Richtlinie zur Datenaufbewahrung

Diese Richtlinie zur Datenaufbewahrung (die „Richtlinie“) beschreibt die Grundsätze und Praktiken, nach denen Credenti Credenti, „wir“, „unser“ oder „uns“) personenbezogene Daten und Unternehmensdaten erfasst, aufbewahrt und löscht. Die Richtlinie soll die Einhaltung geltender gesetzlicher und behördlicher Verpflichtungen, vertraglicher Verpflichtungen und bewährter Branchenpraktiken gewährleisten.

Definitionen

  • Daten: Alle Informationen in digitaler oder physischer Form, die von Credenti erfasst, gespeichert, verarbeitet oder übertragen werden.
  • Mitarbeiter: Jede Person, die bei Credenti beschäftigt ist, einschließlich Auftragnehmer, Zeitarbeitskräfte und andere Personen, die unter der Leitung Credentiarbeiten.
  • Datenschutzbeauftragter (DSB): Die von Credenti benannte Person, Credenti die Überwachung der Datenschutzstrategie, die Einhaltung der Vorschriften und die Zusammenarbeit mit den Aufsichtsbehörden gemäß den geltenden Gesetzen Credenti .
  • DSGVO: Die Datenschutz-Grundverordnung (EU) 2016/679, ein umfassendes Datenschutzgesetz, das den Datenschutz und die Privatsphäre in der Europäischen Union regelt.
  • Betroffene Person: Eine identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von Credenti in dessen Auftrag verarbeitet werden.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich Namen, Identifikationsnummern, Standortdaten, Online-Identifikatoren oder andere Attribute.
  • Verarbeitung: Jeder mit personenbezogenen Daten durchgeführte Vorgang oder jede Reihe von Vorgängen, unabhängig davon, ob diese automatisiert erfolgt oder nicht, wie beispielsweise Erhebung, Erfassung, Organisation, Speicherung, Änderung, Abruf, Abfrage, Nutzung, Offenlegung, Verbreitung oder Vernichtung.
  • Auftragsverarbeiter: Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  • Besondere Kategorien personenbezogener Daten / Sensible personenbezogene Daten: Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person hervorgehen.
  • SIEM (Security Information and Event Management): Eine Technologieplattform oder -lösung, die eine Echtzeitanalyse von Sicherheitswarnungen und Protokollen ermöglicht, die von Anwendungen, Netzwerkhardware und Systemen generiert werden. SIEM-Tools werden häufig zum Sammeln, Normalisieren, Speichern und Analysieren von Daten für die Sicherheitsüberwachung und die Einhaltung gesetzlicher Vorschriften eingesetzt.

1. Zweck

Diese Richtlinie zur Datenaufbewahrung („Richtlinie“) enthält Leitlinien für die ordnungsgemäße Speicherung und rechtzeitige Vernichtung aller Informationen, Daten und Dokumente, unabhängig vom Format, die im Zusammenhang mit der Geschäftstätigkeit des Unternehmens erstellt wurden.

Der Eigentümer dieses Dokuments ist der Datenschutzbeauftragte von Credenti.

Diese Richtlinien werden jährlich vom Datenschutzbeauftragten überprüft und können auch kontinuierlich überprüft und aktualisiert werden, wenn dies vom Datenschutzbeauftragten als notwendig erachtet wird.

Der Zweck dieser Richtlinie besteht darin, die Aufbewahrungsfristen und -verfahren für Daten festzulegen, die von Credenti Zusammenhang mit seinen Produkten und Dienstleistungen verarbeitet werden. Die Aufbewahrung ist auf den Zeitraum beschränkt, der zur Erfüllung vertraglicher, gesetzlicher und betrieblicher Anforderungen erforderlich ist.

2. Geltungsbereich

Diese Richtlinie gilt für alle von Credenti erfassten, verarbeiteten oder gespeicherten Daten, einschließlich, aber nicht beschränkt auf:

  • Systemauthentifizierungsprotokolle und Zugriffsereignisse
  • Benutzeridentität und Gerätemetadaten
  • Zugriffsrichtlinien und Konfigurationsdateien
  • Aufzeichnungen über administrative Tätigkeiten

3. Aufbewahrungsfristen

Sofern nicht ausdrücklich in einer verbindlichen Vereinbarung anders festgelegt, Credenti Daten gemäß den folgenden kategorisierten Zeitplänen. Diese Zeitpläne wurden festgelegt, um die Einhaltung der einschlägigen gesetzlichen und behördlichen Verpflichtungen zu gewährleisten und gleichzeitig die betriebliche Effizienz und die Leistungsbeschränkungen des Systems zu berücksichtigen. Insbesondere aufgrund des hohen Volumens und der vorübergehenden Natur bestimmter Protokolltypen, wie z. B. Benutzeraktivitäts- und Verwaltungsprotokolle, werden diese Kategorien für kürzere Zeiträume aufbewahrt. Kunden wird dringend empfohlen, zeitnahe Export- und Archivierungsverfahren zu implementieren, indem sie externe SIEM-Lösungen (Security Information and Event Management) oder vergleichbare Systeme nutzen, um die langfristige Aufbewahrung, Analyse und Compliance zu erleichtern.

Diese Richtlinie gilt für alle Credenti , einschließlich Multi-Tenant-Cloud, dedizierter Private Cloud und lokalen Umgebungen.

  • Benutzeraktivitätsprotokolle: Umfassen Aufzeichnungen von Benutzersitzungen, Anwendungsnutzung und Anmelde-/Abmeldeereignissen. Werden für einen Zeitraum von maximal 90 Tagen aufbewahrt. Die Auslagerung in externe SIEM- oder Protokollspeichersysteme wird dringend empfohlen.
  • Verwaltungsprotokolle: Umfassen Aktionen, die innerhalb von Verwaltungskonsolen durchgeführt werden, wie z. B. Benutzerbereitstellung, Richtlinienaktualisierungen und Konfigurationsänderungen. Werden 90 Tage lang aufbewahrt. Kunden sollten eine Protokollweiterleitung an externe Systeme implementieren, um einen erweiterten Zugriff zu ermöglichen.
  • Authentifizierungs- und Zugriffsprotokolle: Beziehen sich auf zugangsberechtigungsspezifische Aktivitäten, einschließlich Badge-Tap-Ereignissen, biometrischen Authentifizierungen und Passkey-Verwendungen. Werden ab dem Datum der Erfassung 90 Tage lang aufbewahrt.
  • Benutzer-Metadaten: Bezieht sich auf Identitätsdatensätze wie Benutzerprofildaten, Gerätezuordnungen und Registrierungsstatus. Werden für die Dauer des Kundenkontos oder bis zur Kündigung des Kontos gespeichert.
  • Konfigurations- und Richtliniendaten: Umfassen Einstellungen, Vorlagen, Zugriffsregeln und Sitzungsrichtlinien. Werden für die Dauer des Kundenkontos oder bis zur Kündigung des Kontos aufbewahrt.

Änderungen an den standardmäßigen Aufbewahrungsfristen können auf Anfrage vorgenommen werden, sofern diese Änderungen durch geltende gesetzliche oder behördliche Anforderungen gerechtfertigt sind und mit den Möglichkeiten der Plattform vereinbar sind. Anfragen müssen dokumentiert und durch eine formelle Datenverarbeitungs- oder Dienstleistungsvereinbarung genehmigt werden.

4. Aufbewahrung von Mitarbeiterdaten

Credenti mitarbeiterbezogene Daten nur in dem Umfang, wie dies für den Geschäftsbetrieb, zur Erfüllung gesetzlicher Verpflichtungen oder für die interne Unternehmensführung erforderlich ist. Die Speicherung und Verarbeitung dieser Daten unterliegt den geltenden arbeitsrechtlichen Bestimmungen und Datenschutzvorschriften.

  • Verwaltungsaktivitätsprotokolle: 24 Monate lang aufbewahrt
  • Zugriffsprotokolle mit Anmeldedaten: Werden ab dem Datum der letzten Nutzung 12 Monate lang aufbewahrt.
  • Metadaten zur Beschäftigung: Werden innerhalb von 90 Tagen nach Beendigung des Arbeitsverhältnisses gelöscht, sofern keine gesetzlichen Verpflichtungen etwas anderes vorschreiben.

Alle Mitarbeiterdaten unterliegen denselben Kontrollen wie Kundendaten, einschließlich Verschlüsselung, Zugriffsbeschränkungen und Prüfungsverfahren.

5. Verfahren zur Datenminimierung und -löschung

Credenti das Prinzip der Datenminimierung Credenti , indem nur die Daten gespeichert werden, die für die angegebenen Zwecke erforderlich sind. In Übereinstimmung mit geltendem Recht, einschließlich, aber nicht beschränkt auf die DSGVO, dürfen personenbezogene Daten nicht länger gespeichert werden, als es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Sobald diese Zwecke erfüllt sind, werden personenbezogene Daten sicher gelöscht, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder zulässig.

Die von Credenti verwendeten Methoden zur Datenlöschung und -vernichtung Credenti auf den sicheren Löschfunktionen von Amazon Web Services (AWS), unserem Infrastrukturanbieter. Dazu gehören unter anderem die Löschung von AWS-verwalteten Verschlüsselungsschlüsseln (Crypto-Shredding), Richtlinien zum Speicherlebenszyklus und sichere Überschreibungs- oder Stilllegungsverfahren. Alle Methoden sind so konzipiert, dass sie den anerkannten Industriestandards und gesetzlichen Verpflichtungen entsprechen.

Credenti , dass die Löschung personenbezogener Daten durch AWS-Mechanismen einer der folgenden anerkannten rechtlichen Methoden entspricht:

  • Anonymisierung: Dabei werden alle Elemente personenbezogener Daten, die eine natürliche Person identifizieren könnten, dauerhaft entfernt oder umgewandelt. Eine ordnungsgemäße Anonymisierung stellt sicher, dass die Daten in keiner Weise zu einer Person zurückverfolgt werden können – auch nicht durch die für die Anonymisierung verantwortliche Stelle. Insbesondere verschlüsselte oder tokenisierte Daten gelten nicht als anonymisiert, wenn es eine Möglichkeit gibt, den Vorgang rückgängig zu machen.
  • Vernichtung: Dies bezieht sich auf die vollständige und irreversible Löschung personenbezogener Daten, sodass diese nicht wiederhergestellt oder abgerufen werden können. Gegebenenfalls kann die Vernichtung durch kryptografische Löschung (auch als „Crypto-Shredding“ bezeichnet) erfolgen, bei der die zur Sicherung der Daten verwendeten Verschlüsselungsschlüssel gelöscht werden, sodass die Daten dauerhaft unzugänglich sind. Diese Löschvorgänge werden mithilfe von AWS-unterstützten Mechanismen durchgeführt, die den geltenden rechtlichen und technischen Standards entsprechen. Der Grad der technischen Strenge hängt von der Klassifizierung und Sensibilität der betreffenden Daten ab.

Die spezifischen Methoden, mit denen personenbezogene Daten in den Systemen Credentigelöscht oder vernichtet werden, werden unter Verwendung der zugrunde liegenden Funktionen von Amazon Web Services (AWS) implementiert. Der Datenschutzbeauftragte (DPO) Credentidefiniert die internen Standards und Governance-Richtlinien, mit denen diese von AWS unterstützten Mechanismen in einer Weise angewendet werden, die den einschlägigen gesetzlichen Verpflichtungen, Sicherheitsstandards und vertraglichen Verpflichtungen entspricht.

Wenn personenbezogene Daten unter Verwendung eines Drittanbieters (z. B. Software-as-a-Service- oder Business Process Outsourcing-Plattformen) verarbeitet oder gespeichert werden, Credenti und dokumentiert Credenti die Methode, mit der die Löschung durchgeführt wird. In solchen Fällen wird die Anforderung der sicheren Löschung personenbezogener Daten ausdrücklich in die vertraglichen Vereinbarungen mit dem Dienstleister aufgenommen, um sicherzustellen, dass entweder Credenti sein benannter Auftragsverarbeiter die Löschung auf rechtmäßige und wirksame Weise durchführt.

6. Einhaltung gesetzlicher und regulatorischer Vorschriften

Diese Richtlinie soll die Einhaltung der geltenden Datenschutz- und Informationssicherheitsgesetze gewährleisten, einschließlich, aber nicht beschränkt auf:

  • Datenschutz-Grundverordnung (DSGVO)
  • Kalifornisches Privacy (CCPA)
  • Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA)
  • Bundesprogramm für Risikomanagement und Autorisierung (FedRAMP)
  • Sicherheitsrichtlinie für Strafverfolgungsinformationsdienste (CJIS)
  • Datensicherheitsstandard der Zahlungskartenindustrie (PCI DSS)

7. Überprüfung und Änderung der Richtlinien

Diese Richtlinie wird mindestens einmal jährlich oder bei Änderungen von Gesetzen, Vorschriften oder betrieblichen Anforderungen überprüft. Alle wesentlichen Änderungen dieser Richtlinie werden den betroffenen Parteien über offizielle Kanäle mitgeteilt oder auf unserem Trust-Portal öffentlich bekannt gegeben.

Kontaktdaten

Fragen zu dieser Richtlinie richten Sie bitte an credenti oder schriftlich an 5177 Richmond Ave, STE 1160, Houston, TX 77056. Bitte beachten Sie, dass die Kommunikation per E-Mail möglicherweise nicht sicher ist. Daher sollten Sie in Ihrer E-Mail-Korrespondenz mit uns keine persönlichen oder anderen sensiblen Informationen angeben.