Das Cloud Service Modell ist im wesentlichen PaaS (Platform as a Service).

Ja, die Grundsätze der Datensparsamkeit und Datenvermeidung werden beachtet. Wir erfassen nur die Informationen, die zur Erbringung unserer Leistung erforderlich sind oder uns helfen, unsere Plattform zu verbessern. Insbesondere die Erfassung personenbezogener Daten ist auf ein Minimum reduziert.

Eingabe- und Verarbeitungsfehler werden zuverlässig erkannt, weil zusätzlich zu technischen Konsistenzprüfungen wesentliche Schritte im Vier-Augen-Prinzip abgebildet werden. Darüber hinaus wird der ganze Prozess durch unsere Fachexperten engmaschig kontrolliert und begleitet.

Ja, inaktive Sitzungen werden nach einer bestimmten Zeit getrennt. Man wird dann erneut aufgefordert sich einzuloggen. 

Der Betrieb und die Speicherung der Plattform findet in der Google EU-Cloud statt.

Wir setzen Cookies sparsam ein. Der Verwendung nicht zwingend erforderlicher Cookies können Sie durch einen Link in unserer Datenschutzerklärung oder in der Platform jederzeit widersprechen.

Grundsätzlich ist bei uns jeder Transport verschlüsselt und auch HSTS aktiv.

TLS 1.2.

Die kryptografischen Verfahren (Verschlüsselungsalgorithmen und Hash-Verfahren) sollten am Stand der Technik sein. 

finpair ist für die Datensicherung verantwortlich. Es gibt ein Datensicherungskonzept. Datensicherungen werden mindestens 1x täglich durchgeführt. Die Wiederherstellung der Daten wird regelmäßig geprüft.

Es bedarf keinerlei Wartung auf der Plattform. 

Aktuell ist BSI 200-2 „IT-Grundschutz“ in der Basisabsicherung gegeben. Ziel ist die Kernabsicherung.

Die Plattform schreibt die Verwendung von mindestens 8 Zeichen vor. Darüber hinaus empfehlen wir, die Passwort-Regeln Ihres Hauses einzuhalten.

Passwort-Regeln sind unserer Überzeugung nach nicht in der Lage, sichere Passwörter zu garantieren. Diese Fragestellung ist auch Gegenstand vieler Studien und Untersuchungen*. Deshalb machen wir neben der Mindestlänge hier keine Vorgaben.

Diese Grundregeln sollten Sie bei der Wahl ihres Passwortes berücksichtigen:

Benutzen Sie für finpair ein einzigartiges, zufällig generiertes Passwort und verwenden Sie nie ein Passwort für mehrere Plattformen.

Die Sicherheit steigt mit der Länge. 8 Zeichen sind das absolute Minimum. Je länger ein Passwort ist, desto sicherer ist es. Auch bei Verzicht auf Sonderzeichen und Ziffern.

Die Verwendung zusätzlicher Zeichen (Sonderzeichen oder Ziffern) erhöht die Sicherheit eines Passwortes, aber nicht im selben Maß wie die Anzahl der Zeichen. Wenn es also schon ein kurzes Passwort sein muss, verwenden Sie wenigstens viele verschiedene Zeichenklassen.

Selbstverständlich wird kein Passwort bei finpair im Klartext gespeichert. Vielmehr wird lediglich ein Hash gespeichert, aus dem auch kein Administrator das Passwort herleiten kann.

Kein erzwungener Passwortwechsel

Ihr Passwort auf der finpair-Plattform läuft nicht automatisch ab. Nicht nach 30 Tagen und auch nicht nach 90 Tagen. Studien haben gezeigt, dass die Sicherheit von Passwörtern, die regelmäßig geändert werden müssen im Vergleich zu nicht zu ändernden Passwörtern sinkt. Das liegt daran, dass Menschen hier in der Regel algorithmische Passwörter (zum Beispiel mit Monat und Jahr) verwenden. Wenn eines dieser Passwörter bekannt geworden ist, benötigt ein Angreifer in der Regel nur noch wenige Versuche, um das jeweils aktuelle Passwort zu erraten.

Unbedingt erforderlich ist eine Passwortänderung also nur, wenn Sie den Verdacht haben, dass es bekannt geworden sein könnte. Benötigen Sie Unterstützung? Dann wenden Sie sich bitte an support@finpair.de.

* zum Beispiel: http://www.cheswick.com/ches/talks/rethink-Penn-jms.pdf und https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

finpair unterscheidet die Rollen "Emittent" und "Investor". Sie können zusätzlich den Benutzern in Ihrem Unternehmen individuell Administrationsrechten und eine Zeichunungsberechtigung zuweisen.

Die Zuordnung eines Benutzeraccounts zur Hauptrolle "Emittent" oder "Investor" wird von einem finpair-Mitarbeiter im Rahmen des Onboarding-Prozesses vorgenommen. Im Rahmen des Onboardings Ihres Unternehmens wird ein Administrator für Ihr Unternehmen ernannt, der die Zusatzberechtigungen für Administratoren und Zeichungsberechtigte in Ihrem Unternehmen vergeben kann. Bitte beachten Sie hierzu auch die Regelungen der Rahmenvereinbarung, die zwischen finpair und Ihrem Unternehmen vor Nutzung der Plattform geschlossen wurde.

Unternehmensadministrator "Admin"

Dieses Zusatzrecht ermöglicht, andere Benutzer Ihres Unternehmens auf die Plattform einzuladen, bestehende Benutzer zu sperren oder zu entsprerren, sowie Ihnen die Zusatzberechtigungen "Unternehmensadminstrator" und "Zeichnungsberechtigter" zu vergeben.

Das Zusatzrecht ist im Unternehmensprofil mit der orange hinterlegten Markierung "ADMIN" gekennzeichnet.

Zeichnungsberechtigter "Signer"

Dieses Zusatzrecht ermöglicht, rechtsverbindlich für Ihr Unternehmen Erklärungen abzugeben. Für Investoren ist dies die Berechtigung, Firm-Orders abzugeben und im Vieraugenprinzip zu bestätigen sowie Abrechnungskonten zu hinterlegen.

Das Zusatzrecht ist im Unternehmensprofil mit der orange hinterlegten Markierung "SIGNER" gekennzeichnet.

Leserecht

Sobald nichts von den beiden anderen Rollen ausgewählt wurde, hat der Mitarbeiter nur eine Leserecht und kann keine Order etc. zeichnen. 

Da die Accounts personalisiert sind, können rechtsverbindliche Zeichnungen ausschließlich über Personen und die damit verbundene Zeichnungsberechtigungen vorgenommen werden. Diese Zugriffsrechte sind nicht dealbezogen, sondern allgemein gültig. Ein Administrator Ihres Instituts kann eine Sammeladresse als allgemeine Informationsadresse hinterlegen.

a) erfolgreiche/nicht erfolgreiche An- und Abmeldevorgänge b) Zugriffe auf kritische Objekte und Daten (Anlegen, Ändern, Löschen) c) administrative Tätigkeiten/Konfigurationsänderungen

a) ja, können sie

b) ja, dies ist ein Bestandteil des fachlichen Auditlogs

c) ja, dies ist ein Bestandteil des Infrastruktur Auditlogs

Es bedarf keinerlei Wartung auf der Plattform. 

Systemlog: ja

fachliches Auditlog: nein

Auditlog der Infrastruktur: ja

An-/Abmeldevorgänge: ja

Ist generell ein Systemlog/eine Protokollierung verfügbar, indem die User- und Admin-Aktivitäten protokolliert werden?

Ja. finpair unterscheidet ein Systemlog (Fehlerzustände), ein fachliches Auditlog der Plattform sowie ein Auditlog der Infrastruktur und eine Protokollierung der An- und Abmeldevorgänge.

Systemlog/Infrastruktur Auditlog: Logging-Plattform in der Google Cloud-Plattform, An-/Abmeldevorgänge: Datenbank,

fachliches Auditlog: Datenbank.

Ein Zugriff ist nur mit entsprechender Berechtigung möglich.

Zugriff auf die Logs ist nur dem IT-Personal möglich, für produktive fachliche Auditlogs muss die Berechtigung für den konkreten dokumentierten Bedarfsfall vergeben werden.

Ja, bei Anlage/Änderung von Benutzern werden Namen und dienstliche Kontaktdaten geloggt.

Die Daten werden in einer Datenbank verschlüsselt gespeichert, berechtigte Benutzer sehen die Daten im Klartext.

Auditlogs der Infrastruktur und Fehlerlogs werden automatisch durch den Cloudprovider im Rahmen der Servicenutzung gelöscht. Die Löschung fachlicher Auditlogs erfolgt noch manuell im Rahmen der gesetzlichen Aufbewahrungsfristen (hier 10 Jahre nach Beendigung des jeweiligen Geschäftes). Eine maschinelle Umsetzung ist geplant, aber angesichts der 10-Jahresfrist noch nicht relevant. An-/Abmeldelogs werden automatisch gelöscht.

Löschung der Protokolle durch den Cloud-Anbieter werden nicht parametrisiert. Löschung der fachlichen Auditlogs erfolgen aktuell bedarfsgerecht manuell.

Bis auf fachliche Auditlogs: ja - gesetzliche Aufbewahrungsfristen gelten, siehe hierzu auch gesonderte Antwort (für fachliche Auditlogs geplant).

Die Löschung fachlicher Auditlogs erfolgt im Bedarfsfall manuell außerhalb der Plattform.

Erreicht wird die Löschung durch SQL-Befehle, die halbautomatisiert die relevanten Logeinträge löschen können.

Ja, siehe hierzu auch: https://cloud.google.com/security/infrastructure/design/#service_identity_integrity_and_isolation

Dies ist nicht durch den User vorgesehen.

Nein. Dokumente können manuell heruntergeladen werden. Prozessdaten können hingegen nicht exportiert werden. Da es für den finpair-Prozess keinen anderen Anbieter gibt, wäre dies nicht erfüllbar.

Die finpair-Plattform protokolliert alle Vorgänge mit besonderer vertraglicher oder rechtlicher Relevanz.

Die Protokollierung stellt sicher, dass nachgewiesen werden kann, welcher Benutzer zu welchem Zeitpunkt eine Änderung durchgeführt hat. Änderungen, die protokolliert werden, sind im Wesentlichen:

• Vergabe / Entzug von Berechtigungen
• Hochladen / Löschen von Dokumenten
• Stellen / Beantworten von Fragen in der Vermarktungsphase
• Akzeptanz der AGBs und NDAs
• Abgabe von Orders
• Freigabe der Allokation
• Administrative Tätigkeiten

Datenlöschungen erfolgen im Rahmen der gesetzlichen Aufbewahrungsfristen (i.d.R. 10 Jahre nach Geschäftsablauf). Statistische oder aggregierte Daten (ohne Unternehmensbezug) werden u.U. länger aufbewahrt.

Eine Herausgabe von personenbezogenen Daten der Plattform erfolgt auf ausdrücklichen Wunsch im Rahmen der Regelungen der DSGVO. Das Format wird menschen- aber nicht zwingend maschinenlesbar sein.

Nein, eine vollständige Sperrung erfolgt nicht. Es wird allerdings nach mehrfacher Eingabe falscher Passwörter die Zeit bis zum nächsten Login verlängert, um Brute-Force-Angriffe abzuwehren.

Unten rechts auf der Plattform wird immer die aktuelle Versionsnummer angezeigt. 

Aus Sicherheitsgründen werden von Ihnen begonnenen Sitzungen nach 30 Minuten Inaktivität automatisch beendet.

Darüber hinaus erfolgt aus Sicherheitsgründen spätestens nach 10 Stunden ebenfalls eine Zwangstrennung, selbst wenn sie in dieser Zeit nie 30 Minuten am Stück inaktiv waren.

Nach einem erzwungenen Session-Ende können Sie sich jederzeit wieder erneut anmelden. Wir empfehlen, eine nicht mehr benötigte Sitzung explizit durch Abmeldung zu beenden.

Nein, zur Nachvollziehbarkeit der Servicenutzung bleiben Daten erhalten. Eine Datenlöschung auf Kundenwunsch ist unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen durch die finpair GmbH möglich.

Nein. Sie benötigen für die Nutzung von finpair keine spezielle Software. Die Plattform ist browserbasiert.

Nein. finpair lässt sich problemlos auch ohne Plug-ins nutzen.

Grundsätzlich ist finpair so aufgesetzt, dass die Plattform von nahezu allen Usern technisch genutzt werden kann.

Es bestehen keine erhöhten Prozessor-/RAM-Anforderungen. Ein Datei-Upload erfolgt via Browser und Sie benötigen Office-/PDF-Viewer zur Ansicht verfügbarer Dokumente.

Eine besondere Technik ist grundsätzlich nicht erforderlich. Mit den Standard Browsern (Chrome, Firefox, IE Edge) kann www.finpair.de erreicht und genutzt werden.

Nein, es muss keine Hardware beschafft werden. Die Plattform ist browserbasiert. 

Es sind uns keine Konflikte bekannt. Über technisches Feedback freuen wir uns immer.

Nein, es wird nichts erfordert.