Wie kann man mithilfe von ONLYOFFICE Enterprise Edition der DSGVO entsprechen

28 Juni 2018By Evgenia

Jedes Unternehmen, das mit personenbezogenen Daten der EU-Bürger umgeht, hat seine Datenschutzpolitik bereits aktualisiert, um der DSGVO zu entsprechen (erinnern Sie sich an die große Zahl von Briefen bezüglich der Aktualisierung in Ihrem Mailbox).

Wir sind davon überzeugt, dass die Sicherheit der persönlichen Daten der Benutzer für Sie ebenso wichtig wie für uns ist. Lesen und erfahren Sie in diesem Artikel, wie ONLYOFFICE Enterprise Edition Ihre das Einhaltungsverfahren vereinfacht und Ihrem Unternehmen dabei helfen kann, die DSGVO-Anforderungen zu erfüllen.

Doppelte Verantwortung: Datenverantwortlicher und Auftragsverarbeiter

Entsprechend dem Datenschutzgesetz fungiert ONLYOFFICE sowohl als Datenverantwortlicher als auch Auftragsverarbeiter. Lesen Sie mehr dazu in diesem Blogbeitrag.

Wenn Sie mit den persönlichen Daten Ihrer Benutzer in ONLYOFFICE arbeiten, fungieren Sie auch als Datenverantwortlicher. Deshlab sind wir nichr nur selbst DSGVO-konform, sondern helfen Ihnen auch, der DSGVO zu entsprechen.

Beachtung der von der DSGVO garantierten Schlüsselrechte

Die DSGVO regelt personenbezogene Datenrechte, z.B. das Recht auf Zugang, Aktualisierung und Löschung von Informationen; das Recht, die Einwilligung zur Verarbeitung personenbezogener Daten zu widerrufen; das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen, und andere.

Wir haben unsere Datensicherheitspolitik unter Berücksichtigung dieser Rechte bereits angepasst. Erfahren Sie, wie Sie diese als Portaladministrator in der ONLYOFFICE Enterprise Edition respektieren können.

Recht auf Zugriff und Aktualisierung der Daten

Als Administrator oder Portalbenutzer haben Sie den Zugriff auf folgende personenbezogene Daten: Vor- und Nachname, E-Mail, Geburtsdatum, Kontaktinformationen. Sie können Ihre persönlichen Daten jederzeit auf Ihrer Profilseite aktualisieren. Um Passwörter und E-Mails zu ändern, sind zusätzliche Schritte erforderlich. Aus Sicherheitsgründen werden Passwörter in ONLYOFFICE nicht angezeigt und direkt an Benutzer gesendet. Stattdessen erhalten Sie eine Benachrichtigung mit Anweisungen zum weiteren Vorgehen mit der angegebenen E-Mail-Adresse.

Administratoren können diese Informationen auch nach der Anfrage des Benutzers ändern.

Recht auf Vergessenwerden / Recht auf Widerspruch

Wenn Sie ein Portalbenutzer sind und nun den Betrieb verlassen möchten, können Sie Ihr Profil und alle auf der Profilseite gespeicherten persönlichen Daten (Anweisungen dazu erhalten Sie auch per E-Mail) dauerhaft löschen oder sich an einen Portaladministrator wenden.

Um die Verarbeitung personenbezogener Daten zu beenden, können Administratoren den Benutzer deaktivieren. In diesem Zusammenhang bleiben die Inhalte, die von deaktivierten Benutzern erstellt wurden, im Portal erhalten und können jederzeit nach der Anfrage aktiviert werden.

Oder kann man die persönlichen Daten unwiderruflich löschen:

alle persönlichen Dokumente;
CRM-Berichte;
alle E-Mails und angehängte Dateien;
angehängte Dateien im Chat.

Damit die wichtige Unternehmensinformation nicht verloren geht, können die Administratoren einige Datentypen an andere Benutzer zuweisen.

Recht, informiert zu werden

Wenn ein Datenverlust auftritt, der eine negative Wirkung auf die persönlichen Daten ausübt, müssen Administratoren die Benutzer innerhalb von 72 Stunden per E-Mail oder Chat in ONLYOFFICE benachrichtigen.

Datensicherheit

On-Premise Installation und Open-Source-Code garantieren Transparenz und Zuverlässigkeit. Da ONLYOFFICE Enterprise Edition auf Ihrem eigenen Server läuft, bleiben alle Daten firmenintern, und Sie müssen sich nicht an einen externen Drittanbieter anwenden. Sie können sicher sein, dass niemand von der Außenseite den Zugriff auf Ihre eigenen und die im Portal gespeicherten Daten Ihrer Nutzer erhält.

Außerdem bietet ONLYOFFICE Enterprise Edition den Portaladministratoren eine Reihe von Sicherheitstools.

Schützen Sie die Daten vor Hacker-Angriffen

Um den Portalverkehr zu verschlüsseln und daher zu sichern, aktivieren Sie das HTTPS-Protokoll über Control Panel.

Halten Sie den Portalzugriff unter Kontrolle

Um den sicheren Import der erforderlichen Benutzer und Gruppen auf das Portal zu gewährleisten, nutzen Sie die LDAP-Option die über Control Panel verfügbar ist.
Um das Risiko einer nicht autorisierten Erfassung von Zugangsdaten zu reduzieren, aktivieren Sie die Authentifizierung über einen der installierten Single Sign-On -Dienste (Shibboleth, OneLogin oder AD FS).
Um das Portal von unerwünschten Zugriffen zu schutzen, lassen Sie die Registrierung nur über vertrauenswürdige E-Mail-Domänen zu und passen Sie die Einstellungen der IP-Einschränkung an.
Um stärkere Passwörter gegen Brute-Force-Angriffen zu erstellen legen Sie mehr Wert auf die Passwortkomplexität fes t (die Mindestlänge und bestimmte Zeichentypen).
Um einen unberechtigten Zugriff zu verhindern, selbst wenn jemand das Passwort hackt, aktivieren Sie die Zwei-Faktor-Authentifizierung. In diesem Fall ist die Anmeldung nur dann möglich, wenn Sie einen Zugangscode per SMS erhalten und ihn eingegeben haben.
Um einen Zeitraum festzulegen, nach dem die automatische Abmeldung ausgeführt wird, aktivieren Sie die Cookie Lifetime Funkltion.

Kontrollieren Sie den Zugriff auf vertrauliche Daten und Dateien

Um bestimmte Daten vor unnötiger Aufmerksamkeit zu schützen:

Unterscheiden Sie die Zugriffsebenen innerhalb des Portals: Gäste mit Leseberechtigungen, Benutzer mit schreibgeschützten Berechtigungen und Administratoren mit erweiterten Berechtigungen.

Legen Sie Zugriffsrechte für jedes Portalmodul fest, z.B. Beschränken Sie den Zugriff auf jedes Modul für einen bestimmten Benutzer oder eine Gruppe von Benutzern.
Verwalten Sie Zugriffsrechte innerhalb von Modulen – Einschränkung des Zugriffs auf alle Kontakte, Aufgaben, Verkaufsmöglichkeiten, die im CRM-Modul privat sind, Freigabe von Dokumenten und Ordner mit verschiedenen Arten von Zugriffsrechten* im Modul “Dokumente” teilen (Voller Zugriff, Review , Schreibgeschützt, Zugriff verweigern).

* Der Traffic auf Ihrem Portal wird automatisch mit JWT (JSON Web Token) gesichert. Es schützt Dokumente vor unberechtigtem Zugriff. Aus diesem Grund können Benutzer oder Gäste nur bestimmte Vorgänge ausführen und nicht auf mehrere Daten zugreifen.

Überwachen Sie potenziell betrügerisches Verhalten

SehenSie jeden unbefugten Zugriff mit der Option “Anmeldehistorie”.
Beachten Sie alle Aktionen (die unerwünscht sein können), die auf dem Portal mit Audit-Trail Berichten ausgeführt werden.

Vermeiden Sie Datenverluste

Um die Sicherheit privater Daten im unwahrscheinlichen Fall eines technischen Fehlers zu gewährleisten, automatisieren Sie den Backup-Prozess über Control Panel.