FAQs - legal-i

FAQs zur Integration von legal-i

Willkommen bei legal‑i. Nachfolgend findest du Antworten zu Integrationsfragen von legal‑i. Die Integration erfolgt, nachdem zwischen legal‑i und dem Kunden ein Pilotprojekt von 6 Wochen durchgeführt worden ist. Ziel des Pilotprojekts ist es zu evaluieren, ob legal‑i für den Kunden einen Business‑Mehrwert bringt. Das Pilotprojekt findet als nicht integriertes Pilotprojekt statt. Für das Pilotprojekt wird daher kein Integrationsaufwand benötigt.

Die meisten der nachfolgenden Fragen beziehen sich daher auf ein Integrationsprojekt, welches nach einem erfolgreichen Pilotprojekt mit legal-i stattfindet.

Cloud Onboarding Finanzen

Ist sichergestellt, dass durch die Nutzung des Cloud‑Service keine Lizenzrechte verletzt werden?

Ja, wir stellen dies bei allen verwendeten Abhängigkeiten automatisch sicher.

Cloud Onboarding Governance, Risk & Compliance

Wird der Service (inkl. Daten‑Verarbeitung und ‑Speicherung) in einem Land mit genügendem Datenschutz gemäss der EDÖB Länder Liste erbracht? In welchem?

legal‑i ist ein Schweizer Unternehmen und die Daten werden derzeit bei AWS in Deutschland gespeichert. Die Datenverarbeitung und ‑speicherung erfolgt in der Schweiz und Deutschland. Beide Länder sind gemäss EDÖB‑Liste Länder mit genügendem Datenschutz (wobei die Datenschutzgesetze Deutschlands derzeit sogar noch grösseren Schutz gewähren als die Schweizer Gesetzgebung). Sobald der AWS Schweiz Standort verfügbar ist (vorraussichtlich Q3 2022), werden die Daten in der Schweiz gespeichert und verarbeitet.

Gibt es für die ausgelagerten Daten eine Archivierungspflicht? Wenn ja wie hoch ist die Aufbewahrungsfrist und in welcher Form müssen die Daten aufbewahrt werden?

Die Daten werden immer noch im Primärsystem des Kunden gespeichert. Die von legal‑i extrahierten Meta‑Informationen oder die von den Usern angefügten Annotationen können jederzeit ins Primärsystem des Kunden zurückgespielt werden.

Angabe von RTO und RPO

RPO und RTO: Jeweils 1 Tag, sichergestellt durch tägliches Backup und kontinuierliches Monitoring.

Cloud Onboarding Service Provider

Wer ist die Vertragspartei?

Die legal‑i AG.

Bei welchem Service Provider betreibt legal‑i seine Infrastruktur?

AWS, Region Frankfurt. Voraussichtlich ab Q3 2022 AWS Schweiz.

Wie sind die vertraglichen Regelungen mit dem Cloud Provider vereinbart?
•   Vertragsgegenstand und Leistung
•   Regelungen zum Change Management
•   Service Level Agreements und Leistungsüberwachung
•   Geheimhaltung, Datensicherheit und Datenschutz
•   Vertragsbeendigung und Datenrückführung

Vertragsgegenstand und Leistung: to be negotiated
Regelungen zum Change Management:
Häufige Updates von Seite legal-i, Bugfixes, Feature Request etc.
Service Level Agreements und Leistungsüberwachung:
to be negotiated
Geheimhaltung, Datensicherheit und Datenschutz
Höchste state-of-the-art Sicherheitsmassnahmen in der Cloud gemäss den Cloud-Papers des Schweizer Versicherungs- und Anwaltsverbandes, Auditing von Seite Kunde möglich (und erwünscht).
Lokale, organisatorische Massnahmen.
Vertragsbeendigung und Datenrückführung
Datenrückführung zum Kunden gegen Entschädigung des Aufwands von Seite legal-i.

Welche Zertifizierungen und Nachweisdokumentationen zur Attestierung der Sicherheit bestehen?

AWS Zertifizierungen, regelmässiges Auditing durch Cloudspezialisten bespinian.io

legal‑i wird sich im 2022 ISO 27001 zertifizieren lassen.

Cloud Prüfung Architektur, Sicherheit und Integration

Wie sieht die Integration von legal‑i nach einem erfolgreichen Pilotprojekt aus?

Voriger

Kann die Anwendung (inkl. Administration) vollständig mit einem Browser genutzt werden? Welche Browser werden unterstützt?

Unterstützt wird exklusiv Google Chrome.

Werden zusätzlich Extensions oder Plugins verwendet?

Nein

Sind Verbindungen zu anderen Systemen notwendig? Wenn ja, zu welchen Systemen und mit welchen Protokollen?

Outbound: Analytics provider (Hotjar, Mixpanel, o.Ä, sensible Daten werden aber schon im Browser anonymisiert, kann von Mobiliar ge‑auditet werden), nur vom Browser via TLS.

Bei hybrider Grundform:
• Wie werden bei Maschine zu Maschine Kommunikation die Endpunkte gegenseitig authentisiert?

legal‑i Agent Komponente wird on-prem deployed. Authentifizierung gegenüber der legal‑i cloud erfolgt über Secret Key. Dieser kann vom Kunden selber rotiert werden. IP Whitelisting etc möglich. Authentifizierung via Auth0 (IDP Provider).

Sind die Netzwerkverbindungen und Schnittstellen zum Cloud‑Provider etabliert und erfüllen die geforderten Leistungs‑ und Sicherheits‑Merkmale?

Agent kommuniziert via HTTPS / TLS 1.2. Ist nur gegenüber der Agent API Schnittstelle authorisiert. Die Verfügbarkeit wird per SLA garantiert. Kommunikation von der Cloud zum Provider erfolgt über Polling (keine eingehende Verbindung notwendig). Der Empfang von eingehende Events muss bestätigt werden (at‑least once Garantie).

Wie erfolgt die Mandantentrennung (Infrastruktur, Daten)?

Harte Trennung der Daten auf mandantenfähigem Environment, Verschlüsselung mit kundenspezifischen Schlüssel. Bei explizitem Kundenwunsch: Eigenes Kunden‑Environment möglich oder eigener S3‑kompatibler Storage für sensible Daten (bei S3‑kompatiblem Storage wird Applikation langsamer).

Wie kann sichergestellt werden, dass nur mit zugelassen Endgeräten auf den Service zugegriffen werden kann (z.B. Kunden IDP, IP‑Whitelisting)?

Mittels IP‑Whitelisting werden nur Zugriffe vom Kunden‑Netzwerk ermöglicht. Zugriffe werden auf Seite legal‑i geloggt.

Kann das IAM‑System des Kunden zur zentralen Verwaltung von Accounts, Rollen und Berechtigungen genutzt werden?

Benutzer und deren Rollen und Abteilungen können auf dem Kunden IDP verwaltet werden. Für normale Benutzer werden die Daten mit Zugriffsgruppen separiert werden. Zusätzliche sind administrative Rollen für den technischen Admin (kein Datenzugriff) und Support User (Zugriff alle Daten) vorhanden. Kann im Integrationsprojekt angepasst werden.

Wie greifen technische Administratoren des Providers auf die Infrastruktur und Systeme zu? Welche Methoden werden dazu eingesetzt?

Monatilich rotierende Benutzer Credentials
Multi Factor Authentication bei jedem Zugriff
Logging mit Audit Trails von Zugriffe der Mitarbeiter (Cloud Trail)
Generell: Minimale Rechte der Mitarbeiter auf die Infrastrukturkomponenten
Nur Read-only Zugriff, wenn immer möglich
Automatisches Deployment mit Infrastructure as Code, daher nur wenig manuelle Zugriffe mit eigenen Endgeräten auf Infrastruktur des produktiven Systems nötig

Verfügt der Anbieter über ein anforderungsgemässes Security Monitoring mit definierten Schnittstellen (z.B. APIs etc.) und ist das Security Incident Reporting entsprechend Anforderung des Kunden gewährleistet?

Monitoring von nicht‑ordnungsgemässen Zugriffen auf legal-i Seite.
Monitoring der Useranmeldungen durch den Provider Auth0.
Alerting, Eskalation und manuelle Information des Kunden auf Seiten legal‑i bei Unregelmässigkeiten.

Wie ist der Malwareschutz sichergestellt? Gewünschter Standard: Bei Entgegennahme von Dateien müssen diese auf Malware geprüft werden.

Inbound PDFs werden geprüft und strikt verarbeitet. Keine Kontaminierung möglich.

Wie ist das Vulnerability‑, Patch‑ und Security Updates Management sichergestellt?

Regelmässige manuelle Updates der Komponenten und Abhängigkeiten, kontinuierliche automatische Security Scans und Reports in CI.

Wie erfolgt die Datensicherung und Datenwiederherstellung? Werden diese regelmässig getestet?

Tägliches Backup von RDS und S3. Durch den Benutzer gelöschte Daten sind 7 Tage im System vorhaden, danach werden diese gelöscht. Daneben werden über 30‑Tage tägliche Backups geführt. Regelmässige Tests der Datenwiederherstellung auf der legal‑i internen Integrationsumgebung.

Datenschutz

Willkommen

Herausforderungen unserer Kunden

Lösung von legal-i

Werte von legal-i

Ursprung von legal-i

FAQs zur Integration von legal-i

Cloud Onboarding Finanzen

Cloud Onboarding Governance, Risk & Compliance

Cloud Onboarding Service Provider

Cloud Prüfung Architektur, Sicherheit und Integration

Interessiert daran, legal-i anzuwenden? Fülle diesen kurzen Fragebogen aus und wir melden uns bei dir.

Kontakt

Kontakt

Kontakt