Allgemeine Geschäfts- & Servicebedingungen

1. Einleitung

Wir möchten Sie gerne darüber informieren, was Sie von uns bei der Nutzung unseres AI-as-a-Service erwarten dürfen. Diese Bedingungen wurden in verständlicher Sprache verfasst, um Transparenz zu gewährleisten. Bei Unklarheiten stehen wir Ihnen gerne für Rückfragen zur Verfügung.

2. Gültigkeit der Bedingungen

Diese Bedingungen sind Bestandteil unseres Vertrages und gelten während der gesamten Vertragslaufzeit, einschließlich etwaiger Verlängerungen.

3. Änderung der Bedingungen

Es gilt stets die aktuellste Fassung der Bedingungen. Änderungen werden rechtzeitig mitgeteilt. Kunden haben die Möglichkeit, diese abzulehnen, wobei eine Kündigungsfrist von zwei Monaten unter den bisherigen Bedingungen gilt.

4. Laufzeit AI-as-a-Service

Der Vertrag gilt auf unbestimmte Zeit, sofern nicht anders vereinbart. Die Kündigungsfrist für Kunden beträgt zwei Monate vor Beginn der neuen Jahresperiode, während wir aus Verhältnismäßigkeitsgründen eine Kündigungsfrist von sechs Monaten einhalten. Mit unserem AI-as-a-Service erhalten Sie eine Lizenz zur Nutzung unserer Software sowie das Recht auf ergänzende Dienstleistungen. Für diese Lizenz und Dienstleistungen berechnen wir das vereinbarte Entgelt und Sie erhalten monatlich eine Rechnung.

5. Lizenz und ergänzende Dienstleistungen

Im AI-as-a-Service sind die Produktkomponenten enthalten, die Sie auf Basis der Tarifgrundlage (Anzahl der Policen) beziehen. Zusätzlich zahlen Sie einen festen monatlichen Betrag für Hosting & Rechenleistung. Die einzelnen Komponenten finden Sie auf Ihrer Rechnung. Die Lizenz darf ausschließlich für Ihre eigene Organisation oder deren Tochtergesellschaften genutzt werden.

Neben der Lizenz zur Nutzung unserer Software umfasst der AI-as-a-Service auch das Recht auf folgende ergänzende Dienstleistungen:

• Behebung von Störungen und Support während der ersten drei Monate, sofern die Anzahl von 100 Supportstunden nicht überschritten wird;
• Kontinuierliche Überwachung der Software und Bereitstellung neuer Releases;
• Mindestens einmal jährlich ein periodischer Bericht einschließlich Besprechung mit der Geschäftsleitung des Auftraggebers;
• Beratungsleistungen, soweit ausdrücklich vereinbart.

Sollten Sie zusätzliche, hier nicht genannte Dienstleistungen benötigen, stehen wir Ihnen gerne zur Verfügung. In diesem Fall teilen wir Ihnen die anfallenden Kosten mit, sofern zutreffend.

6. Lieferfristen

Wir legen großen Wert auf die Einhaltung unserer Vereinbarungen. Gelegentlich treten jedoch unvorhergesehene Umstände ein oder wir sind von Dritten abhängig. Daher sind alle von uns genannten Fristen als Richtwerte zu verstehen; die bloße Überschreitung einer genannten Frist begründet keinen Verzug. In allen Fällen, in denen eine Fristüberschreitung droht oder eine Frist nicht eingehalten wird, werden wir unverzüglich gemeinsam eine angemessene Frist zur ordnungsgemäßen Erfüllung aller Verpflichtungen festlegen.

7. Wartung und Störungen

Wir können die Ausführung des AI-as-a-Service ganz oder teilweise für Wartungsarbeiten außer Betrieb nehmen. Wir werden unseren Dienst nicht länger als nötig außer Betrieb setzen und dies nach Möglichkeit außerhalb der Geschäftszeiten durchführen. Störungen werden selbstverständlich schnellstmöglich behoben. Für Reaktionszeiten verweisen wir auf die Service Levels in unseren Servicebedingungen.

8. Garantiebeschränkung

Die KI-Prognosen basieren auf statistischen Modellen und werden auf Best-Effort-Basis geliefert. Onesurance übernimmt keine Haftung für das Nichteintreffen von Prognosen oder für Entscheidungen, die der Auftraggeber auf Grundlage dieser Prognosen trifft.

9. Tarifgrundlage

Der Lizenztarif basiert auf der Anzahl der Policen in Ihrem Portfolio, für die wir eine Prognose erstellen. Pro Produktkomponente gilt ein fester Betrag pro Police pro Jahr. Die Tarifgrundlage ist die Anzahl der Policen, abgerundet auf Zehntausend. Einmal jährlich wird die Tarifgrundlage neu ermittelt und wir passen den Tarif entsprechend der aktuellen Anzahl an.

Wir indexieren die Preise jährlich unter Berücksichtigung des Verbraucherpreisindex (VPI) des vergangenen Jahres, basierend auf der Jahresveränderungsrate des Monats Juli. Die Indexierung tritt ab der ersten Rechnung des folgenden Kalenderjahres in Kraft. Wir werden Sie jeweils über die Indexierung informieren.

10. Rechnungsstellung

Die Tarife werden jährlich gemäß dem VPI-Wert des CBS (Jahresvergleich Juli) indexiert. Bei Erweiterung der Policenanzahl kann Onesurance den Tarif verhältnismäßig anpassen. Wir stellen die Lizenz monatlich im Voraus in Rechnung. Sie erhalten alle Rechnungen per E-Mail als PDF-Datei. Die Zahlungsfrist beträgt dreißig Tage.

11. Vertragsänderung

Das Hinzufügen von Produktkomponenten ist jederzeit möglich. Das Entfernen von Produktkomponenten ist erst ein Jahr nach vollständiger Rechnungsstellung oder nach Ablauf der vereinbarten Anfangsperiode möglich. Bitte beachten Sie, dass eine Änderung und/oder ein Beendigungsantrag einen Monat vor der neuen Rechnungsperiode eingereicht werden muss und dass eine Erhöhung und Senkung nicht innerhalb desselben Quartals vorgenommen werden kann.

12. Vertragsbeendigung

Sie können die Lizenz jeweils ein Jahr nach vollständiger Rechnungsstellung kündigen. Bitte beachten Sie, dass Sie dies zwei Monate vor Ablauf der neuen Jahresperiode schriftlich oder per E-Mail mitteilen müssen. Eine außerordentliche Kündigung ist innerhalb von zehn Werktagen nach Ablauf der ersten Anfangsperiode von drei Monaten möglich.

Nach Vertragsbeendigung haben Sie keinen Zugang mehr zur Software und den zugehörigen Daten. Ihre Daten werden innerhalb von vierzehn Tagen gelöscht. Unsere Kündigungsfrist beträgt zwölf Monate. Wir können den Vertrag mit sofortiger Wirkung beenden, wenn Sie Vereinbarungen nicht einhalten und wir Sie diesbezüglich in Verzug gesetzt haben, Rechnungen dauerhaft verspätet bezahlen oder eine unbestrittene Rechnung nach 60 Tagen noch nicht beglichen haben. Dieses Recht steht uns auch zu, wenn Sie ein Moratorium oder Insolvenzverfahren beantragt haben. Nach Vertragsbeendigung bleiben die Daten 30 Tage lang für den Export durch den Auftraggeber verfügbar, sofern nicht schriftlich anders vereinbart.

13. Haftung

Wir unternehmen alle Anstrengungen, um sicherzustellen, dass unsere Software den angegebenen Spezifikationen entspricht. Sollten dennoch Fehler auftreten, beheben wir diese schnellstmöglich. Dennoch können Fehler vorkommen. Falls Ihnen daraus ein Schaden entsteht, suchen wir gemeinsam nach einer angemessenen Lösung. Bei Beschwerden oder Ansprüchen ist es wichtig, diese unverzüglich bei uns geltend zu machen.

Unsere Gesamthaftung aufgrund einer zurechenbaren Vertragsverletzung oder auf jedweder anderen Rechtsgrundlage ist auf den Ersatz unmittelbarer Schäden begrenzt, und zwar bis maximal zum für den betreffenden Vertrag vereinbarten Entgelt (exkl. MwSt.). Handelt es sich beim Vertrag im Wesentlichen um ein Dauerschuldverhältnis mit einer Laufzeit von mehr als einem Jahr, wird das vereinbarte Entgelt auf die Gesamtvergütung (exkl. MwSt.) für ein Jahr festgesetzt. In beiden Fällen ist unsere maximale kumulative Haftung auf EUR 1.000.000,- begrenzt.

Wir haften ausschließlich für unmittelbare Schäden und nicht für Folgeschäden jeglicher Art. Unter Folgeschäden werden insbesondere verstanden: entgangener Umsatz, entgangener Gewinn, Datenverlust und verpasste Geschäftsmöglichkeiten. Keine der Parteien haftet gegenüber der anderen bei höherer Gewalt im Sinne des Gesetzes.

14. Geistiges Eigentum

Die geistigen Eigentumsrechte an der Software liegen und verbleiben bei uns. Sie erhalten während der Vertragslaufzeit ein nicht-exklusives, nicht übertragbares, nicht verpfändbares und nicht unterlizenzierbares Nutzungsrecht an unserer Software, einschließlich der Nutzung unserer Algorithmen. Es ist ohne vorherige schriftliche Zustimmung nicht gestattet, die Software und/oder Algorithmen und/oder unsere Dokumente und Materialien ganz oder teilweise zu vervielfältigen, zu veröffentlichen, zu dekompilieren, einem Reverse-Engineering zu unterziehen oder Dritten zur Verfügung zu stellen und/oder zur Einsichtnahme zu überlassen.

Die vom Auftraggeber bereitgestellten Daten bleiben Eigentum des Auftraggebers. Der Auftraggeber räumt Onesurance ein Nutzungsrecht für die Vertragslaufzeit ein, um diese Daten im Rahmen der Dienstleistung, Qualitätsverbesserung und Benchmarking zu verarbeiten, sofern anonymisiert.

15. Datenschutz & Vertraulichkeit

Wir werden alle anwendbaren Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhalten. Wir garantieren einander, dass alle Informationen, bei denen wir vernünftigerweise erkennen müssen, dass sie vertraulich oder wettbewerbssensibel sind und die wir vor und nach Vertragsschluss voneinander erhalten, vertraulich bleiben. Wir werden alle angemessenen Maßnahmen zum Schutz dieser Informationen ergreifen.

Wir möchten gerne in Werbemaßnahmen oder bei Marketingaktivitäten erwähnen dürfen, dass Sie einer unserer geschätzten Kunden sind. Dabei werden wir sorgfältig alle Informationen über Ergebnisse und/oder bei Ihnen durchgeführte Tätigkeiten, die auf Sie rückschließen lassen, entfernen.

16. Rechtliche Angelegenheiten

Alle Streitigkeiten, die sich aus unserem Vertrag ergeben oder damit zusammenhängen, werden ausschließlich dem zuständigen Gericht in Breda vorgelegt. Auf unseren Vertrag sowie auf alle Streitigkeiten, die damit zusammenhängen oder sich daraus ergeben, ist ausschließlich niederländisches Recht anwendbar. Das Übereinkommen der Vereinten Nationen über Verträge über den internationalen Warenkauf (UN-Kaufrecht/CISG) findet keine Anwendung.

Mitteilungen, die wir uns auf Grundlage dieses Vertrages zukommen lassen, erfolgen schriftlich. Unter schriftlich wird per Post und/oder per E-Mail verstanden, gerichtet an die E-Mail-Adressen der Unterzeichner des Vertrages. Etwaige mündliche Zusagen und Absprachen haben keine Wirkung, es sei denn, sie wurden von beiden Parteien schriftlich bestätigt.

17. Partnerstrategie und Schulung

Implementierungspartner können über ein Schulungsprogramm zertifiziert werden. Kostenpflichtige Onboarding- und Schulungsmodule sind verfügbar, um Effizienz und Akzeptanz zu steigern.

1. Einleitung

Die Parteien möchten ihre gegenseitigen Erwartungen und Verpflichtungen hinsichtlich der Durchführung der Dienstleistungen, wie im Vertrag beschrieben, qualitativ steuern. Bei jeder Zusammenarbeit hängt der Erfolg von einer korrekten und zeitnahen gegenseitigen Kooperation ab. Es ist unter anderem wichtig, dass die Parteien klar miteinander kommunizieren und (wichtige) Informationen zeitnah austauschen.

In diesem SLA sind die Vereinbarungen für die Durchführung der Dienstleistung festgelegt.

Vertrag - Die Parteien haben einen Vertrag über die Nutzung des AI-as-a-Service von Onesurance geschlossen (nachfolgend: „Vertrag"). Dieses Service Level Agreement (nachfolgend: „SLA") ist Bestandteil dieses Vertrages.

Anwendbarkeit - Dieses SLA gilt für die Produktionsumgebung des AI-as-a-Service von Onesurance sowie die zugehörigen Portale und Schnittstellen. Darüber hinaus steht, sofern vereinbart, eine Abnahmeumgebung zur Verfügung, deren Bedingungen gesondert aufgeführt werden.

Zweck des SLA - Im SLA sind Vereinbarungen über die Qualitätsparameter der Dienstleistung festgelegt, mit dem Ziel, die Qualität und Durchführung der Dienstleistung sowohl des Produkts als auch des Supports zu überwachen und zu berichten.

Änderungen am bestehenden SLA - Dieses SLA ist ein lebendiges Dokument, das regelmäßig überprüft und aktualisiert werden muss, um den Bedürfnissen beider Parteien gerecht zu werden. Alle Verbesserungen werden einseitig durchgeführt. Sollte eine Anpassung nachteilig für den Auftraggeber sein, wird Onesurance dies in Abstimmung vornehmen und erst nach Zustimmung des Auftraggebers umsetzen.

Definitionen - Begriffe, die mit einem Großbuchstaben geschrieben werden, haben die folgende Bedeutung bzw. die Bedeutung, wie sie an anderer Stelle in diesem Dokument festgelegt ist:

Abnahme

Die endgültige und schriftliche Genehmigung durch den Auftraggeber von (Teilen der) Dienstleistung(en).

Bearbeitungszeit

Die vom Dienstleister gemessene und registrierte Zeit (einschließlich Reaktionszeit) zwischen dem Zeitpunkt der Meldung des Vorfalls beim Dienstleister und der Mitteilung des Dienstleisters an den Auftraggeber, dass der Vorfall behoben ist.

Backup

Eine Kopie von Dateien und Daten, die auf einem Datenträger gespeichert sind, um diese Informationen im Falle eines Systemabsturzes, Datenverlusts oder anderer Notfälle wiederherstellen zu können.

Verfügbarkeit

Zeitraum, ausgedrückt als Prozentsatz der Gesamtzeit, gemessen über einen vollständigen Kalendermonat, in dem ein Dienst unter den richtigen Bedingungen verfügbar ist.

Datenleck

Eine Verletzung der Vertraulichkeit und/oder der Integrität und/oder der Verfügbarkeit personenbezogener Daten, bei der unbefugte Personen unbeabsichtigt oder unrechtmäßig Zugang zu (Kunden-)Personendaten erlangt haben.

Ausfallzeit

Der Zeitraum, in dem der Dienst nicht erreichbar ist oder überhaupt nicht reagiert.

Vorfall

Eine Unterbrechung, Abweichung, Störung, verminderte Verfügbarkeit oder verminderte Geschwindigkeit eines vereinbarten Dienstes, Mittels oder Produkts.

Dienstleister

Onesurance.

Auftraggeber

Der Kunde von Onesurance.

RPO (Recovery Point Objective)

Der maximale Zeitraum, in dem ein Datenverlust bei einem Notfall akzeptabel ist.

RTO (Recovery Time Objective)

Die maximale Zeit zwischen einem Vorfall und der Wiederverfügbarkeit der Funktionalität.

AI-as-a-Service

Die Anwendung von Onesurance, die über das Internet für autorisierte Benutzer bereitgestellt wird.

2. Allgemeines zum AI-as-a-Service

Der Dienstleister stellt seinen AI-as-a-Service über das Internet bereit und übernimmt die technische Wartung und Verwaltung der erbrachten Dienstleistungen. Der Dienstleister stellt seine Produkte aus einem innerhalb des EWR gelegenen Rechenzentrum zur Verfügung. Zur Nutzung muss der Auftraggeber über Folgendes verfügen:

• Eine stabile Internetverbindung mit einer Geschwindigkeit von mindestens 5 Mbit/s;
• Einen Chrome-Browser mit den neuesten Updates;
• Eine Auflösung von mindestens 1600 x 900 bei einer Skalierung von 100%.

3. Technische Verwaltung durch Onesurance

Die technische Wartung und Verwaltung wird vom Dienstleister übernommen. Hierunter fallen: Infrastrukturverwaltung, Datenverwaltung, Sicherheitsverwaltung, Compliance & Audits und Leistungsoptimierungen. Selbstverständlich übernimmt der Dienstleister auch die Bereitstellung neuer Funktionalitäten in der Anwendung.

Infrastruktur - Die Verwaltung der Hardware-Infrastruktur, wie Hosting, Server und Speicher, die zur Unterstützung der AI-as-a-Service-Anwendung erforderlich ist.

Datenverwaltung - Die Verwaltung der Daten, die von der AI-as-a-Service-Anwendung gespeichert und verarbeitet werden. Dies umfasst die Implementierung, Verwaltung und Kontrolle von Backup- und Wiederherstellungsverfahren, die Gewährleistung der Datenintegrität und die Einhaltung von Datenschutzanforderungen.

Sicherheitsverwaltung - Die Implementierung und Pflege von Sicherheitsmaßnahmen zum Schutz der AI-as-a-Service-Anwendung gegen Bedrohungen wie Hacker, Malware und Datenlecks.

Compliance und Audits - Die Erfüllung gesetzlicher und branchenspezifischer Compliance-Anforderungen wie der DSGVO sowie Standards rund um Informations- und Cybersicherheit. Der Dienstleister wirkt bei jährlichen Audits und Penetrationstests mit.

4. Leistung der Anwendung

Unter optimalen Bedingungen streben wir die folgenden Leistungen an, ausschließlich geplanter Wartung und höherer Gewalt, auf Best-Effort-Basis:

5. Verfügbarkeit Produktionsumgebung AI-as-a-Service

Der Dienstleister verpflichtet sich zu einer Verfügbarkeit von mindestens 95% für seinen AI-as-a-Service, abzüglich der geplanten Nichterreichbarkeit. Die Verfügbarkeit wird pro Kalendermonat nach folgender Formel berechnet:

6. Verfügbarkeit Abnahmeumgebung AI-as-a-Service

Auf Wunsch des Auftraggebers stellt der Dienstleister die Möglichkeit bereit, eine Abnahmeumgebung einzurichten. Der Dienstleister verpflichtet sich zu einer Verfügbarkeit der Abnahmeumgebung von mindestens 85% für seinen AI-as-a-Service, abzüglich der geplanten Nichterreichbarkeit. Die Verfügbarkeit der Abnahmeumgebung ist niedriger als die der Produktionsumgebung, da regelmäßig Testszenarien für unsere Partner ausgerollt werden.

7. Messung der Verfügbarkeit

Um die Verfügbarkeit proaktiv messen zu können, nutzt der Dienstleister Server-Monitoring, Überwachung des AI-as-a-Service auf Aktivität und Auslastung sowie die Anzahl erfolgreicher Anmeldekontrollen. Auf Anfrage kann ein Auszug nicht sensibler Informationen wie der Verfügbarkeit in Prozent erstellt werden.

8. Überwachung der Umgebung

Unsere AI-as-a-Service-Lösungen und zugehörigen Portale werden ebenso wie die Infrastruktur rund um die Uhr überwacht. Bei Störungen in der zugrunde liegenden Infrastruktur oder der Anwendung erhält der Dienstleister eine automatisierte Meldung und behebt die Störung umgehend.

Sicherheitsupdates werden gemäß folgender Fristen durchgeführt:

9. Verantwortlichkeiten Testen nach Wartung

Der Dienstleister ist für die Verfügbarkeit der Anwendung und die Technik verantwortlich. Nach Wartungsarbeiten führt der Dienstleister eine Prüfung der Funktionalitäten durch. Es liegt in der Verantwortung des Dienstleisters, nach einem Update einen Funktionstest durchzuführen, um sicherzustellen, dass die Funktionalität wie ursprünglich vorgesehen arbeitet.

10. Unterstützende Dienste

Der Dienstleister bietet Unterstützung für seinen AI-as-a-Service über den Support des Dienstleisters zur Beantwortung und Bearbeitung von Serviceanfragen (Calls). Serviceanfragen dürfen ausschließlich durch die Projektbegleitung des Auftraggebers eingereicht werden.

* Ausgenommen Feiertage

11. Umfang und Typen von Anfragen

Die Art der Anfrage, die primär unter das SLA fällt, ist ein Vorfall. Hierbei gibt es drei Kategorien: Vorfälle, Datenschutz- und Sicherheitsvorfälle und (Ver-)Störungen sowie Korrekturanfragen.

Sekundäre Anfragen fallen nicht unter die SLA-Bedingungen, werden jedoch vom Dienstleister bearbeitet. Hierunter fallen: Wiederherstellungsanfragen, Fragen, Beratung, Request for Changes (RFCs) und sonstige Anfragen.

12. Beschwerden und Kommunikationsmatrix

Bei Beschwerden über die Dienstleistung können diese an den zugewiesenen Customer Success Manager des Dienstleisters weitergeleitet werden. Der Support registriert die Beschwerde und weist sie einem Bearbeiter zu. Der Auftraggeber wird über den Fortschritt informiert.

13. Incident-Management

Ziel des Incident-Managements ist es, sicherzustellen, dass die Anwendung so schnell wie möglich wieder betriebsbereit ist. Die Vorfälle werden nach Priorität und Durchlaufzeit bearbeitet.

14. Reaktions- & Bearbeitungszeit

* Prio-3-Fehler werden in der Regel schneller behoben, aber wenn Entwicklungsarbeit erforderlich ist, wird diese im nächsten Sprint eingeplant und bereitgestellt.

15. Änderungsmanagement

Änderungen innerhalb der Umgebung sind in drei Kategorien unterteilt: (1) Änderungen zur funktionalen und/oder technischen Optimierung der Anwendung, initiiert durch den Dienstleister; (2) Anfragen, die als RFC auf Wunsch des Auftraggebers klassifiziert werden; (3) Standardänderungen, die keine Auswirkung auf die bestehende Funktionalität haben.

16. Software-Release

Der Dienstleister nutzt Continuous Integration, wodurch die Möglichkeit besteht, Änderungen mit höherer Dringlichkeit direkt in die Produktionsumgebung zu überführen. Bei der Bereitstellung eines Releases stellt der Dienstleister bis maximal eine Woche nach dem Release die Release-Dokumentation zur Verfügung.

17. Gesetzliche Anforderungen

Der Dienstleister ist an geltende Gesetze und Vorschriften gebunden. Wir passen unsere Software zeitnah an, damit auch der Auftraggeber diesen rechtzeitig entsprechen kann. Diese gesetzlichen Änderungen werden per Software-Release im AI-as-a-Service bereitgestellt.

18. Problemmanagement

Ziel des Problemmanagements ist die Verringerung der Wahrscheinlichkeit und Auswirkung von Vorfällen durch Identifizierung aktueller und potenzieller Ursachen von Vorfällen sowie durch die Verwaltung von Workarounds und Known Errors. Der Dienstleister analysiert periodisch die Anzahl eingehender Meldungen und erkennt Trends, die auf strukturelle Probleme hinweisen können.

19. Sicherheit und Hosting

Der Dienstleister unternimmt alles, um seine Dienste durch Sicherheitsmaßnahmen von der Infrastruktur bis zur Anwendung sicher zu halten. Im Falle eines Sicherheitsverstoßes behält sich der Dienstleister das Recht vor, den AI-as-a-Service sofort abzuschalten, um mögliche Schäden zu begrenzen.

Datenverarbeitung - Der Dienstleister verarbeitet als Auftragsverarbeiter niemals Daten für andere als die vereinbarten Zwecke, für die eine Rechtsgrundlage besteht. Daten werden vom Dienstleister niemals an Standorten außerhalb der Europäischen Union gespeichert. Die Dienste werden bei Microsofts Azure-Cloud-Diensten gehostet.

20. Redundanz und Backup

Für Backups nutzt Onesurance die Backup-Richtlinien von Microsoft Azure. Backups des primären Rechenzentrums werden nach folgendem Schema durchgeführt:

21. Technische Architektur

AI-as-a-Service-Umgebungen werden mit einer Kombination aus Azure DevOps, Azure Machine Learning, Azure App Service und Terraform bereitgestellt. Um Anpassungen am Modell und an der API sicher testen zu können, stehen zwei Endpunkte (URLs) für die API zur Verfügung, die über die „Deployment Slots"-Funktionalität von Azure App Service genutzt werden können.

22. Überwachung, Erkennung

Der Dienstleister verfügt über aktive Überwachung und Erkennung sowohl auf Server- als auch auf Softwareebene. Das bedeutet, dass unbefugte Anmeldeversuche durch Böswillige aktiv überwacht werden. Bei Unregelmäßigkeiten wird automatisch umgehend eine Warnung an den Support gesendet. Diese Warnungen werden stets als Prio-1-Vorfall behandelt.

23. Informationssicherheit

Informationssicherheit ist ein wichtiger Bestandteil beim Dienstleister. Da sensible Informationen gespeichert und verarbeitet werden, bestehen eine Reihe wichtiger Prozesse, um die Integrität der Daten gewährleisten zu können.

24. Struktur der Informationssicherheit

Der Dienstleister beschäftigt sich aktiv mit Informationssicherheit und deren Kontrolle. Die Rolle des Datenschutzbeauftragten ist eine ausführende und interne Funktion. Der Datenschutzbeauftragte sorgt für die ordnungsgemäße Umsetzung und Überwachung geltender Gesetze und Vorschriften und erstellt gemeinsam mit der Geschäftsleitung von Onesurance die Informationssicherheitsrichtlinien.

25. Datenvorfälle

Bei Verdacht auf ein Datenleck wird umgehend der Datenschutzbeauftragte eingeschaltet. Der Datenschutzbeauftragte untersucht den gemeldeten Vorfall gemeinsam mit den Leitern für Engineering und Machine Learning und meldet über den Support innerhalb von 24 Stunden nach dem Verdacht eines Datenlecks an den Auftraggeber zurück, ob ein Datenleck vorliegt.

26. Vorfallsbericht

Wenn ein Datenleck vorliegt, wird ein Vorfallsbericht erstellt und dem Melder des Vorfalls sowie allen am Vorfall beteiligten Stakeholdern mitgeteilt. Ein Vorfallsbericht besteht aus der Dokumentation des Problems, der Ursache, der Auswirkung und der Lösung.

27. DTAP-Umgebung

Sofern mit dem Auftraggeber vereinbart, wird der Dienstleister die DTAP-Methodik für die Softwareentwicklung anwenden. Auf diese Weise wird eine klare Trennung der verschiedenen Umgebungen sichergestellt. Es werden getrennte Umgebungen und Datenbanken verwendet, sodass kein Datenvorfall durch Vermischung von Daten über die verschiedenen Umgebungen hinweg entstehen kann.