Für die sichere Speicherung ihrer Daten vertrauen zahlreiche Organisationen und Privatpersonen auf die Paragin Group. Dies ist eine Verantwortung, die wir sehr ernst nehmen. Sicherheit, Zuverlässigkeit und Schutz sind zentrale Konzepte in unserem Unternehmen, denen wir täglich mit großer Sorgfalt nachgehen. So stellen wir sicher, dass wir ein zuverlässiger Partner für unsere Kunden, Partner und Nutzer sind.
Compliance und Zertifizierung
Wir implementieren unser Sicherheitskonzept auf der Grundlage bewährter Best Practices. Es sind keine Kompromisse oder Ausnahmen: Alle relevanten Kontrollmechanismen gemäß der Norm ISO 27001 wurden für anwendbar erklärt und sind in unsere Organisation eingebettet – mit Ausnahme der Kontrollmechanismen, die nicht in unserer Organisation stattfinden. Dies wird regelmäßig von externen Prüfern geprüft und zertifiziert. Weitere Informationen zum ISO 27001-Standard finden Sie unten.
Sichere und robuste Software
Wir arbeiten hart daran, robuste und sichere Software zu entwickeln. Durch Firewalls, Load Balancing und die Hochverfügbarkeitseinrichtung unserer Infrastruktur bieten wir eine Betriebszeit von 99,5 % oder höher pro Monat. Diese wird rund um die Uhr von unserem technischen Team überwacht und in Service Level Agreements (SLAs) und Data Processing Agreements dokumentiert, sodass Sie und Ihre Nutzer sich auf die Software verlassen können.
Rechenzentren und Netzwerke
Die Rechenzentren mit der Serverinfrastruktur von Paragin sind wie auch unsere eigene Organisation nach ISO 27001 zertifiziert. Gemeinsam mit unseren Partnern arbeiten wir an einer vollständig sicheren Kette, in der sich Software, Hardware und menschliche Prozesse und Verfahren gegenseitig ergänzen. Dies wird regelmäßig von externen Organisationen sowie unserem internen Sicherheitsteam durch Sicherheitsaudits und Penetrationstests getestet.
Authentifizierung und Verschlüsselung
Single Sign-On, 0Auth2-Authentifizierung, SAML-Unterstützung, SURFconext, Identitätsmanagement, Microsoft Entra, Zwei-Faktor-Authentifizierung (TOTP), Passwort-Hashing mit adaptiven Algorithmen: Unsere Software implementiert sichere Authentifizierung mittels Protokollen, die dem Industriestandard entsprechen. Die gesamte Kommunikation wird mithilfe von TLS mit einem Mindestwert von A verschlüsselt, wodurch sichergestellt wird, dass alle Daten, die Sie mit unserer Software austauschen, verschlüsselt und sicher sind.
Unsere Datenschutzrichtlinien und ISO 27001-Zertifizierungen
Seit 2015 ist die Paragin Group nach der internationalen Norm für Informationssicherheit und -management ISO 27001 zertifiziert. Die Paragin Group ist für alle von uns verwalteten technischen Vermögenswerte und alle von uns angebotenen Softwareprodukte zertifiziert. Dies bietet Ihnen und Ihren Benutzern:
- Sicherheit von Informationen und Daten in Paragins Software, wobei alle Daten innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert werden;
- Vertrauen in die Einhaltung von Gesetzen und Vorschriften in Bezug auf Informationssicherheit und Datenschutz, sowohl jetzt als auch in Zukunft;
- Eine solide technische Grundlage, die auf bewährten Verfahren basiert und regelmäßig von unabhängigen Organisationen durch Sicherheits- und Penetrationstests getestet wird;
- Nur autorisierter Zugriff auf Daten, sowohl physisch als auch online;
- Kontinuierliche Überwachung und Verbesserung von Prozessen und Verfahren.
Unterauftragsverarbeiter
Die Paragin Group beauftragt generisch oder produktspezifisch externe Unterauftragsverarbeiter und Partner, die uns bei der Bereitstellung von Diensten und Software für unsere Kunden, Partner und Benutzer zu unterstützen. Als Bedingung für die Erlaubnis eines Unterauftragsverarbeiters, personenbezogene Daten zu verarbeiten, schließt die Paragin Group mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung ab. Diese beinhalten Datenschutzverpflichtungen, die mindestens so viel Schutz gewähren wie die technischen und organisatorischen Maßnahmen, die die Paragin Group selbst getroffen hat, um personenbezogene Daten von Kunden vor versehentlicher oder unrechtmäßiger Vernichtung, Verlust, Änderung oder unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.
Diese Unterauftragsverarbeiter-Übersicht wurde zuletzt am 20. August 2025 aktualisiert und gilt ab dem 1. September 2025. Nachfolgend finden Sie eine Übersicht über die in dieser Unterauftragsverarbeiter-Übersicht vorgenommenen Änderungen.
Unsere produktspezifischen Unterauftragsverarbeiter
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Sentry / Functional Software, Inc. |
| Beschreibung/Ziel: | Protokollierung, Überwachung und Berichterstattung von Fehlern |
| Ort (e) der Verarbeitung: | Deutschland |
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Sentry / Functional Software, Inc. |
| Beschreibung/Ziel: | Protokollierung, Überwachung und Berichterstattung von Fehlern |
| Ort (e) der Verarbeitung: | Deutschland |
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Sentry / Functional Software, Inc. |
| Beschreibung/Ziel: | Error logging, monitoring and reporting |
| Ort (e) der Verarbeitung: | Deutschland |
| Subprozessor: | ProctorU, Inc. d/b/a/ Meazure Learning |
| Beschreibung/Ziel: | Remote-Proctoring-Partner, SOC 2 Typ II-konform |
| Ort (e) der Verarbeitung: | Verschlüsselte Server mit Sitz in den USA (AES 256) |
| Subprozessor: | Microsoft Corporation - Azure |
| Beschreibung/Ziel: | Dokumentenspeicherung, Hosting bestimmter Dienste |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | MongoDB, Inc |
| Beschreibung/Ziel: | Datenbank-Hosting und -Management |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Microsoft Corporation - Azure |
| Beschreibung/Ziel: | Dokumentenspeicherung, Hosting bestimmter Dienste |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | MongoDB, Inc |
| Beschreibung/Ziel: | Datenbank-Hosting und -Management |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Microsoft Corporation - Azure |
| Beschreibung/Ziel: | Dokumentenspeicherung, Hosting bestimmter Dienste |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | MongoDB, Inc |
| Beschreibung/Ziel: | Datenbank-Hosting und -Management |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Interconnect |
| Beschreibung/Ziel: | Rechenzentrum, Hosting, Hardwareverwaltung, Systemverwaltung |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Amazon Web Services |
| Beschreibung/Ziel: | Rechenzentren und Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande, Deutschland, Luxemburg |
| Subprozessor: | Cloutive Technology Solutions B.V. |
| Beschreibung/Ziel: | Infrastruktur-Support-Partner mit Zugriff auf Hosting-Infrastruktur |
| Ort (e) der Verarbeitung: | Niederlande |
| Subprozessor: | Sentry / Functional Software, Inc. |
| Beschreibung/Ziel: | Protokollierung, Überwachung und Berichterstattung von Fehlern |
| Ort (e) der Verarbeitung: | Deutschland |
Servicespezifische Unterauftragsverarbeiter der Paragin Group
Zur Erbringung unserer Dienstleistungen als Unternehmen werden die folgenden Unterauftragsverarbeiter für den Kontakt mit unserer Organisation eingesetzt. Diese Plattformen werden niemals für Schüler- oder Bewerberdaten verwendet.
| Subprozessor | Beschreibung/Ziel: | Kategorien personenbezogener Daten | Ort (e) der Verarbeitung |
|---|---|---|---|
| Atlassian Corporation | Online-Dokumentations- und Service-Support-System | Name, Geschlecht und E-Mail-Adresse der funktionalen Administratoren und Hauptnutzer. Potenziell personenbezogene Daten in Support-Tickets | Innerhalb des EWR |
| Asana, Inc. | Projektmanagementsoftware | Name, Geschlecht und E-Mail-Adresse von Kundenkontakten, funktionalen Administratoren und Hauptnutzern. | Innerhalb des EWR |
| Productboard, Inc. | Roadmap-Management und -Offenlegung | Name, Geschlecht und E-Mail-Adresse der funktionalen Administratoren und Hauptnutzer. | Innerhalb des EWR |
| Zendesk, Inc. | Online-Dokumentation, Wissenszentren und Ticketing-System | Name, Geschlecht und E-Mail-Adresse der funktionalen Administratoren und Hauptnutzer. Potenziell personenbezogene Daten in einem Support-Ticket. | Innerhalb des EWR |
Kundenspezifische Unterauftragsverarbeiter
Um innerhalb unserer Softwareprodukte zusätzliche Dienstleistungen bereitzustellen, kann unsere Software mit anderen Lieferanten des Kunden verbunden/integriert werden, um die Gesamtlösung zur Verfügung zu stellen. Der Austausch mit diesen Parteien erfolgt ausschließlich auf der Grundlage der Auftragsverarbeitervereinbarung des Kunden mit diesen Lieferanten. Eine Übersicht über mögliche Integrationspartner ist in der nachfolgenden Übersicht dargestellt.
| Unterauftragsverarbeiterkategorie | Kategorien personenbezogener Daten |
| Archivierungssysteme | Export personenbezogener Daten, die sich auf abgeschlossene Aufgaben beziehen, in ein Archivierungssystem gemäß den Akkreditierungsanforderungen. |
| Business-Intelligence-Plattformen | Austausch von (nicht personenbezogenen) Nutzer-/Nutzungsdaten zur Einrichtung externer Dashboards. |
| Karrieretests | Austausch personenbezogener Daten von Bewerbern für die Nutzung der Bewerbung oder des Karrieretests. |
| CRM | Austausch personenbezogener Daten von Nutzern aus dem und/oder an das Lernmanagementsystem. |
| Digitale Unterzeichnung | Austausch personenbezogener Daten innerhalb von Vereinbarungen, die digital unterzeichnet werden müssen. |
| Prüfung integrierter Dienste | Austausch identifizierbarer Daten (d. h. IP-Adressen) mit Integrationen von Prüfungsfragen Dritter, z. B. in den Bereichen STEM und Mathematik |
| Prüfungsorte (physisch) | Austausch personenbezogener Daten für die Test- und Prüfungsplanung, einschließlich der Überprüfung von Personalausweisen. |
| Prüfungssysteme | Austausch personenbezogener Daten für die Test- und Prüfungsplanung sowie Austausch von Noten und Feedback. |
| Verknüpfte Anmeldung | Austausch personenbezogener Daten zur Identifizierung und Authentifizierung von Nutzern. |
| HR-Systeme | Austausch personenbezogener Daten von Mitarbeitern zur Nutzung der Anwendung. |
| Lernmanagementsysteme | Austausch personenbezogener Daten von Nutzern aus dem und/oder an das Lernmanagementsystem. |
| Zahlungsdienstleister | Austausch von (minimierten) personenbezogenen Daten von Bewerbern zum Zweck der Zahlungsabwicklung. |
| Plagiaterkennungsanbieter | Austausch von (minimierten) personenbezogenen Daten von Bewerbern und Durchführung von Plagiatscans bei eingereichten Arbeiten. |
| Remote-Proctoring | Austausch personenbezogener Daten, einschließlich visueller Daten/Videos, zum Zweck der Test- und Prüfungsplanung und Remote-Proctoring, einschließlich der Überprüfung persönlicher Identifikationsdokumente. |
| Informationssysteme für Studenten | Austausch personenbezogener Daten von Nutzern aus dem und/oder an das Studenteninformationssystem. |
| Text-to-Speech-Software/Dienste | Austausch identifizierbarer Daten (d. h. IP-Adressen) mit Text-to-Speech-Integrationen von Drittanbietern. |
Versions- und Änderungsübersicht
Aufgrund der Art unseres globalen Geschäfts und unserer laufenden Bemühungen, unsere Kunden, Partner und Benutzer zu unterstützen, und ihre Arbeit zu erleichtern und sie zu begeistern, können sich unsere Unterauftragsverarbeiter von Zeit zu Zeit ändern. Beispielsweise können wir uns von einem Unterauftragsverarbeiter trennen, um unsere Nutzung von Unterauftragsverarbeitern zu konsolidieren und zu minimieren, oder wir können einen Unterauftragsverarbeiter hinzufügen, wenn wir glauben, dass dies unsere Fähigkeit verbessert, unsere Software und Dienste besser oder robuster bereitzustellen.
Sie erhalten gegebenenfalls Benachrichtigungen per E-Mail, wenn wir diese Seite aktualisieren, um Unterauftragsverarbeiter hinzuzufügen oder zu ersetzen, wenn einer unserer Unterauftragsverarbeiter die von ihm erbrachten Dienstleistungen wesentlich ändert oder wenn Unterauftragsverarbeiter ihre Bedingungen oder Verarbeitungsländer ändern. Alle Änderungen, die in den Unterauftragsverarbeiterübersichten auf dieser Seite vorgenommen werden, werden in der folgenden Tabelle nachverfolgt.
| Version | Kategorie | Vorgenommene Änderungen | Wirksam pro |
|---|---|---|---|
| 1.0 | Alle | Veröffentlichte erste Version der Unterauftragsverarbeiterübersicht | 1. September 2025 |
Treuhänderische Verantwortung und Kontinuität
Die Paragin Group ist eine zuverlässige Organisation, mit Gründern und langjährig verantwortlichem Management, die der Organisation seit dem Jahr 2000 angehören, einer langfristigen Vision und einem Geschäftsmodell sowie einer großen und vielfältigen Kundenbasis. Dies garantiert jedoch nicht immer den Fortbestand einer Organisation. Um die Interessen und die Kontinuität unserer Kunden und Partner zu schützen, haben wir eine Treuhandvereinbarung getroffen, die darauf abzielt, die Kontinuität und Verfügbarkeit der Software der Paragin Group sicherzustellen.
Zu diesem Zweck bietet die Paragin Group eine Treuhandvereinbarung in Form eines Dreiparteienvertrags mit Escrow4all B.V. an. Escrow4all ist nach ISO/IEC 27001 zertifiziert und unter anderem auch ein zugelassener Treuhanddienstleister für Microsoft und ICANN.
Für den Abschluss und die Aufrechterhaltung der Treuhandvereinbarung und der Kontinuitätsgarantie im Namen des Kunden können jährliche Gebühren anfallen. Kunden, die sich für diese Option entscheiden, sind im Escrow4all-Portal als Stakeholder registriert und werden aktiv über den Status der Treuhandvereinbarung informiert. Dies schützt die Rechte unserer Kunden, und Escrow4all kümmert sich umgehend um diese, falls die Treuhandvereinbarung aktiviert werden muss. Kontaktieren Sie uns bitte um mehr über diese Optionen zu erfahren.
Verantwortliche Offenlegung von Schwachstellen
Bei der Paragin Group messen wir der Sicherheit unserer Software höchste Bedeutung bei. Trotz unserer Verpflichtung zur Systemsicherheit, die oben beschrieben ist, können immer noch Schwachstellen auftreten.Wenn Sie eine Schwachstelle in einem unserer Softwareprodukte entdeckt haben, teilen Sie uns dies bitte mit, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir verpflichten uns, mit Ihnen zusammenzuarbeiten, um unsere Kunden, Benutzer, Partner und unsere Systeme bestmöglich zu schützen.Im Sinne einer verantwortungsvollen Offenlegung bitten wir Sie um Folgendes:
- Senden Sie Ihre Ergebnisse per E-Mail ansupport@paragin.com;
- Nutzen Sie die identifizierte Schwachstelle nicht aus, indem Sie beispielsweise mehr Daten herunterladen, als zum Nachweis der Schwachstelle erforderlich sind, oder indem Sie auf Daten Dritter zugreifen, diese löschen oder ändern;
- Eine solide technische Grundlage, die auf bewährten Verfahren basiert und regelmäßig von unabhängigen Organisationen durch Sicherheits- und Penetrationstests getestet wird;
- Teilen Sie die Schwachstelle erst mit anderen, wenn sie behoben wurde, und löschen Sie alle vertraulichen Daten, die durch die Schwachstelle erhalten wurden, unmittelbar nachdem diese behoben wurde;
- Verwenden Sie keine physischen Sicherheitsangriffe, Distributed-Denial-of-Service-, Spam- oder Drittanbieteranwendungen; stellen Sie ausreichende Informationen bereit, um das Problem zu reproduzieren, damit wir es so schnell wie möglich lösen können. Die URL des betroffenen Systems und eine Beschreibung der Schwachstelle sind in der Regel ausreichend, es können jedoch komplexere Schwachstellen erforderlich sein.
Was wir Ihnen im Rahmen einer verantwortungsvollen Offenlegung zusagen:
- Wir werden Ihre Meldung vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Erlaubnis an Dritte weitergeben, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Es ist möglich, eine Meldung unter einem Pseudonym einzureichen;
- Wir werden Sie über den Fortschritt der Lösung des Problems auf dem Laufenden halten;
- In Mitteilungen über das gemeldete Problem werden wir, wenn Sie dies wünschen, Ihren Namen als dessen Entdecker erwähnen;
- Wenn Sie das Problem in Übereinstimmung mit dieser Erklärung zur verantwortlichen Offenlegung gemeldet haben, werden wir keine rechtlichen Schritte einleiten – wir schätzen Ihren Beitrag zur Sicherheit;
- Als Dankeschön für Ihre Hilfe bieten wir für jede Meldung einer Sicherheitslücke, die uns noch nicht bekannt ist, eine Prämie an. Die Höhe der Prämie wird basierend auf der Schwere der Schwachstelle und der Qualität der Meldung bestimmt. Wir bemühen uns, Probleme so schnell wie möglich zu beheben, und freuen uns, aktiv mit allen zusammenzuarbeiten, die uns helfen können.
Die obige Erklärung ist Teil der Initiative zur verantwortungsvollen Offenlegung zur Verbesserung der Softwaresicherheit. Wir danken Floor Terra und coordinatedvulnerabilitydisclosure.org.
Weitere Informationen
Wir hoffen, dass diese Seite so viele Informationen wie möglich über unseren Ansatz zur Informationssicherheit und zum Datenschutz enthält. Sollten Sie jedoch weitere Fragen haben, kontaktieren Sie uns bitte per E-Mail an support@paragin.com.