Zum Inhalt springen
SyncID Dokumentation

Sicherheit

SyncID verarbeitet sensible Daten, darunter Mitarbeiterinformationen, biometrische Vorlagen und Anwesenheitsdaten. Diese Anleitung behandelt die Sicherheitsarchitektur, integrierte Schutzmaßnahmen und empfohlene Härtungsmaßnahmen.

Sicherheitsarchitektur

Abschnitt betitelt „Sicherheitsarchitektur“

Netzwerkisolierung

Abschnitt betitelt „Netzwerkisolierung“

SyncID ist für die ausschließliche Bereitstellung im LAN konzipiert. Alle Kommunikation findet innerhalb Ihres lokalen Netzwerks statt:

  • Gerätekommunikation: TCP-Port 4370 (SyncID → Geräte)
  • SyncrOne-API: HTTP/HTTPS über LAN
  • Datenbank: SQL Server über LAN
  • Keine eingehenden Verbindungen aus dem Internet sind erforderlich

Datenhoheit

Abschnitt betitelt „Datenhoheit“
  • Biometrische Daten (Fingerabdruckvorlagen, Gesichtsvorlagen) verbleiben auf den Geräten und in der lokalen Datenbank
  • Anwesenheitsdaten werden in Ihrer SQL Server-Instanz gespeichert
  • Keine Daten werden an Cloud-Dienste übermittelt — SyncID hat keine Cloud-Abhängigkeit
  • Alle Datenverarbeitung findet innerhalb Ihrer Infrastruktur statt

Integrierte Schutzmaßnahmen

Abschnitt betitelt „Integrierte Schutzmaßnahmen“
SchutzmaßnahmeBeschreibung
Sichere AuthentifizierungBranchenstandard-Passwort-Hashing und Sitzungsverwaltung
Antiforgery-SchutzSchutz gegen Cross-Site-Request-Forgery bei allen Formularen
Rollenbasierter ZugriffAdmin- und User-Rollen beschränken die Funktionalität
Vollständiger Audit-TrailAlle Änderungen werden mit Wer/Wann-Metadaten nachverfolgt
Anti-EnumerationPasswort-Zurücksetzung verrät nicht, ob ein Benutzer existiert
Automatische WiederholungResilienz gegen vorübergehende Verbindungsfehler
FehlerisolierungAusfälle externer Dienste kaskadieren nicht auf andere Funktionen

Härtungsempfehlungen

Abschnitt betitelt „Härtungsempfehlungen“

Authentifizierung

Abschnitt betitelt „Authentifizierung“
  1. Standard-Admin-Passwort sofort nach der Installation ändern
  2. Kontosperrung aktivieren, um Brute-Force-Angriffe zu verhindern
    • Empfohlen: 5 Versuche, 15-minütiges Sperrfenster
  3. Starke Passwörter verwenden — Mindestlänge von 12+ Zeichen erzwingen
  4. Admin-Konten begrenzen — Admin-Rolle nur an diejenigen vergeben, die sie benötigen

Verwaltung von Geheimnissen

Abschnitt betitelt „Verwaltung von Geheimnissen“
  1. Keine Anmeldedaten weitergeben — Datenbankpasswörter, API-Keys und Webhook-URLs sollten vertraulich bleiben
  2. Dateiberechtigungen einschränken für das Konfigurationsverzeichnis
  3. API-Keys regelmäßig rotieren

Netzwerksicherheit

Abschnitt betitelt „Netzwerksicherheit“
  1. Netzwerkzugriff auf den SyncID-Host einschränken:
    • Nur Verbindungen von Administratorarbeitsplätzen und Geräte-Subnetzen erlauben
    • Zugriff aus allgemeinen Büronetzwerken blockieren, wenn nicht benötigt
  2. HTTPS verwenden für die SyncID-Weboberfläche
    • SSL-Zertifikat auf dem Server konfigurieren
    • HSTS (HTTP Strict Transport Security) aktivieren
  3. Firewall-Regeln:
    • TCP 4370 nur zwischen SyncID-Host und Geräte-Subnetz erlauben
    • HTTP/HTTPS nur für den SyncrOne-API-Endpunkt erlauben
    • Alle anderen eingehenden Verbindungen blockieren
  4. Separates Geräte-VLAN — Anwesenheitsgeräte in ein dediziertes Netzwerksegment platzieren

Datenbanksicherheit

Abschnitt betitelt „Datenbanksicherheit“
  1. Ein dediziertes Dienstkonto für den Datenbankzugriff verwenden (nicht das Administratorkonto)
  2. Verschlüsselte Verbindungen aktivieren für den Datenbankverkehr in der Produktion
  3. Datenbankzugriff einschränken auf die SyncID-Anwendung
  4. Regelmäßige Backups an einem separaten, zugriffskontrollierten Speicherort

Überwachung

Abschnitt betitelt „Überwachung“
  1. Gesundheits-Dashboard regelmäßig überprüfen auf unerwartete Statusänderungen
  2. Fehlgeschlagene Anmeldeversuche nachverfolgen im Audit-Trail
  3. Teams-Benachrichtigungen einrichten für sofortige Alarmierung bei Gesundheitsverschlechterung

Datenschutz (DSGVO)

Abschnitt betitelt „Datenschutz (DSGVO)“

Da SyncID personenbezogene Daten und biometrische Daten von Mitarbeitern verarbeitet:

  1. Verantwortlicher: Ihre Organisation ist der Verantwortliche für alle von SyncID verarbeiteten Daten
  2. Auftragsverarbeitungsvertrag: Wenn Galileo d.o.o. Supportleistungen mit Datenzugriff erbringt, sollte ein AVV vorhanden sein
  3. Biometrische Daten: Werden nach DSGVO Artikel 9 als besondere Kategorie personenbezogener Daten eingestuft — stellen Sie sicher, dass eine Rechtsgrundlage für die Verarbeitung vorliegt
  4. Datenminimierung: Synchronisieren Sie nur Mitarbeiter, die Gerätezugang benötigen
  5. Aufbewahrung: Legen Sie eine Aufbewahrungsrichtlinie für Anwesenheitsdaten und Audit-Protokolle fest
  6. Recht auf Löschung: Stellen Sie sicher, dass Verfahren für die dauerhafte Datenlöschung bei rechtlicher Anforderung existieren

Reaktion auf Vorfälle

Abschnitt betitelt „Reaktion auf Vorfälle“

Wenn Sie einen Sicherheitsvorfall vermuten:

  1. Isolieren — trennen Sie den SyncID-Host bei Bedarf vom Netzwerk
  2. Bewerten — überprüfen Sie Audit-Trail und Protokolle auf unbefugten Zugriff
  3. Eindämmen — ändern Sie alle Passwörter und API-Keys
  4. Wiederherstellen — stellen Sie aus einem bekannt guten Backup wieder her, wenn die Datenintegrität gefährdet ist
  5. Melden — benachrichtigen Sie Betroffene gemäß der Incident-Response-Richtlinie Ihrer Organisation und den DSGVO-Anforderungen

Verwandte Themen

Abschnitt betitelt „Verwandte Themen“