Marzipan Adatfeldolgozási Megállapodás

A melléklet: Marzipan biztonsági szabványok

Ez a fordítás kizárólag tájékoztatási célból készült. Az angol nyelvű verzió a hiteles és jogilag kötelező érvényű szöveg; eltérés esetén az angol verzió az irányadó.

A nagybetűvel írt, de itt máshol meg nem határozott fogalmak a DPA-ban nekik tulajdonított jelentéssel bírnak.

Ez az A melléklet azokat a technikai és szervezési intézkedéseket – beleértve a gyakorlati biztonsági óvintézkedéseket és a technikai biztonsági eszközöket – mutatja be, amelyeket a Marzipan fenntart annak érdekében, hogy (a) megvédje az Ügyfél Adatait a véletlen vagy jogellenes elvesztéstől, jogosulatlan hozzáféréstől vagy közzétételtől; (b) azonosítsa a biztonsággal és a Szolgáltatásokhoz – beleértve az Ügyfél Marzipan-fiókját – való jogosulatlan hozzáféréssel kapcsolatos ésszerűen előrelátható belső kockázatokat; és (c) minimalizálja a biztonsági kockázatokat, többek között kockázatértékelés és rendszeres tesztelés útján. A Marzipan egy vagy több munkavállalót jelöl ki felelősként az alábbiakban ismertetett információbiztonsági gyakorlatok és intézkedések tekintetében felmerülő kérdések megválaszolására.

  1. Megosztott felelősségi modell

    A Marzipan felhőalapú alkalmazásokat üzemeltet a marzipan.co, labls.co és labls.io domain neveken, amelyek infrastruktúráját és kapcsolódó adatait az alábbi felhőszolgáltatók szerverein tároljuk: (1) UpCloud Oy ("UpCloud") frankfurti DE-FRA1 adatközpontjában (Németország); (2) Hetzner Online GmbH ("Hetzner Online") nürnbergi és falkensteini adatközpontjaiban (Németország); (3) Scaleway SAS ("Scaleway") párizsi adatközpontjában. A Marzipan Szolgáltatás tehát interneten keresztül, szoftver mint szolgáltatás ("SaaS") modell szerint érhető el.

    Az UpCloud, a Hetzner Online és a Scaleway közül az UpCloud tárolja a Marzipan alkalmazások éles, élesített verzióját és azok kapcsolódó adatait, és biztosítja azt a számítási kapacitást, amely lehetővé teszi az Ügyfél számára a Szolgáltatások elérését anélkül, hogy az alkalmazásokat fizikailag telepítenie kellene. A Scaleway tranzakciós e-mail szolgáltatásokat nyújt. A Hetzner Online dedikált szervert biztosít a Marzipan számára, amelyen a Marzipan az alkalmazások átmeneti (azaz tesztelési) verzióit üzemelteti az új kódok, funkciók és frissítések ellenőrzött környezetben történő teszteléséhez, mielőtt azokat élesbe helyezi.

    A SaaS-modell munkamegosztást határoz meg az Ügyfél Adatainak védelméhez szükséges technikai és szervezési intézkedések végrehajtása tekintetében. Adatkezelőként a Marzipan felel a hozzáférés-kezelési és hálózatbiztonsági eszközök kialakításáért, amelyek alapján az Ügyfél Adatait a felhőben tároljuk – ez a felhőben való biztonság. Felhőszolgáltatókként és adatfeldolgozókként az UpCloud, a Hetzner Online és a Scaleway felelős – a vonatkozó körülményektől függően – a mögöttes felhőkörnyezet és a fizikai szerverek biztonságának fenntartásáért, amelyeken az Ügyfél Adatai tárolódnak, beleértve az adatközpontjaikhoz és hálózati architektúrájukhoz való jogosulatlan hozzáférés elleni technikai és fizikai intézkedések bevezetését – ez a felhő saját biztonsága.

    Részletesebben fogalmazva, ez azt jelenti, hogy a Marzipan felelős a Marzipan alkalmazásszoftver biztonságának kezeléséért (beleértve a Marzipan és a Labls alkalmazások frissítéseit és biztonsági javítócsomagjait), valamint az UpCloud, a Hetzner Online és a Scaleway által felhőszolgáltatásaik részeként biztosított biztonsági funkciók konfigurálásáért. Az UpCloud, a Hetzner Online és a Scaleway ezzel párhuzamosan üzemelteti, kezeli és felügyeli (az esettől függően) a Marzipan alkalmazásrendszer összetevőit és a virtualizációs réteget egészen a Marzipan alkalmazásszolgáltatást futtató és az ahhoz kapcsolódó adatokat tároló létesítmények fizikai biztonságáig.

    Ezt 'Megosztott felelősségi modellnek' nevezzük, mivel ez azt jelenti, hogy saját kiterjedt technikai és szervezési intézkedéseink mellett az UpCloud, a Hetzner Online és a Scaleway átfogó biztonsági mechanizmusaira is támaszkodunk.

    Az UpCloud, a Hetzner Online és a Scaleway által adatközpontjaik és az azokban tárolt adatok védelmére alkalmazott fizikai, hálózati és rendszerbiztonsági intézkedésekről további információ található itt az UpCloud esetében, itt a Hetzner esetében, valamint itt a Scaleway esetében.

  2. UpCloud és Hetzner Online szerverek

    UpCloud

    Az UK GDPR 28. cikke (3) bekezdésének c) pontja értelmében a Marzipan köteles olyan felhőalapú adatfeldolgozót választani, amely elegendő garanciát nyújt arra, hogy képes teljesíteni az UK GDPR 32. cikkében meghatározott adatbiztonsági intézkedéseket.1

    We have selected UpCloud to be our principal hosting provider, infrastructure partner and cloud computing processor for the production versions of the Marzipan and Labls applications based on a careful selection process, considering legal, organisation and technical measures. We chose UpCloud because their IT architecture and infrastructure has been certified as being designed and managed in accordance with industry-leading best practises and security standards including:

    • ISO 9001 Minőségirányítás
    • ISO 14001 Környezetirányítás
    • ISO 22301 Biztonság és rugalmasság
    • ISO 27001 Információbiztonsági irányítás
    • ISO 50001 Energiagazdálkodás
    • SOC 2 Type II Adatbiztonság és adatvédelem
    • PCI-DSS Információbiztonság

    Annak érdekében, hogy teljesüljön az Európai Unió Bírósága (CJEU) által 2020 július havában hozott "Schrems II" határozat követelménye, az UpCloud-nál üzemeltetett összes ügyféladata az UpCloud frankfurti DE-FRA1 adatközpontjában, Németországban található.

    Hetzner

    A Marzipan a Hetzner Online-t választotta megbízható partnerként, hogy kiegészítő dedikált szerverkapacitást biztosítson számára. A Hetzner Online tanúsítvánnyal rendelkezik a DIN ISO/IEC 27001 szabvány szerint. Ez a nemzetközileg elismert információbiztonsági szabvány igazolja, hogy a Hetzner Online megfelelő Információbiztonsági Irányítási Rendszert ("ISMS") hozott létre és vezetett be.

    A Hetzner Online az ISMS-t alkalmazza infrastruktúrájában és üzemeltetésében mindkét németországi adatközpont-helyszínen, ahol a Marzipan dedikált szerverkapacitást bérel – nevezetesen a nürnbergi és a falkensteini adatközpont-parkokban. A FOX Certification, egy független tanúsító szervezet, auditálta és tanúsította a Hetzner Online adatközpont-parkjainak ISMS-folyamatait.

    Scaleway

    A Marzipan a Scaleway-t használja a Marzipan alkalmazás tranzakciós e-mail szolgáltatásainak üzemeltetésére. A Scaleway az ISO/IEC 27001:2022 szabványoknak megfelelően tanúsított. A Scaleway 2024 július óta "Hébergeur de Données de Santé" (Egészségügyi Adatok Tárhely) tanúsítvánnyal rendelkezik. A francia Nemzeti Digitális Egészségügyi Ügynökség (ANS) által kezelt, az Egészségügyi Minisztérium felügyelete alatt az HDS tanúsítási keretrendszer az egyik legigényesebb, amelyhez a digitális szolgáltatások nyújtóinak meg kell felelniük az egészségügyi adatok Franciaországban való üzemeltetéséhez és kezeléséhez. A Scaleway tanúsítványa az egészségügyi adatok védelméhez szükséges szigorú technikai és szervezeti intézkedések megvalósítását, a jogi és szabályozási követelmények betartását, valamint a rendszeres auditra való nyitottságot igazolja az egészségügyi adatok magas szintű biztonsága érdekében.

  3. Titkosítás

    A Marzipan biztonsági intézkedéseinek egyik alapvető eleme az adatok titkosítása mind tárolás közben, mind átvitel során. Az ügyfelek és a Marzipan alkalmazás közötti összes külső hálózati kommunikáció nyilvános hálózatokon keresztül Transport Layer Security ("TLS") 1.2 vagy magasabb verziójú protokoll használatával történik. A Marzipan UpCloud-, Scaleway- és Hetzner Online-kiszolgálóin tárolt ügyféladatok titkosítása AES 256 vagy magasabb szintű algoritmussal valósul meg.

    A Marzipan az UpCloud, a Scaleway és a Hetzner Online saját titkosítási szolgáltatását alkalmazza az ügyféladatok titkosításához.

    Az UpCloud titkosítási rendszere úgy van kialakítva, hogy senki – beleértve a Marzipan vagy az UpCloud munkatársait sem – ne férhessen hozzá a titkosítási kulcsok nyílt szöveges változatához. Az UpCloud hardveres biztonsági modulokat ("HSM") alkalmaz, amelyek FIPS 140-2 szabvány szerint validáltak vagy jelenleg validálás alatt állnak, hogy megvédje az ügyféladatok titkosításához használt nyílt szöveges kulcsokat. Az összes kriptográfiai kulcs automatikusan rotálódik évente egyszer.

    A Hetzner Online teljes lemezes titkosítása AES 256 titkosítási algoritmust és kötelező hitelesítési eljárásokat alkalmaz a dedikált szerverein tárolt valamennyi szoftver- és hardveralapú meghajtó titkosításához. Ez minimalizálja az adatvesztés és az ügyféladatokhoz való jogosulatlan hozzáférés kockázatát.

    A Marzipan rendszerei átviteli titkosítást alkalmaznak minden olyan esetben, amikor adatokat kell nem biztonságos vagy nyilvános hálózaton keresztül továbbítani. A webes felület és a Marzipan alkalmazáshoz csatlakozó összes API kizárólag HTTPS-kapcsolaton keresztül érhető el, és az ügyfélrendszereknek legalább TLS 1.2 protokollt kell használniuk a Marzipan rendszer eléréséhez.

  4. A kiszolgálók helyének korlátozása az EGT/EU területére

    A Marzipan kizárólag az EGT-n belül tárolja az adatokat, mégpedig az UpCloud frankfurti (Németország) adatközpontjaiban, a Hetzner Online nürnbergi és falkensteini (Németország) adatközpontjaiban, valamint a Scaleway párizsi adatközpontjában.

    Ez annak érdekében történik, hogy az ügyféladatok ne legyenek felhasználhatók vagy közzétehetők jogosulatlanul, különös tekintettel az Európai Bíróság 2020. július 16-i Schrems II ítéletére, valamint az adatvédelmi szakértők által az Egyesült Államokban és más, EGT-n kívüli országokban megjelenő adatkiadási kötelezettséget előíró jogszabályokkal kapcsolatban megfogalmazott aggályokra.

  5. Naplózás / Audit Trail (ellenőrzési nyomvonal)

    A Marzipan naplózást alkalmaz az UpCloud-környezeteiben számos területen. Ezek a következőket foglalják magukban:

    • Rendszeresemények;
    • Hibanaplózás;
    • Felhasználói tevékenység;
    • Bejelentkezések és adatbázis-rendszerekhez intézett kérések;
    • Egyéb biztonsággal kapcsolatos események / audit naplózás.

  6. Megfigyelés

    A Marzipan különféle megfigyelési eszközöket alkalmaz a Marzipan rendszereinek és alkalmazásának maximális rendelkezésre állása és teljesítménye érdekében. Ezek legalább a következő paramétereket figyelik:

    Rendelkezésre állás

    • Az alkalmazás elérhetősége
    • A háttérrendszerek és -szolgáltatások elérhetősége

    Erőforrások

    • CPU-kihasználtság
    • Hálózati interfészek kihasználtsága
    • Állandó és ideiglenes tárolók kihasználtsága

    Teljesítmény

    • Alkalmazás válaszidői
    • Háttérrendszerek válaszidői
    • MySQL adatbázis-tartalom lekérdezési idői

    Biztonság

    • DS teljesítmény
    • Rendszerek frissítési állapota

    Megfigyelés

    • Hibanapló
    • Hozzáférési napló

    Az automatikus megfigyelésen túl a Marzipan munkatársai figyelemmel kísérik a releváns online médiát és blogokat (beleértve a fentebb hivatkozott, frissített OWASP-anyagokat is), hogy azokra gyorsan reagálhassanak.

  7. Hozzáférés-szabályozás

    A Marzipan különböző szintű hozzáférés-vezérlést biztosít alkalmazottainak és alvállalkozóinak az UpCloud és a Hetzner Online szerverein futó rendszereihez és szolgáltatásaihoz. Ezeket az UpCloud és a Hetzner Online saját Identity and Access Management (IAM) rendszerein keresztül kezelik, amelyek lehetővé teszik a különböző szolgáltatásokhoz való hozzáférés részletes szabályozását.

    A Marzipan személyzete számára a jogok hozzárendelésének elsődleges elve a "szükséges ismeretszint". A gyakorlatban ez azt jelenti, hogy a Marzipan munkatársai csak azokhoz a funkciókhoz kapnak hozzáférést, amelyekre szükségük van munkájuk elvégzéséhez. A back-end rendszerekhez csak biztonságos és hitelesített kapcsolatok útján lehet hozzáférni. A back-end rendszerek nyilvános közzététele tilos. Csak szigorúan korlátozott számú Marzipan munkatárs fér hozzá az ügyféladatokat tároló rendszerhez. Ez a közvetlen hozzáférés kizárólag hibaelemzésre szolgál, és felügyelete alatt áll.

  1. A UK GDPR 32. cikke megköveteli az irányítóktól és feldolgozóktól, hogy a kockázatalapú megközelítést alkalmazzanak az adatbiztonsággal kapcsolatban. Megköveteli az irányítóktól és feldolgozóktól, hogy "biztosítsanak a kockázatnak megfelelő szintű biztonságot". A kockázatalapú megközelítés célja az adott tevékenységgel járó lehetséges kockázatok értékelése, valamint a lehetséges hatások ellenőrzésére és csökkentésére szolgáló kockázatcsökkentési technikák azonosítása és megvalósítása.

Ne csak a mi szavunkat fogadja el

“WooCommerce-ről váltottunk át egy Marzipan által működtetett egyedi megoldásra. A rendeléseink kezelése gyerekjáték, az előfizetési API rugalmassága pedig lehetővé tette, hogy fejlesszük régi tőkés örökbefogadási ajánlatunkat.”

Katie Jones egy Tuchan gereblyét tart
Katie Jones
Tulajdonos, Domaine Jones

“A Marzipan hihetetlenül egyszerűen használható, rendkívül rugalmas és testreszabható. Az ismétlődő előfizetéses borklubokat sokkal könnyebbé teszi, mint bármely más rendszer, amelyet valaha használtam, és szinte mindennel megbirkózik, amit elébe tettünk.”

Justin Howard-Sneyd, MW
Justin Howard-Sneyd, MW
Tulajdonos, Domaine of the Bee