Im Interview erklärt unser Entwickler Andreas, wie Connfair die Daten von Veranstaltern und Teilnehmern schützt und welche Strategien das Start-Up Hackern entgegenzusetzen hat.
Andreas:
Da gibt es zwei Aspekte. Der eine ist ein rein technischer Aspekt. Das heißt, wir sichern unsere Daten in Rechenzentren, die moderne Standards zum authentifizierten Zugriff nutzen. Für alle Daten, die in Europa sind, gelten auch die hohen europäischen Standards. Unsere Daten werden auf Servern in Belgien verarbeitet.
Andreas:
Wir haben ein starkes Autorisierungskonzept für unsere Benutzer. Damit bekommen Kunden nur Zugriff auf ihre eigenen Daten. Keiner unserer Kunden kann direkt auf die Datenbank zugreifen – genauso wenig, wie unser Provider Zugriff hat. Nur wir haben den Zugriff und vergeben den dann sozusagen leihweise an unsere Kunden.
Andreas:
Wenn du eine Liste von Tickets herunterladen willst, kannst du nicht direkt auf die Daten zugreifen, sondern nur auf eine Funktion. Mittels dieser Funktion holst du die Daten aus der Datenbank. Allerdings darfst du die Funktion nur durchführen, wenn du über unser Tool für einen Account authentifiziert bist, der Zugriff auf die Tickets haben darf.
Andreas:
Genau, sofern du die jeweiligen Zugriffsrechte für ein Event hast. Diese vergibt der Veranstalter in unserem Tool.
Andreas:
Der Veranstalter des Events, zu dem die Teilnehmer sich angemeldet haben, und bei Connfair zwei Systemadministratoren.
Andreas:
Falls für einen Kunden Daten gelöscht oder verändert werden müssen, oder wir eine Migration von alten Daten auf ein neues System machen müssen, brauchen wir den Zugriff. Dass wir für keinen anderen Zweck auf die Daten zugreifen, sichern wir vertraglich über unsere AGBs zu.
Andreas:
Da gibt es einen Prozess gemäß DSGVO. Die Daten werden danach anonymisiert. Auf diese Weise kann niemand mehr Rückschluss auf die Identitäten von Personen führen, gleichzeitig haben die Veranstalter weiterhin Zugriff auf Statistiken und Meta-Daten – und können damit ihr Marketing für künftige Veranstaltungen verbessern.
Andreas:
Durch die modernsten Zugriff-Standards. OAuth ist da das Stichwort. Das ist mittlerweile ein De-Facto-Standard zum Schlüsselaustausch und zum Zugriff auf sensible Daten im Web. Der Zugriff auf unsere Datenbanken und unsere Server ist komplett verschlüsselt. Das heißt, man kann bei uns nichts übers Netzwerk übertragen, das nicht verschlüsselt wurde.
Andreas:
Unsere Daten sind über mehrere Datenbanken verteilt gesichert, das passiert über eine redundante Sicherung. Falls ein Server ausfällt, können die Daten auf diese Weise wiederhergestellt werden. Außerdem machen wir regelmäßig komplette Backups unserer Daten. Falls wirklich mal etwas vorfallen sollte, können wir unser System wiederherstellen. Da wir jede wesentliche Änderung in der Datenbank automatisiert tracken, können wir zudem nachvollziehen, was passiert ist.
Andreas:
Wenn jemand feststellen sollte, dass sein System manipuliert wurde, dann kann er zum einen nachvollziehen, von welchem Account das gemacht wurde. Und zum anderen könnten wir für ihn die Daten wieder zurücksetzen. Auf diese Weise kann er wieder auf einer stabilen Version arbeiten.
Andreas:
Für den Datenschutz nutzen wir modernste Technik. Unser Ziel ist es, immer auf dem neuesten Stand zu sein, was diese Sachen betrifft, also Zugriff und Datenhaltung sicher zu machen. Deshalb gibt es bei unseren zweiwöchentlichen Updates meist auch Updates, die die Sicherheit betreffen.
Mehr Infos zum Datenschutz bei Connfair gibt es hier.