DigitalSafe Datenschutz, Technische Bedingungen und Sicherheit

Datenschutz

DigitalSafe ist völlig gefällig mit folgenden:

  • Schweizer Bundesgesetz über den Datenschutz (DSG),
  • Die Informationsfreiheit und Schutz der Privatsphäre (FOIPPA),
  • Personal Information Portability & Accountability Act (PIPEDA),
  • Health Insurance Portability and Accountabilty Act (HIPPA),
  • Payment Card Industry Data Security Standards (PCI-DSS)
  • Alle Daten werden in der Schweiz gespeichert!
  • Schweizerische Sicherheit und Vertraulichkeit ist zu 100% garantiert!

Technische Bedingungen

Systemunterstützung

DigitalSafe unterstützt jedes Betriebssystem und Computer-Hardware, auf dem eins der folgenden Web-Browser funktionsfähig ist:

  • Internet Explorer 7 oder neuer
  • Firefox 3 oder neuer
  • Safari 4 oder neuer
  • Chrome 4 oder neuer

Unterstützte Betriebssysteme inkludieren (32bit und 64bit), beschränken sich aber nicht darauf:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Mac OS X
  • Linux
  • FreeBSD

Infrastruktur des Datenzentrums

PCI-DSS zertifizierte Hardware-Architektur, einschließlich:

  • Echtzeitüberwachung aller Server, Netzwerkgeräten und der Umwelt von unbeteiligten Dritten
  • Vollständig redundante Web-Applikationsserver mit voller Ausfallsicherungsfähigkeit
  • Vollständig redundante Datenbankserver mit voller Ausfallsicherungsfähigkeit
  • Ausfallsicherung Netzwerkverbindungen
  • Biometrischer Zugang zu allen Einrichtungen
  • Kameras mit Bewegungserkennung
  • Vollautomatisches internes Backup-System, um eine schnelle Wiederherstellung zu ermöglichen, im unwahrscheinlichen Fall eines katastrophalen Versagens
  • Gehärtete, grüne Datenzentreneinrichtungen - Schweizer Datenzentrum nutzt zu 100% grüne Energie
  • Hintergrundsüberprüfung für alle Mitarbeiter (einschließlich Verwaltungspersonal)
  • Alle Daten werden in einem Tier-3 Datenzentrum in der Schweiz gespeichert.
  • Datenzentrum ist nach ISO 9001:2000 von der SGS zertifiziert
  • Datenzentrum hält sich an die SFB Kommission Sicherheitsrichtlinien (Schweizer Bundesbankwesen) ein
  • SLA von 99,999%
  • Völlige schweizerische Sicherheit und Vertraulichkeit garantiert!

Verschlüsselung

Im DigitalSafe werden alle Daten, einschließlich der Informationen zur Benutzerauthentifizierung, über das Internet übertragen und auf unseren Servern in verschlüsselter Form gespeichert.

Alle Verbindungen zu unseren Servern, für alle BenutzerInnen, sind mit 2048bit SSL-Verschlüsselung geschützt.

Kennwörter

Die Kennwörter werden mit bcrypt Algorithmen verschlüsselt. Das Sperren des Kontos nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuche verhindert, dass das Kennwort mittels Brute-Force-Angriffe erraten wird. Ein auf Zeit basierendes Erraten von Kennwörtern ist aufgrund der Natur der bcrypt Verschlüsselung nicht möglich.

Wenn die aktuelle Sitzung abgelaufen ist, wird das Browser-Fenster zum Anmeldefenster umgeleitet, für den Fall, dass der Computer unbeaufsichtigt gelassen wird.

Notizen

Notizen werden auf den Servern mit AES-256 Verschlüsselung gespeichert. Verschlüsselungsschlüssel wird auf einem separaten Server, der nicht vom Internet zugänglich ist, gespeichert.

Für höchste Sicherheit und Datenschutz können BenutzerInnen wählen, ob ihr eigenes Kennwort verwendet wird, um die Daten zu verschlüsseln. In diesem Fall ist es nicht möglich, private Daten des Benutzers/ der Benutzerin zu entschlüsseln ohne das Kennwort zu wissen. Nicht einmal DigitalSafe Personal kann diese Daten entschlüsseln.

Aber das bedeutet auch, dass das Kennwort des Benutzers/ der BenutzerIn nicht zurückgesetzt werden kann und die Daten für immer verloren gehen, im Fall dass das Kennwort vergessen wird oder verloren geht.

Physikalische Sicherheit

Die DigitalSafe sichere persönliche online Anwendung von Notizen speichert Daten in einem schweizerischen Weltklasse Daten-Warenhaus. Dieses befindet sich in der Schweiz und ist für seine hohe Standards und hohe Qualitätskontrolle berühmt. DigitalSafe hat die nötige physische Umgebung, um die Server 24 Stunden am Tag, sieben Tage die Woche am Laufen zu halten, auch im Falle von Stromausfällen und großen Naturkatastrophen.

Diese Weltklasse Einrichtungen sind anwendungsspezifisch mit Doppelböden, HVAC-Temperaturregelung mit separaten Kühlzonen und seismisch verspannten Metallrahmen konstruiert. Sie bieten das breiteste Spektrum an physikalischen Sicherheitsfunktionen an, einschließlich der hochmodernen Rauchmelder und Feuerlöschanlagen, Bewegungssensoren, 24 X 7 gesicherten Zugang, Videoüberwachung und Alarme gegen Sicherheitsbruch.

Netzwerksicherheit

In Übereinstimmung mit dem Payment Card Industry Data Security Standard (PCI DSS) haben wir eine 24 × 7 Überwachung unserer Netzwerkinfrastruktur durch unbeteiligte Dritte, um bekannte Anwendung- und Serviceschwachstellen zu überprüfen. Außerdem, findet jährlich ein mehrtägiges vor Ort Audit statt, in dem jeder Aspekt des Systems geprüft wird: von der Softwareentwicklung bis zur Hardwareverwendung, von der Personalpolitik zur Kennwortverwaltung. Es gibt mehr als 200 Kriterien, die DigitalSafe erfüllen muss, um das Einhaltungsniveau zu gewährleisten.

Open Web Application Security Einhaltung

DigitalSafe wird nach den Richtlinien des Open Web Application Security Project (OWASP) entwickelt und alle EntwicklerInnen werden auf OWASP eingeschult. Gemäß den Anforderungen des PCI DSS, gehen die DigitalSafe-EntwicklerInnen auf alle Top Zehn OWASP-Schwachstellen ein.

Keine USA PATRIOT Act Abspeicherung

DigitalSafe ist stolz darauf, Ihre Dateien in politisch und ökonomisch stabilem und neutralem Land - in der Schweiz - zu speichern. Schweiz hält sich nicht an USA PATRIOT Act. Dies garantiert, dass Ihre Dateien vor konkurrierenden Feinden, Agenturen und anderen Instanzen mit persönlichen Motiven, die in Ihre Privatsphäre einbrechen und Ihre Dateien ohne Ihr Wissen stehlen wollen, gesichert sind.

Wir haben eine kleine Liste mit Webseiten-Links und Beispieltexten erstellt, um Sie über USA PATRIOT Act zu informieren. DigitalSafe hat keine Servers in den Vereinigten Staaten. ALLE unsere Server haben Ihren Sitz in der Schweiz, wo wir unseren Online-Backup machen.

USA PATRIOT Act - wie er die Geschäfte beeinflusst:

(Alle veröffentlichten Informationen stammen von verschiedenen Quellen. Für jeden Absatz gibt es Links.)

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Der USA PATRIOT Act (allgemein bekannt als "Patriot Act") ist ein Akt vom Kongress der Vereinigten Staaten, der vom Präsidenten George W. Bush, am 26. Oktober 2001 zum Gesetz gemacht wurde. Der Name des Aktes ist ein selbstgemachtes Akronym, das etwa für Gesetz zur Stärkung und Einigung [US-]Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren steht.

Der Akt reduziert die Einschränkungen in der Macht der Exekutivorgane, Telefone, E-Mails, medizinische, finanzielle und andere Unterlagen oder Berichte durchzusuchen; Der Akt hebt die Einschränkungen bezüglich Auslandsgeheimdienstes innerhalb der Vereinigten Staaten; Der Akt erhöht die Autorität des Finanzministers Finanzverkehr zu steuern, insbesondere Geldtransaktionen fremder Personen und Einheiten; Der Akt weitet die Entscheidungsfreiheit der Exekutivorgane aus, die Terrorismus verdächtige MigrantInnen zu verhaften und abzuschieben. Der Akt erweitert die Definition vom Terrorismus, so dass sie nun auch inländischen Terrorismus beinhaltet. Dies bedeutet, dass die Anzahl der Handlungen, auf welche der USA PATRIOT Act seine Macht ausüben kann, vergrößert wurde.

http://en.wikipedia.org/wiki/USA_PATRIOT_Act

Title II: Überwachungsmaßnahmen

Hauptklausel: USA PATRIOT Act, Title II

Title II heißt "Verstärkte Überwachungsmaßnahmen" und schließt alle Aspekte der Überwachung von Personen, welche unter Verdacht des Terrorismus, Computerbetrugs oder -missbrauchs stehen, sowie die VertreterInnen einer ausländischen Macht, welche in Verbindung mit verdächtigen Handlungen gebracht werden, ein. Der Title II hat FISA und ECPA geändert und die meist kontroversen Aspekte vom USA Patriot Act befinden sich darin. Insbesondere erlaubt der Title II den Regierungsorganisationen die Information fremder Nachrichtendienste über sowohl US-BürgerInnen, als auch nicht US-BürgerInnen zu sammeln. Dadurch wurde der Zweck von FISA geändert mit dem Ziel, legale "Wand" zwischen kriminellen Ermittlung und Überwachung zu beseitigen, weil diese die Ermittlungen erschwerte, wenn kriminelle und ausländische Überwachung sich überlappt haben. (38) Jedoch hat Bundesgerichtshof festgestellt, dass diese "Wand" eine Fehlinterpretation der Regierungsorganisationen ist. Mit dem Title II wurde gesetzlich vorgeschriebene Forderung, Regierung müsse beweisen können, dass das Objekt der Überwachung kein US-Bürger ist, entfernt. Die Dauer der FISA physischen Such- und Überwachungsaufträge wurde verlängert (40). Der Title II ermöglicht der Regierung, die gewonnene Informationen vor der Grand Jury mit anderen Organisationen zu teilen (41). Der Spielraum für das Abhören und Überwachung wurde erweitert. Der Akt erlaubt jedem Landesgericht in USA, Überwachungsaufträge und Durchsuchungsbefehle für Terrorismus Ermittlungen auszustellen (44). Haussuchungsbefehle wurden auch erweitert, indem der Akt den Title III - Zugang zu gespeicherten Kommunikation - ergänzte, welches dem FBI den Zugang zu Mobilbox mit dem Durchsuchungsbefehl ermöglicht, anstatt mit strikten Abhörgesetzen (45).

Mehrere Maßnahmen erlaubten die Veröffentlichung elektronischer Kommunikation zu Exekutivorganen. Die Personen, welche "geschützte Computer" besitzen, oder an diesen Arbeiten, können der Regierung die Erlaubnis geben, die Kommunikation von diesem Computer abzuhören. Dadurch wird das Abhörgesetz umgegangen (46). Die Definition eines "geschützten Computers" ist in 18 U.S.C. § 1030(e)(2) bestimmt und umfasst die Computers, welche im zwischenstaatlichen oder ausländischen Handel benutzt werden. Dies umfasst auch diejenigen Computers, welche sich außerhalb von Vereinigten Staaten befinden. Das Gesetz über verpflichtende und freiwillige Veröffentlichung von Kundeninformation und -kommunikation wurde geändert, so dass die Exekutivorgane diese Information unter dem U.S.C. Title 18 verlangen dürfen. Dies umfasst die Veröffentlichung elektronischer Kommunikation (Kapitel 119), Anruf-Entschlüsselung und Aufzeichnungsgerät (pen register and trap and trace devices) (Kapitel 206), und Anrufliste (121). Allerdings, die Veröffentlichung von Sehgewohnheiten der Kabel-TV AbonentInnen wurde ausgeschlossen (47). Die Vorladungen für Internet-Anbieter wurden erweitert, so dass sie nicht nur Name, Adresse, Anrufliste und Handyrechnungen, Telefonnummer und andere Informationen über AbonnentIn, sondern auch die Zeiten und Dauer, Art der benutzten Dienstleistungen, IP-Adresse, Art der Zahlung, Konto- und Kreditkartenummer (48). Die Netzbetreiber dürfen Kundeninformationen veröffentlichen wenn sie einen Verdacht auf Gefahr für Leib und Leben haben (49).

Title II stellte drei sehr kontroverse Vorschriften her: "sneak and peek" Berechtigung, ümherschweifende Abhörgeräte und die Fähigkeit des FBI, auf die Dokumente zuzugreifen, die die Verhaltensmuster der U.S. BürgerInnen offenbaren. Die "sneak and peek" Berechigung erlaubt den verspäteten Bescheid über die Durchführung der Hausdurchsuchung.

Das Abhören mittels umherschweifender Abhörgeräte umfasst Abhörbefehle, in welchen die Netzbetreiber und Drittpersonen im Gerichtsbeschluss nicht bestimmt werden müssen.

http://w2.eff.org/patriot

Allgemeine Information über den Akt

Hier sind einige Ausschnitte aus unterschiedlichen Webseiten, die den USA PATRIOT Act erklären und auch Information über die Erneuerung des Aktes in 2010 geben, von
 Präsident Obama:

http://www.slate.com/id/2087984

Artikel 215 ändert die Vorschriften über Berichte und Unterlagen Untersuchungen. Post-Patriot Act, Besitzer Ihrer Finanz-, Bibliotheks-, Reise, Telefondaten, Ihrer medizinischer Daten, sowie die Berichte auch Kirchen, Synagogen oder Moscheen können ohne Ihres Wissen oder Ihre Genehminung durchsucht werden, wenn die Behörden sagen, dass sie zwecks Schutzes gegen Terrorismus handeln.

Würden Sie wissen, ob Artikel 215 gegen Sie angewendet wurde? Nein. Die Person, die gezwungen wurde Ihre Daten zu zeigen, wurde mundtot gemacht, und darf die Untersuchung nicht offenbaren.

Artikel 218 bzw. "FISA (Gesetz zur Überwachung und Auslandsaufklärung): Was bewirkt es: Geheime Durchsuchungen dürfen nun von einem geheimen Gericht genehmigt werden, ohne dass die Öffentlichkeit davon Bescheid weiß und ohne die Verantwortlichkeit des Justizministeriums, solange die Regierung behauptet, es gäbe ausländische Geheimdienste Gründe für die Suche.

Würden Sie wissen, ob Artikel 218 gegen Sie angewendet wurde? Nur im Fall einer Strafverfolgung, welche die Daten nutzt, die gemäß FISA erfasst wurden. Sie hätten dann die Möglichkeit, Beweismaterial im regulären Gerichtsverfahren zu unterdrücken.

Artikel 213: Artikel 213 ist noch ein sehr kontroverser Teil vom Patriot Act, welcher Proteste aus dem gesamten politischen Spektrum hervorruft. Indem es dem Staat erlaubt wurde zuerst durchzusuchen und Sie erst später davon wissen zu lassen (in manchen Fällen viel später), dieser Akt kehrt die traditionelle Anforderung, Ihnen vorab bekannt zu geben, dass Sie durchsucht werden, um.

Was er bewirkt: Dieses Dokument dehnt die Autorität von "Sneak and Peek" über FISA zu jeder kriminellen Untersuchungen hinaus. Das heißt, dass geheime Durchsuchung Ihres Eigentums erlaubt ist, ohne dass Sie davor verständigt werden.

Artikel 206: Der Artikel 206 autorisiert die umherschweifende Abhörgeräte: d.h. Geräte, die nicht verbunden sind mit bestimmtem Telefon oder Computer, sondern mit jedem Telefon und Computer. Diesem Artikel wird nicht genug Aufmerksamkeit geschenkt. Fall die Regierung sich entschließt, einen Computer in UCLA Bibliothek abzuhören, kann theoretisch jede Kommunikation von jedem Benutzer abgefangen werden.

Was er bewirkt: Er weitet FISA Gesetz aus, so dass Überwachung von jeglicher Kommunikation, die für oder von einem Geheimdienst gemacht wurde, erlaubt ist, ohne eine telefonische Linie oder einen Computer zu bestimmen, welche abgehört werden sollen.

Paragraf 505: Dieser Paragraf ermächtigt den Justizminister oder seine Delegaten, die Besitzer Ihrer persönlicher Daten zu zwingen, diese an die Regierung weiter zu geben. Dies funktioniert ganz einfach, indem man einen "nationale Sicherheit" Brief schreibt. Paragraf 505 hat weniger nationale Aufmerksamkeit bekommen als Paragraf 215 - der Archiv der Paragrafen von Artikeln - vielleicht wird er deswegen öfters angewendet.

Was er bewirkt: Paragraf 505 autorisiert die Anwendung des sogenannten Vorladung der persönlichen Daten. Diese Vorladungen bedürfen keines hinreichenden Verdachts und keiner juristischen Aufsicht.

Das Gesetz davor und was geändert wurde: Vor Patriot, dieses Gesetz konnte nur gegen Individuen, die unter Spionage-Verdacht waren, angewendet werden. Aber Patriot Akt hat die Voraussetzungen gelockert, so dass nun dieser Akt gegen jeden angewendet werden kann, US-amerikanische BürgerInnen inklusive, auch wenn sie selbst nicht unter dem Verdacht der Spionage oder einer anderen kriminellen Handlung stehen. Dieses Gesetz kann nun von Stabsoffizieren herausgegeben werden, statt wie bisher von höheren Beamten. Und im Unterschied zum Paragraf 215, es unterliegt keiner juristischen Überprüfung oder Aufsicht.

Die Daten, die auf diese Art und Weise gewonnen werden, schließen unter anderem ein: Anruf- oder E-Mail Protokolle, bestimmte finanzielle Berichte und Kontoauszüge, Informationen über Kredite. Dies alles unter Behauptung, dass solche Dateien "relevant" sind für die laufenden Terrorismus Ermittlungen. Sie können nicht für reguläre kriminelle Ermittlungen verwendet werden. Im Unterschied zum Paragraf 215, es bedarf keiner Gerichtsanordnung. Diejenigen, die dazu gezwungen werden, Dateien und Berichte weiter zu geben, wird verboten, diese Anforderung zu veröffentlichen.

Würden Sie wissen, ob Paragraf 505 gegen Sie angewendet wurde: Eigentlich nicht, außer es wird aufgrund der gewonnenen Informationen gegen Sie vorgegangen.

Unten sind einige Links über den neuen und überarbeiteten (auch verlängerten) USA PATRIOT Act, der vor Kurzem von Präsident Obama unterzeichnet wurde.

http://w2.eff.org/patriot/20020925_patriot_act.php

(Die eingefügte Kopie des eigentlichen US Patriot Aktes auf dieser Seite)

http://tastethecloud.com/content/patriot-act-and-martial-law

Dieser Abschnitt ist von besonderen Bedeutung für Geschäfte:

Die Macht der Überwachung wird ausgedehnt, so dass der Zugang zu Bankkonten, Computern, Telefonen und Kreditkonten für die Regierung einfacher ist, aufgrund der Vorladungen, die von Justizministerium ausgegeben werden. Die Besitzer Ihrer Dateien können es nicht ablehnen, diese Information weiter zu geben (die Ausdehung der Macht des Patriot I). Der erlangte Beweis, welcher eine Person mit Terrorismus oder mit terroristischen Gruppen verbindet (definiert nach Außenministerium), wird nicht veröffentlicht, außer vor dem Gericht (Individuen haben kein Recht zu wissen, wieso sie angeklagt werden). Verhaftungen vor dem Gerichtsvorfahren sind obligatorisch. Sie würden wenig Chancen haben, sich zu verteidigen.

http://www.eff.org/deeplinks/2010/02/epic-fail-congress-usa-patriot-act-renewed-without

(dies erklärt wieso der Akt einen Zugriff auf Geschäftsdokumente hat)

http://en.wikipedia.org/wiki/Controversial_invocations_of_the_USA_PATRIOT_Act

(Erklärt die Gefahren vom USA PATRIOT Act)