Try Demo Starten Sie Ihr Geschäft
Booknetic
Buch Booknetic kaufen

Datenisolation und Berechtigungsgrenzen

Verstehen Sie, wie Booknetic SaaS Mandantendaten trennt, Rollen begrenzt und welche Sicherheitsregeln SaaS-Inhaber beachten sollten.

Version:
Kategorien

Vertrauenszusammenfassung

Vertrauen: Booknetic SaaS isoliert Mandantendaten auf der Ebene der Datenbankabfragen. Diese Seite erklärt, was getrennt wird, wer was sehen kann und welche Randfälle Sie kennen sollten, wenn Sie eine SaaS-Plattform betreiben.

Booknetic SaaS ist für ein Multi-Tenant-Setup gebaut: Eine SaaS-Plattform kann viele Mandantenunternehmen hosten, und jeder Mandant arbeitet in seinem eigenen Booknetic-Arbeitsbereich.

In normalen mandantenseitigen Ansichten beschränkt Booknetic Datensätze auf den aktuellen Mandanten, bevor Daten gelesen oder geschrieben werden. Das bedeutet, dass Mandant A im Mandanten-Admin-Panel nicht die Kunden, Termine, Dienste, Mitarbeiter, Standorte, Workflows, Zahlungen oder Mandanteneinstellungen von Mandant B sehen sollte.

Gleichzeitig benötigen Sie — als SaaS-Plattform-Inhaber — Inhaberwerkzeuge, um Ihre Plattform zu verwalten. Booknetic SaaS hat deshalb einen separaten inhaberseitigen Admin-Bereich, in dem vertrauenswürdige Plattformadministratoren Mandanten, Tarife, Abrechnung, SaaS-Einstellungen und inhaberseitige Workflow-Aktivität verwalten können.

Diese Seite ist praktisch formuliert: was jede Rolle sehen kann, was jede Rolle tun kann und welche Sicherheitsregeln helfen, die Grenze sauber zu halten.

Was Datenisolation in Booknetic SaaS bedeutet

Jeder Mandant hat seinen eigenen Booknetic-Datenbereich. Mandanteneigene Datensätze werden als Teil der gemeinsamen SaaS-Plattform gespeichert, aber mandantenseitige Aktionen laufen im Kontext eines einzelnen Mandanten.

In der Praxis bedeutet das, dass ein Mandantenadministrator normalerweise nur Folgendes für seinen eigenen Mandanten sieht:

  • Kunden;
  • Termine;
  • Dienste und Service-Kategorien;
  • Mitarbeiter;
  • Standorte;
  • Verfügbarkeit, Feiertage, besondere Tage und Stundenzettel;
  • Workflows und Workflow-Verlauf, die mit diesem Mandanten verbunden sind;
  • Zahlungs- und Abrechnungsinformationen, die mit diesem Mandanten verbunden sind;
  • Mandanteneinstellungen und Darstellungseinstellungen.

Booknetic SaaS setzt dies um, indem Mandantenkontext-Prüfungen angewendet werden, bevor mandantenseitige Ansichten Booknetic-Daten lesen oder schreiben. Dieselbe allgemeine Grenze gilt für normale Aktionen im Mandanten-Admin und für kundenorientierte Buchungsaktionen.

Der Plattform-Inhaber ist anders. Der SaaS-Inhaber soll die SaaS-Plattform verwalten und kann Mandantenkonten und plattformweite Mandanteninformationen aus dem SaaS-Admin-Bereich sehen. Das ist beabsichtigt: Sie benötigen diese Werkzeuge, um Mandanten zu unterstützen, Tarife zu verwalten und die Abrechnung korrekt zu halten.

Rollen und Berechtigungsgrenzen

Booknetic SaaS hat mehrere Benutzerrollen oder Zugriffsebenen. Die Namen können ähnlich klingen, daher hilft eine klare Trennung.

Rolle Wer das normalerweise ist Hauptzugriff
WordPress Super Admin / WordPress Administrator Sie oder Ihr vertrauenswürdiger Websiteadministrator Hat umfassende Kontrolle auf WordPress-Ebene über die Website. Behandeln Sie dies als Konto mit höchstem Vertrauen.
SaaS Owner / Plattformadministrator Die Person, die Booknetic SaaS aus dem Inhaber-Panel verwaltet Verwaltet Mandanten, Tarife, SaaS-Zahlungen, SaaS-Einstellungen, benutzerdefinierte Felder, inhaberseitige Workflows und inhaberseitige Workflow Logs.
Tenant Admin Der Geschäftsinhaber, der ein Mandantenkonto nutzt Verwaltet das eigene Booknetic-Panel dieses Mandanten: Dienste, Mitarbeiter, Kunden, Termine, Workflows, Profil und Abrechnung.
Tenant sub-user / staff user Ein Mitarbeiter innerhalb eines Mandantenunternehmens Arbeitet innerhalb derselben Mandantengrenze, mit Zugriff, der durch die Mitarbeiterrolle und die Tarif-Funktionen des Mandanten eingeschränkt wird.
Customer / booking user Der Endkunde eines Mandanten, der einen Termin bucht Nutzt den öffentlichen Buchungsablauf oder kundenorientierte Ansichten. Kein SaaS-Admin-Zugriff.

Ein Mandantenadministrator kann innerhalb seines eigenen Booknetic-Arbeitsbereichs ein „administrator“ sein. Dadurch wird er aber nicht zum SaaS-Inhaber. Mandantenadministratoren erhalten nicht das inhaberseitige SaaS-Menü für Plattformwerkzeuge wie Tenants, Plans, SaaS Settings oder inhaberseitige Zahlungsverwaltung.

Was der SaaS-Inhaber sehen und tun kann

Der SaaS-Inhaber verwaltet die Plattform aus dem inhaberseitigen Booknetic SaaS-Bereich.

Aus dem SaaS-Admin-Bereich kann der Inhaber plattformweite Elemente verwalten, zum Beispiel:

  • die vollständige Mandantenliste;
  • Mandantenprofile und Mandantenkontodetails;
  • Mandanten-Tarifzuweisung und Abonnementstatus;
  • Mandantenzahlungs- und Abrechnungsverlauf, der in den SaaS-Inhaberansichten verfügbar ist;
  • SaaS-Tarife und Tarif-Funktionen;
  • SaaS-Einstellungen;
  • inhaberseitige Workflows und Workflow Logs, wenn aktiviert.

Der Inhaber kann Mandanten auch löschen, wenn ein Konto dauerhaft entfernt werden soll. Da das Löschen destruktiv ist und Datenschutzfolgen hat, prüfen Sie den Löschablauf, bevor Sie ihn verwenden: siehe How to cancel or delete a tenant in Booknetic SaaS (/documentation/cancelling-and-deleting-tenants).

Was der Inhaber ändern kann, hängt von der jeweiligen inhaberseitigen Ansicht ab. Der SaaS-Inhaberbereich ist beispielsweise für Mandanten-/Konto-/Plattformverwaltung ausgelegt — Mandanten, Tarife, Einstellungen, Zahlungen und inhaberseitige Workflows. Er sollte nicht als uneingeschränkter „als beliebiger Mandant handeln"-Arbeitsbereich beschrieben werden, sofern Ihre Installation keine separat bestätigte Impersonation-Funktion hat.

Booknetic SaaS sollte nicht so beschrieben werden, als hätte es eine uneingeschränkte „log in as tenant"-Funktion, sofern diese Funktion nicht separat in Ihrer Installation bestätigt wurde. Wenn Ihr Team auf einen Impersonation- oder Login-as-Ablauf angewiesen ist, bestätigen Sie den unterstützten Pfad und beschränken Sie ihn ausschließlich auf vertrauenswürdige Administratoren.

Wichtiger WordPress-Hinweis

Booknetic SaaS-Berechtigungsgrenzen steuern Booknetic SaaS- und Booknetic-Mandantendaten. Sie machen WordPress-Administratorkonten nicht zu gewöhnlichen Mandantenbenutzern.

Ein WordPress-Administrator kann abhängig von Ihren WordPress-Rollen, Plugins und Ihrem Hosting-Setup umfassenderen Zugriff auf die WordPress-Website außerhalb von Booknetic haben. Geben Sie Mandantenadministratoren keinen WordPress-Administratorzugriff, es sei denn, Sie möchten ihnen bewusst hoch vertrauenswürdigen Websitezugriff geben.

Was ein Mandantenadministrator sehen und tun kann

Ein Mandantenadministrator verwaltet den Booknetic-Arbeitsbereich eines einzelnen Mandanten.

Ein Mandantenadministrator kann normalerweise Folgendes für seinen eigenen Mandanten verwalten:

  • Termine;
  • Kunden;
  • Dienste;
  • Mitarbeiter;
  • Standorte;
  • Verfügbarkeit und Zeitpläne;
  • Workflows und Benachrichtigungen;
  • Darstellung und Mandanteneinstellungen;
  • Abrechnungs- und Tarifinformationen, die im Mandantenpanel angezeigt werden.

Der Mandantenzugriff kann außerdem durch den Tarif des Mandanten begrenzt sein. Ein Tarif kann zum Beispiel bestimmte Module, Funktionen oder Mengen ausblenden oder beschränken. Weitere Details finden Sie unter Plans and plan capabilities in Booknetic SaaS (/documentation/plans-and-capabilities).

Ein Mandantenadministrator sollte Folgendes nicht sehen:

  • andere Mandanten in der Mandantenliste des SaaS-Inhabers;
  • Kunden, Termine, Dienste, Mitarbeiter, Standorte, Workflows oder Zahlungen anderer Mandanten;
  • den inhaberseitigen Tarifeditor;
  • SaaS-Plattformeinstellungen;
  • inhaberseitige Workflow Logs oder inhaberseitige Zahlungsverwaltung;
  • Workflow-Einrichtung oder Kundendatensätze eines anderen Mandanten.

Wenn ein Mandant meldet, dass er Daten eines anderen Mandanten sehen kann, behandeln Sie das als dringend und kontaktieren Sie sofort den Booknetic-Support.

Wie Isolation auf hoher Ebene durchgesetzt wird

Booknetic SaaS verwendet Mandantenkontext-Prüfungen im gesamten Produkt. Ziel ist, dass jede normale mandantenseitige Aktion im Kontext eines einzelnen Mandanten läuft, bevor Booknetic Mandantendaten liest oder schreibt.

Auf hoher Ebene gilt:

  • Mandantenseitige Datenbankaktionen sind auf den aktuellen Mandanten beschränkt. Wenn ein Mandantenadministrator Kunden, Termine, Mitarbeiter, Dienste, Standorte, Workflows oder Zahlungen öffnet, liest Booknetic Datensätze für diesen Mandantenkontext.
  • Mandantenadministrator-Anfragen prüfen den Mandantenkontext des aktuellen Benutzers. Eine Mandantenadministrator-Sitzung ist mit dem Mandantenkonto verbunden, zu dem sie gehört.
  • Öffentliche Buchungsseiten laden in einem Mandantenkontext. Die Buchungs-URL eines Mandanten identifiziert, welche Dienste, Mitarbeiter, Standorte und Verfügbarkeiten dieses Mandanten erscheinen sollen.
  • Workflow-Aktivität läuft mit Mandantenkontext. Mandanten-Workflows und Workflow Logs sind mit dem Mandanten verbunden, dessen Ereignis sie ausgelöst hat. Wenn Sie prüfen müssen, ob eine Workflow-Aktion ausgelöst wurde, siehe Workflow Logs in Booknetic SaaS (/documentation/workflow-logs).
  • Tarif-Funktionen werden zur Laufzeit geprüft. Ein Mandant kann nur die Funktionen und Limits nutzen, die der zugewiesene Tarif erlaubt.
  • Einige Child-Datensätze erben ihre Mandantengrenze von einem Parent-Datensatz. Beispielsweise werden terminbezogene Detaildatensätze über den Termin geschützt, zu dem sie gehören. Kunden müssen dies nicht konfigurieren. Es ist aber nützlich zu wissen, dass nicht jeder zugehörige Datensatz als separates Top-Level-Mandantenobjekt erscheinen muss, um innerhalb der Mandantengrenze zu bleiben.

Dieser Abschnitt ist bewusst allgemein gehalten. Die öffentliche Dokumentation sollte das Verhalten erklären, ohne niedrige Implementierungsdetails offenzulegen, die jemandem beim Sondieren des Systems helfen könnten.

Randfälle, die Sie kennen sollten

Gemeinsame WordPress-Benutzerkonten

Verwenden Sie nicht leichtfertig denselben WordPress-Benutzer für mehrere Mandanten.

Wenn derselbe WordPress-Benutzer absichtlich mit mehr als einem Mandanten oder einer Rolle verbunden ist, kann dieser Benutzer je nach Kontokonfiguration Zugriff auf mehr als einen Arbeitsbereich erhalten. Halten Sie das Administratorkonto jedes Mandanten getrennt, es sei denn, Sie haben einen klaren betrieblichen Grund und verstehen die Zugriffsauswirkung.

Best Practice: Erstellen Sie für jedes Mandantenunternehmen einen separaten Mandantenadministrator und halten Sie Ihr eigenes WordPress-Administratorkonto von allen Mandantenkonten getrennt.

WordPress-Dashboard-Zugriff

Booknetic SaaS kann Mandantenbenutzer von normalen WordPress-Adminseiten fernhalten und sie zurück zum Booknetic-Panel senden. Lassen Sie diese Einschränkung aktiviert, es sei denn, Sie haben einen bestimmten Grund, Mandantenbenutzern Zugriff auf andere WordPress-Adminbereiche zu erlauben.

Wenn Sie diese Einschränkung deaktivieren, können WordPress-Rollen und andere Plugins beeinflussen, worauf Mandantenbenutzer außerhalb von Booknetic zugreifen können. Prüfen Sie diese Berechtigungen sorgfältig.

Zwischengespeicherter oder verzögerter Zustand

Einige Plattformzustände können kurzzeitig von WordPress oder von plattformweiten Update-/Lizenzsystemen zwischengespeichert werden. Nach Änderungen an Einstellungen, Tarifen oder Plugin-Zustand müssen Sie die Seite möglicherweise aktualisieren oder kurz warten, bevor jede Ansicht die Änderung widerspiegelt.

Das sollte nicht als Erlaubnis verstanden werden, Daten zwischen Mandanten zu teilen. Es ist eine normale Vorsichtsmaßnahme für SaaS-Inhaber: Bestätigen Sie nach sensiblen Einstellungsänderungen das Ergebnis aus dem richtigen Mandantenkonto.

Child-Datensätze, die über Parent-Datensätze verbunden sind

Einige Booknetic-Daten sind über ein Parent-Element verbunden. Beispielsweise gehören Termindetails zu einem Termin, und Workflow-Aktionsdetails gehören zu einem Workflow.

Diese Datensätze sollen weiterhin innerhalb derselben Mandantengrenze bleiben, weil das Parent-Element mandantenbezogen ist. Wenn Sie jemals sehen, dass ein Child-Detail unter dem falschen Mandanten erscheint, melden Sie es als Sicherheitsproblem.

Hochgeladene Dateien und Mandantenlöschung

Die Mandantenlöschung entfernt Mandantendatensätze aus Booknetic SaaS, aber einige hochgeladene Dateien können als verwaiste Dateien auf dem Server verbleiben. Das ist für Datenschutz- und GDPR-ähnliche Löschanfragen relevant.

Bevor Sie eine vollständige Datenentfernung zusagen, prüfen Sie den Löschleitfaden und Ihren WordPress-Uploads-/Backup-Prozess: How to cancel or delete a tenant in Booknetic SaaS (/documentation/cancelling-and-deleting-tenants).

Vermeiden Sie außerdem manuelle Änderungen an Dateien in WordPress-Upload-Ordnern, die von Booknetic verwendet werden. Dateieigentum, Dateipfade und Dateiverweise werden von Booknetic und WordPress verwaltet.

Kundenorientierte Benachrichtigungen und Datei-URLs

Wenn eine Benachrichtigungsvorlage eine Datei-URL enthält, kann der Empfänger diese URL später möglicherweise öffnen, falls die Datei auf dem Server verbleibt. Seien Sie vorsichtig, wenn Sie Links zu hochgeladenen Dateien in kundenorientierte Workflow-Nachrichten aufnehmen.

Wenn Sie prüfen müssen, ob eine Mandanten-Workflow-Nachricht gesendet wurde, verwenden Sie Workflow Logs, statt nur anhand der E-Mail-Zustellung zu raten: Workflow Logs in Booknetic SaaS (/documentation/workflow-logs).

Regeln für Sicherheitshygiene

Sicherheit: Halten Sie Plattform-Inhaber-Konten, Mandantenadministrator-Konten und WordPress-Administratorkonten getrennt. Die meisten Berechtigungsfehler entstehen dadurch, dass hoch vertrauenswürdige Konten zu breit geteilt werden.

Befolgen Sie diese Regeln beim Betrieb von Booknetic SaaS:

  • Teilen Sie WordPress Super Admin- oder WordPress Administrator-Zugangsdaten nicht mit Mandantenadministratoren.
  • Verwenden Sie Ihr eigenes WordPress-Administratorkonto nicht als Mandantenadministratorkonto.
  • Verwenden Sie nicht einen WordPress-Benutzer als Administrator für mehrere Mandanten, es sei denn, Sie möchten bewusst, dass diese Person Multi-Tenant-Zugriff hat.
  • Verwenden Sie klare, getrennte Benutzernamen und E-Mail-Adressen für jedes Mandantenkonto.
  • Bearbeiten Sie Booknetic-Dateien unter wp-content/uploads/booknetic/ nicht manuell, es sei denn, der Booknetic-Support oder Ihr Entwickler gibt Ihnen einen konkreten Bereinigungsplan.
  • Beschränken Sie Mandantenzugriff auf das Booknetic-Panel, sofern der Mandant nicht wirklich breiteren WordPress-Zugriff benötigt.
  • Prüfen Sie Tarif-Funktionen, bevor Sie einem Mandanten sagen, er „sollte" ein Modul sehen. Das Modul kann durch den Tarif ausgeblendet oder begrenzt sein.
  • Wenn Sie Workflow-Benachrichtigungen verwenden, stellen Sie sicher, dass mandantenorientierte Nachrichten die Geschäftsdaten des Mandanten verwenden und nicht versehentlich inhaber- oder plattforminterne Informationen enthalten.

Häufige Fragen

Können zwei Mandanten versehentlich die Daten des jeweils anderen sehen?

In normalen mandantenseitigen Abläufen von Booknetic SaaS werden Mandantendaten beschränkt, bevor sie gelesen oder geschrieben werden. Mandant A sollte nicht Kunden, Termine, Dienste, Mitarbeiter, Standorte, Workflows oder Zahlungen von Mandant B sehen.

Wenn Sie jemals etwas sehen, das wie mandantenübergreifende Sichtbarkeit aussieht, ignorieren Sie es nicht und versuchen Sie nicht, es zu umgehen. Kontaktieren Sie sofort den Booknetic-Support mit Mandantenname, Benutzerkonto, Seiten-URL, ungefährer Uhrzeit und einem Screenshot, auf dem sensible Kundendaten nach Möglichkeit geschwärzt sind.

Kann ich als SaaS-Inhaber die Termine eines Mandanten ändern?

Der SaaS-Inhaberbereich ist für Plattformverwaltung gedacht: Mandanten, Tarife, Zahlungen, Einstellungen, inhaberseitige Workflows und zugehörige SaaS-Verwaltungsansichten.

Ob Sie die täglichen Buchungsdaten eines Mandanten direkt bearbeiten können, hängt von der spezifischen UI-Oberfläche ab, die in Ihrer Installation verfügbar ist. Gehen Sie nicht davon aus, dass das Inhaber-Panel ein uneingeschränkter „als Mandant handeln"-Bereich ist. Wenn Sie operative Datensätze eines Mandanten ändern müssen, verwenden Sie den eigenen, beschränkten Booknetic-Arbeitsbereich des Mandanten oder bestätigen Sie den unterstützten Admin-Pfad für Ihre Installation.

Kann ein Mandantenadministrator seine eigene Abrechnung verwalten?

Ja, die Mandantenabrechnung wird im Booknetic-Panel des Mandanten angezeigt, sofern Tarif und Berechtigungen des Mandanten dies erlauben. Der Mandant kann den eigenen Abrechnungs-/Abonnementstatus prüfen und die ihm angezeigten Optionen für Tarifwechsel oder Kündigung verwenden.

Er kann nicht den Tarifeditor der Plattform, die Abrechnung anderer Mandanten oder inhaberseitige Zahlungseinstellungen verwalten.

Wenn ich einen Mandanten lösche, sind seine Daten dann weg?

Das Löschen eines Mandanten entfernt Mandantendaten aus Booknetic SaaS und kann in der App nicht rückgängig gemacht werden. Hochgeladene Dateien können jedoch als verwaiste Dateien auf dem Server verbleiben, und Hosting-Backups können ebenfalls Kopien außerhalb von Booknetic SaaS enthalten.

Den vollständigen Löschablauf und Datenschutzhinweise finden Sie unter How to cancel or delete a tenant in Booknetic SaaS (/documentation/cancelling-and-deleting-tenants).

Was, wenn der Kunde eines Mandanten die Entfernung seiner Daten verlangt?

Der Mandant sollte den Kundendatensatz in seinem Mandanten-Admin-Panel löschen, wenn dies angemessen ist. Wenn die Anfrage auch hochgeladene Dateien, Backups oder einen formalen GDPR-/Recht-auf-Vergessenwerden-Prozess betrifft, prüfen Sie Ihren WordPress-Uploads-Ordner, Hosting-Backups und rechtliche Verpflichtungen.

Diese Seite ist kein vollständiger rechtlicher/GDPR-Leitfaden. Für strenge Löschanforderungen sollten Sie einen internen Prozess mit Ihrem Rechts- oder Datenschutzverantwortlichen erstellen.

Was soll ich tun, wenn ich eine mandantenübergreifende Datenexposition vermute?

Stoppen Sie und melden Sie es sofort. Senden Sie eine E-Mail an [email protected] mit den Details, einschließlich:

  • Mandantenname oder Slug;
  • betroffenes Benutzerkonto;
  • Seite oder Workflow, auf der/dem das Problem aufgetreten ist;
  • Datum und Uhrzeit;
  • Screenshots oder weitergeleitete Nachrichten, mit geschwärzten sensiblen Daten, soweit möglich.

Senden Sie dieselben verdächtigen Daten nicht an andere Mandanten und posten Sie keine Kundendaten in öffentlichen Kanälen.

Verwandte Dokumentation

  • Tenant management: /documentation/tenant-management
  • Plans and capabilities: /documentation/plans-and-capabilities
  • Workflow Logs: /documentation/workflow-logs
  • Cancelling and deleting tenants: /documentation/cancelling-and-deleting-tenants
  • Tenant URLs and routing: /documentation/tenant-urls-and-routing

Kurze Checkliste für SaaS-Inhaber

Bevor Sie Mandanten onboarden, bestätigen Sie:

  • Ihr WordPress-Administratorkonto ist von Mandantenkonten getrennt.
  • Jeder Mandant hat einen eigenen Mandantenadministrator.
  • Mandantenbenutzer sind von allgemeinen WordPress-Adminseiten ausgeschlossen, sofern der Zugriff nicht bewusst erlaubt ist.
  • Tarife und Funktionen entsprechen dem, was jeder Mandant sehen soll.
  • Workflow-Vorlagen geben keine inhaber- oder plattforminternen Informationen an Mandantenkunden weiter.
  • Ihr Löschprozess umfasst hochgeladene Dateien und Backups, nicht nur die mandantenseitige Löschaktion in der App.
  • Ihr Team weiß, dass es sofort den Support kontaktieren muss, wenn mandantenübergreifende Sichtbarkeit vermutet wird.