Sicherheit
Die Sicherheit ist für den Digital Einschreiben dienst von wesentlicher Bedeutung und nicht nur, um den erforderlichen rechtlichen Wert zu erhalten, sondern auch, um die Vertraulichkeit von Nachrichten und Dokumenten zu gewährleisten. Die Ausgewogenheit zwischen dem Sicherheitsniveau einerseits und der Benutzerfreundlichkeit andererseits ist ein wichtiger Aspekt, den wir immer ständig berücksichtigen. Potenzielle Risiken werden ausgeschlossen und/oder so weit wie möglich begrenzt, wobei eine Vielzahl von Maßnahmen ergriffen und der Dienst auf seine ordnungsgemäße Funktion genau überwacht wird.
Der Dienst wird regelmäßig von unabhängigen Parteien getestet, unabhängig davon, ob er von unseren Geschäftspartnern oder (Firmen-)Kunden in Auftrag gegeben wird.
Einige Maßnahmen ausführlicher erläutert:
Sicherheit
• ISO27001:2013 zertifiziert durch Lloyds Register; ISO27001 ist ein internationaler Standard, der sich mit Informationssicherheit befasst. Die Norm beschreibt Anforderungen für den Entwurf, die Implementierung, die Kontrolle, die Auswertung, die Wartung und die Verbesserung von dokumentierten Informationssicherheits-Managementsystemen. Alle 12 Monate wird dieser Standard extern geprüft, damit die Informationssicherheit gewährleistet bleibt. Aangetekend BV fordert von seinen Lieferanten den gleichen Standard.
• Operational Risk Management, Sicherheit und Architektur-Prozesse wurden für und von Banken und Versicherungsgesellschaften abgeschlossen
• „Ethical Hackers“ testen regelmäßig die Sicherheit des Dienstes (PEN-Tests), unabhängig davon, ob diese von unseren Unternehmenskunden in Auftrag gegeben wurden oder nicht
Daten bleiben innerhalb Europas
- Die von Aangetekend B.V. genutzten Datenzentren sind ebenfalls ISO27001-zertifiziert und befinden sich in den Niederlanden (und damit innerhalb der Europäischen Wirtschaftsgemeinschaft)
- Der Datenschutz wurde in Vereinbarungen mit dem Verarbeiter in Übereinstimmung mit der GDPR vereinbart
- Nachdem die Digital Einschreiben abgeholt/abgelehnt wurden oder die Abholfrist abgelaufen ist, wird der eigentliche Inhalt vom Einschreibeserver entfernt, nur die Metadaten, die die Kommunikation umgeben, bleiben für 7 Jahre (oder länger auf Wunsch des Käufers) gespeichert
Sichere Verbindung zwischen Sender und Empfänger
- Für jede Organisation/jeden Prozess wird ein dedizierter Digital Einschreiben Server mit einem SSL-Zertifikat eingerichtet, so dass eine sichere Verbindung (Secure SMTP) zwischen anderen Mailservern und Webseiten (https://) eingerichtet werden kann
- Einschreibe Mails werden in einer verschlüsselten Umgebung gespeichert, bis die E-mail abgeholt/abgelehnt wurde oder die eingestellte Abholzeit abgelaufen ist
- Verschlüsselungsschlüssel werden getrennt von der kundenspezifischen Umgebung gespeichert
Abholung eines Digital Einschreiben Mail durch den Empfänger
- Bevor der Digital Einschreiben Mailserver die Mail freigibt, wird eine CE-ID (32-Bit) angefordert. Bei 3 Fehlversuchen wird die IP-Adresse gesperrt
- Für alle Anhänge, die mit der Einschreiben E-Mail gesendet werden, wird ein Hash-Code (SHA256) berechnet. Der Empfänger kann diesen Code möglicherweise verwenden, um die Authentizität der Nachricht zu überprüfen
Backup und Patches von Digital Einschreiben Servern
- Backups werden täglich automatisch durchgeführt und in eine Colocation geschrieben
- Sicherheits-Patches werden täglich gescannt und automatisch installiert
Aktualisierungen und Verwaltung von Digital Einschreiben Server
- Die Weiterentwicklung erfolgt nach dem Prinzip „Security by Design“, bei dem der OWASP konsultiert wird
- Updates werden unter Verwendung einer OTAP-Umgebung entwickelt und bereitgestellt
- Die Verwaltung wird vorbeugend von qualifiziertem, überprüftem Personal mithilfe eines Überwachungssystems durchgeführt, das den ordnungsgemäßen Betrieb jedes registrierten Mailing-Servers an 32 Punkten überwacht
- Sichere Passwörter für den SSH-Zugang nur über bekannte IP-Adressen für Entwickler
- Die Anti-SPAM-Maßnahmen werden kontinuierlich verschärft, unter anderem mit Reverse DNS, SPF, SSMTP, DKIM und DMARC
Rund um den Digital Einschreiben dienst wurden weitere Sicherheitsmaßnahmen ergriffen, der als geschäftsvertraulich eingestuft sein. Weitere Informationen über Sicherheit können auf Anfrage, nach Unterzeichnung eines NDA und im Büro von Aangetekend B.V. weitergegeben werden