Überspringen und weiter zum Hauptinhalt
Trust Center

Überblick Sicherheit

Security Überblick

Das Docusign Programm für Informationssicherheit in Unternehmen (Enterprise Information Security Program) ist ein integraler Bestandteil unserer globalen Aktivitäten. Informationssicherheit ist Teil unserer DNA und bei unseren Mitarbeitern, Prozessen und Technologien fest verankert.

Unser Ansatz ist einfach: Jeder Mitarbeiter ist für die Informationssicherheit verantwortlich, einschließlich des Schutzes von:

  • Docusigns eigenem Informationsgut

  • Informationen von Kunden und Partnern

  • Der zugrunde liegenden technologischen Infrastruktur, die in Docusign-Umgebungen erzeugt, verarbeitet und gespeichert wird

Wir gewährleisten die Sicherheit der Kundendaten außerdem, indem wir unseren Mitarbeitern nur während laufender Wartungsarbeiten in der Docusign Produktionumgebung Zugriff gewähren. Mitarbeiter mit dieser Zugangsberechtigung durchlaufen eine zusätzliche Informationssicherheitsschulung.

Als Unternehmen haben wir außerdem stark in folgende Bereiche investiert:

  • Die Aufrechterhaltung und den Ausbau unserer Fähigkeiten in den Bereichen Bedrohungsintelligenz und Cybersicherheit

  • Den Aufbau eines speziellen Compliance-Teams, das selbstständig sicherstellt, dass unser Informationssicherheits-Programm nationale und internationale Sicherheitsstandards erfüllt oder übertrifft und den Best Practices der Branche folgt

  • Die Unterstützung von Mitarbeitern in allen Bereichen der Informationssicherheit durch engagierte Fachexperten

Darüber hinaus werdenunsere Applikationen jährlich von unabhängigen Audits auf die Einhaltung und Zertifizierung von Industriestandards geprüft, um sicherzustellen, dass unser Programm die strengsten Sicherheitsanforderungen nicht nur erfüllt, sondern übertrifft.

Produktsicherheit

Die Risikobereitschaft ist von Unternehmen zu Unternehmen unterschiedlich und hängt sowohl von der Branche, in der das Unternehmen tätig ist, als auch von den entsprechenden rechtlichen und regulatorischen Anforderungen ab. Dies berücksichtigen wir bei Docusign. Deshalb werden alle unsere Produkte mit dem Fokus auf Sicherheit erforscht, entworfen und entwickelt, und so konzipiert, dass der Sicherheitsstandard angepasst werden kann. Die Docusign-Lösungen wurden entwickelt, um die Sicherheit von Daten im Standby-Modus und bei der Übertragung zu erhöhen, und ermöglicht es Ihnen, die Sicherheitseinstellungen so zu konfigurieren, dass sie Ihren Anforderungen an das Sicherheitsrisiko für den Zugriff, die Verwaltung und den Austausch von Daten entsprechen. Darüber hinaus wird jedes Docusign-Produkt in unserer vertrauenswürdigen Plattform strengen Sicherheitsüberprüfungen und -überwachungen unterzogen, um sicherzustellen, dass Ihre Daten sicher und geschützt bleiben.

Umfassende Sicherheit bei der Nutzung von Docusign

Diese Grundlage bietet unseren Kunden und ihren Daten durchgängige Sicherheit:

Vertraulichkeit: Kundeninformationen bleiben vertraulich, auch gegenüber Docusign – Kundendokumente und -daten sind privat und der Zugriff wird durch den Arbeitsprozess kontrolliert.

Integrität: Die Unversehrtheit und der Schutz vor Fälschungen jedes Dokuments ist sichergestellt.

Verfügbarkeit: Docusigns replizierte, geografisch verteilte Infrastruktur liefert durchgehend eine hohe Verfügbarkeit und bietet die Gewissheit, dass unser Service immer dann zur Verfügung steht, wenn Kunden ihn benötigen.

Authentizität: Kunden können sich auf die Authentizität der Unterzeichner durch die vielschichtige Überprüfung der Unterzeichnungsereignisse verlassen.

Offenlegung: Alle Formen der verantwortungsvollen Offenlegung werden begrüßt. Dies schließt alle in Docusign-Produkten gefundenen Schwachstellen ein. Sie können Ihren Hinweis über unser Programm zur Offenlegung von Schwachstellen einreichen. Für alle anderen Fragen zur Produktsicherheit können Sie sich gerne an security@docusign.com. wenden.

FAQ

Was ist ein Prüfprotokoll und wie wird es eingerichtet?

Das Abschlusszertifikat (Certificate of Completion) enthält Informationen zur Identifizierung des Umschlags und vollständige Angaben zu den Ereignissen des Umschlags. Jeder Umschlag hat sein eigenes Abschlusszertifikat. Die Informationen im Abschlusszertifikat sind in allgemeine Umschlagdetails, Empfängerereignisse und den Umschlag zusammenfassende Ereignisse unterteilt.

Wenn ein Empfänger eines Umschlags der rechtlichen Offenlegung des Absenderkontos zustimmt, wird dieses an das Abschlusszertifikat angehängt und das Datum der Zustimmung wird aufgeführt. Je nach den Kontoeinstellungen über die rechtliche Offenlegung kann dieses Datum vom Datum der Unterzeichnung abweichen. So etwa in dem Fall, dass die Kontoeinstellung nur für den ersten vom Konto unterzeichneten Umschlag die Zustimmung zu der Offenlegung erfordert und der Empfänger zuvor einen Umschlag erhalten und das Offenlegungserfordernis erfüllt hat. Wenn die rechtliche Offenlegung aufgrund der Kontoeinstellungen nicht erforderlich war oder wenn eine Unterzeichnerin oder ein Unterzeichner Mitglied des Absenderkontos ist, wird es als “Nicht über Docusign angeboten” aufgeführt und ist nicht an das Abschlusszertifikat angehängt. Weitere Details zu den wichtigsten Bereichen eines Abschlusszertifikats finden Sie hier.

Wie verwalten sie Daten? Sind Verträge sicher?

Wir implementieren beständige Maßnahmen für das Datenmanagement und die Datensicherheit wie Verschlüsselung und Zugangskontrollen, um sensible Kundeninformationen zu sichern.

Datenresidenz: Wo werden meine Daten gespeichert?

Kunden werden darauf hingewiesen, dass es im Allgemeinen zwei Arten von “Daten” innerhalb des Docusign- Systems gibt; (1) eDocument-Daten und (2) Transaktionsdaten oder Metadaten. Die Unterscheidung ist entscheidend für das klare Verständnis, wo die Daten gespeichert werden.

eDocuments sind die Dokumente, die vom Kunden an das System übermittelt werden. Sie werden verschlüsselt gespeichert, und kein Docusign-Mitarbeiter hat Zugriff auf sie. Beim Onboarding hat der Kunde die Möglichkeit, den Ort auszuwählen, an dem sein Dokument gespeichert werden soll: USA, Europa (EU), Kanada (CA) oder Australien (AU). Einmal ausgewählt, verbleiben die eDokumente immer an dem gewählten Ort, es sei denn, sie werden vom Kunden oder von einem Empfänger, dem der Kunde Zugang gewährt hat, heruntergeladen. Der Ort, an dem sich das Dokument befindet, liegt daher immer im Kontrollbereich des Kunden. Wenn ein Kunde einem Empfänger Zugang zu einem elektronischen Dokument gewährt, sendet das System nicht das Dokument selbst. Das System sendet einen Link, der den Empfänger zu dem Ort führt, an dem sich das Dokument befindet. Daher kann der Kunde sicher sein, dass der Speicherort des Dokuments immer unter der Kontrolle des Kunden als Verantwortlichen ist.

Was Transaktionsdaten oder Metadaten betrifft, so teilt oder verschiebt Docusign diese Daten außerhalb des vom Kunden für seine eDokumente gewählten Standorts. Diese Metadaten beschränken sich auf das Minumum und inkludieren lediglich den Vor- und Nachnamen, den angegebenen geografischen Standort und die IP-Adresse. Docusign teilt diese Informationen über sein eigenes Netzwerk (US, NA, CA und AU), um sicherzustellen, dass ein weltweiter Service angeboten werden kann. Da das Dokument immer an dem vom Kunden gewählten Ort verbleibt und nur Links zu diesem Dokument an die Empfänger gesendet werden, verwendet Docusign die minimale Menge an Metadaten, um sicherzustellen, dass ein Empfänger, dem Zugang gewährt wurde, von überall auf der Welt zu einem Dokumenten-Speicherplatz geleitet werden kann. Wenn zum Beispiel ein Kunde, der seine eDokumente in Europa aufbewahrt, jemandem Zugang gewährt, der dann versucht, auf das in der EU befindliche Dokument von einem Ort außerhalb der EU, z.B. in Südamerika, zuzugreifen, dann kann dieser Empfänger anhand der Metadaten, die Docusign in seiner globalen Infrastruktur speichert, von Südamerika nach Europa geleitet werden.

Wie lange werden Kundendaten gespeichert?

Gemäß den Vertragsbedingungen speichert Docusign die Kundendaten so lange, wie der Vertrag besteht. Nach Beendigung des Vertrags kann Docusign die Kundendaten nach 90 Tagen löschen und wird die Transaktionsdaten so lange aufbewahren, wie dies für den geschäftlichen Zweck notwendig ist.

Kann von Docusign sichergestellt werden, dass keine Daten die EU verlassen?

Für Docusign eSignature gilt:

Docusign ermöglicht es Kunden, Dokumente in der Region zu speichern, in der ihr Docusign-Konto ursprünglich erstellt wurde. Diese Dokumente bleiben in einem verschlüsselten Format innerhalb des vom Kunden gewählten geografischen Standorts gespeichert und sind so konzipiert, dass sie für Docusign-Mitarbeiter unzugänglich sind. Da Docusign in begrenztem Umfang personenbezogene Daten des Kunden zum Zwecke der sicheren Authentifizierung der Benutzeridentität auf seinen Servern weltweit speichert, kann die rechtmäßige geschäftliche Nutzung der Docusign-Dienste durch den Kunden daher zur Übertragung einiger begrenzter personenbezogener Daten (d.h. Name und E-Mail-Adresse) außerhalb der geografischen Region des Kunden führen. Speziell für eSignature können Metadaten zu eSignature-Vorgängen, die einzelnen Nutzern zugeordnet sind, zwischen geografischen Regionen übertragen werden.

Illustrativer Anwendungsfall: Peter Schmidt (ein bestehender Nutzer eines in der EU eingerichteten Docusign eSignature-Kontos) sendet ein Dokument an Jane Anderson (eine bestehende Docusign eSignature-Nutzerin, die ein Konto in Australien hat). In diesem Fall werden die Benutzerdaten von Peter Schmidt zwischen der EU und Australien ausgetauscht, um Jane zu benachrichtigen, dass ein Dokument zur Unterzeichnung bereit liegt. Die Benachrichtigung enthält einen Link, über den Jane auf das Dokument zugreifen und es elektronisch unterzeichnen kann, wobei die Daten in der EU verbleiben. Wenn Jane das Dokument unterzeichnet, werden begrenzte personenbezogene Daten (z. B. Benutzername und E- Mail-Adresse) an das Datenzentrum zurückgeschickt, in dem das Dokument gespeichert ist (d. h. in der EU). Diese Transaktionsmetadaten, die begrenzte personenbezogene Daten sowohl des Absenders als auch des Empfängers enthalten, und der Abschluss des Unterzeichnungsvorgangs führen zu einem Abschlusszertifikat, d. h. zu einem überprüfbaren Prüfpfad für die Unterzeichnung des Dokuments. 

Für Docusign CLM gilt:

Docusign ermöglicht es Kunden, Dokumente in den Regionen zu speichern, in denen ihr CLM-Konto ursprünglich erstellt wurde, sowie in der entsprechenden Backup-Umgebungsregion (z. B. EU und Großbritannien als gepaarte Regionen). Docusign speichert begrenzte Daten zur Kontoidentität. Um eine globale Benutzererfahrung zu ermöglichen, werden einige minimale Daten zur Kontoidentität zwischen den regionalen Instanzen des Docusign CLM-Dienstes ausgetauscht. Die zwischen den Regionen ausgetauschten Daten zur Kontoidentität beschränken sich auf das Minimum (Name, Benutzer-ID und E-Mail), das für die Authentifizierung des Benutzers und die Zuordnung des Benutzers zum entsprechenden Docusign CLM-Konto und zur Rechenzentrumsregion erforderlich ist. Ausführlichere Informationen finden Sie im Dokument “Transfer Impact Assessment” im Privacy Pack, das Sie auf Anfrage von Ihrem Vertriebs-oder Kundenbetreuer erhalten können. Docusign führt auch interne Compliance-Aufzeichnungen über die Datenverarbeitungsaktivitäten, die wir im Namen eines Kunden in Übereinstimmung mit dem geltenden Datenschutz durchführen

Ist die Lösung jederzeit verfügbar und wird Support rund um die Uhr zur Verfügung gestellt (24/7)?

Ja, Docusign-Lösungen und der dazugehörige Support sind rund um die Uhr verfügbar. Wenn Sie Support benötigen, der über das Angebot des Support Centers hinausgeht, z. B. telefonische Unterstützung oder eine schnellere Bearbeitung Ihrer Anfragen, fragen Sie bitte Ihre Vertriebsansprechpartnerin oder Ihren  Vertriebsansprechpartner nach unseren Docusign-Support-Plänen.

Bitte beschreiben Sie die Tools und Prozesse, mit denen der Kunde die Betriebsstabilität der Systemumgebungüberprüfen kann.

Docusign ist so konzipiert, dass es bei Katastrophenereignissen zu keinerlei Datenverlusten kommt und verfügt über eine eingebaute Redundanz. Sehen Sie sich die Docusign-Systemstatustabelle an.

Wie kann ich Vorfälle melden?

Vertrauen hat höchste Priorität, und Benachrichtungen über verdächtige Aktivitäten werden ernst genommen. Es ist von essenzieller Bedeutung, dass uns Sicherheitsbedenken mitgeteilt werden, um sicherzustellen, dass die Probleme rechtzeitig und angemessen angegangen werden. In der Kurzanleitung für Meldungen finden Sie den richtigen Meldekanal für jedes Sicherheitsproblem.

Docusign kategorisiert die Berichtsoptionen wie folgt:

  • Nachahmung von Docusign

  • Unsachgemäße Verwendung von Docusign

  • Andere Sicherheitsbedenken

Wie kann ich Phishing vermeiden? Gibt es dafür Best Practices?

Unsere Kunden sind die wichtigste Instanz zur Vermeidung von Cybersecurityrisiken. Die schnelle Erkennung von Cybersecurityrisiken verringert die Möglichkeit negativer Konsequenzen. Die folgenden Informationen erklären, wie man Cybersecurityrisiken durch Imitationen (auch Spoofing genannt) erkennt und sie dem Informationssicherheitsteam von Docusign zur Untersuchung meldet. Richtlinien zur Erkennung von gefälschten E-Mails und Websites.

Docusign hat je nach Art der Bedrohung spezielle Channel eingerichtet: (1) Gefälschte Docusign-E-Mails und -Webseiten: Wenn Sie glauben, dass Sie eine betrügerische E-Mail erhalten haben, die angeblich von Docusign stammt, leiten Sie die gesamte E-Mail als Anhang an spam@docusign.com weiter und löschen Sie sie sofort. Wenn Sie eine Website erkennen, die Docusign imitiert, kopieren Sie bitte die URL und fügen Sie sie zur Untersuchung in eine E-Mail an spam@docusign.com ein. (2)  Andere Sicherheitsrisiken im Zusammenhang mit Docusign: Zur Unterstützung der Informationssicherheit von Docusign und zur Aufklärung von Bedrohungen melden Sie bitte Sicherheitsvorfälle und Bedrohungen der Docusign-Plattform an security@docusign.com

Wenn Kunden nur den Docusign-Endpunkt zulassen müssen, gelten die hier aufgeführten IP-Adressen.

Wo sind Ihre STAPs?

Das “Security & Trust Assurance Pack” (STAP) von Docusign ist als Selbstbedienungsoption auf der Trust-Webseite verfügbar.

Wie lauten Ihre verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR)?

Docusign unterhält sowohl als Auftragsverarbeiter als auch als Verantwortlicher verbindliche interne Datenschutzvorschriften (BCR), die von den Datenschutzbehörden der Europäischen Union genehmigt wurden. Die BCR, die als Goldstandard für den Datenschutz gelten, sind ein strenges Regelwerk für die Mitglieder der Docusign-Unternehmensfamilie und spiegeln die Relevanz und das Engagement in Bezug auf das Thema Datenschutz wider, das Docusign seinen Kunden, Mitarbeitern und anderen Geschäftskontakten entgegenbringt.

Was sind BCR und wann sind sie anwendbar?

Gemäß Artikel 44 der Europäischen Datenschutzgrundverordnung 2016/679 (DSGVO) kann jede Übermittlung personenbezogener Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums nur dann stattfinden, wenn dieses Drittland ein angemessenes Datenschutzniveau gewährleistet. Dieses Datenschutzniveau kann durch verschiedene Übermittlungsmechanismen nachgewiesen werden. Zum einen kann die EU-Kommission einen Angemessenheitsbeschluss erlassen, der die Angemessenheit des Datenschutzniveaus in einem bestimmten Land bestätigt. Zum anderen ist der Abschluss sogenannter Standardvertragsklauseln (Standard Contractual Clauses, SCC) zwischen dem Absender und dem Empfänger der Daten gemäß Artikel 46 Abs.2 lit. c) DSGVO möglich. Eine andere, komplexere und anspruchsvollere Möglichkeit, ein umfassendes und angemessenes Datenschutzniveau zu gewährleisten, sind die verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules, BCR) gemäß Artikel 46 Abs. 2 lit. b) DSGVO. Die folgenden Informationen beziehen sich auf diesen Übermittlungsmechanismus.

BCR sind ein umfassender Satz von Standards für die Sicherheit und den Schutz Personenbezogener Daten gemäß den Anforderungen der Datenschutz-Grundverordnung, die von verbundenen Unternehmen oder Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, formell angenommen werden. BCR müssen von einer EU-Aufsichtsbehörde offiziell genehmigt werden, um als rechtmäßiger internationaler Übermittlungsmechanismus gemäß Artikel 47 DSGVO anerkannt zu werden (wie weiter unten erläutert). Bei Docusign dienen BCR als starker und effektiver globaler Datentransfermechanismus, den Docusign innerhalb seiner globalen Data-Governance-Struktur implementiert hat, um alle Docusign-Mitglieder in Bezug auf die sichere Verarbeitung personenbezogener Daten unabhängig vom geografischen Standort zu verpflichten.

Wenn ein europäischer Kunde als Verantwortlicher einen Vertrag mit einem BCR-Mitglied von Docusign abschließt, um die Dienste von Docusign zu nutzen, decken die Datenverarbeitungsbedingungen in der maßgeblichen Dienstleistungsvereinbarung zwischen Docusign und dem Kunden alle Verarbeitungstätigkeiten von Docusign-Mitgliedern im Auftrag des Kunden gemäß den Anforderungen der BCR von Docusign ab. Docusigns BCR für Auftragsverarbeiter (die “Processor Policy”) werden in die geltende Docusign-Dienstleistungsvereinbarung zwischen Docusign und einem Kunden aufgenommen und bieten weitere Zusicherungen von Docusigns Verpflichtung zu spezifischen Regeln für die Sicherheit und den Schutz personenbezogener Daten im Rahmen der Unternehmensführung. Docusign wendet die in der Auftragsverarbeiter-Richtlinie enthaltenen Standards weltweit auf alle Mitglieder der Docusign-Gruppe an, wenn sie personenbezogene Daten verarbeiten, unabhängig vom Herkunftsland, dem Land, in dem sie verarbeitet werden, oder dem Land, in dem das Mitglied der Docusign-Gruppe seinen Sitz hat.

Darüber hinaus übernimmt der Auftraggeber von Docusign die Haftung für jegliche Verletzung unserer Standards durch Handlungen einer anderen Unternehmenseinheit von Docusign oder eines externen Unterauftragsverarbeiters außerhalb der EU oder des Vereinigten Königreichs. Wenn ein in der EU ansässiger Kunde sich dafür entscheidet, einen Dienstleistungsvertrag mit einer in Europa ansässigen Docusign-Unternehmenseinheit abzuschließen oder wenn Sie sich für die Bereitstellung ihrer Docusign-Dienste in einem in der EU ansässigen Rechenzentrum entscheiden, ist für die ursprüngliche Übermittlung an Docusign kein zusätzlicher Übermittlungsmechanismus erforderlich, da es sich bei dieser Datenübermittlung um eine Datenübermittlung innerhalb der EU handelt und der Zielstaat somit zwangsläufig ein angemessenes Datenschutzniveau aufweist. Darüber hinaus sind Erstübermittlungen aus dem Vereinigten Königreich an eines der in der EU ansässigen Rechenzentren von Docusign durch die gegenseitige Angemessenheit abgedeckt, die zwischen der EU und dem Vereinigten Königreich gilt. Jegliche Weiterübermittlung in Nicht-EU-Länder (ohne angemessenes Datenschutzniveau) durch eine in der EU ansässige Unternehmenseinheit von Docusign oder im Zuge der Verarbeitung hochgeladener Daten an die europäischen Rechenzentren von Docusign wird von Docusigns BCR als Übertragung zwischen Gruppenmitgliedern abgedeckt und unterliegt denselben umfassenden technischen und organisatorischen Sicherheitsmaßnahmen, die in Docusigns BCR beschrieben sind.

Die BCR gelten für alle Gruppenmitglieder im Rahmen der Auftragsverarbeiter-Richtlinie und bieten einen soliden Schutz für personenbezogene Daten, die von den Gruppenmitgliedern verarbeitet werden. Docusign bietet europäischen Kunden außerdem die Möglichkeit, ihre Docusign-Serviceumgebungen in der EU einzurichten, um den Datenspeicherungsort von Dokumenten und Kundeninhalten innerhalb der EU aufrechtzuerhalten. In diesen Fällen bleiben Dokumente und Inhalte, die in den Docusign “eSignature- Diensten” hochgeladen werden, verschlüsselt und verlassen nicht das vom Kunden gewählte Gebiet (oder Gebiete, im Falle von anwendbaren Disaster-Recovery-Funktionen für anwendbare Docusign-Dienste wie DocuSign CLM), in dem die Serviceumgebung bereitgestellt wird. Bei der Nutzung des Docusign eSignature-Dienstes können auf Veranlassung des Kunden sogenannte Transaktionsdaten (Metadaten) außerhalb des vom Kunden angegebenen Gebietes verarbeitet werden. Dabei handelt es sich um Daten über Aktivitäten, Ereignisse und Handlungen, die im Rahmen des normalen Ablaufs von Nutzern beim Starten, Fortschreiten und Abschließen ihrer digitalen Transaktionen im Docusign eSignature-Dienst auftreten. Transaktionsdaten können daher in begrenztem Umfang personenbezogene Daten enthalten (z.B. Namen und E-Mail-Adressen von Absendern/Empfängern, IP-Adressen und andere Online-Kennungen und Standortdaten). Die Übertragung dieser begrenzten personenbezogenen Daten außerhalb des Gebietes erfolgt, wenn der Kunde einen Dokumentenlink zur elektronischen Signatur an den Empfänger sendet; dieser Datentransfer wird durchgeführt, um die Nutzung der Docusign-Dienste durch den Kunden zu erleichtern.

Ist Docusign mit den ISO-Vorschriften konform?

Docusign hat viele führende Branchenzertifizierungen erhalten, wie z. B. ISO 27001 (und orientiert sich an den Richtlinien für die Implementierung von Kontrollen und zusätzlichen Kontrollsätzen von ISO/IEC 27017:2015 - Code of practice for information security controls und ISO/IEC 27018:2019 - Code of practice for protection of PII), Payment Card Industry (PCI) Data Security Standard (DSS), sowohl als Händler als auch als Dienstleister.

Welche SSO/ Verschlüsselung verwenden sie (innerhalb des E-Dokuments, CoCs)?

Docusign priorisiert die Sicherheit von Benutzerdaten durch die Implementierung von Single-Sign-On-Authentifizierungsprozessen und widerstandsfähigen Verschlüsselungsmaßnahmen. Wir beschränken den Zugang zu unserem Produktionsnetzwerk auf Grundlage der Aufgabenbereiche. Um auf das System zuzugreifen, müssen die Teammitglieder eine Zwei-Faktor-Authentifizierung über ein virtuelles privates Netzwerk durchlaufen. Privilegierte Zugriffe werden als Teil des Systemüberwachungsprozesses überwacht. Docusign nutzt auch Lösungen für das Identitäts- und Zugriffsmanagement, um hohe Sicherheits- und Authentifizierungsstandards zu gewährleisten.

Wie sieht die Policy zur Löschung von Daten und Dokumenten aus?

Die Docusign eSignature wurde entwickelt, um unseren Kunden die Möglichkeit zu geben, ihre eigenen Datenaufbewahrungsrichtlinien zu kontrollieren. Die Konteneinstellungen innerhalb von Docusign eSignature ermöglichen es dem Kunden, nach eigenem Ermessen auf eDokumente zuzugreifen und diese zu löschen

Ist Docusign mit SOC 2/SOA konform?

Docusign wird jährlich nach SOC 1 und SOC 2 zertifiziert. Die Zertifizierungen basieren auf dem Standard SSAE 18 des American Institute of Certified Public Accounts (AICPA). Die Kopien der Berichte können auf Anfrage unter NDA zur Verfügung gestellt oder laden Sie das Docusign Security & Trust Assurance Pack (STAP) herunter. Dieses Paket enthält eine Reihe von Dokumenten, wie z. B. die SOC 1- und 2-Berichte, das ISO 27001-Zertifikat und die PCI DSS-Prüfungen.

Ist Docusign mit CFR Teil 11/EU Anhang 11 konform?

Docusign wird nicht von der FDA oder EMA reguliert. Der eSignature-Dienst und das Life-Science-Modul gelten nicht als “validiert” für bestimmte Anwendungsfälle. Stattdessen müssen Health and Life Science (HLS) Organisationen den eSignature-Dienst und das Life Science Modul basierend auf ihren regulierten Anwendungsfällen validieren. Um HLS-Organisationen bei ihren Validierungsbemühungen zu unterstützen, bietet Docusign ein “Part 11 Pack” an, das die folgenden Abschnitte behandelt:

  • Überblick über die Software: Dieser Abschnitt bietet einen umfassenden Überblick über den eSignature-Dienst und das Life Science-Modul.

  • Validierungsoptionen: In diesem Abschnitt werden die Validierungsoptionen für HLS-Organisationen beschrieben, um die geltenden Vorschriften oder Best Practices auf der Grundlage ihrer regulierten Anwendungsfälle einzuhalten.

  • Validierungs-Ressourcen: Dieser Abschnitt beschreibt Docusigns Softwareentwicklungslebenszyklus, Qualitätssicherung, kontrollierte Dokumente wie Richtlinien und Verfahren sowie Mitarbeiterschulungen.

  • Schutz der Daten: Dieser Abschnitt hebt die Zertifizierung von DocuSign mit branchenweit anerkannten Sicherheitsprogrammen hervor. Das Docusign Part 11 Pack ist auf Anfrage unter NDA erhältlich.


Welche Transaktionsdaten verlassen die EU bzw. dürfen die EU verlassen?

Bei der Nutzung des Docusign eSignature-Dienstes können auf Veranlassung des Kunden sogenannte Transaktionsdaten (Metadaten) außerhalb des vom Kunden angegebenen Gebietes verarbeitet werden. Dabei handelt es sich um Daten über Aktivitäten, Ereignisse und Handlungen, die im normalen Verlauf der Nutzer bei Beginn, bei der Ausführung und beim Abschließen ihrer digitalen Transaktionen im Docusign eSignature-Dienst auftreten.

Transaktionsdaten können daher beispielsweise in begrenztem Umfang personenbezogene Daten enthalten:

  • Absender-/Empfängernamen und E-Mail-Adressen,

  • IP-Adressen,

  • und andere Online-Kennungen und Standortdaten.

Die Übermittlung dieser begrenzten personenbezogenen Daten außerhalb des Gebietes erfolgt, wenn der Kunde dem Empfänger einen Dokumentenlink zur elektronischen Signatur sendet, und diese Datenübermittlung wird durchgeführt, um dem Kunden die Nutzung der Docusign-Dienste zu erleichtern.


Wie sieht die Policy zur Löschung von Daten und Dokumenten aus?

Die Docusign eSignature wurde entwickelt, um unseren Kunden die Möglichkeit zu geben, ihre eigenen Datenaufbewahrungsrichtlinien zu kontrollieren. Die Konteneinstellungen innerhalb von Docusign eSignature ermöglichen es dem Kunden, nach eigenem Ermessen auf eDokumente zuzugreifen und diese zu löschen.

Wie lange werden die Daten gespeichert?

Gemäß den Vertragsbedingungen speichert Docusign die Kundendaten so lange, wie der Vertrag besteht. Nach Beendigung des Vertrags kann Docusign die Kundendaten nach 90 Tagen löschen und wird die Transaktionsdaten so lange aufbewahren, wie dies für den geschäftlichen Zweck notwendig ist.