Pilotkunde werden
 

Sicherheit

Der Schutz und die Sicherheit Ihrer Daten hat bei goalio oberste Priorität. Neben den rechtlichen Bestimmungen ist es für uns ein persönliches Anliegen die Daten Ihres Vereins und Ihrer Mitglieder zu schützen.  Dabei setzt goalio auf ein ganzheitliches Konzept, welches alle Aspekte dieser komplexen Anforderung berücksichtigt. 

Leider haben viele Dienste das Vertrauen ihrer Benutzer hinsichtlich des Datenschutzes verloren. Damit Sie wissen, dass Ihre Daten bei goalio in guten Händen sind, stehen wir Ihnen jederzeit gerne Rede und Antwort.  Um Ihnen ein Gefühl zu geben, welche Maßnahmen wir ergreifen, haben wir die wesentlichen Punkte für Sie auf dieser Seite zusammengefasst.  Sollten Fragen offen bleiben  finden Sie hier Möglichkeiten um mit uns in Kontakt zu treten.

Zugriffskontrolle

Ein mehrstufiges Sicherheitssystem sorgt dafür, dass im Verein auch nur die Personen auf Daten zugreifen können, die dies auch dürfen. Der Abteilungsleiter kann die Mitgliedsdaten der Personen seiner Abteilung einsehen, nicht aber beispielsweise die Bankdaten. Dies ist dem Kassenwart vorbehalten. Ein Trainer sieht nur relevante Kontaktdaten von Spielern seiner Mannschaften usw. Auch Spieler können ohne Bedenken einen Zugang zu goalio bekommen um ihre eigenen Daten, wie die Anschrift oder Telefonnummer, zu editieren.

Die gewährten Zugriffsrechte können beliebig angepasst werden um eine optimale Abbildung Ihrer Kompetenzen im Verein zu erreichen. Um gleichzeitig eine einfache Verwaltung und eine granulare Rechtevergabe zu ermöglichen wurden die Stärken von verschiedenen Systemen kombiniert: Die nötige Flexibilität wird durch ein rollenbasiertes System garantiert, welches um „überwachende“ Rollen für Funktionen wie Trainer, Kursleiter, u.a. erweitert wurde. Zudem können für JEDEN Datensatz im System eigene Zugriffsrechte (sogenannte Access-Control-Lists) angelegt werden.

Die Zugriffskontrolle ist bei jeder Anfrage an das System von goalio aktiv. Selbst Dokumente oder Bilder die über einen Link auf goalio zur Verfügung gestellt werden, sind ohne Zugriffsberechtigung nicht abrufbar.

Rechenzentrum

Im Gegensatz zu dem aktuellen Trend des anonymen „Cloud Computing“ setzt goalio auf einen traditionellen Ansatz und speichert die Daten ausschließlich in einem zertifizierten Rechenzentrum in Deutschland. Dieses unterliegt, wie auch goalio selbst, den umfassenden deutschen Datenschutzgesetzen. Selbstverständlich ist das Rechenzentrum durch Überwachung, Zutrittskontrolle, Brandschutzanlage, doppelte Notstromversorgung und zahlreiche weitere Maßnahmen geschützt. Nähere Informationen zu unserem Rechenzentrum finden Sie hier.

Isolation

Obwohl die goalio Vereinsorganisation gleichzeitig von mehreren Vereinen genutzt wird, erfolgt die Datenverarbeitung für jeden Verein isoliert. Jeder Verein erhält eine eigene Datenbank mit eigenen Zugangsdaten - So existiert praktisch eine persönliche Installation für Ihren Verein.  Es besteht keine Möglichkeit auf Daten einer anderen Installation zuzugreifen. So können wir sicherstellen, dass selbst bei Missbrauch oder bei einem Fehlerfall innerhalb eines anderen Vereins Ihre Daten weiterhin sicher sind.

Datenschutz

Hinsichtlich des Datenschutzes nimmt Deutschland international eine Vorreiterrolle ein. Wir garantieren Ihnen selbstverständlich vertraglich, die Einhaltung des Bundes Datenschutz Gesetzes (BDSG). Hierzu gehören u.a. Zugang-, Zutritts- und Zugriffskontrolle, sowie insbesondere die Einhaltung des Datengeheimnisses. Eine detaillierte Liste finden sie in der Anlage des BDSG (Hier abrufbar).

Neben den auf dieser Seite beschriebenen technischen Maßnahmen, sind alle Mitarbeiter, sowie der Betreiber des Rechenzentrums explizit zur Einhaltung des Datengeheimnisses verpflichtet. Bitte beachten Sie, dass auch alle Mitglieder Ihres Vereins, die Zugriff auf personenbezogene Daten haben, laut BDSG zur Einhaltung des Datengeheimnisses verpflichtet werden müssen. Dazu gehört u.a. der Umgang mit gedruckten Spieler- und Teilnehmerlisten. Hierzu steht Ihnen in der goalio Vereinsorganisation sowohl eine Vorlage als auch die Möglichkeit zur Verwaltung der Verpflichtungen zur Verfügung.

Datensicherung

Zu dem Schutz Ihrer Daten gehören selbstverständlich auch Vorkehrungen gegen den Verlust Ihrer Daten. Hierzu werden in allen verwendeten Servern mindestens zwei Festplatten verbaut, auf denen die Daten gespiegelt werden. So können bei Ausfall einer Festplatte die Daten direkt von der anderen gelesen werden.

Eine vollständige Datensicherung erfolgt täglich durch ein spezialisiertes System des Rechenzentrums. Im Falle eines Totalausfalls, können die goalio Server innerhalb kürzester Zeit wiederhergestellt werden. Zusätzlich werden alle Vereinsdaten mehrmals täglich gesichert, sodass goalio unabhängig vom System des Rechenzentrums ist und gleichzeitig einen kurzfristigen Schutz gegen Fehler und Fehlbedienungen bietet.

Natürlich haben Sie auch jederzeit die Möglichkeit eine eigenständige Sicherung Ihrer Daten vorzunehmen.

Verschlüsselung

Es gibt Daten die einer besonderen Sorgfalt bedürfen. Hierzu gehören zweifelsohne die Benutzerpasswörter von goalio. Durch spezielle mathematische Funktionen wird sichergestellt, dass das Passwort niemals im Klartext gespeichert wird und nicht rekonstruiert werden kann.

Für besonders sensible Daten, wie z.B. Kontonummern, bietet goalio die Möglichkeit diese verschlüsselt zu speichern. Hierzu ist die Eingabe eines weiteren Passworts zur Entschlüsselung der Daten notwendig.

Beide Verfahren sind so sicher, dass es selbst für uns als Betreiber nicht möglich ist das Passwort zu rekonstruieren bzw. ohne Passwort die sensiblen Daten zu entschlüsseln. Bei allen verwendeten Verschlüsselungsverfahren kommen ausschließlich bewährte kryptografische Algorithmen zum Einsatz die auch beim Onlinebanking genutzt werden. Durch verschiedene Parameter wird die Stärke der Verschlüsselung sogar noch darüber hinaus gesteigert.

Für die Techniker: Die Passwort-Hashes werden mit Bcrypt mit einem Kostenfaktor von 14 generiert. Für die Verschlüsselung wird AES mit einer Schlüssellänge von min. 256 Bit verwendet.

Angriffe

Eine wachsende Bedrohung ergibt sich durch zahlreiche Schädlinge im Netz und Professionalisierung der Angriffsmethoden. Die goalio Server sind hierzu selbstverständlich mit Firewalls und Virenscannern geschützt und werden kontinuierlich hinsichtlich ihrer Funktionsweise und Verbindungen von außen überwacht

Die Software wurde unter Berücksichtigung der möglichen Angriffsmethoden entwickelt. Hier gehören unter anderem die Validierung aller Eingaben, das Escaping aller Ausgaben, Schutz gegen CSRF-Angriffe und natürlich Schutz gegen SQL-Injection. Zusammengefasst kann kein schadhafter Code ins System gelangen und auch kein schadhafter Code ausgegeben werden.

Zum Schutz der Benutzer von goalio kann das System nur über HTTPS (SSL) aufgerufen werden. Dabei handelt es sich um eine verschlüsselte Verbindung zwischen dem Browser des Benutzers und dem Server von goalio. Der Datenverkehr ist für Dritte nicht lesbar und kann nicht manipuliert werden.

Ein Schwachpunkt jedes Systems sind die Passwörter der Benutzer. Hierzu nutzt goalio zum einen eine starke Verschlüsselung, zum anderen wird der Benutzer bei der Wahl eines sicheren Passworts unterstützt. Hierbei sind wir der Meinung, dass ein Passwort nicht zwingend aus einer langen, willkürlichen Zeichenkombination besteht muss, die sich niemand merken kann. Wir nutzen daher ein alternatives Verfahren zur Bewertung der Sicherheit ihres Passworts (Mehr Informationen in Englisch hier).

Datenschutz