Was passiert, wenn der Dienst unterbrochen wird?
Bei einer Störung wird die Funktionsfähigkeit des Systems über mehrstufige Automatismen wiederhergestellt. Sollten diese Mechanismen nicht funktionieren, wird eine Alarmmeldung an die nächste Stufe weitergeleitet, die dann weitere Maßnahmen koordiniert.
Da die Usercentrics CMP über verschiedene Dienste läuft, sind - je nach Art des Systemausfalls - unterschiedliche Konsequenzen zu erwarten. Zur besseren Veranschaulichung haben wir hier mögliche Szenarien entworfen:
Wie erfolgt die Kunden-Authentifizierung beim Einloggen in die Cloud-Lösung?
Die Authentifizierung erfolgt immer über Benutzername und Passwort. Auf Kundenwunsch kann eine zusätzliche Zwei-Faktor-Authentifizierung entwickelt werden. Für die Login-Authentifizierung gibt es zwei Varianten: eine föderierte Anmeldung über Google oder durch den Authentifizierungsdienst Auth0.
Wer hat Zugriff auf die Lösung/Daten? Durch welche Maßnahmen wird der Zugang geschützt?
Der Zugriff auf Kundendaten wird vom Kunden/der Kundin selbst verwaltet. Außerdem erhält eine begrenzte Gruppe von Nutzern eine administrative Berechtigung von Usercentrics, um z. B. bei Supportanfragen helfen zu können.
Wann werden die Daten gelöscht?
Die Daten werden nach einer Aufbewahrungsfrist von einem Jahr (aktueller Stand) gelöscht. Unabhängig von dieser Frist kann ein Kunde jederzeit die Löschung der gespeicherten Daten verlangen. Verschlüsselte Backup-Dateien in Backups bleiben allerdings von dem oben genannten Zeitraum unberührt, um die Datenintegrität nicht zu gefährden.
Wie ruft der Kunde die Daten ab?
Auf Wunsch des Kunden kann ein Datenexport vereinbart werden. Dazu werden die Daten zu Google Buckets (Google Cloud Storage) exportiert. Nach der Überprüfung, ob die Person für den Datenzugriff berechtigt ist, wird ein Link speziell zum Herunterladen dieser Daten erstellt.
Wo erfolgt die Verarbeitung der Daten?
Die Verarbeitung und Speicherung von Kundendaten und Daten zur Nutzerzustimmung erfolgen in der Google Cloud. Die Verarbeitungseinheiten befinden sich in Frankfurt und die Speichereinheiten in Belgien. Dazu gehören die Sicherungen der Daten (ebenfalls in der Google Cloud und in der EU).
Wer ist Eigentümer der Daten?
Eigentümer der Daten ist immer der Kunde als Auftraggeber (Datenverantwortlicher). Für die Verarbeitung nach Kundenspezifikation wird immer ein Auftragsverarbeitungsvertrag mit Usercentrics (Datenverarbeiter) erstellt.
Wie werden die Daten verschiedener Kunden gesammelt und dann voneinander getrennt?
Die kundenspezifische Settings-ID wird genutzt, um Daten verschiedener Kunden in den Datenbanken logisch zu trennen. Daten verschiedener Kategorien werden in separaten Datenbanken mit individuellen Zugriffsschlüsseln gespeichert.
Wie werden die Daten übertragen und welche Verschlüsselungsverfahren werden angewendet?
Die Datenübertragung erfolgt per HTTPS-Verschlüsselung (TLS 1.3). Ruhende Daten werden die mit AES 256 verschlüsselt, wobei für jedes Datenpaket unterschiedliche Codes verwendet werden.
Gibt es eine kurze, präzise System- und Komponentendarstellung zum besseren Verständnis der Softwarelösung?
Welche Daten werden auf Grundlage der Consent Management Plattform verarbeitet oder gespeichert?
Wir verarbeiten zwei Arten von Daten:
Kundendaten = Einstellungen und Zugangsdaten
Benutzerdaten = Daten zur Zustimmung (ID, Nummer, Zeitpunkt und Art der Zustimmung (implizit oder explizit), Opt-in oder Opt-out, Banner-Sprache, Kundeneinstellung, Version der Kundeneinstellungen, Vorlage und Vorlagenversion) und Gerätedaten (HTTP-Agent, HTTP-Referrer und Geräte-ID)