Überblick

Mindbreeze gehört zur Fabasoft Gruppe und verwendet die Fabasoft Cloud Plattform. Datenschutz und Datensicherheit haben für Fabasoft als Software-Hersteller und Cloud-Betreiber höchste Priorität.

Fabasoft ist zertifiziert und geprüft nach allen relevanten Standards für Sicherheit und Zuverlässigkeit. Ihre Daten sind bei uns in sicheren Händen. Lesen Sie mehr, wie wir die Sicherheit Ihrer Daten garantieren.

Zertifizierte Sicherheit und Zuverlässigkeit

Fabasoft Certificates

Fabasoft ist seit 2008 nach der ISO-Norm 27001 für IT-Informationssicherheitsmanagement zertifiziert. Seit 2010 ist Fabasoft geprüft nach ISAE 3402 Type 2 und seit 2011 auch zertifiziert nach ISO 20000-1. Damit ist Fabasoft im Kreis der Top-Unternehmen in Europa, die diese umfassenden Zertifizierungen und Prüfungen für Sicherheit und Zuverlässigkeit vorweisen können. Mehr dazu finden Sie weiter unten auf dieser Seite.

ISO 27001
Zertifizierung nach ISO 27001

Fabasoft ist ISO 27001 zertifiziert. Die ISO-Norm 27001 ist ein weltweit anerkannter Standard für die Bewertung der Sicherheit von IT-Umgebungen. Der Gültigkeitsbereich der Zertifizierung von Fabasoft spezifiziert die Anforderungen an ein vollständiges Informationssicherheitsmanagement in Bezug auf alle IT- und Geschäftsprozesse sowie alle sensitiven Informationen des Unternehmens.

In der Funktion als Dienstleister hält Fabasoft auch sensible und geschäftsrelevante Daten von Kunden. Vertraulichkeit und Verfügbarkeit der Information sind daher wichtige Voraussetzungen für den erfolgreichen Geschäftsbetrieb und die Basis für eine vertrauensvolle Zusammenarbeit.

Die ISO-27001-Zertifizierung bedeutet für die Kunden die Einhaltung von klar definierten technischen und sicherheitsbezogenen Standards und damit definierter Service-Levels der Fabasoft-Rechenzentren.

Die regelmäßige interne Überprüfung der im Zuge der ISO 27001 festgelegten Prozesse und Maßnahmen ist die Basis für die Weiterentwicklung der internen IT-Sicherheitsstandards und die kontinuierliche Anpassung an sich verändernde Rahmenbedingungen und Aufgabenstellungen.

Die hohen Anforderungen der ISO-Zertifikate werden jährlich mittels Audit überprüft und nach bestandener Prüfung für ein weiteres Jahr verlängert. Der rund 130 Maßnahmen starke Anforderungskatalog enthält beispielsweise Anweisungen zur Datensicherung, den Umgang mit Information, Backup und Recovery bzw. eine Risikobetrachtung.

ISO 2000
Zertifizierung nach ISO 20000

Der Betrieb von Fabasoft Folio Cloud ist auch nach ISO 20000 zertifiziert. Diese Zertifizierung für IT-Service-Management ist eine umfassende Ergänzung zur ISO 27001 für Informationssicherheit und zur Qualitätsmanagement-Norm ISO 9001. Die ähnlichen Strukturen beider Regelwerke ergeben Synergien und ermöglichen ihre Abbildung in einem integrierten Managementsystem. Nur wenige Unternehmen in Österreich haben alle drei Zertifizierungen (ISO 9001, ISO 20000, ISO 27001) erfolgreich abgeschlossen.

Die ISO-Norm 20000 ist ein international anerkannter Standard zum IT-Service-Management, in dem die Anforderungen für ein professionelles IT-Service-Management dokumentiert sind. Die ISO 20000 dient als messbarer Qualitätsstandard für das IT-Service-Management (ITSM). Dazu werden in der ISO 20000 die notwendigen Mindestanforderungen an Prozesse spezifiziert und dargestellt, die eine Organisation etablieren muss, um IT-Services in definierter Qualität bereitstellen und managen zu können. Die ISO 20000 ist ausgerichtet an den Prozessbeschreibungen, wie sie durch die IT Infrastructure Library (ITIL) des Office of Government Commerce (OGC) beschrieben sind, und ergänzt diese komplementär.Die Sicherheit Ihrer persönlichen Daten und Ihrer in Folio Cloud gespeicherten Dokumente ist für Fabasoft von höchster Wichtigkeit.

ISO 9001
Zertifiziertes Qualitätsmanagement nach ISO 9001

Seit 2005 ist der gesamte Fabasoft Konzern für das Qualitätsmanagement gemäß ISO 9001:2008 zertifiziert. Einmal pro Jahr wird das integrierte Managementsystem in einem externen Audit durch die Quality Austria überprüft.

Auditziele sind die Überprüfung der Konformität zum Anforderungsmodell und Identifizierung von Potentialen für die Weiterentwicklung des Qualitätsmanagementsystems. Das letzte erfolgreiche Audit fand im Mai 2011 statt.

Das Qualitätsmanagementsystem bei Fabasoft ist ein lebendes System. Dies bedeutet, dass Arbeitsweisen, Prozesse und deren Dokumentation laufend den neuen Gegebenheiten angepasst und somit einer kontinuierlichen Verbesserung unterzogen.

Alle geschäftsrelevanten Prozesse der Fabasoft sind in Form von grafischen Prozessdiagrammen in der Prozesslandschaft im internen System abgebildet. Die Weiterentwicklung, Prüfung und Freigabe dieser Prozesse liegt in der Verantwortung des Prozesseigners und ist für jeden Prozess definiert.

Ein strategisches Ziel von Fabasoft besteht in einer starken Ausrichtung des Qualitätsmanagementsystems auf Kundenorientierung. Die Kundenzufriedenheit hat bei Fabasoft einen hohen Stellenwert. Unsere Kunden haben die Möglichkeit ihre Meinung und ihre Verbesserungsvorschläge bekannt zu geben. In regelmäßigen Treffen (User Group) können Kunden ihr Feedback direkt an die Fabasoft-Verantwortlichen weitergeben. Die Ergebnisse und Auswertungen zur Kundenbefragung werden analysiert und wieder in den Prozessen zur verbesserten Erfüllung der Kundenanforderungen eingearbeitet.

ISAE 3402 Type 2
ISAE 3402 Type 2

Der unabhängige Auditor PricewaterhouseCoopers hat für Fabasoft Folio Cloud einen uneingeschränkten ISAE 3402 Type 2 Bestätigungsvermerk ohne Ausnahmen ausgestellt.

Der International Standard on Assurance Engagements (ISAE 3402) ist der neue internationale Prüfungsstandard, der die Wirksamkeit des internen Kontrollsystems (IKS) von Dienstleistungsorganisationen beurteilt. Der Standard wurde vom American Institute of Certified Public Accountants (AICPA) als Nachfolger des SAS 70 Standard geschaffen. Bis ins Jahr 2011 wurde Fabasoft nach den SAS 70 Type II-Berichtstandards des AICPA geprüft.

ISAE 3402 zielt darauf ab, das interne Kontrollsystem einer Organisation umfassend zu testen und hinsichtlich seiner Effektivität im Detail zu bewerten. Die Prüfung erfolgt über einen Zeitraum von sechs Monaten. Der ISAE 3402-Prüfbericht beinhaltet die Meinung einer externen Prüfgesellschaft über das Kontrollwesen beim Serviceanbieter, eine Beschreibung der Kontrollpunkte, der Prüfmethode und Kontrollen, Angaben über die Prüfperiode und eine Aussage über die Wirksamkeit der Kontrollen.

Revisionssichere Archivierung - Archiv 2010

Die Vision vom papierlosen Büro ist so alt wie der erste IBM-Rechner, der auf einem Schreibtisch Platz hatte – und seitdem werden wir vertröstet. Nicht ganz unschuldig sind Regeln und Vorschriften zur Aufbewahrung von Geschäftsunterlagen. Rechnungen, Verträge, buchhaltungsrelevante Dokumente, für alles gibt es teils unterschiedliche Fristen, die von wenigen Jahren bis zu für immer und ewig liegen können.

Fabasoft Folio ist ein großer Schritt in die richtige Richtung, da durch die revisionssichere elektronische Archivierung sowohl finanzielle Aufwendungen als auch der Platzbedarf für eine Aufbewahrung in Papierform wegfallen.

Die Prüfer von PricewaterhouseCoopers gingen bei diesem Audit nach einer Checkliste vor. Einige der wichtigsten Punkte, bei denen selbstverständlich keine Beanstandungen gefunden wurden, waren:

  • Der Zugang zu den Daten. Bereits im Rahmen der Prüfung zu ISAE 3402 Type II wurden die Zutrittsbeschränkungen im virtuellen und physischen Raum abgeklopft und für ausreichend befunden. Kundendaten sind sicher vor unbefugten Augen.
  • Es ist nicht möglich, Daten nachträglich zu verändern.
  • Es ist nicht möglich, relevante Dokumente vor Ablauf der Aufhebefrist zu löschen – auch nicht für Administratoren bei Fabasoft.
  • Der Prozess vom Papier ins elektronische Archiv ist ausreichend abgesichert.
  • Amtliche gesetzlichen Vorgaben werden eingehalten.

Deutschland: Auftragsdatenverarbeitung

Fabasoft bietet seinen Business Kunden auf Wunsch auch einen Vertrag zum deutschen §11 Datenschutzgesetz („Auftragsdatenverarbeitung“).

Dieser regelt die datenschutzrechtlichen Verpflichtungen der Vertragsparteien in Bezug auf die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag.
Werden personenbezogene Daten im Auftrag durch einen Auftraggeber erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.
Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  • der Gegenstand und die Dauer des Auftrags,
  • der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  • die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  • die Berichtigung, Löschung und Sperrung von Daten,
  • die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Fabasoft erfüllt mit einem Vertrag zu diesem §11 des deutschen Datenschutzgesetz für seine Businesskunden die gesetzlichen Bestimmungen in Deutschland.

Datensicherheit: Sicherheit von Kundendaten

Die Mindbreeze-Kundendaten liegen bei Fabasoft auf eigenen Servern in eigens geschützten Netzen, auf die nur einige wenige, ausgewählte Personen der Betriebsführung Zugriff haben. Selbst die Mitarbeiter der Betriebsführung haben keine Berechtigung über Folio auf Kundendaten zuzugreifen. Diese Mechanismen werden regelmäßig von externen Stellen bei Audits überprüft. Zusammenfassend ist es so, dass Kundendaten nicht von Mitarbeitern eingesehen werden.