Anhang 3: Technische und organisatorische Maßnahmen zur Datensicherheit (Pamyra4You)

gemäß Art. 32 DSGVO (als Auftragsverarbeiter)

Pamyra
Rechtliches
Anhang 3: Technische und organisatorische Maßnahmen zur Datensicherheit (Pamyra4You)

(1) Gegenstand

Dieses Dokument beschreibt die durch die Pamyra GmbH (nachfolgend „Pamyra“ oder „Unternehmen“) getroffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten, soweit das Unternehmen als Auftragsverarbeiter handelt.

Die Maßnahmen beziehen sich auf folgende Verarbeitungen:

  • Bereitstellung des Online-Tarifmanagers und eines Plugins bzw. einer Website für einen Versandkostenrechner für Pamyra Software as a Service Dielstleitungen (z.B. Pamyra4You, PamyraLITE etc.)
    • zur Entgegennahme, Speicherung und aufbereiteter Darstellung von Versandaufträgen
    • zur Vornahme von Einstellungen für die Transporttarife
    • zur Bereitstellung begleitender Funktionalitäten gemäß Hauptvertrag.

    (2) Unterauftragsverarbeiter

    Das Unternehmen nutzt den Unter- Auftragsverarbeiter Hetzner Online GmbH und deren Unter- Auftragsverarbeiter. Die Technischen und Organisatorischen Maßnahmen des Unterauftragnehmers und seiner Unterauftragnehmer sind in eigenen Dokumenten erläutert. Dies ist als Anhang 1 diesem Dokument angehängt. Die aufgeführten Unterauftragsverarbeiter werden gemeinsam als die Unter-Auftragsverarbeiter bezeichnet. Die dazugehörigen Anhänge gemeinsam Anlage 2

    (3) Vertraulichkeit (Art 32 Abs. 1 lit. b) DSGVO)

    (3.1) Datenspeicherung und Verarbeitung

    Die Daten der Online-Plattform werden ausschließlich in den Rechenzentren auf den Servern der Unter- Auftragsverarbeiter gespeichert. Auf Computern von Pamyra erfolgt nur der Zugriff auf die Daten zum Zwecke der Wartung, Fehlerbehebung oder anderen im Hauptvertrag definierten Zwecken. Dieser Zugriff erfolgt in der Regel über das Browser-basierte Dashboard, kann jedoch auch über andere Zugänge zur Online-Plattform erfolgen. Diese Zugriffe sind gemäß 3.3 gesichert. Auf Servern oder Computern von Pamyra werden keine personenbezogenen Daten dauerhaft gespeichert.

    (3.2) Zutrittskontrolle

    Da Pamyra keine personenbezogenen Daten auf eigenen Servern lagert, gibt es keine Hardware, zu der der Zutritt geregelt werden muss. Für die Server gelten insbesondere die TOMs der Unterauftragnehmer Hetzner Online GmbH.

    (3.3) Zugangskontrolle

    (a) Zugang auf Serverdaten

    Direkten Zugriff zu den nicht anonymisierten Kundendaten (Serverzugriff, Datenbankzugriff) hat nur ein stark beschränkter Personenkreis. Für diese Systeme werden sichere Passwörter verwendet. Diese Passwörter werden verschlüsselt gespeichert. Nur der stark eingeschränkte Personenkreis hat hierzu Zugang. Technische Mitarbeiter und Entwickler sind angewiesen keine Versuche zu unternehmen, Passwörter aus Quellcode oder Ähnlichem auszulesen. Es ist protokolliert wer zum eingeschränkten Personenkreis gehört. Sollte ein*e Mitarbeiter*in aus dem eingeschränkten Personenkreis ausscheiden, werden die Zugriffsdaten zum System umgehend gelöscht.
    Zusätzlich haben Mitarbeitenden der Unter-Auftragnehmer entsprechend ihrer TOMs Zugriff auf die Daten in den zugrunde liegenden Serverstrukturen.

    (b) Zugang über die Online-Plattform durch Pamyra

    Alle anderen Mitarbeitenden von Pamyra (Support, Vertrieb, Development) und Kunden haben ausschließlich über die Pamyra Online-Plattform Zugriff auf die nicht anonymisierten Kundendaten. Die Online-Plattform ist durch Authentifizierung mittels eines Benutzernamens und eines Passwortes vor unberechtigtem Zugang geschützt. Pamyra Mitarbeitende verwenden für den Zugriff ihre Domänenzugangsdaten. Die Mitarbeitenden des Unternehmens sind angewiesen die Kundendaten als vertraulich zu behandeln. Die Mitarbeitenden des Unternehmens sind angewiesen bei Abwesenheit ihre Computer zu sperren, sodass Besuchende oder Mitarbeitende ohne Berechtigungen nicht zufällig Zugang erhalten.
    Nach 8 Stunden werden die Mitarbeitenden außerdem automatisch aus der Online-Plattform ausgeloggt.

    (c) Zugang über die Online-Plattform durch den Kunden

    Der Kunde erhält Zugang über die Online-Plattform. Ein Kunde erhält dabei nur Zugriff auf die eigenen Stammdaten und eigenen Aufträgen. Die Kundenkontos sind über Authentifizierungen mittels Benutzerkennung und Passwort geschützt. Für den sorgfältigen Umgang mit seinem Zugang zur Online-Plattform und mit weiteren Zugängen trägt der Kunde selbst die Verantwortung.

    (3.4) Zugriffskontrolle

    a) Zugriffseinschränkungen

    Die Konten können nach einem oder mehreren der folgenden Kriterien im Umfang der Daten auf, die sie zugreifen können, eingeschränkt werden:
    Zugehörigkeit zu einem Kunden

    b) Rollen und Berechtigungen

    Es sind folgende Rollen vorgesehen, die bestimmte Rechte haben:

    Pamyra Inhaber
    Zugriff auf alle Daten und die Möglichkeit alle Einstellungen anzupassen. Erstellen von Accounts, vergeben von Rechten.

    Pamyra Administrator
    Zugriff auf alle Daten und die Möglichkeit alle Einstellungen anzupassen. Erstellen von Accounts, vergeben von Rechten.

    Pamyra Disponent
    Einsehen von Aufträgen

    Account Kunde
    Einsehen von eigenen Stammdaten und eigenen Aufträgen

    c) Modifikationseinschränkungen

    In der Online-Plattform gibt es Möglichkeiten Daten zu modifizieren. Lediglich das Ändern von Einstellungen ist nicht möglich. Eine Löschung der Daten kann durch den Kunden beauftragt werden.

    d) Überprüfung beim Kunden

    Der Kunde ist selbst dafür verantwortlich die von ihm vergebenen Zugriffsrechte zu kontrollieren.

    (3.5) Datentrennung

    Entwickler*innen arbeiten, wenn möglich, ausschließlich auf Testsystemen, die auf komplett getrennten Daten laufen.

    (3.6) Verschlüsselung (Art 32 Abs. 1 lit. a) DSGVO)

    a) Transportverschlüsselung bei der Sammlung der Daten:

    • Zusätzlich sind die Daten bei der Übertragung vom TMS zum Server mittels TLS 1.2 oder neuer verschlüsselt.
    • Die Certification Authority (CA) für die Zertifikate für die Server, die für den Aufbau der gesicherten Verbindung notwendig sind, liegt ausschließlich gesichert bei Pamyra. Zertifikate werden gesichert auf die Server übertragen und haben eine Gültigkeit von höchstens drei Monaten.

    b) Transportverschlüsselung bei der Anzeige der Online-Plattform:

    Die Daten, die über die Online-Plattform angezeigt werden, werden über HTTPS zum Web- Browser der*s Nutzer*in übertragen und sind mittels TLS 1.2 oder neuer verschlüsselt.

    (4) Integrität (Art 32 Abs. 1 lit. b) DSGVO)

    4.1 Weitergabekontrolle

    Bei Pamyra werden keine personenbezogenen Daten weitergegeben. Jeglicher Zugriff auf personenbezogene Daten erfolgt über die Online-Plattform.

    (5) Wiederherstellbarkeit

    Das System läuft in einem Kubernetes Cluster. Die Anwendung wird durch eine Microservice Architektur bereitgestellt. Die Architektur ermöglicht es bei Ausfall oder hoher Last weitere Services bereitzustellen.

    Zusätzlich sichert Pamyra die Daten regelmäßig wie folgt: Es werden regelmäßig, mindestens zwei mal täglich, im Großvater-Vater-Sohn-Prinzip die Daten gesicht. Das Backup wird auf einem separaten Server vom Unter-Auftragnehmer gespeichert.

    (6) Verfügbarkeit (Art 32 Abs. 1 lit. b) DSGVO)

    Die Unter-Auftragnehmer des Unternehmens treffen gemäß ihren technischen und organisatorischen Maßnahmen in den Anhängen A entsprechende Maßnahmen.

    (7) Dokumenten-Historie

    VersionDatumBearbeiterÄnderung
    1.005.11.2020Felix WiegandErsterstellung
    1.126.10.2021Christopher ModdeÜberarbeitung
    1.202.12.2021Felix WiegandÜberarbeitung Dokumentenstruktur

Ratgeber zum Thema

Versandkosten-Rechner

Speditionen und Preise vergleichen und genau die richtige Spedition für Ihren Transport buchen

Abholung in
Lieferung nach
Und Sie sind?

600+ geprüfte Speditionen
kostenfrei vergleichen
sofort und sicher buchen