Vorteile ADDISON OneClick Cloud

ADDISON OneClick nutzt einen Cloud-Service, dessen Rechenzentrum sich in Deutschland befindet. Betreiber der Cloud ist Microsoft und der Service nennt sich Azure.

Der von Wolters Kluwers für ADDISON OneClick genutzte Cloud-Service und das Rechenzentrum werden regelmäßig internen und externen Penetrationstests nach aktuellen Industriestandards unterzogen.Die Prozesse sind nach DIN ISO/IEC 27001, -17 und -18 sowie dem Cloud Computing Compliance Criteria Catalogue (C5) zertifiziert.Um dies sicherzustellen, werden regelmäßig Penetrationstests und Security Reviews durchgeführt. Dabei kommen statische Code-Scans sowie Abhängigkeitsanalysen gegen bekannte Schwachstellen und Angriffspunkte wie z.B. die OWASP Top 10 zum Einsatz. Bekannt gewordene Schwachstellen werden umgehend behoben.

Die datenschutzrechtlichen Anforderungen an den Cloud-Dienst von Microsoft können unter folgendem Link nachgelesen werden: www.microsoft.com/de-de/trust-center/privacy/data-access Microsoft überwacht den Zugang zur Cloud. Zudem wurden technische und organisatorische Massnahmen (TOM) erarbeitet. Alle Mitarbeiterinnen und Mitarbeiter unterliegen dem Privacy Control Framework. Alle Beteiligten haben sich zur Verschwiegenheit verpflichtet. Zudem gibt es ein Incident Management für verschiedene Szenarien bei Störungen.

Die für den Zugang notwendigen Login-Informationen sind zentral abgelegt. Die kundenbezogenen Daten sind logisch voneinander getrennt. Mit der Freischaltung des Kundenportals wird jeweils ein logisch getrennter Datenspeicher angelegt.

Die Daten eines Kunden befinden sich in einer gemeinsamen IT-Infrastruktur. Ihre lokal installierte Datenbank ist direkt mit der Cloud verbunden. In allen Prozessen findet eine logische Mandantentrennung statt.

Neben den höchsten Standards hinsichtlich Gebäudesicherheit und Schutz der physischen Infrastruktur gegen Störungen setzt Microsoft auf mehrfache Redundanz bei Internetverbindungen und der Stromversorgung. Für unsere Produkte setzen wir ebenfalls verschiedene Technologien ein, um Hochverfügbarkeit durch redundante Systeme sicherzustellen. Außerdem werden die Daten im Live-Betrieb bereits mehrfach repliziert und zusätzliche Back-ups erstellt.

Die in der Cloud bereitgestellten Auswertungen für Mandanten und die noch nicht verarbeiteten gescannten Belege liegen ausschließlich in der Cloud. In dieser Stufe der Datenverarbeitung ist aber das führende System das Kanzleisystem des Steuerberaters. Mit der zunehmenden Bereitstellung von online-basierten Anwendungen für Mandanten und Kanzleien werden – neben den Daten im Kanzleisystem des Steuerberaters – auch zentral gespeicherte Informationen in der Cloud entstehen. Darüber werden wir bei Einführung der Anwendungen informieren und stehen auch im Rahmen der Auskunftspflichten zur Auftragsverarbeitung für detaillierte Nachfragen zur Verfügung.

Die Daten werden grundsätzlich dauerhaft gespeichert. Eine Löschung der Daten ist ebenfalls implementiert. Zur Sicherstellung von Support und Betrieb erfolgt eine automatische Löschung erst nach drei Monaten zeitversetzt nach der Bearbeitung. Je nach verwendeter Online-Anwendung können entgegenstehende Aufbewahrungspflichten die automatische Löschung von buchungsbegründenden Informationen verhindern. Im Falle eines Systemwechsels können die Daten vollständig gelöscht werden.

Die zuständigen Annahmestellen erhalten alle Meldungen online über die Cloud. Die Daten werden verschlüsselt, wenn der Empfänger dies zulässt. Der Zustand der technischen Datenwege wird von den empfangenden Institutionen normalerweise regelmäßig überprüft und aktualisiert.

Daten auf dem Transport sind immer verschlüsselt. Sowohl die Übertragung der Daten von als auch zur Cloud erfolgt nach aktuellem Standard verschlüsselt. Die Speicherung der Daten erfolgt aus verschiedenen Gründen unverschlüsselt hinter dem geschützten Zugang. Nicht erst mit der Einführung der Datensicherheits- und Servicepauschale sind Ihre Daten umfassend abgesichert.

Ein Zugriff auf die Daten in der Cloud wurde in einer gesonderten Vereinbarung geregelt, um den Betrieb der Systeme und den Service im Rahmen der beruflichen Verschwiegenheit sicherstellen zu können. Damit wird durch die Verschwiegenheitsvereinbarung das Berufsgeheimnis im Sinne der WPO, des StBerG und der BRAO gewahrt. Die Vereinbarung gilt durch einseitige Erklärung und kann unter policy.addison.de heruntergeladen werden. Das ist Bestandteil der Definition gemäß § 203 StGB der Leistungsscheine mit dem Rechenzentrums-Dienstleister.

Neuerungen werden schrittweise eingeführt. Sicherheit und Speicherplatzersparnis des ADDISON OneClick-Portals haben bei der Entwicklung und dem Betrieb höhere Priorität als die schnelle Auslieferung neuer Funktionen.

Bei der Entwicklung der Übertragungsstandards wurde der aktuelle Stand der Technik genutzt. So erfolgt sämtliche Kommunikation zur Cloud httpsverschlüsselt, mit zeitlich begrenzt gültigen Zertifikaten und aktuellen Protokollen. Das heißt, die Übermittlung der Daten von und zu Ihrem Portal ist nach aktuellem Stand der Technik abgesichert. Um dies sicherzustellen, werden regelmäßig Penetrationstests und Security-Reviews durchgeführt. Dabei werden statische Code-Scans und Dependency-Analysen gegen bekannte Schwachstellen und Angriffspunkte wie z.B. die OWASP Top 10 eingesetzt. Bekannte Schwachstellen werden umgehend behoben.