Datenschutz: Unterschied zwischen den Versionen

Aus OrgaMon Wiki
Zur Navigation springen Zur Suche springen
Zeile 83: Zeile 83:


===== Zugriff über https:// =====
===== Zugriff über https:// =====
* Wie http, jedoch ist der Verbindungsweg Server-System<->Endkunde SSL gesichert
===== Zugriff über FTP =====
===== Zugriff über FTP =====



Version vom 14. Februar 2011, 10:50 Uhr

Erklärung zum Datenschutz, Dokument

Datendienstleistungen

OrgaMon Mobil (JonDaServer)

Überblick

Ein Server-System ermöglicht die Anbindung von mobilen Anwendungen (MonDa, JonDa, AnDa) an den OrgaMon-Client des Kunden.

  • Beteiligte
    • Der OrgaMon-Cient des Kunden
    • unser Server-System
    • Mobile Endgeräte (Handy)
  • Informations-Übertragungsnetze
    • das Internet (des Providers Deutsche Telekom)
    • das Internet (Provider des Dienstleistungsnutzers)
    • das Netz des Mobilfunkbetreibers des Dienstleistungsnutzer
    • die Internet-Anbindung des Mobilfunkbetreibers des Dienstleistungsnutzer


  • Upload: Dabei werden in OrgaMon-Client erfasste Aufträge (Termindaten) auf das Server-System hochgeladen, damit der Zugriff der mobilen Endgeräte möglich wird.
  • Sync "A": Die mobilen Endgeräte gleichen Ergebnisdaten mit Auftragsdaten ab. Dabei findet eine Kommunikation zwischen mobilem Endgerät und Server-System statt.
  • Sync "B": Auf den mobilen Endgeräten werden Auftragsergebnisse erfasst, und an das Server-System rückübertragen. Der Kunden-OrgaMon gleicht automatisch oder auf manuellen Anstoss alle Daten mit dem Server-System ab.

Daten

Folgende Inhalte (Termindaten und Ergebnisdaten) werden bewegt:

Liegenschaftsadresse (Strasse Hausnummer, PLZ Ort)
dortiger Ansprechpartner (Name1, Name2)
Telefonnummer nur in Ausnahmefällen, nur bei ausdrücklicher vorangegangener Terminabsprache
technische Daten wie vom Auftraggeber übermittelt
Bemerkungen zur Liegenschaft, Technik, oder Ansprechpartner
vor Ort erfasste Daten wie vom Auftraggeber beauftragt

Haltbarkeit der Daten:

  • Bei den Daten handelt es sich um Terminierungsdatensätze mit einem Vorlauf von 6 Tagen. (Heutige Termindaten und die der nächsten 6 Tage)
  • Vergangene Termindaten sind aktiv nicht zugreifbar
  • Protokolle+Datensicherung der vergangene Zugriffe auf das System werden nach 60 Tagen gelöscht

Trennung der Daten:

  • Die Daten werden so gesteuert, dass auf ein Mobiles Endgerät nur die Daten bekommt die auch auf diesem Gerät eingegeben und bearbeitet werden müssen.
  • Ein Gesamtüberblick oder Quereinsicht auf Termindaten anderer Geräte ist nicht möglich

Verfahrensverzeichnis

Kunden-OrgaMon -> Server-System

Es erfolgt eine Übertragung von Auftragsdaten über das Internet. Das Server-System stellt dazu einen FTPS Dienst zur Verfügung. Die Trennung der Daten ist durch unterschiedliche Ablage Bereiche der unterschiedlichen Benutzer gewährleistet. Das FTP-Passwort ist grundsätzlich maschinell erstellt und hat eine Stärke von 45 Bit. Kunden-OrgaMon und Server-System kommunizieren über speziell benannte Transaktionsdateien. Diese Transaktions-Portionen haben ein propritäres Dateiformat des OrgaMon-Systems.

Server-System -> Kunden-OrgaMon

Es erfolgt eine Übertragung von Ergebnisdaten über das Intranet. Das Server-System nutzt dabei einen FTPS Dienst. Die Trennung der Daten ist durch unterschiedliche Ablage-Bereiche der unterschiedlichen Benutzer gewährleistet. Das FTP-Passwort ist grundsätzlich maschinell erstellt und hat eine Stärke von 45 Bit. Kunden-OrgaMon und Server-System kommunizieren über speziell benannte Transaktionsdateien. Diese Transaktions-Portionen haben ein propritäres Dateiformat des OrgaMon-Systems.

Mobil <-> Server-System

Es wird die Internetanbindung des jeweiligen Handy-Netz-Anbieter benutzt. Die Kommunikation erfolgt über https:// direkt mit der festen IP Adresse des Server-Systems. Die Handies identifizieren sich durch 3 stellige Geräte-Identifikationsnummern Jeder Zugriff wird mit Inhalt und Zeitstempel für 7 Tage protokolliert.

Zugriffsschutz

  • Mobile Endgeräte:
    • Die Speicherung der Daten erfolgt im Telefonspeicher inerhalb der J2ME Sandbox (Recordstore). Die Extraktion der Daten über eine Speicherkarte ist nicht möglich. Das Sammeln und Kopieren der Anwendungsdaten ist nicht möglich (Sandbox Konzept Java).
    • Die Anwendung ist Verisign Code Signiert und kann nicht verfälscht werden
    • Das Gerät ist durch einen PIN-Eingabezwang vor unberechtigter Nutzung gesichert
  • Server-System
    • Ist umfassend gesichert (Siehe Abschnitt Rechentzentrum)

Internet-Ablagen (zip-Ablagen)

Überblick

  • Beteiligte
    • Der OrgaMon-Client als Inhalts-Uploader
    • Das Server-System als Inhalts-Speicher und Verteiler
    • Der Endkunde als Downloader

Endkunden erhalten Auftragsergebnisse in ihrem Wunschdateiformat über das Internet. Die Bereitstellung der Daten erfolgt durch einen Upload der Daten durch den OrgaMon-Client in das Server-System.

Verfahrensverzeichnis

Verfahrensüberblick

Zugriff über http://
  • (Login-Zwang) Zugriff ist gesichert durch Benutzer/Passwort Kombination, starkes maschinell erstelltes 9 stelliges Passwort
  • Die Daten an sich sind aussschliesslich ZIP-Archive die Passwort gesichert sind
Zugriff über https://
  • Wie http, jedoch ist der Verbindungsweg Server-System<->Endkunde SSL gesichert
Zugriff über FTP

Systemüberwachung (CareTaker)

OrgaMon-Systeme melden kritische Fehler an einen Log-Host über das Internet. Dabei werden folgende Informationen übertragen und gespeichert:

Computername (Hostname)
Benutzername (Anmeldename des WIndows Systems)
Moment (Zeitstempel des Momentes der Meldung)
Auftritt (Zeitstempel des Momentes des Auftreten des Fehlers)
Fehler-Text
  • Die Datenübertragung wird durch den OrgaMon-Key mit 2048 Bit Blow-Fish verschlüsselt.
  • Diese Daten werden ausschliesslich für die Diagnose von Hardware- oder Programm-Problemen benutzt.

Verfahrensüberblick

Banking-Server Lastschriften

- noch nicht dokumentiert, Pilot-Projekt mit "Alpha"-Kunden -

Banking-Server Kontoumsätze

- noch nicht dokumentiert, Pilot-Projekt mit "Alpha"-Kunden -

Webhosting

Rechenzentrum

Zutrittsbeschränkung

Das RZ ist fensterlos ohne alternativen Fluchtweg. Der Zutritt erfolgt alternativlos über Tür 1 dann Tür 2 dann Tür 3.1. Der Zutritt ist durch Schlüssel eines Schliessystem-Anbieters abgesichert. Schlüssel 3.1 ist nicht mehr Teil des Schliesssystems.

  • Tür 1 ist im öffentlichen Raum, Zutritt nur mit Schlüssel "Z" und Besser.
    • Tür 2 ist eine Brandschutztür zu Technik-Bereich, Schlüssel "4" und Besser.
      • Tür 3.1 führt zum Server-Raum - spezieller Schlüssel.
      • Tür 3.2 führt zum Internet Zugangspunkt der Backup-Verbindung (Modem im Technik-Raum!)
      • Tür 3.2 führt zur Kupferleitung des Haupt-Internetanbieters (Modem im Serverraum!)

Zutrittsprotokollierung

Ein EC-Kartenleser muss vom Admin mit einer Karte bestückt werden. Die Kartennummer wird im Server-Log protokolliert.

Backups

Es werden 2 voneinander unabhängig angebundenen Datenspeicher für Live-Backups benutzt. Es werden keine Langzeit Backups durchgeführt, dies liegt in der Verantwortung des Kunden.

Backup-Datenspeicher 1

In einer anderen Brandschutzzone wird 2x täglich das komplette Speichervolumen aller Server gesichert. Die Sicherung erfolgt in 7 Wochentagsverzeichnisse, die Rückhaltung von "alten" Daten erfolgt also nur 6 Tage zurück.

Backup-Datenspeicher 2

Im RZ wird 3x täglich das komplette Speichervolumen aller Server gesichert. Die Sicherung erfolgt in 7 Wochentagsverzeichnisse, die Rückhaltung von "alten" Daten erfolgt also nur 6 Tage zurück.

Glossar

Server-System Unser Gesamt-System aus Modems, Routern, Switches, Datenspeichern und Hosts das die Datendienstleistung möglich macht.
OrgaMon-Client Die an das Internet angebundene Anwendung unserer Kunden.
End-Kunde Kunden unserer Kunden.