Wir legen auf Datensicherheit und Datenschutz sehr großen Wert und arbeiten DSGVO-konform, weshalb hunderte namhafte Kunden auf Just Social vertrauen. Dazu gehören Unternehmen und Organisationen jedweder Branche und Art:
Selbstverständlich kannst Du mit uns eine Vereinbarung zur Auftragsverarbeitung (AV bzw. AVV) auf Basis der ab dem 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung gem. Art. 28 DSGVO nach neuestem Stand abzuschließen.
Du kannst dies ganz einfach elektronisch tun: Das erspart allen Beteiligten Aufwand und ermöglicht dennoch eine rechtlich sichere Datenschutzbasis für unsere zukünftige Zusammenarbeit.
Wir lassen unsere Systeme und Prozesse regelmäßig von der Unternehmensberatung audatis in Hinblick auf Datensicherheit und Datenschutz überprüfen und optimieren. Das aktuelle Testat kannst Du hier herunterladen:
audatis ist auf die Bereiche Datenschutz und Informationssicherheit spezialisiert und berät renommierte Kunden aus verschiedenen Branchen. Unser Datenschutzbeauftragter Carsten Knoop ist Gründer und Geschäftsführer von audatis und war zuvor Chief Information Security Officer (CISO) bei der Bertelsmann AG. Er verfügt über jahrelange Erfahrung und exzellente Fachkenntnisse auf dem Gebiet.
Mehr Informationen über audatis
Just Social wurde in der Vergangenheit von kundenbeauftragten, externen Pentestern überprüft. Mittlerweile verfügen wir über entsprechende Expertise bei uns im Team und beschäftigen einen professionellen internen Pentester. Dies hat folgende Vorteile:
Da unser Pentester kein Mitglied unserer Entwicklungsteams ist und in seiner Nebentätigkeit auch für andere Kunden arbeitet, ist seine Unabhängigkeit dennoch gewahrt.
Sofern wir das Hosting von Just Social übernehmen, hosten wir Dein Serversystem in einem hochprofessionellen und ISO 27001-zertifizierten Rechenzentrum in Deutschland, das höchste Sicherheitsstandards erfüllt:
ISO Zertifikat sowie weitere Informationen zu unserem Rechenzentrum
Mit der Enterprise Version von Just Social bekommst Du ein eigenes „Stück Software“, über das Du vollständige Kontrolle hast: Du kannst es entweder in einem Rechenzentrum Deiner Wahl selber hosten (self-hosted), oder uns das komplette Hosting in unserem ISO-zertifizierten Rechenzentrum überlassen (private Cloud). In jedem Fall befinden sich Deine Daten an einem sicheren Ort Deiner Wahl. In unseren Standardprozessen zur Installation der private Cloud ist vorgesehen, einen Paketfilter entsprechend einzurichten, so dass ein Zugriff von außen nur auf die entsprechenden Services möglich ist, und zwar i.d.R. über SSH zur Wartung (Port 22) und HTTP/HTTPS (Port 80/443). Zusätzlich haben wir einen DDOS Schutz aktiv.
Sofern wir das Hosting Deines Just Social Systems übernehmen, überwachen wir den Status der verwendeten Services und Ressourcen durch ein Monitoring-System. Bei Überschreiten von Schwellenwerten werden wir automatisch benachrichtigt. Wir überwachen beispielsweise:
Sofern wir das Hosting Deines Just Social Systems übernehmen, installieren wir täglich die aktuellen Sicherheitsupdates für das Betriebssystem auf dem Serversystem.
Sofern wir das Hosting Deines Just Social Systems übernehmen, sichern wir die Daten täglich und komplett verschlüsselt auf einem separaten Backup Server.
Just Social überträgt sämtliche Daten zum Client verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist. Der verwendete Algorithmus hängt vom TLS-Schlüssel ab. In der Regel ist dies AES mit 256 Bit Schlüssellänge. Neben HTTPS verwenden wir SSH für Wartungszugänge.
Die Passwörter der Nutzer werden mittels eines Hash-Algorithmus per bcrypt und einem geheimen Salt gesichert und in der Datenbank gespeichert. Eine Entschlüsselung ist somit nicht möglich.
Unsere Mindestanforderungen für die Passwörter der Nutzer gewährleisten ein hohes Maß an Sicherheit: Sie erfordern mindestens 8 Zeichen, 1 Buchstabe sowie Groß- und Kleinschreibung oder 1 Zahl oder 1 Sonderzeichen.
Folgende Pflichtangaben sind zur Nutzung von Just Social zwingend erforderlich:
Alle weiteren Angaben sind optional.
Jede Benutzerinteraktion in JUST unterliegt einer Authentisierung und Autorisierungsprüfung. Im Standardfall erfolgt die Authentisierung über Nutzername und Passwort. Sollte SSO konfiguriert sein, erfolgt diese Prüfung über die Anbindung an Dein eigenes Active Directory bzw. eines Microsoft AD FS / IDP Servers.
Chat-Nachrichten werden in der Datenbank gespeichert. Der Chat speichert keine Statusänderungen (Online/offline).
Alle Informationen, die in Just Social von Nutzern gelöscht werden, werden zunächst nur als gelöscht markiert und nicht mehr angezeigt. Damit sind die Informationen für „normale“ Nutzer in Just Social nicht mehr sichtbar. Für Administratoren ist es auf Datenbankebene möglich, die Informationen aus den wiederherzustellen.
Die endgültige Löschung der Daten geschieht automatisiert über einen Cronjob. Die zeitliche Frequenz des Cronjobs (z.B. täglich, monatlich, jährlich, alle 5 oder 10 Jahre) kann auf die Anforderungen des jeweiligen Kunden angepasst werden.
Durch dieses zweistufige Löschkonzept ist Just Social sowohl revisionssicher als auch datenschutzkonform.
IP-Adressen und Serverlogs werden nur eine befristete Zeit gespeichert. Die genaue Zeit hängt von der Log-Rotation ab (max 60 Tage). In den Logs werden folgende Informationen gespeichert:
Cookies sind kleine Textdateien, die im Browser des Benutzers gespeichert werden und zu unterschiedlichen Zwecken verwendet werden. Nachfolgend werden die Cookies beschrieben die Just Social erzeugt und verwendet.
Just Social erkennt den Nutzer an folgenden Cookies wieder: just-id, rememberMe und trusted-device.
Neben den oben genannten personenbezogenen Cookies werden noch weitere technische Cookies erzeugt:
(*) Wird beim erneuten Öffnen des Browsers die "Letzte Sitzung wiederherstellen"-Funktion des Browsers verwendet, so werden auch die Session Cookies wiederhergestellt.
Cross-Site Scripting wird durch den Einsatz unseres GWT Frameworks sowie im WYSIWYG-Editor über Antisamy verhindert.
Das Einfügen von SQL-Abfragen wird durch unseren Einsatz von Prepared Statements mittels mybatis verhindert, das für die Datenbankzugriffe verwendet wird.
Just Social überträgt sämtliche Daten von allen Endgeräten der Nutzer bis zu Deinem Serversystem verschlüsselt via SSL bzw. HTTPS (TLS), so dass ein hohes Maß an Sicherheit gewährleistet ist.
Just Social speichert grundsätzlich alle Daten zentral auf Deinem Serversystem – so befindet sich das gesamte Wissen an einem einzigen, sicheren Ort. Dies gilt auch für Daten, die über unsere mobilen Apps gesendet oder empfangen wurden.
Im Gegensatz zu privaten Chat-Tools wie z.B. WhatsApp oder Threema speichert Just Social alle Daten grundsätzlich zentral auf einem Serversystem Deiner Wahl (siehe oben). Auf den Endgeräten der Nutzer werden Daten nur temporär und in dem Umfang gespeichert, wie es für das Funktionieren der Apps notwendig ist.
Jedwede Speicherung von Daten erfolgt dabei ggf. ausschließlich im geschützten App-Bereich, so dass Bilder und Dateien nicht in den zentralen Bildergalerien und Dateiablagen der Mobiltelefone angezeigt werden.
Just Social ist kompatibel mit allen gängigen Mobile Device Management (MDM) bzw. Enterprise Mobility Management (EMM) Lösungen (z.B. MobileIron, Airwatch). Diese erlauben Dir z.B. die Verteilung und Verwaltung der Just Social Apps auf den Smartphones der Nutzer oder die Verbindung mit dem Just Social Serversystem über VPN.
Falls Du Dein Mobiltelefon verlieren solltest, kannst Du Dich ferngesteuert über Deinen Desktop PC auf Deinem mobilen Endgerät ausloggen, um unerwünschten Zugriff auf Deine Just Social Apps zu verhindern.
Die Just Social Apps können optional die Benutzung auf Geräten verweigern, auf denen keine Gerätesperre durch Fingerabdruck oder Code eingerichtet ist. In diesem Fall sind nicht nur die Just Social Apps, sondern das gesamte Gerät vor unerwünschten Zugriffen geschützt. Darüber hinaus werden die Daten dann im geschützten App-Bereich durch die mobilen Betriebssysteme sicher verschlüsselt – dies ist nur im Falle einer Gerätesperre der Fall.
Just Social verfügt über ein zweistufiges Berechtigungskonzept:
Super-Administratoren können das gesamte Just Social System administrieren und haben u.a. Zugriff auf alle Inhalte und Container (mit Ausnahme von Chats). Sie haben globale Rechte für alle Funktionen, z.B. können sie:
Um die unterschiedlichen Anforderungen zu erfüllen und gleichzeitig eine einfache Bedienbarkeit zu gewährleisten, besteht Just Social aus mehreren Apps, die jeweils auf einen Anwendungsfall spezialisiert sind. In jeder unserer Apps kann jeweils ein zentrales Element („Container“) erstellt werden, für das der jeweilige Ersteller des Containers Berechtigungen zum Lesen, Schreiben und Verwalten vergeben kann:
App-Schreiber haben innerhalb einer App die Berechtigung, neue Container wie z.B. neue Laufwerke, Newskanäle oder Wikis zu erstellen.
Container-Admins haben Lese-, Schreib- und Verwalten-Rechte innerhalb eines Containers (z.B. Laufwerk, Wiki, Newskanal), so dass sie z.B. innerhalb eines Laufwerks:
Container-Schreiber haben Lese- und Schreib-Rechte innerhalb eines Inhalts-Containers (z.B. Laufwerk, Wiki, Newskanal),
so dass sie z.B. innerhalb eines Laufwerks:
Container-Leser haben Lese-Rechte innerhalb eines Inhalts-Containers (z.B. Laufwerk, Wiki, Newskanal), so dass sie z.B. innerhalb eines Laufwerks:
Im Notfall informiert das Monitoring-Tool das Supportteam von Just Software, dass der Server des Kunden nicht erreichbar ist. Das Supportteam bearbeitet den Notfall ggf. in folgenden Schritten:
Die Konzepte für alle Just-Server und internen Systeme werden regelmäßig geprüft und auditiert.
Die Norm des AT 8.2 MaRisk besagt, dass vor wesentlichen Änderungen in der IT-Organisation die Auswirkungen der
geplanten Änderungen zu prüfen sind:
„Vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation sowie in den IT-Systemen hat das Institut dieAuswirkungen der geplanten Veränderungen auf die Kontrollverfahren und die Kontrollintensität zu analysieren.“
Da Just Software das Just Social System für den Kunden als Software-as-a-Service (SaaS) in einer private Cloud betreibt, gibt es jedoch (mit Ausnahme des Nutzerimports) kaum Berührungspunkte mit der IT des Kunden. Daher ist von einer nicht-wesentlichen Veränderung der IT-Organisation des Kunden auszugehen, so dass auf eine Detailanalyse verzichtet werden kann.
Systemanforderungen von Just Social