Paperless wird in Deutschland programmiert und gehostet. Unsere oberste Priorität ist der Schutz Deiner Daten.
Gehostet in Deutschland: Paperless ist einer der wenigen Anbieter, der ausschließlich auf deutschen Servern hostet.
Server-Standort: Unsere Server befinden sich in Nürnberg und Falkenstein im Vogtland innerhalb der Europäischen Union. Das garantiert, dass die Daten unserer Kunden und Nutzer niemals die EU verlassen.
Sicherheit des Rechenzentrums: Die technischen Einrichtungen sind nach ISO/IEC 27001 zertifiziert. Die ISO/IEC 27001 ist ein international anerkannter Standard zur Bewertung der Sicherheit von Informations- und IT-Umgebungen.
EU-Datenschutzgesetze: Dass Daten nie die EU verlassen, ist entscheidend für "Schrems II"-konforme Datenverarbeitung und -schutz. Paperless nutzt daher ausschließlich Unterauftragnehmer, z. B. für die Server Infrastruktur, welche Ihren Sitz in der EU haben und über welche keine Kontrolle aus dem EU-Ausland ausgeübt werden kann.
Elektronische Signaturen sind in den meisten Ländern (auch in den USA und der Europäischen Union) rechtlich anerkannt. In der EU sind sie in der eIDAS-Verordnung Nr. 910/2014 verankert und werden durch landesspezifische Gesetze umgesetzt. In Deutschland z. B. zielt das sogenannte Vertrauensdienstegesetz (VDG) darauf ab, die Nutzung elektronischer Vertrauensdienste zu erleichtern.
Alle Paperless-Dokumente enthalten eine detaillierte, vollständige und nachvollziehbare Beschreibung aller Vorgänge, die während des Lebenszyklus des Dokuments durchgeführt werden (z. B. Versand, Datenübermittlung, Unterzeichnung, Abschluss, Versiegelung). Erfasst werden das Datum und die Uhrzeit der Vorgänge, die Art des Vorgangs, wichtige Daten über die Beteiligten und über die Sitzungen.
Der Audit Trail enthält ein digitales Zertifikat, das die Revisionssicherheit für alle mit Paperless erstellten und signierten Dokumente gewährleistet.
Durch die Kodierung eines dateispezifischen Hashs und das Erstellen eines kryptografischen Siegels wird jegliche Nachbearbeitung des abgeschlossenen Dokuments verhindert. Paperless kann die Integrität eines bestimmten Dokuments prüfen, indem der Hash des Dokuments mit dem auf den Servern von Paperless sicher gespeicherten Hash verglichen wird.
Der Paperless Audit Trail enthält zusätzlich eine Zertifizierung über die Herkunft des Dokuments und weitere Mittel zur Überprüfung der Authentizität eines bestimmten Dokuments.
Paperless bietet mehrere Authentifizierungsoptionen für Unterzeichner, darunter einen sicheren Link per E-Mail oder die direkte Integration in bestehende Sicherheitslösungen.
Alles, was an die Server von Paperless gesendet wird, wird unverfälscht und systematisch erfasst. Alle Metadaten wie User-Agents, IP-Adressen und Zeitstempel werden bis auf die Millisekunde genau protokolliert.
Alle von Empfängern und Unterzeichnern eingegebenen Daten werden sowohl auf der Client- als auch auf der Serverseite auf Vollständigkeit, Integrität und Korrektheit geprüft.
Alle Daten und persönlichen Informationen, die an oder von Paperless gesendet werden, werden während der Übertragung mittels einer dem Industriestandard entsprechenden 256-Bit-Verschlüsselung mit einem 2.048-Bit-RSA-Schlüssel verschlüsselt.
Benutzerverwaltung: Automatische Benutzer (De-)Provisionierung über SCIM und Benutzerauthentifizierung über Single Sign-On (OAuth / OpenID Connect / AD FS) für hervorragende Sicherheits-Compliance.
Zugriffsverwaltung: Mit der rollenbasierten Zugriffskontrolle (RBAC) können nur ausgewählte Mitarbeiter innerhalb des Unternehmens und genehmigte Integrationen auf Informationen in Paperless zugreifen.
Passwort-Richtlinien: Strenge Regeln für die Stärke von Passwörtern bieten ein hohes Maß an Schutz vor unbefugtem Zugriff.
SLA: Service Level Agreements zur Verfügbarkeit: Die uneingeschränkte Verfügbarkeit der Plattform ist uns ein großes Anliegen und wird deshalb durch ein Service Level Agreement abgesichert.
Zugangskontrolle: Basierend auf dem Prinzip der geringsten Berechtigung ist der gesamte Systemzugang auf eine minimale Anzahl von Mitarbeitern beschränkt. Dabei ist für den Zugriff auf alle kritischen Systeme eine mehrstufige Authentifizierung erforderlich.
Physische Sicherheit: Rund um die Uhr Überwachung vor Ort mit strengen physischen Zugangskontrollen, wie z. B. Zugang mit Ausweis und bemannte öffentliche Eingänge, die den Branchenstandards entsprechen.
Schulung: Alle Paperless-Mitarbeiter werden regelmäßig zu Sicherheits- und Datenschutzthemen wie Datenverarbeitung und -speicherung, DSGVO-Compliance oder Angriffsmöglichkeiten für Social Engineering geschult.
Code-Review: Wir setzen formale Code-Reviews für den gesamten Anwendungscode durch, um die Wahrscheinlichkeit von Bugs mit möglichen Sicherheitsauswirkungen zu minimieren.
Protokollierung: Jeder Zugriff auf Paperless wird protokolliert und sechs Monate lang gespeichert, danach wird er automatisch DSGVO-konform gelöscht. Die Aktivitäten zur Einreichung von Dokumenten werden auf unbestimmte Zeit gespeichert und in den Audit Trail aufgenommen.
Automatisierte Tests: Es werden kontinuierlich einige tausend automatisierte Softwaretests durchgeführt, um Bugs zu erkennen und das Risiko von Software-Fehlern zu minimieren.
Überwachung: Die aktive Überwachung der gesamten Hardware, des Netzwerks, der Plattformanwendungen und der Tools gewährleistet die hohe Verfügbarkeit und Leistungsfähigkeit von Paperless. Mit umfangreicher Fehlerberichterstattung und -verfolgung wird jedes auftretende Problem automatisch an unser technisches Team gemeldet. Ein automatisiertes 24/7-Alarming garantiert, dass wir im Falle eines Problems sofort mit der Behebung des Problems beginnen.
Pentesting: Die Prüfung und Validierung der Plattform-Sicherheit durch einen externen Penetration Tester zum weiteren Schutz der Lösung vor Angriffen und Sicherheitsverletzungen ist für Q1/22 geplant.
Sicherheits- oder Datenschutzschwachstelle melden: Alle Formen der verantwortungsvollen Offenlegung sind willkommen. Dies gilt auch für alle in Paperless-Produkten gefundenen Schwachstellen. Je nach Schwere des Problems können wir ein Bug Bounty ausschreiben (bitte habe Verständnis dafür, dass wir noch ein junges Unternehmen mit begrenzten Ressourcen sind). Gefundene Schwachstellen oder jede andere Anfrage zur Produktsicherheit können bei security@paperless.io gemeldet werden.