Datenschutz

Onesurance sensible Versicherungsdaten mit Sicherheitsmaßnahmen auf Unternehmensniveau. Alle Daten werden ausschließlich innerhalb der EU (Azure Westeuropa) verarbeitet und durch mehrere Sicherheitsebenen, Verschlüsselung und strenge Zugriffskontrollen geschützt.

Kernprinzipien: Zero Trust Architecture • Defense in Depth • Continuous Monitoring

Verschlüsselung & Datenschutz

Verschlüsselungsstandards

Daten im Ruhezustand:

• AES-256-Verschlüsselung für alle gespeicherten Daten

• Azure Key Vault mit Hardware-Sicherheitsmodulen (HSM)

• Transparente Datenverschlüsselung (TDE) für Datenbanken

• Vollständig verschlüsselte Backups mit separaten Schlüsseln

• Automatische Schlüsselrotation (jährlich)

Daten während der Übertragung:

• TLS 1.3 für die gesamte Kommunikation

• Nur starke Verschlüsselungssuiten

• Alle API-Aufrufe über HTTPS (HTTP nicht zulässig)

• Verschlüsselter Datenverkehr zwischen allen Azure-Ressourcen

Zusätzlicher Schutz:

• Feldverschlüsselung für personenbezogene Daten und Finanzdaten

• Passwörter: bcrypt-Hashing (niemals Klartext)

• Gesundheitsdaten: Zusätzliche Sicherheit gemäß DSGVO

Architektur & Infrastruktur

Verarbeitungsschichten

KI/ML-Komponenten:

• Risiko-Engine, Defend Agent, Churn-Modell, CLV, NBP

• Jeder Kunde: Isolierte Verarbeitungsumgebung

• Datenhoheit: 100 % innerhalb der EU

Azure-Rechenzentrumssicherheit

Standort: Westeuropa (Amsterdam, Niederlande)

Infrastruktur:

• Biometrische Zugangskontrollen

• 24/7 physische Überwachung

• 99,99 % Verfügbarkeit SLA

• ISO 27001, ISO 27017, ISO 27018 zertifiziert

• DSGVO- und DORA-konform

Netzwerk:

• Virtuelle Netzwerke (VNets) mit Segmentierung

• Azure Firewall + Netzwerksicherheitsgruppen

• DDoS-Schutz Standard

• Private Endpunkte (keine öffentliche Sichtbarkeit für Datenbanken)

• Web Application Firewall (WAF) für APIs

Zugangskontrolle

Rollenbasierte Zugriffskontrolle (RBAC)

Prinzip: Least Privilege – minimal notwendiger Zugriff

Kontrollen:

• Vierteljährliche Zugriffsüberprüfungen

• Just-In-Time (JIT) Höhenzugang

• Automatisiertes Onboarding/Offboarding

• Individuelle Benutzerkonten (keine gemeinsamen Anmeldedaten)

Multi-Faktor-Authentifizierung (MFA)

Erforderlich für:
✓ Alle Mitarbeiter und Administratoren (100 % Durchsetzung)
✓ Produktionszugriff
✓ Admin-Konten (zusätzliche PIM-Kontrollen)

Methoden: Authentifizierungs-Apps (TOTP), Hardware-Token, Biometrie

Identitätsmanagement

Plattform: Azure Active Directory (Entra ID)

Funktionen:

• Single Sign-On (SSO) zentrales Identitätsmanagement

• Bedingter Zugriff (Standort, Gerät, risikobasiert)

• Privileged Identity Management (PIM) für Administratoren

• API-Schlüssel mit kurzer Gültigkeitsdauer und Rotation

Überwachung und Erkennung

24/7 Sicherheitsdienst

Überwachung:

• Plattform: Azure Monitor + Azure Sentinel (SIEM)

• Abdeckung: Alle Ressourcen, Anwendungen, Netzwerk, Benutzeraktivitäten

• Response tijd: <15 minuten voor kritieke alerts

• Aufbewahrungsdauer der Protokolle: 1–7 Jahre

Erkannte Ereignisse:

• Authentifizierungsfehler

• Unauthorisierte Zugriffsversuche

• Versuche der Datenexfiltration

• Malware-/Virenerkennung

• Versuche der Privilegienerweiterung

• Anomales Verhalten (UEBA)

Schwachstellen- und Patch-Management

Scannen und Testen

Patch-Management-SLAs

Reaktionszeiten:

• Kritiek: <48 uur

• Hoog: <72 uur

• Gemiddeld: <30 dagen

• Laag: <90 dagen

Prozess: Testen in der Staging-Umgebung → Kontrollierte Einführung → Rollback-Verfahren verfügbar

Sichere Entwicklung

Sicherheitsentwicklungszyklus

Entwicklung:

• Threat Modeling für neue Funktionen

• Sichere Codierungsstandards (OWASP)

• Obligatorische Peer-Code-Reviews

• Statische (SAST) und dynamische (DAST) Analyse

• Keine Anmeldedaten im Code (Azure Key Vault)

API-Sicherheit:

• OAuth 2.0 / JWT-Authentifizierung

• Rate Limiting (DDoS-Schutz)

• Strenge Eingabevalidierung

• API-Versionierung und Veraltungsrichtlinie

Datenklassifizierung

Klassifizierung Stufen

Datenlebenszyklus

Minimierung: Nur das Notwendige sammeln
Aufbewahrung: Automatische Löschung nach Ablauf der Aufbewahrungsfrist
Pseudonymisierung: Trennung von Identifikatoren, wo möglich
Vernichtung: Kryptografische Löschung innerhalb von 30 Tagen nach Ablauf der Aufbewahrungsfrist

Vorfallreaktion

Reaktion auf Datenverstöße

Zeitleiste:

• Erkennung: Automatisierte Echtzeit-Warnmeldungen

• Bewertung: Innerhalb von 4 Stunden

• Eindämmung: Sofortige Isolierung

• Benachrichtigung: AP innerhalb von 72 Stunden (falls erforderlich), Personen mit hohem Risiko

Klassifizierung:

• P1 (kritisch): Datenverletzung, Ransomware, Systemkompromittierung

• P2 (Hoch): Unbefugter Zugriff, Ausnutzung von Schwachstellen

• P3 (Mittel): Verstöße gegen Richtlinien, verdächtige Aktivitäten

• P4 (Niedrig): Informativ, keine direkten Auswirkungen

→ Vollständige Details: Notfallplan

Compliance & Verpflichtungen

Was Sie erwarten können

✓ Zero Trust Architecture
✓ Meerdere beveiligingslagen (Defense in Depth)
✓ 24/7 security monitoring
✓ <15 minuten response tijd
✓ Regelmatige security updates
✓ Transparante communicatie
✓ AVG, DORA, ISO 27001 compliant

Ihre Verantwortlichkeiten

• Starke Passwörter und MFA aktivieren

• Zugang bei Ausscheiden aus dem Dienst entziehen

• Sensitive Daten korrekt klassifizieren

• Verdächtige Aktivitäten melden

• Sicherheitsbewusstseinstraining für Benutzer

Kontakt

Sicherheitsfragen und Vorfälle:

📧 E-Mail: onesurance
📱 24/7-Hotline: +31 (6) 13270144