FAQs zur Integration von legal-i
Willkommen bei legal‑i. Nachfolgend findest du Antworten zu Integrationsfragen von legal‑i. Die Integration erfolgt, nachdem zwischen legal‑i und dem Kunden ein Pilotprojekt von 6 Wochen durchgeführt worden ist. Ziel des Pilotprojekts ist es zu evaluieren, ob legal‑i für den Kunden einen Business‑Mehrwert bringt. Das Pilotprojekt findet als nicht integriertes Pilotprojekt statt. Für das Pilotprojekt wird daher kein Integrationsaufwand benötigt.
Die meisten der nachfolgenden Fragen beziehen sich daher auf ein Integrationsprojekt, welches nach einem erfolgreichen Pilotprojekt mit legal-i stattfindet.
Cloud Onboarding Finanzen
Ja, wir stellen dies bei allen verwendeten Abhängigkeiten automatisch sicher.
Cloud Onboarding Governance, Risk & Compliance
legal‑i ist ein Schweizer Unternehmen und die Daten werden derzeit bei AWS in Deutschland gespeichert. Die Datenverarbeitung und ‑speicherung erfolgt in der Schweiz und Deutschland. Beide Länder sind gemäss EDÖB‑Liste Länder mit genügendem Datenschutz (wobei die Datenschutzgesetze Deutschlands derzeit sogar noch grösseren Schutz gewähren als die Schweizer Gesetzgebung). Sobald der AWS Schweiz Standort verfügbar ist (vorraussichtlich Q3 2022), werden die Daten in der Schweiz gespeichert und verarbeitet.
Die Daten werden immer noch im Primärsystem des Kunden gespeichert. Die von legal‑i extrahierten Meta‑Informationen oder die von den Usern angefügten Annotationen können jederzeit ins Primärsystem des Kunden zurückgespielt werden.
RPO und RTO: Jeweils 1 Tag, sichergestellt durch tägliches Backup und kontinuierliches Monitoring.
Cloud Onboarding Service Provider
Die legal‑i AG.
AWS, Region Frankfurt. Voraussichtlich ab Q3 2022 AWS Schweiz.
- Vertragsgegenstand und Leistung: to be negotiated
- Regelungen zum Change Management:
Häufige Updates von Seite legal-i, Bugfixes, Feature Request etc. - Service Level Agreements und Leistungsüberwachung:
to be negotiated - Geheimhaltung, Datensicherheit und Datenschutz
Höchste state-of-the-art Sicherheitsmassnahmen in der Cloud gemäss den Cloud-Papers des Schweizer Versicherungs- und Anwaltsverbandes, Auditing von Seite Kunde möglich (und erwünscht).
Lokale, organisatorische Massnahmen. - Vertragsbeendigung und Datenrückführung
Datenrückführung zum Kunden gegen Entschädigung des Aufwands von Seite legal-i.
AWS Zertifizierungen, regelmässiges Auditing durch Cloudspezialisten bespinian.io
legal‑i wird sich im 2022 ISO 27001 zertifizieren lassen.
Cloud Prüfung Architektur, Sicherheit und Integration
Unterstützt wird exklusiv Google Chrome.
Outbound: Analytics provider (Hotjar, Mixpanel, o.Ä, sensible Daten werden aber schon im Browser anonymisiert, kann von Mobiliar ge‑auditet werden), nur vom Browser via TLS.
legal‑i Agent Komponente wird on-prem deployed. Authentifizierung gegenüber der legal‑i cloud erfolgt über Secret Key. Dieser kann vom Kunden selber rotiert werden. IP Whitelisting etc möglich. Authentifizierung via Auth0 (IDP Provider).
Agent kommuniziert via HTTPS / TLS 1.2. Ist nur gegenüber der Agent API Schnittstelle authorisiert. Die Verfügbarkeit wird per SLA garantiert. Kommunikation von der Cloud zum Provider erfolgt über Polling (keine eingehende Verbindung notwendig). Der Empfang von eingehende Events muss bestätigt werden (at‑least once Garantie).
Harte Trennung der Daten auf mandantenfähigem Environment, Verschlüsselung mit kundenspezifischen Schlüssel. Bei explizitem Kundenwunsch: Eigenes Kunden‑Environment möglich oder eigener S3‑kompatibler Storage für sensible Daten (bei S3‑kompatiblem Storage wird Applikation langsamer).
Mittels IP‑Whitelisting werden nur Zugriffe vom Kunden‑Netzwerk ermöglicht. Zugriffe werden auf Seite legal‑i geloggt.
Benutzer und deren Rollen und Abteilungen können auf dem Kunden IDP verwaltet werden. Für normale Benutzer werden die Daten mit Zugriffsgruppen separiert werden. Zusätzliche sind administrative Rollen für den technischen Admin (kein Datenzugriff) und Support User (Zugriff alle Daten) vorhanden. Kann im Integrationsprojekt angepasst werden.
- Monatilich rotierende Benutzer Credentials
- Multi Factor Authentication bei jedem Zugriff
- Logging mit Audit Trails von Zugriffe der Mitarbeiter (Cloud Trail)
- Generell: Minimale Rechte der Mitarbeiter auf die Infrastrukturkomponenten
- Nur Read-only Zugriff, wenn immer möglich
- Automatisches Deployment mit Infrastructure as Code, daher nur wenig manuelle Zugriffe mit eigenen Endgeräten auf Infrastruktur des produktiven Systems nötig
- Monitoring von nicht‑ordnungsgemässen Zugriffen auf legal-i Seite.
- Monitoring der Useranmeldungen durch den Provider Auth0.
- Alerting, Eskalation und manuelle Information des Kunden auf Seiten legal‑i bei Unregelmässigkeiten.
Inbound PDFs werden geprüft und strikt verarbeitet. Keine Kontaminierung möglich.
Regelmässige manuelle Updates der Komponenten und Abhängigkeiten, kontinuierliche automatische Security Scans und Reports in CI.
Tägliches Backup von RDS und S3. Durch den Benutzer gelöschte Daten sind 7 Tage im System vorhaden, danach werden diese gelöscht. Daneben werden über 30‑Tage tägliche Backups geführt. Regelmässige Tests der Datenwiederherstellung auf der legal‑i internen Integrationsumgebung.