1. Wie wird verhindert, dass Kunden auf die Daten anderer Kunden zugreifen?

Datenschutz und Vertraulichkeit von Kundendaten werden durch eine logische Datenbanktrennung in einer mehrinstanzenfähigen Architektur gewährleistet. Diese strengen Datenschutzkontrollen sind im Anwendungscode verankert. Dadurch werden der Schutz der Daten sichergestellt und der Zugriff eines Kunden auf die Daten eines anderen Kunden verhindert. Durch die Vergabe eindeutiger Kontokennungen wird jede Nutzerin bzw. jeder Nutzer einem bestimmten Konto zugewiesen. Die ordnungsgemäße Funktion dieser Datenschutzkontrollen wird mithilfe zahlreicher Unit- und Integrationstests sichergestellt. Diese Tests werden bei jeder Aktualisierung der Codebasis durchgeführt. Selbst ein einziger Fehler während des Tests verhindert, dass neuer Code eingeführt wird.

 

2. Wie oft werden Backups durchgeführt?

 Unsere Backup- und Wiederherstellungsinfrastruktur wird unter Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) gehostet. Diese Kombination ermöglicht eine anpassbare Datenbankkapazität mit einer skalierbaren und effizienten Datenspeicherinfrastruktur. Die Produktionsdatenbank wird täglich über Amazon RDS gesichert. Backups werden 35 Tage lang gespeichert. Diese verschlüsselten Datenbankbackups befinden sich in einem hochverfügbaren Datenspeicher. Amazon RDS ermöglicht zudem die Point-in-Time-Wiederherstellung der Datenbank für jeden beliebigen Zeitpunkt innerhalb der letzten zwei Wochen. Alte Backups werden gemäß unseres Datenaufbewahrungszeitplans gelöscht.

 

3. Was sind das RPO (Recovery Point Objective) und das RTO (Recovery Time Objective) von KnowBe4?    

Unser RPO reicht von wenigen Minuten bis zu mehreren Stunden (max. 72). Unser RTO ist 72 Stunden. 

 

4. Wie sieht das Verfahren zur Änderungskontrolle und -verwaltung von KnowBe4 aus? 

Es gibt einen formellen Änderungsverwaltungsprozess, über den Mitarbeitende Änderungen in Bezug auf Dienste oder Systeme innerhalb unserer Umgebungen anfordern, verwalten, genehmigen und kontrollieren können. Beim Änderungskontrollprozess werden bei jeder Änderung der Software, einschließlich Entwicklungs- und Notfalländerungen, wichtige Entwicklungskontrollen durchgeführt. Beim Änderungsverwaltungsprozess werden zunächst notwendige Änderungen ermittelt, vermerkt und klassifiziert. Im Anschluss wird die Implementierung, geprüft, genehmigt und getestet sowie bereitgestellt. Wenn die Implementierung abgeschlossen, gemessen und gemeldet wurde, ist der Änderungsprozess abgeschlossen.

    

5. Werden in der Testumgebung Produktionsdaten verwendet? 

Produktionsdaten werden nicht in Testumgebungen kopiert. Unsere gesamte Produktionsdatenbank wird täglich anonymisiert. Dieser Prozess wird von unseren Datenschutz- und InfoSec-Teams überwacht. Die anonymisierte Datenbank enthält anonymisierte Angaben über Kundenkonten, z. B. Adresse, Domain, Unternehmensname, personenbezogene Daten und andere vertrauliche Informationen. Diese anonymisierte Datenbank wird bei Bedarf für Testzwecke verwendet. Sie wird täglich aktualisiert. Das bedeutet, dass beim Löschen oder Bereinigen von Kontodaten auch die Kontodaten aus der anonymisierten Datenbank bereinigt werden.

    

6. Wie wird der Zugriff der Mitarbeitenden von KnowBe4 verwaltet und überwacht? 

KnowBe4 verfolgt das Prinzip der geringsten Privilegien (Principle of least Privilege) und unsere Mitarbeitenden erhalten rollenbasierte Zugriffsberechtigungen. Jeder Zugriff von Mitarbeitenden wird protokolliert und überwacht.

    

7. Welche Daten werden von Knowbe4 erfasst oder verarbeitet?

 

8. Wo finde ich Informationen über die Unterauftragsverarbeiter von KnowBe4? 

Eine Liste unserer Unterauftragsverarbeiter finden Sie hier.

 

9. Wie stellt KnowBe4 die Produktverfügbarkeit sicher? 

Unsere Systeme werden in der Cloud ausgeführt. Eigene Router, Lastverteiler, DNS-Server oder virtuelle Systeme werden nicht ausgeführt. Mit Ausnahme einiger weniger Unterauftragsverarbeiter, Services und Daten werden die Daten primär in Amazon AWS-Rechenzentren gehostet. Für Kunden mit Sitz in den USA und Kunden, die ihre Daten nur in den USA hosten möchten, werden Systeme in AWS-Rechenzentren in der US-Region North Virginia genutzt. Für Kunden mit Sitz in der EU/im EWR (einschließlich Vereinigtes Königreich und Schweiz) werden Systeme in AWS-Rechenzentren in Dublin sowie Failover-Rechenzentren in Frankfurt genutzt. Einige wenige Unterauftragsverarbeiter verarbeiten jedoch einen begrenzten Teil der Daten in den USA. Eine vollständige Liste der Datenverarbeitungsstandorte finden Sie in unserem Verzeichnis der Unterauftragsverarbeiter.

Bei der Entwicklung unserer Systeme berücksichtigen wir betriebliche Kontinuität und Notfallwiederherstellung. Unsere IT-Infrastruktur, einschließlich der Systeme und Datenbanken, ist auf mehrere Amazon AWS-Rechenzentren (Verfügbarkeitszonen) sowohl für die EU als auch für die USA verteilt, um Kontinuität zu gewährleisten. Die Systeme befinden sich in unserer eigenen Virtual Private Cloud (VPC) mit Zugriffskontrolllisten (ACLs) für das Netzwerk. Dadurch wird verhindert, dass bei nicht autorisierten Anfragen Zugang zum internen Netzwerk gewährt wird.

Wir nutzen AWS Fargate als Platform-as-a-Service. AWS Fargate ist eine serverlose Computer-Engine für Amazon Elastic Container Service (Amazon ECS), mithilfe der KnowBe4 Container ausführen kann, ohne Cluster von virtuellen Maschinen (VMs) bereitstellen, konfigurieren und skalieren zu müssen. AWS Fargate verwaltet die zugrundeliegenden Infrastrukturen und Cluster. Die Anwendung wird je nach Bedarf auch automatisch skaliert. Mit AWS Fargate entfällt die Notwendigkeit, EC2-Instanzen zu skalieren, zu überwachen, zu patchen und zu sichern.

Die Datenkommunikation zwischen unseren Backend-Systemen und den Backend-Systemen unserer Kunden ist verschlüsselt. Die Daten sind während der Übertragung geschützt. Die Daten werden in einem verschlüsselten Amazon Relational Database Service (Amazon RDS) gespeichert. Dies gewährleistet die Verfügbarkeit und Beständigkeit der Daten (Data Durability). Der Speicher befindet sich in verschlüsselten Amazon Simple Storage Service (S3)-Buckets, die KnowBe4 fest zugeordnet sind. Ruhende Daten werden verschlüsselt und sind dadurch geschützt.

 

10. Wie gewährleistet KnowBe4 die Vertraulichkeit der Daten? 

Unser internes Netzwerk wird vom öffentlichen Internetverkehr durch Firewalls von Amazon AWS mit Stateful Packet Inspection abgeschottet. Eine Sicherheitsgruppe kontrolliert als Firewall den Datenverkehr, der in einer Gruppe von Instanzen zulässig ist. Jede Sicherheitsgruppe verfügt über benutzerdefinierte Regeln für den zulässigen eingehenden Datenverkehr zu den Instanzen in der Gruppe. Jeglicher weiterer eingehender Datenverkehr wird verweigert.

Remote-Sitzungen zu unseren Anwendungen und unserem internen Netzwerk werden durch verschlüsselte Kommunikation geschützt. Durch die Verschlüsselung werden Schutz und Integrität der über das öffentliche Netzwerk übertragenen Daten gewährleistet.

Alle Daten werden über sichere Kanäle übertragen. Dies umfasst den Zugriff auf die Website der Trainingskonsole des Dienstanbieters, die Übertragung von Daten an Dritte zur Verarbeitung und die Protokollierung. Die Datenübertragung zwischen dem Webserver und der Datenbank erfolgt in einer Virtual Private Cloud innerhalb von AWS.

Die Datenübertragung zwischen unseren Anwendungen und den Anwendungen unserer Kunden erfolgt über eine HTTPS TLS 1.2-Verbindung (standardmäßig mit der höchsten verfügbaren TLS-Stufe) mit modernen Verschlüsselungen. Die Datenbankinstanz wird mit dem AES256-Verschlüsselungsstandard verschlüsselt.

 

11. Welche Richtlinie zur Datenaufbewahrung wird durchgesetzt? 

Unsere Richtlinie zur Datenaufbewahrung finden Sie hier.

 

12. Unterzeichnet KnowBe4 ein Business Associate Addendum gemäß den HIPAA-Bestimmungen? 

Ein Business Associate Addendum müssen Organisationen unterzeichnen, die personenbezogene Daten im Namen einer abgedeckten Entität verarbeiten. Unser BAA ist unter https://www.knowbe4.com/business-associate-agreement verfügbar und Teil unserer Nutzungsbedingungen oder einer anderen gesondert unterzeichneten Vereinbarung, z. B. einer zwischen dem Kunden und KnowBe4 geschlossenen Rahmenvereinbarung über Dienstleistungen (Master Services Agreement, „MSA“), in der die Nutzung von KnowBe4-Services durch den Kunden („Vereinbarung“) geregelt wird.

 

12. Verfügt KnowBe4 über eine HIPAA-Zertifizierung? 

Nein. Derzeit umfasst HIPAA keine Cloud-Dienstanbieter. Unabhängig davon ist das Informationssicherheitsprogramm von KnowBe4 auf die Anforderungen von FedRAMP, NIST 800-53 und ISO 27001 abgestimmt.

 

13. Wie können Kunden den Speicherort ihrer Daten/den Standort ihrer Konsole verifizieren?

Nach der Anmeldung bei der Konsole können die URL und der genaue AWS-Standort angezeigt werden. In der folgenden Tabelle finden Sie Informationen zur Konsolen-URL und den dazugehörigen AWS-Standorten: