Practices Statement

08.04.2020 | 08:34 Uhr MEZ

  1. Einleitung
    1. Die Cloud Software cidaas ID validator (im Folgenden „cidaas ID validator“ oder „Software“) wird angeboten von der
      Widas ID GmbH
      Maybachstraße 2
      D-71299 Wimsheim
      vertreten durch die Geschäftsführer
      Sadrick Widmann und Yael Widmann
      Telefon: +49 (0)7044 / 95103-100
      (im Folgenden „Anbieter“ oder „Widas“).
      Widas bietet mit cidaas ID validtor eine Cloud-Software-Lösung für ein eIDAS konformes digital Onboarding (digitale Identifikation des Nutzers) an.
    2. Das Practice Statement beschreibt die Verfahren und Policies, denen Widas ID bzgl. cidaas ID validator folgt.
  2. Definitionen
    1. Dieser Abschnitt beschreibt die eIDAS Rechtgrundlagen, die dem cidaas ID validator zu Grunde liegen. Der cidaas ID validator wickelt die eIDAS konforme Identifizierung des Kunden ab.
    2. Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Mitteilungen, Qualifizierte elektronische Signatur, Teil A, Mitteilungen der Bundesnetzagentur, Mitteilung Nr. 208/2018, Verfügung gemäß § 11 Absatz 1 VDG, 11/2018
    3. Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
    4. Gesetz zur Durchführung der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (eIDAS-Durchführungsgesetz)
    5. Verordnung zu Vertrauensdiensten (Vertrauensdiensteverordnung – VDV)
  3. cidaas ID validator Practices
    1. Das cidaas ID validator Practice Statement wird vom Widas ID-Management genehmigt und seine Anwendbarkeit wird durch regelmäßige interne und externe Audits sichergestellt.
    2. Widas ID kann jederzeit Änderungen an diesem Practice Statement vornehmen, indem es dieses geänderte Practice Statement auf seiner Website veröffentlicht und durch ein Mailing informiert. Widas ID informiert über Änderungen, die es in dem Practice Statement vorzunehmen beabsichtigt. In dem aktualisierten Practice Statement ist anzugeben, wann die Änderungen in Kraft treten.
    3. Alle Nutzer werden bevor sie eine vertragliche Beziehung mit Widas ID eingehen, die Nutzungsbedingungen in verständlicher Art und Weise erhalten
    4. cidaas ID validator Practices beruhen auf den oben benannten gesetzlichen Anforderungen. Dieses Practice Statement adressiert insbesondere das „Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, Mitteilungen, Qualifizierte elektronische Signatur, Teil A, Mitteilungen der Bundesnetzagentur, Mitteilung Nr. 208/2018, Verfügung gemäß § 11 Absatz 1 VDG, 11/2018“.
    5. cidaas ID validator führt folgende Schritte durch, um die Identität einer natürlichen Person online zu verifizieren, mit ähnlicher Sicherheit wie beim Video Ident Verfahren.
      • Registrierung des Kunden
      • Einholung der Einwilligung
      • Liveness Detection des Kundens
      • Überprüfung, dass es sich um ein valides ID Dokument handelt
      • Überprüfung der Zugehörigkeit des ID Dokumentes zu der zu identifizierenden Person
      • Überprüfung der eingeloggten und zu validierenden Person
    6. Widas ID fungiert als Auftragsverarbeiter gem. Art. 28 DSGVO. Der Auftraggeber ist dann die verantwortliche Stelle im Sinne von Art. 4 Nr. 7 GDPR. Der Lieferant hat die Grundsätze einer ordnungsgemäßen Datenverarbeitung zu beachten. Der Lieferant hat die vertraglich vereinbarten und gesetzlich vorgeschriebenen Maßnahmen zur Informationssicherheit, insbesondere die Einhaltung der Grundsätze in Art. 4 Nr. 7 GDPR, zu gewährleisten. 5 I lit. f, 25 und 32 GDPR. Alle vertraulichen und geschützten Informationen, die Widas ID bei der Nutzung des cidaas ID validators offenbart werden, sind vertrauliche Informationen. Vertrauliche Informationen umfassen keine Informationen, die: (I) ohne Verschulden von Widas ID in den öffentlichen Bereich gelangen; (II) von einer dritten Partei ohne jegliche Verpflichtung zur Vertraulichkeit an Widas ID übermittelt werden; (III) von Widas ID unabhängig und ohne Bezugnahme auf vertrauliche Informationen der offenlegenden Partei entwickelt wurden; (IV) sich vor der im rechtmäßigen Besitz von Widas ID befanden und weder direkt noch indirekt von der offenlegenden Partei erhalten wurden, oder (V) gesetzlich offengelegt werden müssen, vorausgesetzt, dass Widas ID die offenlegende Partei unverzüglich schriftlich über eine solche Anforderung informiert und ihr eine angemessene Frist zum Einspruch eingeräumt hat.
    7. Widas ID erfüllt die allgemeinen Security Anforderungen, die in dem ETSI EN 319 401 auf den cidaas ID validator anwendbar sind. Adequate Security Mechanismen und Prinzipien bezogen auf bauliche, personelle und informationelle Assets, die die Provisionierung von cidaas ID validator durchführen sind in spezifischen Security Policies festgelegt. Regelmäßige Reviews stellen sicher, dass die Security Policies in Einklang mit regulatorischen, organisatorischen oder Produkt-Veränderungen sind.
    8. Widas ID kommuniziert seine Informationssicherheits-Policy und deren Änderungen an alle von ihr betroffenen Mitarbeiter und externen Parteien.
    9. Alle Informationen, die während der Verifikation einer Identität ausgetauscht werden, sind während der Übertragung und bei Speicherung verschlüsselt.
    10. Widas ID ist verpflichtet alle 24 Monate ein externes Audit durch die Konformitätsbewertungsstelle für den cidaas ID validator durchzuführen. Der Status wird durch die Bundesnetzagentur überwacht. Interne Kontroll- und Überwachungstätigkeiten werden regelmäßig durch automatisierte und menschliche Prüfungen und Tests durchgeführt.
    11. Der Nutzer verpflichtet gem. „Amtsblatt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen“ Abs. 8 „Meldung von mutmaßlichen Betrugsfällen“ diese im Admin-Dashboard einzustellen. Der cidaas ID validator ermöglicht damit eine Meldung an tsp-incidents@bnetza.de (siehe Nutzungsbedingungen).
    12. Externe Dienstleister, die Hosting Services für Widas bereitstellen, sind verantwortlich dafür in ihren Data Centern redundante Power Generation, redundante Internetverbindung und die kontinuierliche Überwachung kritischer Leistungsparameter für den reibungslosen Betrieb.
    13. Widas ID klassifiziert den Bestand seiner Assets und führt darauf basierend gem. ISO27001 die Risikoanalyse durch. Medien, die sensible Daten führen, werden sicher aufbewahrt und entsorgt, wenn sie nicht mehr benötigt werden. Dazu gehört auch ein gründlicher Löschvorgang oder eine sichere Entsorgung von physischen Medien mit sensiblen Daten.
    14. Das zuständige Personal bei Widas ID hat die notwendige Erfahrung und Qualifikation ihre Pflichten zu erfüllen. Das Personal wurde sorgfältig ausgewählt. Es finden regelmäßige Trainingsessions und Knowledge Transfers zu Security und Privacy statt.
      • Sicherheitsbeauftragter: Gesamtheitliche Verantwortung für Security Practices
      • System Administrator: Autorisierte Personen, die Konfigurationen, Installationen auf Produktionsumgebungen durchführen dürfen.
      • System Auditor: Autorisiert die System Audit Logs zu reviewen.
    15. Zugang zu Informationen und Daten werden kontrolliert, verifiziert und getrackt.
    16. Nur zuvor autorisiertes Personal hat Zugang zu den physischen Systemen. Strom- und Netzwerkversorgung ist redundant vorhanden, um hohe Verfügbarkeit zu gewährleisten. Alle Alarme im Data Center werden an unser Alerting System weitergeleitet. Die Personen mit Bereitschaftsdienst werden unmittelbar bei Fehlern benachrichtigt.
    17. Widas ID verwendet vertrauenswürdige Systeme und Produkte, die vor Veränderungen geschützt sind und die technische Sicherheit und Zuverlässigkeit der von ihnen unterstützten Prozesse gewährleisten. Um den Schutz des Widas ID-Netzwerks und der Informationssysteme vor bösartigem Code zu gewährleisten, werden geeignete Mechanismen eingesetzt und regelmäßig überprüft. Patch-Management-Praktiken werden durchgesetzt, um Schwachstellen je nach Schweregrad rechtzeitig zu beheben. Betriebssysteme und Anwendungssoftware unterliegen einer strengen Änderungskontrolle, einschließlich Tests, Risikobewertung, Fallback- und Genehmigungsverfahren.
    18. Widas ID verfügt über einen dokumentierten Vorfallsreaktionsplan und Überwachungs- und Managementprozesse für Schwachstellen, um Vorfälle rechtzeitig und koordiniert anzugehen und die Auswirkungen von Sicherheitsverletzungen zu begrenzen. Diese Verfahren sehen vor, dass die entsprechenden Parteien innerhalb von 24 Stunden in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen benachrichtigt werden, wenn eine Verletzung der Sicherheit oder ein Verlust der Integrität vorliegt, die erhebliche Auswirkungen auf den bereitgestellten Service und die darin gespeicherten personenbezogenen Daten hat. Der Datenschutzbeauftragte ist an der Beurteilung der Interessen der betroffenen Personen im Falle einer möglichen Sicherheitsverletzung beteiligt.
    19. Audit-Protokolle werden regelmäßig von Widas ID-Mitarbeitern überprüft, und ein Warnsystem erkennt potenzielle Angriffe.
    20. Der Continuity Disaster Recovery Plan von Widas ID definiert die implementierten Verfahren, um sicherzustellen, dass im Katastrophenfall (einschließlich des Ausfalls kritischer Komponenten von Widas IDSystemen) der Betrieb so schnell wie möglich wiederhergestellt werden kann.
    21. Im Falle eines Sicherheitsverstoßes oder eines Integritätsverlustes, der erhebliche Auswirkungen auf den Service hat, wird Widas ID die Abonnenten, die Vertrauenspersonen und die zuständigen öffentlichen Stellen unverzüglich, auf jeden Fall aber innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls, informieren.
    22. Widas ID Server sind in Zonen unterteilt, mit streng definierten Sicherheitskontrollen. Alle Systeme innerhalb einer bestimmten Zone unterliegen den gleichen Sicherheitskontrollen und die Kommunikation zwischen den Zonen ist eingeschränkt.
    23. Eine strikte Trennung zwischen Entwicklungs-, Test- und Produktionssystemen wird beibehalten, um das Risiko von unbefugtem Zugriff oder Änderungen am Produktionssystem zu reduzieren.
    24. Konfigurationen von Intrusion Detection Systems (IDS) werden definiert und regelmäßig überprüft. Die Protokolle werden täglich überprüft, und es werden Warnmeldungen ausgelöst und rechtzeitig behoben.
    25. Schwachstellenüberprüfungen im Netzwerk und Penetrationstests werden regelmäßig durchgeführt.
    26. Widas ID führt Aufzeichnungen über den Betrieb des cidaas ID validators, um den Nachweis über die ordnungsgemäße Funktion der Services zu erbringen. Diese Aufzeichnungen werden nur auf gerichtliche Anordnung hin den Strafverfolgungsbehörden und den Personen, die das Recht auf Zugang zu ihnen haben, auf berechtigte Anfrage zugänglich gemacht.
    27. Diese Aufzeichnungen werden in redundanten Einrichtungen vertraulich behandelt, um die Verfügbarkeit während des gesamten Zeitraums zu gewährleisten.
    28. Vollprotokollsicherungen werden wöchentlich erstellt und Protokolle für einen Zeitraum von mindestens 5 Jahren aufbewahrt. Die elektronisch archivierten Datensätze werden in redundanten Servern aufbewahrt, die physischen und logischen Zugriffskontrollen unterliegen.
    29. Gem. eIDAS Anforderungen verfügt die Widas ID über einen Ablaufplan im Falle einer Beendigung der Services.
  4. Sonstige geschäftliche und rechtliche Angelegenheiten
    1. Widas ID verfügt über ausreichende finanzielle Mittel und hat in Übereinstimmung mit dem geltenden Recht eine angemessene Haftpflichtversicherung abgeschlossen, um die aus dem Betrieb und/oder der Tätigkeit entstehenden Verbindlichkeiten abzudecken.
    2. Widas ID garantiert die Durchführung des Enrollment-Prozesses und die Übermittlung/ zur Verfügung Stellung der daraus resultierenden Daten an den Kunden. Widas ID haftet nicht für die Eignung oder die Echtheit der unter dieser Certificate Policy ausgestellten Zertifikate.
    3. Widas ID erhebt keine Ansprüche auf die Eignung von Zertifikaten, die im Rahmen dieses Certificate Practice Statement ausgestellt werden, für irgendeinen Zweck. Vertrauenspersonen verwenden diese Zertifikate auf eigenes Risiko. Widas ID ist nicht verpflichtet, Zahlungen für Kosten zu leisten, die im Zusammenhang mit der Fehlfunktion oder dem Missbrauch von unter diesem Certificate Practice Statement ausgestellten Zertifikaten entstehen.
    4. Die Anlaufstelle für Support- und Beschwerdeanfragen ist vertraglich geregelt
    5. Im Falle von Streitigkeiten werden die Parteien unter Berücksichtigung der geltenden Gesetze, Vorschriften und getroffenen Vereinbarungen eine Vereinbarung treffen.
    6. Es gilt deutsches Recht.
    7. Widas ID betreibt sein Geschäft nach dem deutschen diskriminierungsfreien Recht.