Dieses Dokument beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen (TOMs), die auf alle Standard-Serviceangebote von OpusCapita angewendet werden, außer wenn ein Kunde selbst für Sicherheit und Datenschutz verantwortlich ist. Die interne Organisation von OpusCapita ist im Allgemeinen darauf ausgerichtet, spezifische Datenschutzanforderungen zu erfüllen. 

Bei On-Premise-Lösungen und in anderen Fällen, in denen die Sicherheitsmaßnahmen von den Sicherheitsrichtlinien des Kunden oder den vom Kunden im Rahmen dieser Richtlinien getroffenen Maßnahmen abhängen, gilt diese Beschreibung nur, wenn sie nicht von den Richtlinien oder Maßnahmen des Kunden bestimmt wird. Die beschriebenen Maßnahmen zur „Zugangskontrolle“ zu Räumlichkeiten und Einrichtungen gelten nur, wenn der Kunde eine Software-as-a-Service-Lösung (SaaS) nutzt. 

Organisation der Informationssicherheit

OpusCapita verfügt über eine breite Palette von Informationssicherheitsgrundsätzen und -richtlinien auf der Grundlage der ISO 27000-Reihe, die von der Unternehmensleitung genehmigt wurden. Zur OpusCapita-Organisation gehört ein Vollzeit-Manager für Informationssicherheit. 

OpusCapita hat sich dem Unternehmens-Sicherheitsmanagement und der -entwicklung verpflichtet und verfolgt das Ziel, unter allen Umständen einen ungestörten Geschäftsbetrieb zu gewährleisten. Die Sicherheitsaktivitäten unterliegen der Verpflichtung, Mitarbeiter, Informationen, Prozesse und Vermögenswerte sowie den Ruf des Unternehmens zu schützen. 

Zugangskontrolle

Um zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungseinrichtungen erhalten, an denen personenbezogene Daten verarbeitet oder verwendet werden, hat OpusCapita physische Zugangskontrollen implementiert. Personenbezogene Daten, die in professionell gehosteten Datenzentren gespeichert sind, und Daten, die in qualifizierten Räumlichkeiten verarbeitet werden, bieten eine effektive physische Zugangskontrolle, einschließlich elektronischer Schließsysteme, Alarmsysteme und CCTV-Monitoring. Der Zugang zu Datenzentren und Räumlichkeiten wird nur autorisierten Personen gewährt. Besucher werden stets begleitet. 

OpusCapita unterstützt Remote- und Home-Office-Arbeiten und ermöglicht die Verarbeitung personenbezogener Daten außerhalb der sicheren Räumlichkeiten. OpusCapita stellt sicher, dass personenbezogene Daten mit angemessenen Sicherheitsmaßnahmen außerhalb des Büros verarbeitet werden, z.B. indem OpusCapita eine Sicherheitsrichtlinie für Beschäftigte hat, die befolgt werden muss, und fördert das Bewusstsein für sichere Remote- und HomeOffice-Arbeit in Form von Erinnerungen und entsprechende Schulungen. 

 

OpusCapita akzeptiert nur bestimmte Geräte für Arbeitszwecke, die Sicherheitskontrollen einschließlich Anti-Malware-Software und sichere Übertragungsmöglichkeiten (z.B. VPN) einschließen. 

System- und Datenzugriffskontrolle

Die Zugriffskontrolle stellt sicher, dass auf Systeme zur Verarbeitung personenbezogener Daten nicht unbefugt zugegriffen werden kann und dass nur befugte Personen Zugriff auf die Daten haben, so dass personenbezogene Daten während der Verarbeitung und Speicherung nicht gelesen, geändert, kopiert oder entfernt werden können. 

Der Zugriff zu personenbezogenen Daten und Systemen wird nach den Grundsätzen "Need to know" und "Least Privilege" gewährt. Jeglicher Zugriff zu Systemen mit personenbezogenen Daten wird durch einen ordnungsgemäßen Prozess gewährt, der Identifizierung, Authentifizierung und Autorisierung einschließt. Persönliche Benutzerkonten werden verwendet, wenn ein Benutzer persönlich für das Konto verantwortlich ist. Spezieller Zugriff, einschließlich des privilegierten Zugriffs und gemeinsam genutzte Konten, wird einer absoluten Mindestanzahl von Benutzern nur bei begründeten Erfordernissen gewährt und nur dann gewährt, wenn ein normales Benutzerkonto nicht verwendet werden kann. Privilegierter Zugriff wird für einen begrenzten Zeitraum gewährt. Der Zugriff wird in den Systemen regelmäßig überprüft, und unnötiger Zugriff wird entfernt. 

Für gängige interne Systeme wird Single-Sign-On (SSO) verwendet und für kritische Anwendungen und Funktionen eine 2-Faktor-Authentifizierung bereitgestellt. 

Übertragungssteuerung

Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übertragung nicht unbefugt gelesen, geändert oder entfernt werden können, werden personenbezogene Daten, die elektronisch über öffentliche Datennetze übertragen werden, verschlüsselt. Der Zugriff zu internen Verarbeitungssystemen ist durch strenge Zugriffskontrollen beschränkt. Für sensible Computeranwendungen und Netzwerkverbindungen werden, wo immer möglich, Sitzungszeitüberschreitungskontrollen eingesetzt. 

Offenlegungskontrolle

Zur Verhinderung einer versehentlichen oder unbefugten Offenlegung von personenbezogenen Daten an Unbefugte werden die Datenströme verfolgt. Alle internen Datentransfers werden verschlüsselt und der Zugriff auf Systeme und Daten beschränkt. Es gibt interne Richtlinien für Beschäftigte, um eine versehentliche oder unbefugte Offenlegung zu verhindern. 

Eingabekontrolle

Um festzustellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden, können nur autorisierte Benutzer auf die Systeme einschließlich personenbezogener Daten gemäß den Zugriffskontrollen zugreifen. Der Zugriff auf personenbezogene Daten wird protokolliert und es werden Protokolle gespeichert, die eine unbefugte Änderung oder Löschung von Daten verhindern. Zugriffsprotokolle werden für die von externen Compliance-Anforderungen vorgeschriebene Mindestdauer gespeichert. 

Auftragskontrolle

Um sicherzustellen, dass personenbezogene Daten im Namen eines Kunden in strikter Übereinstimmung mit den Kundenanweisungen verarbeitet werden, stellt OpusCapita Auftragsverarbeitungsvereinbarungen zur Unterzeichnung bereit. 

Verfügbarkeitskontrolle

Um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind, ist die erforderliche Datenwiederherstellungsplanung eingerichtet, und die Daten werden in regelmäßigen Abständen gesichert. Die Systeme und die Infrastruktur für die Speicherung und Verarbeitung personenbezogener Daten sind mit einer robusten Service-Architektur konzipiert, die redundante Technologien verwendet und einzelne Ausfallpunkte minimiert. Es werden Dienste einschließlich SLAs auf der Grundlage von Wiederherstellungszeitzielen (Recovery Time Objectives - RTO) und Wiederherstellungspunktzielen (Recovery Point Objectives - RPO) bereitgestellt, die durch Planung und Überwachung der Dienstkapazität gewährleistet werden. Verfahren für Incident Management und Problem Management sind vorhanden. 

Trennungskontrolle

Um sicherzustellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben wurden, getrennt verarbeitet werden können, speichert OpusCapita die Kundendaten logisch getrennt auf der Grundlage individueller Kundenkonten. Die für verschiedene Zwecke erhobenen Daten werden ebenfalls getrennt verarbeitet. 

Jobkontrolle

Um sicherzustellen, dass personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet werden, hat OpusCapita die Sicherheitsrollen und Verantwortlichkeiten von Mitarbeitern und Dritten definiert. Sicherheitsverantwortlichkeiten und -aufgaben sind in den Beschäftigungsbedingungen und Subunternehmerverträgen enthalten. Mit Beschäftigten und Unterauftragnehmern bestehen entsprechende Verpflichtungen auf das Datengeheimnis oder Geheimhaltungsvereinbarungen (NDAs), die auch nach Beendigung des Arbeitsverhältnisses oder Vertrags gültig sind. Eine Überprüfung der Beschäftigten wird in dem Umfang durchgeführt, der für die jeweilige Funktion erforderlich und nach geltendem Recht zulässig ist. 

Jeder, der personenbezogene Daten verarbeitet, wird auf Sicherheitsanweisungen, den angemessenen Umgang mit Vermögenswerten und Informationen hingewiesen und zur Teilnahme an den von OpusCapita angebotenen Schulungen zu Sicherheit, Schutz personenbezogener Daten und Verhaltenskodex verpflichtet. 

Kontrolle der Integrität

Zu den Maßnahmen, die sicherstellen sollen, dass die Daten authentisch sind und während der Verarbeitung, Speicherung oder Übertragung nicht böswillig oder versehentlich verändert wurden, gehören bei Bedarf Prüfsummen und die erneute Übertragung von Daten im Transit. 

Kontrolle der Datenspeicherung und -löschung

Um die Aufbewahrung und Löschung von personenbezogenen Daten zu gewährleisten, wird die Aufbewahrungszeit vom Kunden festgelegt, und personenbezogene Daten werden nach Ablauf der Datenspeicherungszeit oder sofort, wenn personenbezogene Daten nicht mehr benötigt werden, auf sichere Weise gelöscht. Daten auf Papier (Dokumente, Entwürfe, Testmaterial, Produktionsabfälle, vom Kunden definierte Materialien zur Entsorgung) werden vor Ort in sicheren Behältern, die von professionellen Entsorgungsunternehmen betrieben werden, oder in einem Aktenvernichter mit entsprechender Vernichtungsklasse physisch vernichtet. Elektronische Daten werden mit einer sicheren Methode gelöscht, die sicherstellt, dass keine Daten mehr abgerufen werden können.

Endless automation possibilities

OpusCapita Invoice Process Automation allows you to automate manual routines in your invoice handling process, such as automating the approval flow or pre- setting default postings. In addition to the workflow, automation is based on rules on header or line-item level, or the posting dimensions. You

Still considering?

Here is short recap on the why.

Book a meeting with us to discuss more. It’s not binding.

Speed up
your e-transition

Gain more e-invoicing receivers
without any daily effort

Stop putting effort into maintaining your customers’ delivery preferences, as our solution continuously checks for the receivers’ e- invoicing capability for you. Whenever possible, your invoices are sent out electronically, reducing PDF and paper delivery and lowering your price per transaction. In addition, you can boost your digitalization further by easily campaigning for more of your invoice receivers to register for e-invoicing, in our complimentary Business Network Portal.Sounds interesting? Scroll down for more info!

Give visibility to all
who need it

Discover our Business Network Portal
for track&trace and reporting

Discover the meaning of easy transaction follow-up by granting access to track&trace for anyone in your organization without extra cost. Business Network Portal provides a real-time view to all data that has been exchanged and sent, including e-invoices, PDFs sent by email, as well as paper invoices. The simple portal view makes it also easy, for example for your customer service team, to see, download and exchange billing event data in their interaction with your customers.

Why choose OpusCapita?

All your invoices sent in
all formats & channels

Enjoy seamless & compliant invoice Sending as e-invoices, PDFs or paper in the Northern & Central Europe.

Automatic e-transition without any daily effort

Benefit from automated channel management and gain more e-invoicing receivers, boosting digitalization.

Manual work replaced
with digital
reliability & speed

Automate your AR process, improving productivity, reducing errors and Significantly speeding up your billing.

Let us know you’re interested

Just submit your email and phone number. We will then contact you shortly to book a meeting.

We’re here to discuss your case!

Heikki Pulli
Sales Director
heikki.pulli@opuscapita.com +358 50 386 6233
Heikki Pulli
Sales Director
heikki.pulli@opuscapita.com +358 50 386 6233
Heikki Pulli
Sales Director
heikki.pulli@opuscapita.com +358 50 386 6233
Heikki Pulli
Sales Director
heikki.pulli@opuscapita.com +358 50 386 6233

Speed up your digitalzation

Here is short recap on the why.