🌐 Web-App | 📱 Mobile-App | 👤 Admin
Ab dem 1. Juli 2023 zeichnet Yokoy administrative Aktivitäten und Zugriffe in Yokoy als nicht-relationale technische Audit-Logs auf, die in der Google Cloud (GCP) und der Splunk Cloud gespeichert werden.
Als Yokoy-Admin kannst Du vierteljährlich technische Audit-Logs für Deine Organisation anfordern, indem Du Dich an den Yokoy Support wendest und wendest und den Namen deines Unternehmens, die Daten, auf die du zugreifen möchtest, und den Datumsbereich angibst.
Technische Audit-Logs verfolgen Änderungen in Bezug auf:
Organisation
Benutzer (Rollen und Berechtigungen)
Kostenobjekte
Firmen (einschließlich Mitarbeiter-Reglements, Spesenregeln, Tags, Kategorien, Mehrwertsteuersätze, Kilometerpauschalen, Tagespauschalen)
Firmenkarten (ohne Kartennummern)
Diese Logs werden für technische Fehlersuche bis zu 60 Tage im Kurzzeitspeicher und bis zu 7-10 Jahre im Langzeitspeicher aufbewahrt, je nach länderspezifischen Finanzvorschriften.
Yokoy wendet strenge Maßnahmen an, um Vertraulichkeit, Integrität und Verfügbarkeit in Übereinstimmung mit den Prinzipien der CIA-Triade sowie Autorisierung und Verantwortlichkeit zu gewährleisten:
Vertraulichkeit
Der Zugang zu den technischen Audit-Logs von Yokoy, die an temporären Orten gespeichert werden (die von den Diensten, die diese Logs erstellen, benötigt werden), ist eingeschränkt und basiert ausschließlich auf einer Bedarfsbasis. Dadurch wird sichergestellt, dass nur befugtes Personal Zugang zu sensiblen Informationen hat, um eine unbefugte Offenlegung zu verhindern.Integrität
Die Integrität der technischen Audit-Logs ist entscheidend für die Aufrechterhaltung zuverlässiger und genauer Aufzeichnungen. Um dies aufrechtzuerhalten, wird den technischen Key-Usern Lesezugriff auf die langfristigen technischen Audit-Logs in Splunk und GCP gewährt (über einen auditierbaren Prozess, der mit der Helpdesk-Funktion verbunden ist und bei dem neue Zugriffe protokolliert und genehmigt werden müssen). Diese Maßnahme verhindert unbefugte Änderungen und stellt sicher, dass die Logdaten vertrauenswürdig und unverändert bleiben. Es ist nicht möglich, die Logs innerhalb von Splunk oder GCP Log Storage zu verändern. Sobald die Logs übermittelt werden, sind sie schreibgeschützt. Selbst Admins können diese Logs nicht ändern.Autorisierung und Verantwortlichkeit
Alle Zugriffe auf technische Audit-Logs werden umfassend protokolliert. So lässt sich transparent nachvollziehen, wer wann auf die Protokolle zugegriffen hat, was die Verantwortlichkeit erhöht und ein effektives Autorisierungsmanagement unterstützt.
In Bezug auf die Einhaltung von Compliance-Standards hält sich Yokoy an die ISO 27001-Zertifizierung. Eine Schulung zur ISO 27001-Zertifizierung ist für alle Mitarbeiter/innen mit Zugang zu Yokoy- und Kundendaten, einschließlich Splunk und GCP Technical Audit Logs, obligatorisch. Verstöße werden überprüft und führen zu disziplinarischen Maßnahmen im Einklang mit den Unternehmensabläufen. Die Richtlinien für die Speicherung und den Zugriff werden jährlich oder bei Änderungen der Technologie, der Geschäftspraktiken oder der geltenden Gesetze überprüft, um sicherzustellen, dass der Schutz unserer technischen Audit-Log-Daten weiterhin relevant und wirksam ist.