Bei InstiKom und unserem Mutterunternehmen LITTLE BIRD haben die Themen Datensicherheit und Datenschutz höchste Priorität. Sicherheitsanforderungen von lokalen, regionalen, landesweiten und kirchlichen Datenschützern und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden stetig in die Konzeption und Entwicklung einbezogen, überprüft und aktualisiert. Sämtliche Daten werden nach der Europäischen Datenschutzgrundverordnung (DSGVO) verarbeitet.
Darüber hinaus haben wir eine Vielzahl an Maßnahmen etabliert, um die Datensicherheit, den Datenschutz sowie auch sämtliche regulatorische Anforderungen sicherzustellen:
Gesicherte IT-Architektur von Beginn an:
Wir bieten unseren Kunden eine gesicherte IT-Infrastruktur, die höchste Sicherheitsstandards mit Blick auf Verschlüsselung, Datentrennung, -zugriff und -speicherung gewährleistet. Hierzu zählen u.a.
Verschlüsselung des Datentransports: Sämtliche Daten werden ausschließlich mit moderner Transport Layer Security (TLS 1.3) verschlüsselt übertragen.
Deaktivierung von sicherheitskritischen Funktionen des Webservers: Die Einstellungen des Webservers werden durchgehend überwacht und ggf. erforderliche Maßnahmen unmittelbar umgesetzt.
Verwendung von Certificate-Pinning: Certificate-Pinning in den KIKOM Apps bietet eine erhöhte Sicherheit bzgl. MITM-Angriffen, Datenintegrität oder SSL/TLS-basierten Angriffsvektoren.
Georedundante Serverstandorte: Sämtliche Daten werden an zwei unterschiedlichen ISO 27001-zertifizierten Rechenzentren in Deutschland mit höchsten Sicherheitsmaßnahmen betrieben.
Datentrennung: Personenbezogene Daten werden auf separat abgesicherten Datenbanken und separierten Bereichen innerhalb der Datenbanken gespeichert. Erforderliche Verknüpfungen zwischen personenbezogenen Daten werden somit auf ein Minimum reduziert.
Funktionale Trennung mit differenzierten Zugriffsrechten: Unterschiedliche Applikationen und ausdifferenzierte Rollen- und Zugriffsrechte ermöglichen einen rein nutzer- und zweckbasierten Datenzugriff.
Dauer der Datenspeicherung: Die Dauer der Datenspeicherung kann von dem Kunden je Datentyp individuell eingestellt werden. Gleichzeitig gewährleisten wir die Einhaltung von gesetzlichen Aufbewahrungspflichten. Dabei kommt ein automatisierter Löschalgorithmus zum Einsatz, der sicherstellt, dass Ihre Daten nur so lange wie nötig elektronisch aufbewahrt werden. Gelöschte Daten werden nach 7 Tagen vollständig aus unseren Datenbanken entfernt.
Konsequenter Schutz von Nutzer- und Kinderdaten: Die Auswahl von externen Diensten unterliegt einem strengen Sicherheitsassessment. Es werden beispielsweise nur Dienstleister eingebunden, die
- Ihre Daten ausschließlich im europäischen Raum verarbeiten und speichern
- keinerlei Werbeeinblendungen beinhalten
- keinerlei Daten für Werbezwecke oder nutzerbezogene Auswertungen verwenden
Grundlage einer jeden Zusammenarbeit mit externen Dienstleistern bildet der Abschluss einer Vereinbarung zur Auftragsdatenverarbeitung im Sinne von Artikel 28 (3) DSGVO.
Regelmäßige Überwachung und Verbesserung der Softwarearchitektur und Prozesse:
Trotz bereits höchsten Sicherheitsstandards sehen wir uns in der Pflicht, unsere Strukturen und Prozesse fortwährend zu verbessern und niemals auf dem Status Quo zu verharren. Zu den Maßnahmen zählen u.a.:
Regelmäßige Penetrationstests: Um die Sicherheit der KIKOM Software-Infrastruktur und Apps zu überprüfen, werden regelmäßige Penetrationstests mit Hilfe von externen Spezialisten durchgeführt.
Interner Sicherheits- und Datenschutzbeauftragter: Unser internes Security Team bestehend aus unserem internen Datenschutzbeauftragten, internen Sicherheitsbeauftragten und Softwareentwicklern überprüft und verbessert kontinuierlich die KIKOM Software.
Externes Datenschutzaudit: In regelmäßigen Abständen erfolgt eine Überprüfung unserer Systeme und Prozesse durch externe Auditoren.
Innovative Technologien und Partnerschaften für eine gesicherte Zukunft:
Mit Hilfe von innovativen Technologien und starken Partnern bieten wir eine zukunftssichere Systemarchitektur und stehen unseren Kunden bei der Umsetzung komplexer und vielschichtiger Anforderungen als Digitalisierungspartner zur Seite:
Einhaltung höchster regulatorischer Anforderungen, insbesondere für sämtliche Bezahlvorgänge im Funktionsbaustein KIKOM Pay. Integration einer BaFin zugelassenen Zahlungsdienstelösung (VR Payment GmbH) mit Abbildung von höchst komplexen technischen Mechanismen zur Vermeidung von Geldwäsche und Terrorismusfinanzierung.
Native Apps: Durch die Verwendung von nativer App-Technologie können wir auf Änderungen der Anforderungen und Policies auf Seiten von Google oder Apple unverzüglich reagieren (z.B. keine Auswirkungen auf KIKOM durch Eliminierung von progressiven Web-Apps aus den Stores.)
Unterstützung und fortwährende Begleitung: Durch technische Maßnahmen (z.B. Möglichkeit zur Einbindung individueller Datenschutzerklärung / -hinweise) und Bereitstellung begleitender Dokumentation versetzen wir unsere Kunden in die Lage, Ihren Pflichten als datenschutzrechtlich Verantwortlicher im Sinne der DSGVO nachzukommen.