Häufig gestellte Fragen

allgemeine nutzung

Nein. Xalevi funktioniert auf fast allen Geräten und ist mobile fähig. Die einzige Voraussetzung ist ein Webbrowser und eine Internetverbindung.

Ganz und gar nicht. Xalevi wurde intuitiv konzipiert, sodass die Benutzung kinderleicht fällt und von jedem bedient werden kann – auch ohne IT Hintergrund. Der Bericht ist denkbar einfach gehalten und gibt Ihnen schnell den nötigen Überblick. Alle Hinweise und Informationen werden von uns im Kontext der EU-DSGVO erklärt.

Ihre Zufriedenheit ist unsere Motiviation. Deswegen arbeiten wir auf Hochtouren an der Optimierung unserer Lösung und sind dankbar für Ihr wertvolles Feedback.

Leider nocht nicht. Mit Xalevi erhalten Sie einen detaillierten Überblick zu Ihrer EU- DSGVO Webseiten Compliance und technischen Schwachstellen. Mit unserer Risikobewertung und den Handlungsempfehlungen können Sie, oder die Experten in IT-Sicherheit und Datenschutzrecht, zielgerichtet Ihre Konformität verbessern. Wir beraten Sie gerne dazu.

Pakete und vertragsgestaltung

Xalevi eignet sich für Vereine, Selbstständige, kleine- und mittlere Unternehmen aber auch Konzerne, die Ihre Datenschutzkonformität und IT-Sicherheit im Internet sicherstellen möchten.

Die Vertragslaufzeit unserer Pakete beträgt 12 Monate. Diese verlängert sich automatisch um weitere 12 Monate, sofern Sie nicht von Ihrem Kündigungsrecht unter Einhaltung der 3-monatigen Kündigungsfrist zum vereinbarten Vertragsende, Gebrauch machen wollen.

Selbstverständlich können Sie je nach Bedarf während Ihrer Vertragslaufzeit das Paket wechseln. In diesem Falle stellen wir Ihnen den Differenzbetrag zwischen der bereits geleisteten Vorauszahlung und dem geänderten Preis bis zum Ende der jährlichen Laufzeit zusätzlich in Rechnung. Sollten Sie unterjährig in eine niedrigere Version wechseln (z.B. Wechsel von Large zu Medium), haben Sie keinen Anspruch auf (anteilige) Rückerstattung Ihrer bereits geleisteten Vorauszahlung.

Innerhalb von Xalevi können Sie ganz bequem einzelne Scans für Ihr Paket nachbuchen. Die Preise finden Sie in unserer Paketübersicht und innerhalb Ihres Kundenkontos.

datenschutz & IT-Sicherheit

Die Schulung und Sensibilisierung unserer Mitarbeiter ist uns sehr wichtig. Die regelmäßige Teilnahme und Nachweis Erbringung ist in unserem Unternehmen verpflichtend. Als Anbieter von Lösungen im Bereich Datenschutz und Informationssicherheit beschäftigen sich unsere Mitarbeiter täglich intensiv mit den Anforderungen der EU-Datenschutz Grundverordnung und IT Sicherheit.

Auf organisatorischer Ebene gibt es klare Zuständigkeiten für die relevanten Daten. Wir achten sehr darauf, dass wir Grundlegende Prinzipen wie das Kneed-to-know Prinzip stringent umsetzen. 

Ja. Dieser ist mit Abschluss Ihrer Registrierung als Vorlage im Admin-Bereich ihres Kundenkontos inklusive der zugehörigen TOMs (Technische und organisatorische Maßnahmen) hinterlegt. Sofern Sie ihre eigene Vorlagen verwenden möchten nehmen Sie bitte gerne Kontakt mit unserem Datenschutz-Team auf.

Sollte es zu einer Datenpanne kommen, so wird im ersten Schritt die Schwachstelle geschlossen. Im Zweifel deaktivieren wir lieber den Service bis zur Schwachstellen Behebung als dass wir das Risiko eines weiteren Datenverlustes eingehen. Das Schutzziel Vertraulichkeit ist bei uns höher bewertet als das Schutzziel Verfügbarkeit. Im zweiten Schritt würden wir (eventuell) betroffene Kunden informieren und das weitere Vorgehen abstimmen. Unabhängig von der Abstimmung würden wir versuchen den genauen Schaden zu ermitteln und nach Abschluss der Ermittlungen den KVP einleiten, um zu verhindern, dass der gleiche Fehler mehrfach auftritt.

Ja. Wir erfassen nur die personenbezogenen Daten, die wir für die Applikation wirklich benötigen und halten uns streng an das Prinzip der Datenminimierung. Gespeichert werden Events (Logs) die Security-relevant sind. Zum Beispiel fehlerhafte Logins. Diese Logdaten dienen der Sicherheit aller Accounts und Daten im System. Sollten sie kein Interesse mehr an der Nutzung haben, dann können Sie ihre Daten auch selbstständig löschen (unter Berücksichtigung gesetzlich geltender Aufbewahrungsfristen).

Ja. Xalevi hat ein Datenschutz-Management-System implementiert. Wir arbeiten und überwachen stetig unsere kontinuierliche Verbesserung.

Ein Teil der Kundendaten wird verschlüsselt gespeichert. Kundendaten, die häufig abgerufen werden und im Volltext durchsucht werden müssen sind unverschlüsselt gespeichert. Dies betrifft jedoch keine personenbezogenen Daten.

Ja. Kundendaten werden ausschließlich verschlüsselt übertragen. Bei E-Mails kann es jedoch vorkommen, dass diese unverschlüsselt übertragen werden, wenn der Mail-Server des Empfängers keine TLS-Verbindung akzeptiert. Daher beinhalten die verschickten E-Mails abgesehen von der E-Mail-Adresse und dem Namen des Empfängers keine personenbezogenen Daten.

Das Produktive Rechenzentrum steht physisch in Frankfurt am Main. Die Backups liegen physisch in einem Rechenzentrum in Karlsruhe. Unser E-Mail-Anbieter hostet seine Server ebenfalls in Deutschland, so dass bei der Nutzung unserer Services keine Daten ins Ausland übertragen werden.

Wir steuern den Zugriff auf Daten nach Rollen durch ein Benutzer/Berechtigungskonzept. Vertriebsmitarbeiter haben zum Beispiel keinen Zugang zu Entwicklungsdaten. Das Rechtekonzept ermöglicht es nicht, dass sich Mitarbeiter in Kundenaccounts anmelden können. Die Applikation ist Mandanten-getrennt und der Zugang zur Datenbank ist stark eingeschränkt. Alle Backups werden verschlüsselt. Der Zugriff von Dienstleistern auf Daten lässt sich theoretisch kaum ganz verhindern. Wir haben daher stark auf die Auswahl geachtet. Die Technisch und organisatorischen Schuztmaßnahmen unserer Subdienstleister werden wir in Zukunft im Admin-Bereich bereitstellen.

Die Systeme stehen physisch in sehr gut gesicherten Rechenzentren (Zertifizierungen wie ISO 27001:2103 sind vorhanden). Software-Seitig haben wir die Systeme stark gesichert. Xalevi setzt dabei auf mehrschichtige Sicherheits-Maßnahmen, um zu verhindern, dass bei Ausfall einer Maßnahme Zugriff auf die Daten genommen werden kann.

Im Standard mit Benutzername und Passwort. Ab Januar können Kunden für ihren Mandanten auch eine 2 Faktor-Authentifizierung aktivieren. Für die Passworte gibt es eine Vorgabe zu Länge und Komplexität. Alle Passworte werden nur sicher gehasht gespeichert, niemals im Klartext.

Die physischen Server unseres Hosting-Anbieters stehen in einem Rechenzentrum mit sehr hoher Verfügbarkeit und bester Anbindung an das Internet. Die Last wird über einen Load-Balancer verteilt. Bei Bedarf können wir jederzeit zusätzliche Ressourcen zuteilen. Zudem erlaubt die Architektur das einspielen kleiner Updates und Bugfixes ohne, dass der Kunde hiervon etwas mitbekommt. 

Hochverfügbare Rechenzentren, Load Balancer mit mehreren Front-End-Systemen, klare Aufgabenteilung der Server (saubere Mehrschicht-Architektur). Ein Lasttest ist für das erste Quartal 2020 geplant.

Die Server lassen sich aus den Backups und per One-Click-Deployment binnen 1-2h wiederherstellen. Unser Dienstleister bietet zudem mehrere physische Standorte an, sodass bei einem Totalausfall des Frankfurter Rechenzentrum binnen weniger Stunden an einem anderen Standort wieder neu gestartet werden kann. 

Es werden regelmäßig Backups mit einer gemischten Strategie aus inkrementellen und vollständigen Backup erstellt. Zudem werden einige Daten auch per Revisions-Log innerhalb der Dantenbank gesichert. Als Kunde müssen Sie keine Sicherung durchführen.

Im schlimmsten Fall stehen uns die Daten des Vortages zur Verfügung, da es sehr unwahrscheinlich ist, dass beide Rechenzentren in Frankfurt am Main und Karlsruhe komplett ausfallen und dabei alle Daten verloren gehen.

Die Daten eines Accounts (Mandanten) gehören grundsätzlich dem Unternehmen (bzw. Mandanten), welches die Scans gestartet hat bzw. die Daten erfasst hat. Xalevi wird Daten ohne Freigabe des Kunden nicht an Dritte weiterleiten.

Der Account wird für 3 Monate deaktiviert. Im Anschluss werden alle Daten gelöscht, die nicht aufgrund gesetzlicher Aufbewahrungsfristen archiviert werden müssen. Bitte beachten Sie jedoch, dass sich die Daten aus technischen Gründen nicht aus den Datensicherungen entfernen lassen. Backups werden maximal für 12 Monate aufbewahrt und im Anschluss gelöscht.