aus ASP-XTend, der freien Wissensdatenbank

Inhaltsverzeichnis

1 Einleitung 1.1 Massnahmen in der Software 1.2 Massnahmen im System 1.3 Massnahmen im Rechenzentrum

Einleitung

Der Datenschutz (Sicherheit Ihrer Daten vor unbefugtem Zugriff) wird durch mehrere Einrichtungen gewährleistet. Weiterhin hängt es davon ab, ob Sie unser Rechenzentrum zum Betrieb Ihrer Anwendung nutzen, oder ob Sie selbst einen Server mit der Anwendung und Ihren Daten betreiben. In letzterem Fall können wir Sie bei der Einrichtung von datenschützenden Massnahmen beraten.

Massnahmen in der Software

Durch die Konfiguriermöglichkeit von ASP-Xtend wird gleichzeitig auch die Verteilung der Rechte und die Datensicherheit dem Systemverantwortlichen verfügbar. Jedes Unternehmen, welches eine komplexe Softwarelösung einsetzt, sollte einen Systemverantwortlichen und/oder einen Datenschutzbeauftragten benennen. Diese Person kann durch Konfigurationen in der Software definieren, welcher Mitarbeiter auf welche Daten Zugriff hat.

In ASP-XTend wird die Berechtigung der Benutzer über drei Ebenen gesteuert:

• das Menu (was sich nicht auf dem Menu des Benutzers befindet, kann er nicht aufrufen)
• die Optionen (die Optionen, die der Übersichtsmaske des Benutzers nicht zugeordnet sind, kann er nicht aufrufen. Optionen in Übersichtsmasken rufen Optionsobjekte auf.
• die Kettenobjekte (Kettobjekte, die nicht in den Prozess des Benutzers eingebunden sind, werden ihm nicht angezeigt). An jedes Optionsobjekt werden eben nur die Kettenobjekte angekettet, die der Benutzer für seine Arbeit benötigt.

Das System kann so auf jeden einzelnen Benutzer zugeschnitten werden, dass ihm keinerlei überflüssige Funktionen oder sogar solche, die er nicht sehen darf, zugänglich sind.

Damit wird eine Datensicherheit und Schlankheit des Systems möglich, die kaum zu übertreffen ist. Gewisse sehr sensitive Daten, z.B. der Wechsel der Auszahlungs-Kontennummer im Lieferantenstamm, werden im Hintergrund protokolliert, sodass der Systemverantwortlichen eventuelle Betrugsmanöver entdecken kann.

Die Berechtigungssteuerung ruht auf Systemebene auf dem Benutzerprofil der AS/400. Es gibt also zwei Benutzerprofile:

• dasjenige der AS/400, das die Berechtigung des Benutzers aus der Sicht des Betriebssystems regelt.
• dasjenige von ASP-XTend, das die Berechtigung des Benutzers aus der Sicht der Applikation regelt.

Massnahmen im System

ASP-XTend läuft auf einem der sichersten Server im Markt, was Datenschutz und Stabilität des Betriebs betrifft. Durch eine vorgegebene Konfiguration sind etliche Massnahmen gegriffen, um unbefugten Zugriff zu verhindern. Allerdings sind Sie als Anwender ebenso in der Pflicht, unbefugten Zugriff zu vermeiden. Dies betrifft zum Beispiel die Benutzerprofile, deren Kennwörter von jedem Anwender sorgfältig geheim gehalten werden müssen. Weiterhin muss das gesamte Netzwerk sicher sein, um möglichst alle Lücken schliessen zu können. Auf Wunsch können wir Ihr System ebenso sicher konfigurieren wie dies in unserem Rechenzentrum geschieht.

Massnahmen im Rechenzentrum

Bei Systemen für mehrere Kunden, wie sie z.B. in unserem Rechenzentrum betrieben werden, umfasst die Berechtigungssteuerung noch weitere Funktionen:

• Jeder ASP-XTend-Kunde hat eine eigene Bibliothek mit den Daten für seine Mandanten
• Zugriffsrechte auf diese Bibliothek wird über eine Berechtigungsliste pro Kunde gesteuert. Mitglieder dieser Liste sind die Benutzerprofile seiner Anwender
• Es ist sichergestellt, dass nur Anwender, die Mitarbeiter von ASP-XTend-Kunden auf Ihre Unternehmensdaten zugreifen können. Kunden, die ASP-XTend zusammen mit anderen Anwendern auf dem gleichen System nutzen, können sichergehen, dass Unberechtigte Ihre Daten nicht sehen können. Realisiert wird dies durch ein ausgeklügeltes Rechtesystem, welches von der Sicherheit von OS/400 unterstützt wird.
• Manipulationen der Daten über lokales oder entferntes SQL wird blockiert, oder (in erlaubten Ausnahmefällen) protokolliert
• zusätzlich wird jede Dateioperation (auch von ASP-XTend selbst) in einem Journal protokolliert. Dadurch gewährleisten wir eine revisionssichere Datenverarbeitung. Bei Bedarf können wir alle Protokolle, die ein Revisor für seine Arbeit benötigt, zur Verfügung stellen. Somit besteht einerseits höchste Sicherheit im Falle einer nötigen Daten-Restaurierung, vor allem aber sind die Datenzugriffe revisionssicher aufgezeichnet, so dass Ihre Firma beispielsweise Richtlinien im Rahmen eines Sarbanes-Oxley-Audits genügt.

Eine tägliche Sicherung aller Daten auf externe Magnetplatten, ihre anschliessende Kopie auf Magnetbänder und deren Aufbewahrung nach dem Generationenprinzip ist selbstverständlich.