Flag

Datenschutzerklärung

Zuletzt aktualisiert: 24. Mai 2023

Einleitung

Wir sind Caribou Contests Inc. Wir betreiben die Caribou Contests-Website (cariboutests.com) und setzen uns dafür ein, dass Mathematik durch Wettbewerbe, Spiele und andere Aktivitäten auf unserer Online-Bildungsplattform für alle Spaß macht. Diese Seite wird verwendet, um Website-Besucher über unsere Richtlinien zur Erfassung, Verwendung und Offenlegung personenbezogener Daten bei der Nutzung unserer Produkte und Dienstleistungen auf der Caribou Contests-Website zu informieren.
Bitte lesen Sie diese Datenschutzrichtlinie sowie unsere Allgemeinen Geschäftsbedingungen sorgfältig durch, bevor Sie die Caribou Contests-Website nutzen. Für die Zwecke dieser Richtlinie beziehen sich "Caribou", "Uns", "Unser" und "Wir" auf Caribou Contests Inc. und "Sie" und "Ihr" bezieht sich auf Sie, den Kunden, Besucher, Website-Benutzer oder die Person, die unsere Website nutzt.

1 Allgemeine Grundsätze

Wie im Rest dieser Richtlinien beschrieben, beruht unsere Cybersicherheit auf den folgenden Philosophien:

  • Wir sammeln nur die erforderlichen Informationen, die ausreichen, um unsere Benutzer gut zu unterstützen, aber keine Informationen, die für unseren Service irrelevant sind. Zum Beispiel benötigen wir keine E-Mail-Adresse eines Schülers/einer Schülerin, keine Postanschrift, keine Telefonnummer oder andere persönliche Informationen. Wir bitten die Schülerinnen und Schüler, sich mit ihrem Namen anzumelden, verlangen aber keine Überprüfung. Schüler können Aliasnamen oder Initialen verwenden, wenn dies die Richtlinien ihrer Schule sind.
  • Wir beschränken den Zugriff auf die Schülerdaten nur auf den Schüler/die Schülerin selbst und auf seinen Lehrer, und wir gewähren nicht einmal anderen Lehrern derselben Schule Zugriff.
  • Wir stellen keine App zur Verfügung. Nichts muss jemals auf Telefonen oder Computern installiert werden. Alles ist eine in sich geschlossene Website.
  • Wir stellen alle kritischen Hinweise auf der Website zur Verfügung, die von allen Schülern/Lehrern leicht einsehbar wären, wenn es einen Grund gäbe, sie anzukündigen. Darüber hinaus würden kritische Mitteilungen per E-Mail an die Koordinatoren gesendet.
  • Auf der Grundlage dieser Grundsätze halten wir uns an die internationalen Standardgesetze zur Informationsfreiheit und zum Schutz der Privatsphäre. Caribou Contests ist für Teilnehmer in Kanada relevant und entspricht dem Personal Information Protection and Electronic Documents Act (PIPEDA), dem Bundesdatenschutzgesetz für Organisationen des privaten Sektors. Caribou Contests ist für Studenten in Ontario relevant und entspricht dem Municipal Freedom of Information and Protection of Privacy Act (MFIPPA). Für US-Schulen werden auch der Children's Online Protection of Privacy (COPPA) und der Family Educational Rights and Protection Act (FERPA) eingehalten.
2 Externe Evaluierungen

In der letzten Bewertung von RiskRecon (riskrecon.com) haben wir in allen 9 Kategorien eine perfekte Punktzahl von 10/10 erreicht: Software-Patching, Anwendungssicherheit, Web-Verschlüsselung, Netzwerkfilterung, Sicherheitsverletzungen, Systemreputation, E-Mail-Sicherheit, DNS-Sicherheit und Systemhosting.
 Die Cybersecurity-Gruppe des Educational Computing Network of Ontario (ECNO) bewertete diese Website als sehr sicher. Einzelheiten können auf der ECNO-Website https://ecno.org/ von den 71 von 72 Schulbehörden von Ontario eingesehen werden, die ECNO abonniert haben.

3 Gespeicherte Daten

Zusammenfassend lässt sich vorwegnehmen, dass Caribou keine Daten besitzt, die gegen Schüler oder Koordinatoren (Lehrer) verwendet werden könnten.
  Im Folgenden finden Sie alle Daten, die über Schulen, Koordinatoren (Lehrer) und Schüler gespeichert sind. Diese Daten sind NICHT auf unserer Website verfügbar, nur die Ergebnisse der Schüler sind für den einzelnen Schüler und den direkten Koordinator (Lehrer) des Schülers verfügbar, nicht jedoch für andere Koordinatoren derselben Schule.

  • Für jede Kontaktperson (Lehrer, Bibliothekar) halten wir außer ihrer E-Mail-Adresse und natürlich ihrem Passwort nur öffentlich zugängliche Informationen zu ihrer Institution (Schule/Bibliothek) bereit:
     - Name
     - E-Mail-Adresse (zum Zeitpunkt der Eingabe verifiziert)
     - die 128-Bit-MD5-Hash-Codierung ihres Passworts, nicht das Passwort selbst
     - Telefonnummer (optional)
     - ein beliebiges Datum ihrer Wahl, damit sie ihr Passwort zurücksetzen können
     - Name der Institution
     - Adresse der Institution
     - Stadt
     - Postleitzahl
     - Zeitzone
     - Schulbehörde
  • Für jeden Schüler/jede Schülerin speichern wir:
     - Vorname oder Initiale des Vornamens oder Alias Vorname
     - Nachname oder Initiale des Nachnamens oder Alias Nachname
     - Zugangscode
     - ausgewählte Optionen für Wettbewerbsfragen
     - Rang in Wettbewerben, an denen sie teilgenommen haben
     - Eingereichter Code im Programmierwettbewerb
     - Rechte für den Zugriff auf Ressourcen oder für die Teilnahme an Wettbewerben auf der Grundlage geleisteter Zahlungen
     - die Liste der ausgefüllten Arbeitsblätter des optionalen GeomeTree-Online-Kurses, um die Fortsetzung der Arbeit in diesem Minikurs zu vereinfachen.
  • Nach dem Wettbewerb können die Schülerinnen und Schüler Kommentare abgeben und Fragen stellen. Das Hinterlassen ihrer E-Mail-Adresse ist nur optional, wenn sie eine Antwort wünschen.
  • Wir bieten den Service an, die Schüler an bevorstehende Wettbewerbe zu erinnern. Die Abonnentenliste wird separat gespeichert und ist überhaupt nicht mit ihrem Konto verknüpft und sie können ihren Eintrag jederzeit entfernen.
  • Jede E-Mail-Hilfeanfrage von irgendjemandem, z. B. von Administratoren, Lehrern, Eltern und Schülern, wird gelöscht, nachdem sie beantwortet wurde.
  • Informationen über unsere Mitarbeiter, die von der Canada Revenue Agency benötigt werden, werden vollständig separat gespeichert. Sie werden nicht auf Computern gespeichert, auf denen die Website oder die Datenbank gehostet wird.

 Wir haben KEINEN bestätigten Namen des Schülers/der Schülerin, seine/ihre Telefonnummer oder Adresse. Wir haben ihre E-Mail-Adresse nur, wenn sie sich freiwillig in eine Abonnementliste für Wettbewerbserinnerungen eingetragen haben oder wenn sie Kommentare senden und eine Antwort wünschen.
 Alle Schülerdaten sind nur für den Schüler/eine Schülerin selbst und den einzelnen Koordinator (Lehrer), der den Zugangscode des Schülers heruntergeladen hat, zugänglich. Gemäß dem Gesetz in einigen kanadischen Provinzen werden die Schülerdaten nur bei einem kanadischen Internetanbieter (vaxxine.com) gespeichert.
 Die Zugangscodes der Schüler werden nicht verschlüsselt, da sie von der einzelnen Lehrkraft, die sie heruntergeladen hat, benötigt werden, um sie an ihre Schüler zu verteilen und sie daran zu erinnern, wenn sie ihren Zugangscode häufig vergessen.

4 Nie erhobene und somit nicht gespeicherte Daten
  • Online-Zahlungen werden über PayPal abgewickelt, es werden keine Kreditkartendaten und keine PayPal-Kontodaten empfangen.
  • Wir fordern keine Schülerdaten wie echten Namen, E-Mail-Adresse, Privatadresse oder Telefonnummer an und haben diese daher nicht. Wir haben nur die E-Mail-Adressen der Studenten, die uns Fragen geschickt haben, die per E-Mail beantwortet werden sollen.
  • Wir haben keine demografischen Informationen über Schüler (Geschlecht, Rasse), abgesehen von der Schulnote, beginnend mit dem Schuljahr 2023-2024. Wir verwenden Schulnotendaten, um eine zusätzliche Statistik bereitzustellen und damit die Schüler besser sehen können, wie sie im Vergleich zu anderen in derselben Schulklasse abschneiden.
5 Zugriff auf gespeicherte Daten

Nur "Super-Admins" haben Zugriff auf alle Daten. Abgesehen von Thomas Wolf, Gründer und Geschäftsführer, sind die einzigen weiteren Personen mit Super-Admin-Privilegien für die Zeit ihrer 4-monatigen Anstellung studentische Programmierer. Sie müssen vor Beginn ihrer Beschäftigung eine Geheimhaltungsvereinbarung unterzeichnen.
 Der einzige andere Zugriff besteht darin, dass die Teilnehmer ihre eigenen Ergebnisse sehen, nachdem sie sich angemeldet haben. Die Teilnehmer können die Ergebnisse anderer Teilnehmer nicht sehen. Ein Lehrer kann nur auf die Ergebnisse seiner eigenen Schüler zugreifen, auch nicht auf die Ergebnisse anderer Schüler seiner Schule, d.h. Lehrer einer Schule können die Ergebnisse der anderen Schüler nicht sehen.
 Studenten-Accounts ändern sich jedes Jahr, d.h. sie erhalten jedes Jahr einen neuen Zugangscode. Koordinatoren (Lehrer) können den Namen des Schülers auswählen und häufig Aliasnamen oder Initialen oder einen generischen Namen mit einem Zahlenindex verwenden. Koordinatoren können diese Namen jederzeit bearbeiten, z. B. zum Drucken von Zertifikaten, und die Namen dann wieder in Initialen oder Aliasnamen ändern. Der Zugriff auf die Ergebnisse eines Schülers über mehrere Jahre hinweg würde die Kenntnis mehrerer Benutzernamen und Passwörter erfordern, die nur der Schüler und der Lehrer kennen können.

6 Löschung von Daten

Die Daten der Schüler werden nicht gelöscht, da sie bei der Bewerbung an der High School oder Universität regelmäßig nach ihren Ergebnissen aus dem Vorjahr fragen.
 Im Sommer 2023 vor Beginn des Cups 2023/24 wird ein Archivierungssystem für Schülerdaten eingerichtet, das auf Dauer gepflegt wird. Der Zweck ist zweierlei: 1) die Speicherung von weniger Daten auf dem Server, so dass im Falle einer hypothetischen Sicherheitsverletzung weniger Daten gefährdet sind, 2) eine kleinere Datenbank arbeitet schneller und benötigt weniger Speicher.
 Gemäß den Regeln von HR Canada und CRA speichern wir auch die erforderlichen Daten über unsere Mitarbeiter und Auftragnehmer.

7 Datensicherheit

Die Datenbank, in der die oben genannten Daten gespeichert sind, wird jeden Tag um Mitternacht gesichert. Die gesamte Website wird einmal pro Woche gesichert.

8 Verschlüsselung der Seitenkommunikation

Wir schützen vor HTML- und SQL-Injection für alle Formulare auf unserer Website. Wir stellen sicher, dass keine Benutzereingaben unseren für die Website geschriebenen Code direkt beeinflussen können, was zu unerwünschtem Verhalten führen kann. Dies geschieht durch Bereinigung und Validierung von Benutzereingaben, wodurch sichergestellt wird, dass übergebene Benutzerdaten keine Datenbankabfragen oder -seiten manipulieren.
 Sensible Benutzerinformationen wie Passwörter werden verschlüsselt, sodass sie im Ruhezustand gesichert sind, wenn sie in unserer Datenbank gespeichert werden.
 Verbindungen zwischen Besuchern und der Website werden über Cloudflare verwaltet. Die Standardmethode der HTTPS-Übertragung verwendet (SSL/TLS)-Verschlüsselung, um Anfragen und Antworten an alle außer den an der Übertragung beteiligten Parteien zu verschleiern.
  Cloudflare schützt auch vor DDoS-Angriffen wie Request Floods und Botnet-Anfragen.

9 Protokoll zur Reaktion auf Sicherheitsverletzungen

Eine Sicherheitsverletzung, zum Beispiel durch eine unbefugte Veröffentlichung von Schülerdaten, ist seit dem Start von Caribou im Jahr 2009 nicht mehr vorgekommen. Nichtsdestotrotz wird im hypothetischen Fall eines solchen Verstoßes das folgende Protokoll aktiviert.

9.1 Eingrenzung
  • Wir werden uns umgehend mit unserem Internetanbieter Vaxxine in Verbindung setzen, wenn eine Sicherheitsverletzung auf Serverebene bekannt ist.
  • Alle Passwörter für alle Konten von Mitarbeitern und Auftragnehmern auf unserem Server werden geändert. Dies ist möglich, weil Caribou Contests ein kleines Unternehmen mit sehr wenigen Mitarbeitern und Auftragnehmern ist, die in ständigem Kontakt miteinander stehen.
  • Nach Prüfung des Zustandes unserer Datenbank wird entschieden, ob eine täglich vorbereitete Sicherungskopie installiert werden muss.
9.2 Benachrichtigung
  • Wir haben eine Reihe von Tools zum Versenden von E-Mails, mit denen Sie alle Koordinatoren oder Untergruppen von ihnen kontaktieren können. Im Falle einer Sicherheitsverletzung würden wir alle Koordinatoren der betroffenen Schulen kontaktieren, ggf. alle. Wir würden sie darüber informieren, was über den Verstoß und über den Abhilfeplan bekannt ist.
  • Abhängig von der Art des Verstoßes würden wir Koordinatoren und Schüler über ein Popup-Fenster informieren, wenn sie sich anmelden.
  • Unser 3. Kommunikationskanal ist unsere Caribou News-Sektion auf unserer Homepage. Wir verwenden das regelmäßig für jede Art von Nachrichten und würden es auch in diesem Fall verwenden.
9.3 Sanierungspläne

Wir würden untersuchen, wie es zu dem Verstoß kommen konnte und wie er in Zukunft verhindert werden kann.
 Die folgenden Schritte ermöglichen es, die Sicherheit und den Zugriff für Koordinatoren und Schüler wiederherzustellen. Unsere einzigen Daten, mit denen wir Schüler identifizieren können, sind ihre Namen (oder Aliasnamen) in Kombination mit ihrem Zugangscode. Schulen mit einem schulweiten Pass können eine unbegrenzte Anzahl neuer Zugangscodes herunterladen, neue Schülernamen ihrer Wahl an die neuen Codes anhängen und die Ergebnisse von Schülerwettbewerben aus den alten Codes mit den neuen Codes und neuen Namen zusammenführen, indem sie das Tool "Zwei Schülerkonten zusammenführen" auf der Koordinatorenseite verwenden. Dadurch werden automatisch die alten (kompromittierten) Zugangscodes mit dem alten angehängten Namen entfernt. Schulen ohne Schulpass würden von Caribou kostenlos einen schulweiten Pass erhalten, um diese Änderung der Zugangscodes durchzuführen.
  Alles, was die Lehrer danach tun müssten, ist, ihren Schülern die neuen Namen und Zugangscodes mitzuteilen.

10 Transparenz

Wenn sich ein Koordinator (Lehrer) zum ersten Mal in einem Cup anmeldet (nach dem 1. September), muss er seine persönlichen Kontodaten (E-Mail-Adresse, Schule, Telefonnummer) bestätigen und ggf. bearbeiten. Sie müssen auch die Allgemeinen Geschäftsbedingungen einschließlich unserer Datenschutz- und Cybersicherheitsmaßnahmen anerkennen.
  Wenn es wider Erwarten im Laufe des Jahres notwendig sein sollte, die Art und Weise, wie mit personenbezogenen Daten umgegangen wird, zu ändern, werden die Benutzer, die Koordinatoren per E-Mail und die Schüler bei der Anmeldung benachrichtigt.
 In den vergangenen Jahren haben wir am Ende eines Cups einen Fragebogen ausgegeben, um Feedback zu wichtigen zukünftigen Entwicklungen zu erhalten. Wir planen, diese Praxis beizubehalten.

11 Dritte

Die einzigen Dienste von Drittanbietern, die Kontakt zur Sicherung von Daten haben, sind:

  • Vaxxine (www.vaxxine.com) ist unser Internet-Provider (seit über 40 Jahren als Internet-Provider aktiv) und hat theoretisch Zugriff auf alle unsere Daten.
  • Cloudflare (cloundflare.com) betreibt ein Content Delivery Network, um Nutzer schnell zu erreichen, unabhängig davon, wo sie sich befinden (siehe Abschnitt 8).
  • PayPal wickelt Online-Zahlungen ab, hat aber keinen Zugriff auf nicht-finanzielle Daten.

Diese 3 Dienste verfügen über gleichwertige oder bessere Sicherheitsvorkehrungen als das, was wir den Benutzern anbieten.

12 Kontakt

Bitte kontaktieren Sie uns unter [email protected], wenn Sie Fragen oder Bedenken zur Cybersicherheit von Caribou Contests haben.