vulnerability Scoring System – beschrieben werden. Bibliotheken werden automatisch nach Sicherheitsupdates durch Drittdienste gescannt.
Eingebauter Datenschutz (Privacy by Design)
Mynewsdesk geht vorausschauend mit dem Thema Sicherheit und personenbezogenen Daten in unserem Entwicklungsprozess um, wie dies durch die Privacy by Design-Technik vorgegeben wird. Dieser Prozess verläuft nach Checklisten zur Verarbeitung personenbezogener Daten auch unter Verwendung von Verschlüsselung oder Pseudonymisieren, um die Verletzung des Datenschutzes zu verhindern.
Einrichtung
Mynewsdesk verwendet automatische Codetests, um sicherzustellen, dass die bestehende Funktionalität nicht durch eingefügte Änderungen beeinträchtigt wird. Alle Codes werden zusätzlich durch eine weitere Person überprüft, bevor sie in den Mastercode eingefügt werden. Hinzu kommt ein manuelles Fragen- und Antwortverfahren zur Überprüfung der neuen Funktion, bevor die Funktion in den Betrieb geht.
Die Codes der Betriebsumgebung werden täglich aktualisiert. Alle Freigaben für den Betrieb sind rückverfolgbar gekennzeichnet.
Regelungen zu Sicherheit und Datenschutz
Mynewsdesk hat innerhalb des Unternehmens Datenschutzfachleute ernannt, welche technische und organisatorische Maßnahmen dazu lenken, wie das Unternehmen personenbezogene Daten gemäß den gesetzlichen Bestimmungen verarbeitet. Mynewsdesk hat Personen bestimmt, die in Zusammenarbeit mit NHST die Einhaltung der NHST-Informationssicherheitsrichtlinie sicherstellen.
Mitarbeiter, Auftragnehmer, Unterauftragsverarbeiter
Alle Geräte der Mitarbeiter von Mynewsdesk sind einzeln Passwort geschützt und verschlüsselt, wie in einer innerbetrieblichen IT-Richtlinie festgelegt. Die Mitarbeitergeräte können im Fall eines Diebstahls oder ähnlichem per Fernzugriff gelöscht werden.
Mynewsdesk gewährleistet, dass die Personen, welche eine Autorisierung für Betriebsdaten besitzen, zu Vertraulichkeit verpflichtet sind. Die Verarbeitung von Daten wird durch Auftragsverarbeitungsverträge und unsere Datenschutzerklärung geregelt.
Verletzungen des Datenschutzes
Mynewsdesk verfügt über ein festgelegtes Verfahren zum Umgang mit Schutzverletzungen bei personenbezogenen Daten mit einem Eskalationsprogramm, um sicherzustellen, dass die betroffenen Personen so schnell wie möglich durch uns benachrichtigt werden und wir einen Vorfall innerhalb von 72 Stunden an die schwedische Datenbehörde Integritetsskyddsmyndigheten melden können.