Technik und Informationssicherheit

zurück zur Übersicht

Welches Cloud Service Modell wird eingesetzt?

Das Cloud Service Modell ist im wesentlichen PaaS (Platform as a Service).

Werden die Grundsätze der Datensparsamkeit und der Datenvermeidung beachtet?

Ja, die Grundsätze der Datensparsamkeit und Datenvermeidung werden beachtet. Wir erfassen nur die Informationen, die zur Erbringung unserer Leistung erforderlich sind oder uns helfen, unsere Plattform zu verbessern. Insbesondere die Erfassung personenbezogener Daten ist auf ein Minimum reduziert.

Können Eingabe- und Verarbeitungsfehler zuverlässig erkannt werden?

Eingabe- und Verarbeitungsfehler werden zuverlässig erkannt, weil zusätzlich zu technischen Konsistenzprüfungen wesentliche Schritte im Vier-Augen-Prinzip abgebildet werden. Darüber hinaus wird der ganze Prozess durch unsere Fachexperten engmaschig kontrolliert und begleitet.

Werden inaktive Sitzungen getrennt?

Ja, inaktive Sitzungen werden nach einer bestimmten Zeit getrennt. Man wird dann erneut aufgefordert sich einzuloggen. 

Welche Cloud wird genutzt?

Der Betrieb und die Speicherung der Plattform findet in der Google EU-Cloud statt.

Wie werden Cookies eingesetzt?

Wir setzen Cookies sparsam ein. Der Verwendung nicht zwingend erforderlicher Cookies können Sie durch einen Link in unserer Datenschutzerklärung oder in der Platform jederzeit widersprechen.

Wie wird die dauerhafte verschlüsselte Übertragung sichergestellt?

Grundsätzlich ist bei uns jeder Transport verschlüsselt und auch HSTS aktiv.

Welche Verschlüsselungsprotokolle werden eingesetzt?

TLS 1.2.

Die kryptografischen Verfahren (Verschlüsselungsalgorithmen und Hash-Verfahren) sollten am Stand der Technik sein. 

Wer ist zuständig für die Datensicherung? Wie lange werden die Daten gesichert?

finpair ist für die Datensicherung verantwortlich. Es gibt ein Datensicherungskonzept. Datensicherungen werden mindestens 1x täglich durchgeführt. Die Wiederherstellung der Daten wird regelmäßig geprüft.

Muss die Plattform gewartet werden?

Es bedarf keinerlei Wartung auf der Plattform. 

Welcher IT Sicherheitsstandard ist beim Dienstleister etabliert?

Aktuell ist BSI 200-2 „IT-Grundschutz“ in der Basisabsicherung gegeben. Ziel ist die Kernabsicherung.

Benutzer, Rollen und Rechte

Welche Passwortregeln gelten für die Plattform?

Die Plattform schreibt die Verwendung von mindestens 8 Zeichen vor. Darüber hinaus empfehlen wir, die Passwort-Regeln Ihres Hauses einzuhalten.


Passwort-Regeln sind unserer Überzeugung nach nicht in der Lage, sichere Passwörter zu garantieren. Diese Fragestellung ist auch Gegenstand vieler Studien und Untersuchungen*. Deshalb machen wir neben der Mindestlänge hier keine Vorgaben.


Diese Grundregeln sollten Sie bei der Wahl ihres Passwortes berücksichtigen:


Benutzen Sie für finpair ein einzigartiges, zufällig generiertes Passwort und verwenden Sie nie ein Passwort für mehrere Plattformen.


Die Sicherheit steigt mit der Länge. 8 Zeichen sind das absolute Minimum. Je länger ein Passwort ist, desto sicherer ist es. Auch bei Verzicht auf Sonderzeichen und Ziffern.


Die Verwendung zusätzlicher Zeichen (Sonderzeichen oder Ziffern) erhöht die Sicherheit eines Passwortes, aber nicht im selben Maß wie die Anzahl der Zeichen. Wenn es also schon ein kurzes Passwort sein muss, verwenden Sie wenigstens viele verschiedene Zeichenklassen.


Selbstverständlich wird kein Passwort bei finpair im Klartext gespeichert. Vielmehr wird lediglich ein Hash gespeichert, aus dem auch kein Administrator das Passwort herleiten kann.


Kein erzwungener Passwortwechsel

Ihr Passwort auf der finpair-Plattform läuft nicht automatisch ab. Nicht nach 30 Tagen und auch nicht nach 90 Tagen. Studien haben gezeigt, dass die Sicherheit von Passwörtern, die regelmäßig geändert werden müssen im Vergleich zu nicht zu ändernden Passwörtern sinkt. Das liegt daran, dass Menschen hier in der Regel algorithmische Passwörter (zum Beispiel mit Monat und Jahr) verwenden. Wenn eines dieser Passwörter bekannt geworden ist, benötigt ein Angreifer in der Regel nur noch wenige Versuche, um das jeweils aktuelle Passwort zu erraten.


Unbedingt erforderlich ist eine Passwortänderung also nur, wenn Sie den Verdacht haben, dass es bekannt geworden sein könnte. Benötigen Sie Unterstützung? Dann wenden Sie sich bitte an support@finpair.de.


* zum Beispiel: http://www.cheswick.com/ches/talks/rethink-Penn-jms.pdf und https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes

Welche Rollen gibt es in der Plattform?

finpair unterscheidet die Rollen "Emittent" und "Investor". Sie können zusätzlich den Benutzern in Ihrem Unternehmen individuell Administrationsrechten und eine Zeichunungsberechtigung zuweisen.


Die Zuordnung eines Benutzeraccounts zur Hauptrolle "Emittent" oder "Investor" wird von einem finpair-Mitarbeiter im Rahmen des Onboarding-Prozesses vorgenommen. Im Rahmen des Onboardings Ihres Unternehmens wird ein Administrator für Ihr Unternehmen ernannt, der die Zusatzberechtigungen für Administratoren und Zeichungsberechtigte in Ihrem Unternehmen vergeben kann. Bitte beachten Sie hierzu auch die Regelungen der Rahmenvereinbarung, die zwischen finpair und Ihrem Unternehmen vor Nutzung der Plattform geschlossen wurde.


Unternehmensadministrator "Admin"

Dieses Zusatzrecht ermöglicht, andere Benutzer Ihres Unternehmens auf die Plattform einzuladen, bestehende Benutzer zu sperren oder zu entsprerren, sowie Ihnen die Zusatzberechtigungen "Unternehmensadminstrator" und "Zeichnungsberechtigter" zu vergeben.


Das Zusatzrecht ist im Unternehmensprofil mit der orange hinterlegten Markierung "ADMIN" gekennzeichnet.


Zeichnungsberechtigter "Signer"

Dieses Zusatzrecht ermöglicht, rechtsverbindlich für Ihr Unternehmen Erklärungen abzugeben. Für Investoren ist dies die Berechtigung, Firm-Orders abzugeben und im Vieraugenprinzip zu bestätigen. Diese Berechtigung in der Plattform darf nur an Benutzer vergeben werden, für die die Zeichnungsberechtigung (zum Beispiel durch ein Unterschriftenverzeichnis) nachgewiesen werden kann.


Das Zusatzrecht ist im Unternehmensprofil mit der orange hinterlegten Markierung "SIGNER" gekennzeichnet.


Leserecht

Sobald nichts von den beiden anderen Rollen ausgewählt wurde, hat der Mitarbeiter nur eine Leserecht und kann keine Order etc. zeichnen. 

Ist es technisch möglich, für einen Emittenten bzw. einen Investor unterschiedliche Accounts einzurichten, die zugriffstechnisch voneinander getrennt sind?

Da die Accounts personalisiert sind, können rechtsverbindliche Zeichnungen ausschließlich über Personen und die damit verbundene Zeichnungsberechtigungen vorgenommen werden. Diese Zugriffsrechte sind nicht dealbezogen, sondern allgemein gültig. Ein Administrator Ihres Instituts kann eine Sammeladresse als allgemeine Informationsadresse hinterlegen.

Können bestimmte Tätigkeiten ausgewertet werden?

a) erfolgreiche/nicht erfolgreiche An- und Abmeldevorgänge b) Zugriffe auf kritische Objekte und Daten (Anlegen, Ändern, Löschen) c) administrative Tätigkeiten/Konfigurationsänderungen

a) ja, können sie

b) ja, dies ist ein Bestandteil des fachlichen Auditlogs

c) ja, dies ist ein Bestandteil des Infrastruktur Auditlogs

Muss die Plattform gewartet werden?

Es bedarf keinerlei Wartung auf der Plattform. 

Kann das Systemlog/die Protokollierung über einen Parameter deaktiviert werden?

Systemlog: ja

fachliches Auditlog: nein

Auditlog der Infrastruktur: ja

An-/Abmeldevorgänge: ja

Wo werden Aktivitäten protokolliert?

Ist generell ein Systemlog/eine Protokollierung verfügbar, indem die User- und Admin-Aktivitäten protokolliert werden?


Ja. finpair unterscheidet ein Systemlog (Fehlerzustände), ein fachliches Auditlog der Plattform sowie ein Auditlog der Infrastruktur und eine Protokollierung der An- und Abmeldevorgänge.

Wo werden die Logs gespeichert?

Systemlog/Infrastruktur Auditlog: Logging-Plattform in der Google Cloud-Plattform, An-/Abmeldevorgänge: Datenbank,

fachliches Auditlog: Datenbank.

Welche Schutzmaßnahmen für den Logzugriff gibt es?

Ein Zugriff ist nur mit entsprechender Berechtigung möglich.

Können Nicht-Administratoren auf das Log zugreifen bzw. wie können Rechte eingerichtet werden?

Zugriff auf die Logs ist nur dem IT-Personal möglich, für produktive fachliche Auditlogs muss die Berechtigung für den konkreten dokumentierten Bedarfsfall vergeben werden.

Sind in dem Systemlog/der Protokollierung personenbezogene Daten enthalten?

Ja, bei Anlage/Änderung von Benutzern werden Namen und dienstliche Kontaktdaten geloggt.

Werden Einträge, die personenbezogene Daten enthalten, pseudonymisiert/anonymisiert oder im Klartext dargestellt?

Die Daten werden in einer Datenbank verschlüsselt gespeichert, berechtigte Benutzer sehen die Daten im Klartext.

Wie und in welchem Zeitraum werden die Log-/Protokolldaten gelöscht (Einhaltung Aufbewahrungsfristen)?

Auditlogs der Infrastruktur und Fehlerlogs werden automatisch durch den Cloudprovider im Rahmen der Servicenutzung gelöscht. Die Löschung fachlicher Auditlogs erfolgt noch manuell im Rahmen der gesetzlichen Aufbewahrungsfristen (hier 10 Jahre nach Beendigung des jeweiligen Geschäftes). Eine maschinelle Umsetzung ist geplant, aber angesichts der 10-Jahresfrist noch nicht relevant. An-/Abmeldelogs werden automatisch gelöscht.

Können derartige Mechanismen (bspw. Löschung der Log-Daten) parametrisiert werden?

Löschung der Protokolle durch den Cloud-Anbieter werden nicht parametrisiert. Löschung der fachlichen Auditlogs erfolgen aktuell bedarfsgerecht manuell.

Werden die Protokolle nach Ablauf der Aufbewahrungsfrist automatisiert gelöscht?

Bis auf fachliche Auditlogs: ja - gesetzliche Aufbewahrungsfristen gelten, siehe hierzu auch gesonderte Antwort (für fachliche Auditlogs geplant).

Muss in der Anwendung die Löschung der Protokolle administriert werden?

Die Löschung fachlicher Auditlogs erfolgt im Bedarfsfall manuell außerhalb der Plattform.

Wie kann die Löschungsadministration realisiert werden?

Erreicht wird die Löschung durch SQL-Befehle, die halbautomatisiert die relevanten Logeinträge löschen können.

Was bedeutet IDNOW in meinem Profil?

finpair nutzt den Dienst IDnow zur Identitätsprüfung von Emittenten. Die erfolgreiche Identifikation wird durch eine orange hinterlegte Markierung "IDNOW" in Ihrem Benutzerprofil angezeigt.


Vor Vermarktungsstart muss der Emittent finpair gegenüber seine Identität nachweisen. Um diesen Prozess zu vereinfachen, nutzt finpair IDnow, einen Dienstleister für Videoidentifikationen über das Internet.


Die Informationen aus der Identitätsprüfung werden den Investoren vor Zeichnung in einem geschützten Datenraum zur Verfügung gestellt, um sie bei ihrer eigenen Legitimationsprüfung des Emittenten zu unterstützen.


Für Investoren besteht keine Verpflichtung, die Identifikation per IDnow durchzuführen.

Nachvollziehbarkeit

Kann der Betreiber der Infrastruktur die strikte Trennung seiner Mandanten innerhalb der Cloud nachweisen?

Ja, siehe hierzu auch: https://cloud.google.com/security/infrastructure/design/#service_identity_integrity_and_isolation

Können alle Daten aus der Cloud in ein lesbares Format exportiert werden und wenn ja in welches?

Dies ist nicht durch den User vorgesehen.

Können die Daten ohne großen Aufwand exportiert und zu einem anderen Anbieter/Service migriert werden?

Nein. Dokumente können manuell heruntergeladen werden. Prozessdaten können hingegen nicht exportiert werden. Da es für den finpair-Prozess keinen anderen Anbieter gibt, wäre dies nicht erfüllbar.

Werden die Vorgänge auf der Plattform protokolliert?

Die finpair-Plattform protokolliert alle Vorgänge mit besonderer vertraglicher oder rechtlicher Relevanz.


Die Protokollierung stellt sicher, dass nachgewiesen werden kann, welcher Benutzer zu welchem Zeitpunkt eine Änderung durchgeführt hat. Änderungen, die protokolliert werden, sind im Wesentlichen:


  • Vergabe / Entzug von Berechtigungen
  • Hochladen / Löschen von Dokumenten
  • Stellen / Beantworten von Fragen in der Vermarktungsphase
  • Akzeptanz der AGBs und NDAs
  • Abgabe von Orders
  • Freigabe der Allokation
  • Administrative Tätigkeiten

Werden lange werden die Daten gespeichert z.B. nach Beendigung der Nutzung?

Datenlöschungen erfolgen im Rahmen der gesetzlichen Aufbewahrungsfristen (i.d.R. 10 Jahre nach Geschäftsablauf). Statistische oder aggregierte Daten (ohne Unternehmensbezug) werden u.U. länger aufbewahrt.

Da alle Daten in eine Cloud übertragen werden: Ist vorgesehen, diese Daten nach Beendigung der Nutzung herauszugeben? In welchem Format würde die Herausgabe erfolgen?

Eine Herausgabe von personenbezogenen Daten der Plattform erfolgt auf ausdrücklichen Wunsch im Rahmen der Regelungen der DSGVO. Das Format wird menschen- aber nicht zwingend maschinenlesbar sein.

Allgemeines

Erfolgt bei falscher Passworteingabe eine vollständige Sperrung?

Nein, eine vollständige Sperrung erfolgt nicht. Es wird allerdings nach mehrfacher Eingabe falscher Passwörter die Zeit bis zum nächsten Login verlängert, um Brute-Force-Angriffe abzuwehren.

Wo finde ich die Versionsnummer der Plattform?

Unten rechts auf der Plattform wird immer die aktuelle Versionsnummer angezeigt. 

Werden Browser-Sessions ungültig?

Aus Sicherheitsgründen werden von Ihnen begonnenen Sitzungen nach 30 Minuten Inaktivität automatisch beendet.


Darüber hinaus erfolgt aus Sicherheitsgründen spätestens nach 10 Stunden ebenfalls eine Zwangstrennung, selbst wenn sie in dieser Zeit nie 30 Minuten am Stück inaktiv waren.


Nach einem erzwungenen Session-Ende können Sie sich jederzeit wieder erneut anmelden. Wir empfehlen, eine nicht mehr benötigte Sitzung explizit durch Abmeldung zu beenden.

Werden die Daten vollständig von den Systemen entfernt, wenn diese von dem Kunden gelöscht werden?

Nein, zur Nachvollziehbarkeit der Servicenutzung bleiben Daten erhalten. Eine Datenlöschung auf Kundenwunsch ist unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen durch die finpair GmbH möglich.

Wird weitere Software für die Nutzung benötigt?

Nein. Sie benötigen für die Nutzung von finpair keine spezielle Software. Die Plattform ist browserbasiert.

Müssen im Browser zusätzliche Plug-ins installiert sein (Java, Flash, Silverlight)?

Nein. finpair lässt sich problemlos auch ohne Plug-ins nutzen.

Welche Anforderungen hat finpair an den Client hinsichtlich des Prozessors, Arbeitsspeichers, Betriebssystems bzw. Netzwerkfähigkeit?

Grundsätzlich ist finpair so aufgesetzt, dass die Plattform von nahezu allen Usern technisch genutzt werden kann.


Es bestehen keine erhöhten Prozessor-/RAM-Anforderungen. Ein Datei-Upload erfolgt via Browser und Sie benötigen Office-/PDF-Viewer zur Ansicht verfügbarer Dokumente.

Mit welchen Endgeräten ist ein Zugriff auf die Plattform möglich?

Eine besondere Technik ist grundsätzlich nicht erforderlich. Mit den Standard Browsern (Chrome, Firefox, IE Edge) kann www.finpair.de erreicht und genutzt werden.

Wird für die Nutzung zusätzliche Hardware benötigt?

Nein, es muss keine Hardware beschafft werden. Die Plattform ist browserbasiert. 

Führt die Nutzung von Symantec Endpoint Protection auf Client-PCs als Virenscanner zu Konflikten?

Es sind uns keine Konflikte bekannt. Über technisches Feedback freuen wir uns immer.

Erfordert finpair User-seitig bestimmte Bandbreiten?

Nein, es wird nichts erfordert.