Anhang: Datenverarbeitung in der Milestone XProtect VMS Umgebung

Das Milestone Dokument zur Systemarchitektur beschreibt die Systemkomponenten und die Art und Weise, wie diese miteinander und mit den Systemkomponenten in der Umgebung zusammenarbeiten. Für jeden der relevanten Anwendungsfälle für das Produkt finden Sie ein Diagramm, das den Kommunikationsfluss zwischen den Komponenten illustriert, die an den Anwendungsfällen beteiligt sind. Diese Diagramme geben eine allgemeine Übersicht über die übertragenen Daten. Weitere Informationen über die Interaktion zwischen den einzelnen Komponenten Milestone XProtect VMS finden Sie im Milestone Dokument zur Beschreibung der Systemarchitektur.

In diesem Abschnitt sind die Standardinstallationsverfahren für XProtect für persönliche Daten, Authentifizierungs- und Konfigurationsdaten aufgeführt, die für Datenschutz- und Sicherheitseinstellungen relevant sind.

Personenbezogene Daten aus dem VMS

Der Hauptdatentyp sind die Videodaten von den Videokameras. Diese Daten werden vom Recording Server Dienst gespeichert. Videodaten können entweder live oder im Wiedergabemodus an den XProtect Smart Client gestreamt werden. Die übrigen Daten sind die Stammdaten der VMS-Benutzer, die in der SQL Server-Datenbank gespeichert werden.

Personenbezogene Daten aus der Umgebung

Personenbezogene Daten zu den VMS-Benutzern stammen unter zwei Umständen aus der Umgebung:

  • In einer Windows-Umgebung, in der Active Direct (AD) für die Benutzerauthentifizierung und als Quelle für Gruppenmitgliedschaften verwendet wird. Der Dienst Milestone XProtect Management Server fragt über das LDAP-Protokoll das AD ab, um Informationen über die Benutzer zu erhalten, die sich am System anmelden.

  • Von externen Third-Party IDP-Diensten, bei denen Basisnutzer in diesem Dienst verwaltet werden.

Personenbezogene Daten aus dem System

Diese personenbezogenen Daten beinhalten Daten jeder Art, die dafür benötigt werden, das System zu sichern, zu konfigurieren, zu betreiben, zu warten oder in sonstiger Weise zu unterstützen. Arten personenbezogener Daten sind u.a.:

  • Protokolldaten

    IT-Systeme protokollieren in der Regel Benutzer- und Systemdaten in Audit- und Debug-Protokolldateien, um beim Betrieb und bei der Wartung der Systeme zu helfen. XProtect Corporate tut dies ebenfalls. Das VMS protokolliert Informationen über Benutzeraktionen und speichert sie in Log Server (SQL Server). Dieses Audit-Protokoll dient dazu, die Verantwortlichkeit für vergangene Maßnahmen und das Systemverhalten nachzuvollziehen, sowie um ggf. Missbrauch des Systems zu verfolgen. Debug-Protokolle dienen dazu, Defekte und Fehler im System zu erkennen. Die Debug-Daten enthalten keine personenbezogenen Daten.

    Die Protokolleinträge können detaillierte Informationen über die Nutzung des Systems durch die Bediener und Administratoren enthalten und eignen sich ggf. zur Überwachung des Verhaltens und der Leistung von Mitarbeitern.

  • Protokollierung der Authentifizierung

    Der Authorization Server Duende OAuth und Identity Provider (IDP) erstellen Auditprotokoll-Dateien. Diese Dateien werden im Log Server (SQL Server), gespeichert, und aus allen Debug-Protokollen wurden personenbezogene Daten und Identitätskennzeichen entfernt. Diese Auditprotokolle können über den XProtect Management Client eingesehen werden.

Authentifizierung und Authentifizierungsdaten

  • Authentifizierung des Benutzers im VMS

    Es gibt drei Optionen zur Authentifizierung von VMS-Benutzern von XProtect Management Client und XProtect Smart Client. Sie können entweder die Anmeldemechanismen von Windows, die VMS-eigene Authentifizierung oder einen externen IDP verwenden.

    Eine Windows Active Directory-Umgebung können Sie so konfigurieren, dass die eingebauten Anmeldemechanismen von Windows verwendet werden. Die Authentifizierung mit der Windows-Anmeldung basiert standardmäßig auf dem Kerberos-Protokoll. Dies ist die sicherste Option. In älteren Umgebungen unterstützen die Domain Controller Kerberos u.U. nicht. In diesem Fall greift die Windows-Anmeldung automatisch auf das LAN-Manager-Protokoll (NTLMv2) zurück, das als weniger sicher gilt als Kerberos.

    In Umgebungen ohne Windows-Domänencontroller können Sie die systemeigene Authentifizierungsmethode XProtect verwenden. Dies ist die Basis-Authentifizierung mit Benutzer-ID und Kennwort gegenüber der lokalen Identity Provider Authentifizierung oder die Authentifizierung von Windows für Arbeitsgruppen, sofern diese zur Verfügung steht.

    Alternativ können Sie einen externen IDP verwenden. Ein externer IDP ist eine externe Anwendung und ein Dienst, in dem Sie Angaben zur Identität der Benutzer speichern und verwalten und Dienste zur Benutzerauthentifizierung für andere Systeme bereitstellen können. Sie können einen externen IDP mit dem XProtect VMS verknüpfen.

    Um den Datenschutz zu gewährleisten, sollten Sie keine Third-Party-IDPs aus dem Internet verwenden. Wenn Sie einen externen IDP verwenden, muss er lokal installiert sein und von derselben Organisation oder Firma verwaltet werden, die auch das VMS betreibt.

    Es gibt drei Arten von Authentifizierungsnachweisen:

    • Windows-Anmeldungstokens (entweder Kerberos- oder NTLM-Tokens)
    • Basis-Authentifizierungsdaten
    • Die Authentifizierung von Windows für Arbeitsgruppen

    Nach erfolgreicher Authentifizierung wird der Benutzer am VMS angemeldet, und von dem Dienst Management Server wird eine Benutzersitzung erstellt, in der die Anmeldung erfolgt. Der Client hat nun im Kontext dieser Benutzersitzung Zugriff auf die Funktionen des Management Server Dienstes. Wenn der Benutzer auf Funktionen im Recording Server Dienstes zugreifen möchte, braucht auch der XProtect Smart Client eine Benutzersitzung bei diesem Serverdienst.

  • Benutzerberechtigung in dem Recording Server Dienst

    Da die Sitzung eines Benutzers zwischen dem XProtect Smart Client / XProtect Management Client und dem Dienst Management Server nicht wiederverwendet werden kann, um auf Recording Serverzuzugreifen, muss der Recording Server auch den Benutzer autorisieren. Um sich bei dem Dienst Recording Server zu autorisieren, stellt der Dienst Management Server dem Kunden ein Autorisierungs-Token zur Verfügung, das der Kunde dem Dienst Recording Server gegenüber vorweisen muss. Gleichzeitig sendet der Dienst Management Server das Autorisierungs-Token an alle Recording Server-Dienste in der VMS-Installation. Diese können wiederum zur späteren Autorisierung von Benutzern verwendet werden.

    Die XProtect-VMS verwendet eine einfache GUID als einen solchen Authentifizierungstoken, den der Client an den Recording Server-Dienst senden. Die GUIDs werden dann von dem Management Server Dienst erstellt und verwaltet, der diese Tokens nach einer gewissen Zeit erneuert. Die GUID ist schlicht eine Kennung für den Benutzer in der SQL Server Datenbank.

  • Authentifizierungsdaten

    Die Authentifizierungsdaten für VMS-Benutzer werden in der SQL Server-Datenbank auf SQL Server gespeichert. Zum Startzeitpunkt ziehen die Dienste Management Server und Recording Server die entsprechenden Autorisierungsdaten, einschließlich der Authentifizierungstokens, für alle Benutzer aus der SQL Server-Datenbank, um spätere Zugriffe auf die Server durch Benutzer vorbereitet zu sein. Wenn ein Administrator Berechtigungen oder Rollen oder irgendetwas anderes ändert, das Auswirkungen auf die Benutzerberechtigungen hat, wird diese Aktualisierung vom Dienst Management Server in der SQL Server-Datenbank auf SQL Server gespeichert und außerdem aktiv an alle Recording Server Dienste weitergegeben. Die Recording Server Dienste speichern Benutzerautorisierungsdaten und alle Authentifizierungstoken lokal und können so Client-Benutzer sofort authentifizieren, die ihre Authentifizierungstokens vorweisen können.

  • Konfigurationsdaten

    Abgesehen von den Ansichtsdaten, die über den XProtect Smart Client eingestellt werden, werden alle Konfigurationsdaten für das VMS-System über den XProtect Management Client des VMS konfiguriert und in der SQL Server-Datenbank gespeichert. Es gibt verschiedene Arten von Konfigurationsdaten:

    • Benutzereinstellungen und Präferenzen
    • Benutzerrechte
    • Serverkonfiguration
    • Systemeinstellungen
    • Kamera- und Gerätekonfiguration

    Wenn die Konfigurationsdaten auch keine personenbezogenen Daten enthalten mögen, können sie Einfluss auf die Art und Weise haben, wie das VMS personenbezogene Daten verarbeitet. Nur für die Auswertung sind die Autorisierungsangaben und die Sicherheits- und Datenschutzeinstellungen unter den oben aufgeführten Konfigurationsdaten relevant.

Personenbezogene Daten und registrierte Mobilgeräte

Wenn Sie die XProtect Mobile App deinstallieren oder das Gerät deaktivieren, können die Gerätedaten noch in der VMS-Datenbank gespeichert sein.

Die VMS entfernt die Geräteregistrierungsdaten, wenn:

  • Sie einen Benutzer aus dem System entfernen.

  • Milestone Care Plus wurde für mehr als 180 Tage nicht erneuert.

Es gibt jedoch Szenarien, in denen die Geräteregistrierungsdaten nicht automatisch entfernt werden.

Sie müssen ein oder alle registrierten Geräte manuell entfernen, wenn:

  • Ein Benutzer hat sein Telefon verloren.

  • Sie möchten den mobilen Server vollständig deinstallieren und seine Daten entfernen.

  • Ein Benutzer hat aufgehört, die XProtect Mobile Client-App oder die Benachrichtigungen zu verwenden.

  • Sie haben eine Active Directory (AD)-Gruppe zu einer VMS-Rolle hinzugefügt und die Berechtigungen für einen Benutzer haben sich geändert. Wenn Sie eine AD-Gruppe hinzufügen, sieht der VMS die Benutzer in dieser Rolle nicht. Wenn Sie einen Benutzer aus einer AD-Gruppe entfernen oder dem Benutzer die Verwendung des mobilen Servers untersagen, müssen Sie auch das Gerät des Benutzers manuell aus der Liste entfernen.