Certifications and Compliance
To meet the very latest security and data protection requirements, all of our services are subject to strict rules and regularly checked by independent specialists.
Signicat is ISO/IEC27001 certified.
# EN ISO 27001:2013
This international standard is designed to set requirements for the establishment, implementation, maintenance and continuous improvement of an information security management system.
An ISO / IEC 27001 certificate shows that the information security management system has been measured against a standard of best practice in the branch and found to be in compliance. Certification of an independent certification body shows that the necessary measures have been taken to protect sensitive information from unauthorized access and changes.
Signicat is ISO/IEC 27001 certified, certificate is available here.
# Protect your values
The standard has a holistic approach to information security. Values that need protection can include everything from digital information, paper documentation and physical assets (computers and networks) to the knowledge of individual employees. Conditions you must consider include, among other things, the staff's skills development and technical protection against hacking.
ISO / IEC 27001 helps us protect information as follows:
- Confidentiality ensures that information is only available to authorized parties
- Integrity ensures that the information handling methods are accurate and complete
- Accessibility ensures that authorized users have access to information and associated assets when needed
Signicat is ISO/IEC 27001 certified, certificate is available here.
# eIDAS (Electronic Identification and Trust Services)
Signicat is a Qualified Trust Service Provider issuing qualified time-stamps, certificate is available here.
The Signicat Time-Stamp policy and Practice statement is listed at the end of this page.
By being a Qualified Trust Service Provider, Signicat is listed on the EU trust list.
# AICPA SOC 2 (American Institute of Certified Public Accountants; Service Organization Control)
Signicat delivers a SOC 2 (type 1 for 2018) (type 2 for 2019) attestation report to its customer. The SOC 2 report addresses a service organization’s controls that relate to operations and compliance, as outlined by the AICPA’s Trust Services criteria in relation to availability, security, processing integrity, confidentiality and privacy. This report is intended to meet the needs of a broad range of users that need detailed information and assurance about the controls at a service organization relevant to security, availability, and processing integrity of the systems the service organization uses to process users’ data and the confidentiality and privacy of the information processed by these systems.
# FTN (Finnish Trust Network)
Signicat is an approved identity broker for Finnish businesses, providing access to the Finnish Trust Network, by The Finnish Transport and Communications Agency (Traficom).
Signicat offers strong electronic identification services for the public. The principles for strong identification have been established in Finnish legislation: Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista 533/2016, section 2.2§: http://www.finlex.fi/fi/laki/ajantasa/2009/20090617.
# IDIN
Signicat is an approved broker of IDIN in Netherlands.
# GDPR as Data Processor on instruction by Data Controller (Signicat's Customer)
An audit report is provided to Signicat's customers of compliance to Signicat's Data Processor Agreement (DPA).
# Qualified Trust Service Provider Document Repository
# eIDAS QTSP Terms and Conditions
# eIDAS QTSP Policy and Practice Statement
Signicat Spain is ISO/IEC 27001 certified.
# ISO 27001:2013 (for Signicat Spain)
This international standard is designed to set requirements for the establishment, implementation, maintenance and continuous improvement of an information security management system.
Signicat Spain is ISO/IEC 27001 certified, certificate available here.
Signicat Spain is ISO/IEC 25000 certified.
ISO/IEC 25000 also known as SQuaRE (System and Software Quality Requirements and Evaluation), is a series of standards aiming at creating a common framework for the evaluation of software product quality. Our Certificate of Functional Adequacy measures the ability of the software product (VideoID) to provide functions that satisfy both stated and implied needs, provided that the product is used under the specified conditions.
Signicat is a Qualified Trust Service Provider (QTSP)
# eIDAS (Electronic Identification and Trust Services)
Signicat is a Qualified Trust Service Provider issuing qualified time-stamps, certificate is available here.
The Signicat Time-Stamp policy and Practice statement is listed at the end of this page.
By being a Qualified Trust Service Provider, Signicat is listed on the EU trust list.
# NSC, National Security Scheme
The systems that support the information of the services provided by Signicat SLU have been audited and found to comply with the requirements of Royal Decree 3/2010 of January 8, which regulates the National Security Scheme in the field of electronic administration.
Therefore, Signicat SLU is certified in the National Security Scheme at Medium level and reinforces the commitment to national regulatory compliance.
The National Security Scheme, applicable to suppliers that collaborate with the Administration, offers a common framework of basic principles, requirements and security measures for adequate protection of the information processed and the services provided, in order to ensure access, confidentiality, integrity, traceability, authenticity, availability and conservation of the data, information and services used by electronic means that they manage in the exercise of their competencies.
# CPSTIC Services
Signicat SLU's VideoID product is available in the ICT security products and services catalog of the Spanish National Cryptologic Center, within the category "Video Identification Tools", thus ensuring compliance with the ETD/465/2021 standard of May 6 and ETD/743/2022 of July 26, which regulates remote video identification methods for the issuance of qualified electronic certificates.
# OpenID Certified
Signicat is a certified OpenID Connect provider and has achieved OpenID Certification from the OpenID Foundation. OpenID Certification demonstrates that our implementation of OpenID Connect, a standard for user authentication and authorisation, meets the highest levels of security, interoperability, and usability.
Signicat is eHerkenning certified.
# eHerkenning certified
The Ministry of Economic Affairs has certified us as an official eHerkenning broker. Other suppliers also recognise the power of our software, which means that our systems handle the majority of all login transactions.
# AICPA SOC 2 (American Institute of Certified Public Accountants; Service Organization Control)
Signicat stellt den Kunden einen SOC 2-Bericht (Typ 1 für 2018, Typ 2 für 2019) bereit. Der SOC 2-Bericht beschreibt die Angemessenheit und Wirksamkeit der internen Kontrollmaßnahmen für den Betrieb und die Compliance bei einem Service-Anbieter. Die Kriterien für Vertrauensdienste werden von der AICPA festgelegt und beziehen sich auf Verfügbarkeit, Sicherheit, Prozessintegrität, Vertraulichkeit und Datenschutz. Zweck dieses Berichts ist es, die Anforderungen einer breiten Masse von Nutzern zu erfüllen, die von Service-Anbietern detaillierte Informationen zu den internen Kontrollmaßnahmen benötigen. Diese beziehen sich auf die Bereiche Verfügbarkeit, Sicherheit, Prozessintegrität, Vertraulichkeit und Datenschutz der Systeme, die vom Service-Anbieter für die Verarbeitung von Nutzerdaten eingesetzt werden. Darüber hinaus enthält der Bericht detaillierte Informationen zur Vertraulichkeit und zum Schutz der Daten, die von diesen Systemen verarbeitet werden.
# nPA (neuer Personalausweis)
Als Identifizierungsdiensteanbieter ist Signicat seit 9. März 2020 gemäß der Zertifizierung nach §21b PAuswG berechtigt, die Personalausweisdaten im Auftrag der Kunden auszulesen. Eine Voraussetzung für eine sichere und komfortable Anmeldung bei Banken, Versicherungen, Mobilfunk, Gesundheitswesen…, aber auch im Handel insbesondere in Online-Shops.
Das Zertifikat des Bundesverwaltungsamts ist hier verfügbar (PDF).
# iDIN
Signicat ist ein anerkannter Vermittler von iDIN in den Niederlanden.
Gemäß Datenschutz-Grundverordnung handelt Signicat als Datenverarbeiter auf Anweisung des Datenverantwortlichen (Kunde von Signicat)
Signicat stellt den Kunden einen Prüfbericht über die Einhaltung der Datenverarbeitungserklärung (DPA) zur Verfügung.
# Qualified Trust Service Anbieter - Dokumentenarchiv
# eIDAS QTSP - Bedingungen und Konditionen
# eIDAS QTSP - Richtlinien und Zertifizierungspraxis
#
Wie wirkt sich das Urteil des EU-Gerichtshofs "Schrems II" auf Signicat aus? (2021, April)
# Was ist Schrems II?
Schrems II ist ein Urteil des Gerichtshofs der Europäischen Union, das sich auf die Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR) bezieht und darauf, ob diese Daten gemäß den im EWR festgelegten Datenschutzstandards behandelt werden oder nicht. Wichtig ist, dass Schrems II das EU-US Privacy Shield für ungültig und als unzureichende Grundlage für Datenübermittlungen erklärt.
# Wo werden Kundendaten verarbeitet?
Die personenbezogenen Daten, die Signicat im Auftrag des Kunden verarbeitet, werden von verschiedenen Hosting-Plattformen ausschließlich im EWR verarbeitet. Wir haben mit unseren Hosting-Anbietern vereinbart, dass die Daten nicht außerhalb des EWR verarbeitet werden.
# Wie arbeitet Signicat an der Einhaltung von Schrems II?
Die Situation ist noch in der Entwicklung begriffen, und die Präzedenzfälle werden weiterhin von verschiedenen europäischen Gerichten festgelegt. Signicat überwacht kontinuierlich den Konformitätsstatus unserer Hosting-Anbieter, wobei wir uns direkt mit den Hosting-Anbietern beraten und auch die Leitlinien des Europäischen Datenschutzausschusses (EDPB) und der norwegischen Datenschutzbehörde zu Rate ziehen. Wir beachten auch die Präzedenzfälle, die von verschiedenen europäischen Gerichten in dieser Angelegenheit festgelegt wurden.
# nPA (neuer Personalausweis)
Als Identifizierungsdiensteanbieter ist Signicat seit 9. März 2020 gemäß der Zertifizierung nach §21b PAuswG berechtigt, die Personalausweisdaten im Auftrag der Kunden auszulesen. Eine Voraussetzung für eine sichere und komfortable Anmeldung bei Banken, Versicherungen, Mobilfunk, Gesundheitswesen…, aber auch im Handel insbesondere in Online-Shops.
Das Zertifikat des Bundesverwaltungsamts ist hier verfügbar (PDF).
# iDIN
Signicat ist ein anerkannter Vermittler von iDIN in den Niederlanden.
Gemäß Datenschutz-Grundverordnung handelt Signicat als Datenverarbeiter auf Anweisung des Datenverantwortlichen (Kunde von Signicat)
Signicat stellt den Kunden einen Prüfbericht über die Einhaltung der Datenverarbeitungserklärung (DPA) zur Verfügung.
# Qualified Trust Service Anbieter - Dokumentenarchiv
# eIDAS QTSP - Bedingungen und Konditionen
# eIDAS QTSP - Richtlinien und Zertifizierungspraxis
#
Wie wirkt sich das Urteil des EU-Gerichtshofs "Schrems II" auf Signicat aus? (2021, April)
# Was ist Schrems II?
Schrems II ist ein Urteil des Gerichtshofs der Europäischen Union, das sich auf die Übermittlung von Daten außerhalb des Europäischen Wirtschaftsraums (EWR) bezieht und darauf, ob diese Daten gemäß den im EWR festgelegten Datenschutzstandards behandelt werden oder nicht. Wichtig ist, dass Schrems II das EU-US Privacy Shield für ungültig und als unzureichende Grundlage für Datenübermittlungen erklärt.
# Wo werden Kundendaten verarbeitet?
Die personenbezogenen Daten, die Signicat im Auftrag des Kunden verarbeitet, werden von verschiedenen Hosting-Plattformen ausschließlich im EWR verarbeitet. Wir haben mit unseren Hosting-Anbietern vereinbart, dass die Daten nicht außerhalb des EWR verarbeitet werden.
# Wie arbeitet Signicat an der Einhaltung von Schrems II?
Die Situation ist noch in der Entwicklung begriffen, und die Präzedenzfälle werden weiterhin von verschiedenen europäischen Gerichten festgelegt. Signicat überwacht kontinuierlich den Konformitätsstatus unserer Hosting-Anbieter, wobei wir uns direkt mit den Hosting-Anbietern beraten und auch die Leitlinien des Europäischen Datenschutzausschusses (EDPB) und der norwegischen Datenschutzbehörde zu Rate ziehen. Wir beachten auch die Präzedenzfälle, die von verschiedenen europäischen Gerichten in dieser Angelegenheit festgelegt wurden.