Sicherheits- & Datenschutzrichtlinie

Diese Richtlinie beschreibt, wie Fotosoft SA (Herausgeber der Fotostudio-Plattform) Daten schützt, die Kontinuität des Services gewährleistet und die Vertraulichkeit der von seinen Nutzern anvertrauten Informationen garantiert.

Sie gilt für alle von Fotostudio angebotenen Services.

Fotostudio wird gehostet auf:

• Heroku von Salesforce (Europa) für die Webanwendung und Datenbanken
• Amazon Web Services S3 (Europa) für die sichere Speicherung von Dateien (Bilder, Dokumente usw.)

• Alle Verbindungen zu Fotostudio verwenden HTTPS/TLS-Verschlüsselung
• Passwörter werden vor der Speicherung gehasht und gesalzen
• Dateien (Bilder, Dokumente, Verträge usw.) werden durch sichere, nicht-öffentliche Links geschützt
• Interne Serverzugriffe sind streng auf autorisiertes Personal beschränkt und durch Zwei-Faktor-Authentifizierung geschützt

• Automatische Sicherung der Datenbanken täglich
• Aufbewahrung mehrerer Versionen, um Daten im Falle eines Vorfalls schnell wiederherstellen zu können
• Regelmäßige Tests der Wiederherstellungsverfahren
• Geografische Redundanz kritischer Daten über die Services Heroku Postgres und AWS S3
• Automatisierte Überwachung des ordnungsgemäßen Betriebs des Services rund um die Uhr

Bei geplanten Unterbrechungen (Wartung oder Updates) werden die Nutzer im Voraus per E-Mail oder Benachrichtigung informiert.

Bei einem schwerwiegenden Vorfall:

• Wird eine Mitteilung schnell auf dem offiziellen Status-Kanal von Fotostudio veröffentlicht
• Die technischen Teams greifen sofort ein, um den Service so schnell wie möglich wiederherzustellen

Bei Verdacht oder Entdeckung eines Sicherheitsvorfalls (Datenleck, unbefugter Zugriff, versehentliche Löschung usw.):

• Wird der Vorfall sofort erfasst und analysiert
• Korrekturmaßnahmen werden unverzüglich angewendet
• Betroffene Nutzer werden innerhalb von 72 Stunden gemäß DSGVO informiert, wenn personenbezogene Daten betroffen sind

• Mitarbeiter und Dienstleister mit Zugang zu Daten unterliegen einer strengen Vertraulichkeitsklausel
• Fotografen behalten das vollständige Eigentum an ihren Bildern und Daten
• Daten werden nur für den technischen Betrieb der Plattform verwendet

Daten werden gespeichert, solange das Nutzerkonto aktiv ist.

Bei Löschung des Kontos:

• Werden alle Daten (Kunden, Galerien, Dokumente usw.) innerhalb von 30 Tagen endgültig von den Servern gelöscht
• Verschlüsselte Backups werden nach Ablauf der Aufbewahrungsfrist gelöscht

Um den ordnungsgemäßen Betrieb des Services zu gewährleisten, kann Fotostudio DSGVO-konforme Dienstleister einsetzen:

• Heroku (Salesforce Inc., Europa) – Hosting und Datenbank
• Amazon Web Services (Europa) – Dateispeicherung
• Smtp2go – Versand transaktionaler E-Mails (Benachrichtigungen, Erinnerungen usw.)
• Stripe, Mollie und PayPal – Zahlungsabwicklung

Jeder dieser Dienstleister hat vertragliche Verpflichtungen zu Sicherheit und Vertraulichkeit, die der DSGVO entsprechen.

Jeder Nutzer kann:

• Auf seine Daten zugreifen
• Seine Informationen korrigieren oder löschen
• Seine Daten herunterladen
• Die vollständige Löschung verlangen

• Diese Richtlinie kann aktualisiert werden, um der Weiterentwicklung des Services oder den gesetzlichen Anforderungen Rechnung zu tragen
• Die aktuellste Version ist immer auf der Fotostudio-Website verfügbar