Produktdaten sind unser Standard, ihre Sicherheit ist Vertrauenssache.
Erschließen Sie mit qualifizierten Informationen und Prozessen neue Geschäftschancen auf Basis unserer Expertise.
Product data is our standard, its security is a matter of trust.
Open up new business opportunities with qualified information and processes based on our expertise.
Unsere Informationssicherheit ist auf dem neuesten Stand. Garantiert.
Our information security is up to date. Guaranteed.
Die Verlässlichkeit der unternehmensbezogenen Informationsverarbeitung ist von strategischer Bedeutung für eine sichere Geschäftsabwicklung und bildet die Grundlage für viele Entscheidungsprozesse.
Der sichere und verantwortungsvolle Umgang mit Ihren Daten ist unser Kerngeschäft. Daher schützen wir generell vor unzulässiger und missbräuchlicher Nutzung, Missbrauch, Offenlegung, Veränderung, Verlust und Zerstörung. Wir verfolgen das Ziel, eine ausreichende Verfügbarkeit von Informationen und Informationsverarbeitungseinrichtungen wie Computing-Ressourcen zu gewährleisten und schützen.
The reliability of company-related information processing is of strategic importance for secure business operations and the basis for many decision-making processes.
The secure and responsible handling of your data is our core business. We therefore generally protect against unauthorized and improper use, misuse, disclosure, modification, loss and destruction. We pursue the target of ensuring sufficient availability of information and information processing facilities such as computing resources and protect.
ISO/IEC 27001:2017 ist ein international anerkannter Informationssicherheitsstandard für die Sicherheit von Informationen und einen sicheren Betrieb eines Informationssicherheits-Managementsystems (ISMS).
ISO/IEC 27001:2017 is an internationally recognized information security standard that provides a framework for the security of information, a secure operation of an Information Security Management System (short: ISMS).
Wir entwickeln unsere Systeme mit großer Sorgfalt, um Zuverlässigkeit, Skalierbarkeit und Sicherheit zu gewährleisten.
atrify has taken great care in designing and building its systems to address reliability, scalability and security.
Anwendungsbereich IMS
Der atrify GmbH wird bescheinigt, ein Integrated Management System, das alle Kundeninformationen unter der Kontrolle oder dem Besitz der atrify GmbH verwaltet und in den unter den Geltungsbereich fallenden Einrichtungen untergebracht ist, zu betreiben. Der Geltungsbereich des IMS umfasst die Assets, Technologien und Prozesse, die die atrify GmbH in ihren Einrichtungen zur Verarbeitung, Verwaltung und Auslieferung von Produktinhalten an ihre internationalen Kunden einsetzt. Zusätzlich wird der Umfang unter Berücksichtigung des externen und internen Kontexts der Organisation, der Anforderungen interessierter Parteien, wie Kunden und Regulierungsbehörden, und der Grenzen zu Dritten definiert.
Scope of Application IMS
atrify GmbH is certified to operate an Integrated Management System that manages all customer information under the control or ownership of atrify GmbH and housed in the facilities covered by the scope. The scope of the IMS includes the assets, technologies, and processes that atrify GmbH uses at its facilities to process, manage, and deliver product content to its international customers. In addition, the scope is defined taking into account the external and internal context of the organization, the requirements of interested parties such as customers and regulators, and the boundaries with third parties.
Our security model
atrify uses a security model that includes physical, technical and administrative controls to ensure the confidentiality, integrity of data received and availability of its customers' data. This model covers data centres, infrastructure, applications, processes/procedures/standards, operations and policies and is applied accordingly to cloud providers.
1. Rechenzentren
Die Sicherheit beginnt dort, wo sich die Systeme physisch befinden, und die erste Ebene im atrify-Sicherheitsmodell ist das Rechenzentrum. atrify betreibt seine eigenen Systeme in den von ihm genutzten Rechenzentren, und das atrify-Betriebspersonal ist für die Verwaltung der Server, des Netzwerks, der Datenbanken, der Anwendungen und der Systemüberwachung in dem Rechenzentrum verantwortlich, in dem die Dienste gehostet werden.
Zugangssicherheit: Der gesamte Zugang zu den Rechenzentren wird kontinuierlich durch Personal vor Ort überwacht und durch mehrere Faktoren gesichert, darunter Systeme zur Erkennung von Eindringlingen, die Anmeldung mit einem von der Regierung ausgestellten Ausweis, Zugangsausweise, physischer Schlüsselaustausch beim Ein- und Auschecken und biometrische Daten.
Stromverteilung und Notstromversorgung: Die Rechenzentren sind für eine begrenzte unterbrechungsfreie Stromversorgung ausgelegt. Im Falle eines Stromausfalls bieten unterbrechungsfreie Stromversorgungen (USV) Schutz vor Stromspitzen, Überspannungen und Stromausfällen, bis ein Ersatzgenerator den Betrieb des Rechenzentrums aufrechterhält.
Umweltkontrollen: Temperatur- und Luftfeuchtigkeitskontrolle und Umweltbedingungen werden ständig überwacht. Es werden Systeme verwendet, die sowohl von normalen als auch von Notstromsystemen gespeist werden.
Videoüberwachung: Videoüberwachungssysteme sind innerhalb und außerhalb des Rechenzentrums rund um die Uhr in Betrieb und werden kontinuierlich von Mitarbeitern des Rechenzentrums überwacht.
Brandschutz: Rechenzentren verwenden ein intern und extern überwachtes Brandmelde- und Brandschutzsystem.
Redundante Internetkommunikation: Redundante Internetleitungen mit verschiedenen Gebäudeeingängen werden verwendet, um die Betriebszeit zu gewährleisten, falls eine der Leitungen beschädigt wird oder Probleme auftreten.
Die Hosting-Provider von atrify verfügen über eine ISO 27001-Zertifizierung, SSAE-16-Audits oder gleichwertige Zertifikate.
1. Datacenters
Security begins with where the systems are physically located, and the first layer in the atrify security model is the data center. atrify operates its own systems within the data centers it uses, and atrify operations personnel have responsibility for the management of the servers, network, databases, applications and system monitoring as applicable to the data center where services are hosted.
Access Security – All access to data centers is continually monitored via on premise personal and secured using multiple factors including intrusion detection systems, sign-in with ID government issued ID checking, card access badges, physical key exchange upon check-in and check-out and biometrics.
Power Distribution and Backup Power Supply – Data centers are designed to provide limited uninterrupted power. In the event of a power failure, Uninterruptible Power Supply (UPS) batteries provide protection against power spikes, surges, and brown-outs until a backup generator would take over which enables the datacenter to remain operational.
Environmental Controls – Temperature and humidity control and environmental conditions are continually monitored. Systems are used that are powered by both normal and backup electrical systems.
Video Monitoring – Video surveillance systems operate 24/7/365 inside and outside the data center, and are continually monitored by personnel in the data center.
Fire Protection – Data centers use a fire detection and prevention system that is monitored internally and externally.
Redundant Internet Communications – Redundant internet trunks with different building entrance points are used to ensure uptime in case one of the trunks is damaged or experiences problems. atrify’s hosting providers have ISO 27001 certification, SSAE-16 audits or their equivalent.
2. Infrastruktur
Die zweite Ebene des atrify-Sicherheitsmodells ist die Infrastruktur, bei der Zuverlässigkeit, Sicherheit und Awareness im Mittelpunkt des Designs stehen. Die atrify-Philosophie besteht darin, auf allen Ebenen der Infrastruktur branchenweit anerkannte Praktiken anzuwenden, um ein System zu schaffen, das von den Front-End-Verbindungen zum Internet, die von den Kunden genutzt werden, bis hin zur Back-End-Datenspeicherung widerstandsfähig ist.
Intrusion Prevention and Detection: Intrusion Detection Systems (IDS) werden im Netz betrieben.
Tests: Es werden kontinuierlich Scans der Infrastruktur sowie Schwachstellentests für atrify-Systeme und -Anwendungen durchgeführt.
Bedrohungsreduzierung: Die Server werden gehärtet, um die Anfälligkeit für Schwachstellen zu verringern.
2. Infrastructure
The second layer in the atrify security model is the infrastructure, which considers reliability, security and awareness at the core of its design. The atrify philosophy is to use industry accepted practices at all layers of the infrastructure to create a system that is resilient from the front end connections to the internet used by customers, to the back end data storage.
Intrusion Prevention and Detection – Intrusion Detection Systems (IDS) are run in the network.
Testing – Scans of the infrastructure are done as well as vulnerability testing on atrify systems and applications continuously.
Threat Reduction – Servers are hardened to reduce exposure to vulnerabilities.
3. Anwendungen
Die dritte Schicht im atrify-Sicherheitsmodell sind die Anwendungen, zu denen browserbasierte Webanwendungen, nachrichtenverarbeitende Anwendungen und Webdienste gehören.
Authentifizierung: Passwortregeln werden hinsichtlich Komplexität und Wiederverwendung durchgesetzt, um die Verwendung von leicht zu erratenden Passwörtern zu verhindern.
Verschlüsselung: Alle Webanwendungen, die auf atrify-Dienste zugreifen, verwenden HTTPS. Der XML-Nachrichtenaustausch mit AS2 umfasst Verschlüsselung, digitale Signaturen und Message-Digest-Benachrichtigungen. Alle atrify-Anwendungen werden sicher in Übereinstimmung mit den OWASP Secure Coding Practices entwickelt.
Rollenbasiertes Zugriffsdesign: Benutzerrollen sind ein zentraler Bestandteil der Anwendungssicherheit, und alle Anwendungen verwenden rollenbasierten Zugriff, der jeder Anmeldung zugewiesen wird, um Aktionen innerhalb der Anwendung zu erlauben oder einzuschränken.
3. Applications
The third layer in the atrify security model is the applications, which include browser based web applications, Message Processing Applications and Web Services.
Authentication – Password rules are enforced for complexity and reuse to prevent use of easily guessable passwords.
Encryption – All web application access to atrify services uses HTTPS. XML messaging using AS2 includes encryption, digital signatures and message digest notifications. All atrify applications are developed securely in compliance with the OWASP secure coding practices.
Role based access design – User roles are a core part of application security and all applications use role based access assigned to each login to allow or restrict actions within the application.
4. Prozess, Verfahren und Standards
Die vierte Schicht im atrify-Sicherheitsmodell besteht aus den Prozessen, Verfahren und Standards, die von atrify befolgt werden.
4. Process, Procedures and Standards
The fourth layer in the atrify security model consists of the processes, procedures and standards that are followed by atrify.
5. Betrieb
Änderungsmanagement: Für alle Aktualisierungen von Software und Systemen wird ein detailliertes Änderungsmanagement durchgeführt. Alle Änderungen werden förmlich genehmigt und in einem Änderungsmanagementsystem nachverfolgt.
Rollenbasierte Zugriffskontrolle (RBAC): Der Zugriff auf und die Fähigkeiten in Umgebungen, die für die Entwicklung und den Betrieb von atrify SaaS-Systemen verwendet werden, von der Entwicklung bis zur Produktion, wird durch definierte Rollen in allen Systemen geregelt, die zentral verwaltet werden.
Systemüberwachung: Das Betriebspersonal ist durch Warnungen und Überwachung ständig über den Zustand der Systeme informiert. Alle Systeme werden 24/7/365 überwacht.
Reaktion auf Vorfälle: Für den Umgang mit möglichen Sicherheitsvorfällen verfügt atrify über einen Plan zur Reaktion auf Vorfälle, der Verfahren zur Identifizierung, Handhabung, Wiederherstellung und Benachrichtigung definiert.
Patch Management: Um der Entdeckung neuer Sicherheitslücken entgegenzuwirken, werden System-Patches und -Updates regelmäßig eingespielt, wenn sie verfügbar und angemessen sind. Das Sicherheitsteam von atrify überwacht die Nachrichten auf neue Patches und bewertet die Bedeutung und das Risiko der Patches, um zu bestimmen, wann sie angewendet werden sollten.
5. Operations
Change Management – Detailed Change Management is followed for all updates for software and systems. All changes are formally approved and tracked in a change management system.
Role Based Access Control (RBAC) – Access to and capabilities in environments used to develop and run atrify SaaS systems, from Development to Production, is governed by defined Roles in all systems that are centrally managed.
System Monitoring – Operations personnel are constantly aware of the state of systems via alerts and monitoring. All systems are monitored 24/7/365.
Incident Response – To handle any security events that might arise, atrify has an Incident Response Plan that defines practices for identification, handling, recovery and notification.
Patch Management – To help address the discovery of new security vulnerabilities, system patches and updates are applied on a regular basis when available and appropriate. The atrify security team monitors news for any new patches and assesses the importance and risk of patches to determine when they should be applied as applicable.
6. Sicherheitspolitiken
Acceptable Use Policy: Alle atrify-Kunden und -Dienstleister unterliegen einer Acceptable Use Policy, die Standards für den personen- und maschinenbasierten Zugang zu atrify-Diensten definiert.
Informationssicherheitsrichtlinien für Mitarbeiter: Alle Mitarbeiter von atrify müssen jährlich eine Informationssicherheitsrichtlinie unterzeichnen, in der die akzeptablen Praktiken für die Sicherheit von Kunden- und Unternehmensinformationen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit festgelegt sind.
Datenklassifizierung: Die im atrify-System enthaltenen Kundeninformationen werden als “vertraulich” eingestuft und behandelt. Es wurden Systemprotokolle implementiert, um die Einsichtnahme in diese Informationen durch nicht autorisierte Parteien, einschließlich Mitarbeiter und andere Kunden, zu verhindern. Jeder atrify-Mitarbeiter mit Zugang zu Kundendaten ist an die unterzeichnete Informationssicherheitsrichtlinie gebunden, die die Vertraulichkeit von Kundendaten regelt.
Background Checks: Neue atrify-Mitarbeiter werden vor ihrem Arbeitsantritt überprüft.
Off-Boarding- und Versetzungsverfahren: Für den Fall, dass ein Mitarbeiter atrify verlässt oder die Abteilung wechselt, verfügen die Personalabteilung, die Vertragsinhaber, die IT-Abteilung, die Mitarbeiter-Manager und das Sicherheitsteam über eine detaillierte Prozess-Checkliste, die den Entzug von Zugriffsrechten bis hin zur unverzüglichen Änderung einschlägiger Passwörter umfasst, falls zutreffend.
6. Security Policies
Acceptable Use Policy – All atrify customers and service providers are subject to an acceptable use policy that defines standards for people and machine based access to atrify services.
Employee Information Security Policy – All atrify employees must annually sign an Information Security Policy stating acceptable practices for security of customer and company information in terms of confidentiality, integrity and availability.
Data Classification – Customer information contained in the atrify System is classified and treated as “Confidential.” System protocols have been implemented to prevent the viewing of this information by non-authorized parties, including employees and other customers. Any atrify employee with access to customer data is bound by the signed Information Security Policy which governs the confidentiality of customer information.
Background Checks – New atrify employees are screened prior to their start date.
Off-Boarding and Transfer Procedures – In the event that an employee leaves atrify or changes the department, Human Resources, Contractor Owners, the IT Department, employee managers and the Security Team have a detailed process checklist that includes the revocation of access rights up to and including the prompt changing of pertinent passwords if applicable.
7. Datenschutz und Compliance
atrify überwacht neue Bedrohungen und Schwachstellen sowie relevante Gesetze und Vorschriften zur Datensicherheit, zum Datenschutz und zu weiteren Standards wie GxP, 21 CFR Part 11, Annex 11 (EudraLex), ISO 13485 und ISO 9001.
Hier können Sie unsere technischen und organisatorische Maßnahmen einsehen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten.
7. Privacy and Compliance
atrify monitors new threats and vulnerabilities, as well as relevant laws and regulations regarding data security, data privacy and further standards such as GxP, 21 CFR Part 11, Annex 11 (EudraLex), ISO 13485 and ISO 9001.
Here you can view our technical and organizational measures that ensure the security of the processing of personal data.
8. Einhaltung von Sicherheitsrichtlinien und -standards
Alle verantwortlichen Personen überprüfen regelmäßig, ob die in den Richtlinien, Normen und anderen geltenden Vorschriften festgelegten Anforderungen an die Informationssicherheit und Qualität erfüllt werden. Diese Überprüfungen müssen sowohl bei der täglichen Arbeit als auch bei der regelmäßigen Überprüfung der Dokumentation durchgeführt werden. Es muss stets sichergestellt sein, dass bei allen Arbeiten die notwendigen Vorgaben eingehalten werden.
8. Compliance with Security Policies and Standards
All responsible persons regularly review that information security requirements defined in policies, standards and other applicable regulations are met. These reviews must be carried out in the daily work as well as in the regular review of the documentation. It must always be ensured that the necessary specifications are adhered to in all work.
9. Überprüfung der technischen Konformität
Die Informationssysteme werden regelmäßig daraufhin überprüft, ob sie den aktuellen atrify-Richtlinien und -Standards für Informationssicherheit entsprechen. Es werden technische Audits wie Penetrationstests durchgeführt.
9. Technical Compliance Review
Information systems are regularly reviewed for compliance with the current atrify information security policies and standards. Technical audits like penetration tests are carried out.
10. Cloud-Dienste
atrify nutzt Cloud-Dienste. atrify verfolgt bei der Nutzung von Cloud-Diensten einen mehrschichtigen Ansatz für Sicherheitspraktiken.
atrify wählt seine Cloud-Service-Provider so aus, dass sie seine Sicherheitsanforderungen erfüllen und eine weltweite Umgebung mit einem hohen Sicherheitsniveau bieten, das eine ISO 27001-Zertifizierung, SOC 1-Audits und mehrere Sicherheitsprogramme umfasst.
10. Cloud Services
atrify uses cloud services. atrify follows its multi-layer approach to security practices for usage of cloud services.
atrify chooses its cloud service providers to meet its security needs and offer a worldwide environment with high levels of security that includes ISO 27001 Certification, SOC 1 audits and multiple assurance programs.
Die Qualität Ihrer Produktinformationen stets im Blick.
Um unsere Produkte und Services fortlaufend den aktuellen Entwicklungen anzupassen und Sie stets über die Vorgaben auf Handelsebene und über die regulatorischen Rahmenbedingungen informieren zu können, sind wir seit Gründung und in allen relevanten Gremien der GS1 Germany aktiv:
Always focused on the quality of your product information.
In order to continuously adapt our products and services to the latest developments and to always be able to inform you about the requirements at the trade level and about the regulatory framework, we have been represented in all relevant GS1 Germany committees since our founding:
Fachgruppe Data Excellence
Data Excellence Board
Fachgruppe GDSN
GDSN Board
Fachgruppe Media Assets
Board Media Assets
Special commitment to medical products
As an active member of MedTech Europe and GS1 Global Healthcare Leadership, we work closely with professional associations, industry, the European Commission and member states, contributing efficiently to the development of EUDAMED compliance for manufacturers.
After successful completion of all EUDAMED Playgrounds, we have developed sufficient expertise to match and assess your data against the demanding MDR requirements to ensure smooth registration of your devices in EUDAMED.
First GDSN-certified data pool
Since the end of the 90s, we have been helping our customers to send their data to national and international recipients - to traditional trading companies and distributors in the retail sector, operators of e-commerce solutions and mobile applications.
In 2005, as the SA2 WorldSync GmbH, we were the first company to be GDSN certified andsince 2014 we have also been implementing data exchange with regulatory authorities such as the Food and Drug Administration (FDA, GUDID).
