Erklärung zu den technischen und organisatorischen Maßnahmen

Frühere Versionen von dieser und anderen Richtlinien findest du in unserem Richtlinienarchiv(wird in einer neuen Registerkarte oder einem neuen Fenster geöffnet).

Diese Erklärung zu den technischen und organisatorischen Maßnahmen wird durch Verweis Teil unseres Datenverarbeitungszusatzes. In dieser Erklärung werden die Mindestsicherheitsstandards beschrieben, die Canva im Rahmen der Vereinbarung zu Abonnementdiensten(wird in einer neuen Registerkarte oder einem neuen Fenster geöffnet) auf seine Dienste anwendet. Großgeschriebene Begriffe, die in dieser Erklärung zu den technischen und organisatorischen Maßnahmen verwendet, aber nicht definiert werden, haben dieselbe Bedeutung wie im Datenverarbeitungszusatz(wird in einer neuen Registerkarte oder einem neuen Fenster geöffnet). Hierzu zählt auch der Begriff „Daten“ (der, um jeden Zweifel auszuschließen, auf Unternehmenskundendaten beschränkt ist, sofern in deiner Vereinbarung mit uns nichts anderes angegeben ist).

1. Maßnahmen zur Pseudonymisierung und Verschlüsselung personenbezogener Daten

Canva verschlüsselt Daten, die über öffentliche Netze zwischen Kunden und der Canva-Anwendung übertragen werden, mit TLS 1.2 oder höher. Die auf den Servern von Canva gespeicherten Kundendaten werden mit AES 256 oder höher verschlüsselt.


2. Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

Canva verfügt über Personal, das für die Überwachung der Sicherheit und die Einhaltung des Datenschutzes verantwortlich ist. Das Unternehmen hat Leiter für Sicherheit, Datenschutz und Daten ernannt sowie einen Ausschuss für Informationssicherheit eingerichtet, der vierteljährlich tagt, um die in seinen Risikoregistern aufgeführten Datenschutz- und Sicherheitsrisiken zu erörtern.


3. Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

Um die Verfügbarkeit des Dienstes zu gewährleisten, nutzt Canva Autoscaling von Amazon Web Services (AWS), AWS-Verfügbarkeitszonen, verschiedene Funktionen zur Überwachung von Anwendungen und Systemen sowie einen Anwendungssupport, der rund um die Uhr verfügbar ist.

Canva erstellt Backups der Datenspeicher, einschließlich der Kundendaten, um die Verfügbarkeit der Kernfunktionen seiner Anwendung sicherzustellen. Die Sicherungskopien und die Primärdaten werden geografisch getrennt gespeichert.

Canva legt Verfahren für die Reaktion auf Sicherheitsvorfälle fest, einschließlich eines dokumentierten Plans zur Gewährleistung der Sicherheit personenbezogener Daten. Dieses Dokument definiert, wie Sicherheitsvorfälle eingedämmt, gehandhabt, bewertet und gemeldet werden, und beschreibt die Rollen und Verantwortlichkeiten einzelner Mitarbeiter von Canva sowie die Anforderungen an die Nachbereitung von Sicherheitsvorfällen.


4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen, die die Verarbeitungssicherheit gewährleisten

Canva beauftragt einen spezialisierten externen Sicherheitstester mit der Durchführung eines jährlichen Penetrationstests seiner Anwendung und seiner Infrastruktur. Darüber hinaus setzt Canva einen Drittanbieter zum Aufspüren von Schwachstellen in der Anwendung ein und verfolgt ein öffentliches Bug-Bounty-Programm.


5. Maßnahmen zur Identifizierung und Autorisierung der Nutzer

Passwörter, die im Account des Kunden zur Authentifizierung gespeichert sind, werden von Canva mit einem Saltwert versehen und mit einer branchenüblichen Funktion gehasht. Canva unterstützt Single Sign On (SSO) über einen Kunden-Identitätsanbieter unter Verwendung der Security Assertion Markup Language (SAML).


6. Maßnahmen zum Schutz der Daten während der Übermittlung

Gemäß Punkt 1 verschlüsselt Canva Daten, die über öffentliche Netze zwischen Kunden und der Canva-Anwendung übertragen werden, mit TLS 1.2 oder höher.


7. Maßnahmen zum Schutz der Daten während der Speicherung

Gemäß Punkt 1 werden die auf den Servern von Canva gespeicherten Kundendaten mit AES 256 oder höher verschlüsselt.


8. Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

Das Hosting des Dienstes und die Speicherung der Daten erfolgen in Rechenzentren von Amazon Web Services (AWS). Canva ist daher auf die physischen, Umwelt- und Infrastrukturkontrollen von AWS angewiesen. Die Zertifizierungen und Bescheinigungen Dritter über die Wirksamkeit der Kontrollen in den AWS-Rechenzentren werden von Canva regelmäßig überprüft.


9. Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

Canva führt Aufzeichnungen über Sicherheitsaudits zu Anwendungen und Systemen. Die Auditprotokolle werden analysiert, um Anomalien zu identifizieren.


10. Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

Die Server von Canva werden nach einem branchenüblichen Standard gehärtet. Sicherheitspatches für die Server von Canva werden gemäß seinem Verfahren zum Schwachstellenmanagement aufgespielt.


11. Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit

Der Zugriff von Canva-Mitarbeitern auf Kundendaten erfolgt rollenbasiert und folgt dem Prinzip der geringsten Rechte. Die Mitarbeiter erhalten nur die Zugriffsrechte auf die Kundendaten, die sie benötigen, um ihre Aufgaben erfüllen zu können. Für den Remote-Netzwerkzugriff auf Canva-Systeme ist eine verschlüsselte Verbindung mit gesicherten Protokollen und die Verwendung einer Multi-Faktor-Authentifizierung erforderlich. Canva hat Verfahren für die Verwaltung der Passwörter seines Personals festgelegt, um sicherzustellen, dass Passwörter nicht mehrfach oder von Unbefugten verwendet werden. Zu den Mindestanforderungen gehören:

- kryptografischer Schutz von Passwörtern bei der Speicherung und Netzwerkübertragung

- Änderung voreingestellter Passwörter und

- Sensibilisierung für einen sicheren Umgang mit Passwörtern.

Mitarbeiter mit Zugang zu Produktivsystemen müssen sich mittels Multi-Faktor-Authentifizierung (MFA) anmelden.

Das Personal von Canva ist an eine Geheimhaltungsvereinbarung und eine Richtlinie zum Umgang mit personenbezogenen Daten gebunden. Canva verlangt von seinen Mitarbeitern, dass sie zu Beginn ihres Arbeitsverhältnisses und ab dann jährlich eine Schulung zum Thema Datensicherheit absolvieren. Darüber hinaus verlangt Canva von seinen Mitarbeitern, dass sie jährlich eine Schulung zum Thema Datenschutzrecht absolvieren (einschließlich der Bestimmungen von COPPA und FERPA in Bezug auf Schülerdaten).

Canva hat „Privacy by Design“ implementiert, einschließlich, aber nicht beschränkt auf, Datenschutz-Folgenabschätzungen.


12. Maßnahmen zur Zertifizierung/Qualitätssicherung von Prozessen und Produkten

Canva wird die Zertifizierung nach ISO 27001 beibehalten und sich regelmäßig externen Überwachungs- und Rezertifizierungsaudits unterziehen, um sicherzustellen, dass sein Managementsystem für Informationssicherheit (ISMS) die Anforderungen dieser Norm erfüllt.

Canva verfügt über eine Informationssicherheitsrichtlinie, die den Anforderungen der Norm ISO 27001 entspricht, ein internes Auditprogramm, das das ISMS und die Informationssicherheitskontrollen von Canva bewertet, und einen Verwaltungsausschuss, der für die Kontrolle des Managementsystems für Informationssicherheit (ISMS) von Canva verantwortlich ist.


13. Maßnahmen zur Gewährleistung der Datenminimierung

Canva gestattet Besuchern, gewisse Funktionen seiner Plattform anonym zu nutzen, und stellt sicher, dass die von Canva erfassten Kundendaten auf das für die Erbringung des Dienstes erforderliche Maß beschränkt sind.


14. Maßnahmen zur Gewährleistung der Datenqualität

Canva gewährleistet die Qualität seiner Daten durch Überprüfung der auf seiner Plattform canva.com registrierten E-Mail-Adressen. Darüber hinaus bietet Canva den Nutzern die Möglichkeit, die Daten in ihrem Account selbst zu aktualisieren oder sich diesbezüglich an den Kundensupport, nämlich das Customer Happiness Team, zu wenden.


15. Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung

Canva verfügt über eine Richtlinie zur Datenaufbewahrung, in der die Dauer der Speicherung von Daten verschiedener Kategorien auf der Grundlage der gesetzlichen Anforderungen, der berechtigten Interessen von Canva und der Zwecke der Datenerhebung festgelegt ist.


16. Maßnahmen zur Gewährleistung der Rechenschaftspflicht

Canva verfügt über lokale Vertreter im Europäischen Wirtschaftsraum und im Vereinigten Königreich. Der lokale Vertreter von Canva im Europäischen Wirtschaftsraum ist das Europäische Datenschutzamt (EDPO) mit Sitz in Avenue Huart Hamoir 71, 1030 Brüssel, Belgien. Unser regionaler Vertreter im Vereinigten Königreich ist das Europäische Datenschutzamt UK (EDPO UK) mit Sitz in 8 Northumberland Avenue, London WC2N 5BY, Vereinigtes Königreich. Für Verarbeitungstätigkeiten mit hohem Risiko werden Datenschutz-Folgenabschätzungen durchgeführt. Darüber hinaus führt Canva interne Aufzeichnungen über seine Verarbeitungstätigkeiten.


17. Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

Canva verfügt über einen automatisierten Prozess zur Löschung von Kundendaten auf Anfrage innerhalb von 28 Tagen und ermöglicht das Herunterladen von Kundendaten, sodass sie anderen Dienstanbietern zur Verfügung gestellt werden können.


Andere Richtlinien