Sicherheit und Compliance bei Secfix

Datum des Inkrafttretens: 19. November 2022

Der Schutz persönlicher und vertraulicher Kundeninformationen hat für uns oberste Priorität. Im Interesse unserer Kunden, unserer Geschäftsethik und unserer Werte gehen wir keine Kompromisse ein, wenn es um die Datensicherheit geht. Als Teil dieser Verpflichtung arbeiten wir mit einem Höchstmaß an Transparenz. Die folgende Übersicht bietet einen Überblick über unsere sich ständig weiterentwickelnden Sicherheitsmaßnahmen. 

  

Wir erfüllen die höchsten Sicherheits- und Datenschutzstandards 

GDPR & CCPA - Secfix wird jährlich von externen, unabhängigen Prüfern auf die Einhaltung der Datenschutzbestimmungen GDPR und CCPA geprüft. Durch die Einhaltung von GDPR und CCPA beweisen wir unser Engagement für den Schutz personenbezogener Daten und die Durchsetzung eines zustimmungsbasierten Modells für die Verarbeitung personenbezogener Daten. 

 

Unsere Verschlüsselungsprotokolle sind der nationalen Sicherheit würdig 

In einer Multi-Cloud-Umgebung verschlüsseln wir alle Daten sowohl im Ruhezustand als auch während der Übertragung mit den besten Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256. Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung mit den besten Praktiken der Branche verschlüsselt, indem TLS (Transport Layer Security) verwendet wird. Im Ruhezustand werden alle Daten mit bewährten Verschlüsselungsalgorithmen verschlüsselt und mit geheimen Verwaltungsdiensten gespeichert. Sie können unseren SSLLabs-Bericht hier einsehen.  

Mit einer Ende-zu-Ende-Verschlüsselung in jeder Phase - im Ruhezustand, bei der Übertragung oder im Cloud-Speicher - sorgen die Secfix-Dienste dafür, dass Ihre Daten stets sicher und privat sind. Sogar die Metadaten-Kommunikation zwischen Ihrem System und Secfix ist verschlüsselt und somit absolut sicher.

Unser zustimmungsbasiertes Modell gibt den Menschen die Kontrolle über ihre persönlichen und geschützten Gesundheitsdaten 

Gemäß der europäischen Datenschutzgrundverordnung von 2018 sind personenbezogene Daten, einschließlich geschützter Gesundheitsdaten, Eigentum der Person, für die sie bestimmt sind, und die Zustimmung zur Verarbeitung und Weitergabe dieser Daten muss "frei, spezifisch und in Kenntnis der Sachlage" erteilt werden. Wir könnten nicht mehr zustimmen. 

Wenn ein Nutzer Secfix-Dienste in Anspruch nimmt, bittet er eine Person um die Erlaubnis, auf seine Daten zugreifen zu dürfen, wodurch die Durchschnittsperson in die Lage versetzt wird, ihre Zustimmung zu erteilen und das Eigentum an den Daten auszuüben.

Unsere Sicherheitsmaßnahmen werden ständig weiterentwickelt, um mit der sich verändernden Bedrohungslandschaft Schritt zu halten 

Unsere Arbeit an Sicherheit und Datenschutz hat kein Ende, sondern ist ein ständiger Kreislauf aus Forschung, Überarbeitung, Implementierung, Tests, Korrektur, Skalierung, Sperrung und Genehmigung. Wir arbeiten ständig daran, die Anforderungen von Aufsichtsbehörden, Investoren, Partnern und Nutzern zu erfüllen und zu übertreffen, und wir alle leben die Sicherheitsprozesse täglich. Sicherheit und Datenschutz sind integraler Bestandteil unserer Unternehmenskultur. Schließlich ist Sicherheit eine der wichtigsten Dienstleistungen, die wir anbieten.

Die Speicherung und Löschung von Daten ist standardisiert und liegt im Ermessen unserer Nutzer. 

Alle freigegebenen Nutzerdaten von Secfix stehen unseren Kunden für einen Zeitraum von 30 Tagen nach Ablauf oder Beendigung des Master Service Agreements zum elektronischen Abruf zur Verfügung. Danach werden alle Daten vollständig von den Secfix-Servern entfernt. Jeder Nutzer kann die Löschung seiner persönlichen Daten über den Secfix-Support beantragen. Lesen Sie mehr über unsere Datenschutzeinstellungen.

Wir errichten starke Verteidigungsanlagen an den Eintrittspunkten 

Die von Secfix entwickelten Anwendungen und die Backend-Infrastruktur, die Hauptzugangspunkte zu den Benutzerdaten, lassen nur Client-Anfragen über starke TLS-Protokolle zu. Die gesamte Kommunikation zwischen der von Secfix verwalteten Infrastruktur und den Datenplattformen wird über verschlüsselte Tunnel übertragen. 

 

Wir treffen alle notwendigen infrastrukturellen Vorkehrungen. 

Alle unsere Dienste werden in Cloud-Umgebungen ausgeführt. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmäßig einer unabhängigen Überprüfung der Sicherheits-, Datenschutz- und Compliance-Kontrollen gemäß den folgenden Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele andere. 

 

Sicherer Code: transparente Entwicklung mit Blick auf die Sicherheit 

Um Kundendaten vor modernen Bedrohungen zu schützen, müssen die von uns entwickelten Produkte sicherheitsorientiert entwickelt werden. Die folgenden Praktiken gewährleisten ein Höchstmaß an Sicherheit in unserer Software: 

  • Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Einbeziehung der Sicherheit in den Entwicklungszyklus konzentriert 
  • Entwicklung und kontinuierliche Pflege einer der Sicherheit verpflichteten Unternehmenskultur 
  • Wir bewerten die Sicherheit unseres Codes anhand von branchenbekannten Sicherheitsrahmenwerken wie ATT&CK, OWASP Top 10 und SANS Top 25. 
  • Entwickler nehmen regelmäßig an Sicherheitsschulungen teil, um sich über häufige Schwachstellen, Bedrohungen und bewährte Verfahren für die sichere Programmierung zu informieren. 
  • Wir überprüfen unseren Code auf Sicherheitsschwachstellen 
  • Wir aktualisieren regelmäßig unsere Backend-Infrastruktur und Software und stellen sicher, dass keine bekannten Schwachstellen vorhanden sind. 
  • Wir verwenden statische Sicherheitstests für Anwendungen (SAST) und dynamische Sicherheitstests für Anwendungen (DAST), um grundlegende Sicherheitslücken in unserer Codebasis zu erkennen. 
  • Wir führen regelmäßig externe Penetrationstests in unseren Produktionsumgebungen durch. 

Unsere Lösungen für die Überwachung und den Schutz der Anwendungssicherheit ermöglichen es uns, den Überblick zu behalten: 

  • Erkennen Sie Angriffe und reagieren Sie schnell auf eine Datenverletzung 
  • Überwachung von Ausnahmen und Protokollen und Aufdeckung von Anomalien in unseren Anwendungen 
  • Erfassung und Speicherung von Protokollen, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen 

Außerdem setzen wir ein Laufzeitschutzsystem ein, das Webangriffe und Angriffe auf die Geschäftslogik in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header, um unsere Nutzer vor Angriffen zu schützen.  

 

Wir praktizieren strenge Sicherheitsüberwachung und Schutz auf Netzwerkebene 

Wir unterhalten unser eigenes Security Operations Center. Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen Firewalls und Firewalls der nächsten Generation, einschließlich IP-Adressfilterung, überwachen und schützen, um unbefugten Zugriff zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Eindringlingen (IDS/IPS) ein, die potenziell böswillige Pakete überwacht und blockiert, sowie DDoS-Abwehrdienste (Distributed Denial of Service), die von einer branchenführenden Lösung unterstützt werden. 

 

Wir verfügen über ein branchenweit führendes Sicherheitsteam 

Unser Sicherheitsteam besteht aus Sicherheitsexperten, die sich der ständigen Verbesserung der Sicherheit unserer Organisation verschrieben haben. Unser Team ist geschult und zertifiziert in den Bereichen Erkennung von Sicherheitsbedrohungen und Reaktion auf Zwischenfälle, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Konformität des Sicherheitsmanagements und neueste Best Practices im Bereich Sicherheit. 

 

Wir fördern eine verantwortungsvolle Offenlegung. 

If you discover vulnerabilities in our application or infrastructure, we ask that you alert our team by contacting [email protected] please include a proof of concept in your email. We will respond as quickly as possible to your submission and won’t take legal action if you follow the responsible disclosure process: 

  • Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. 
  • Bitte fügen Sie Ihrer E-Mail einen Konzeptnachweis bei 
  • Geben Sie keine Informationen über die Schwachstellen weiter, bevor Sie nicht eine eindeutige Genehmigung erhalten haben. 

Beachten Sie, dass unser Bug-Bounty-Programm derzeit geschlossen ist und wir keine neuen Sicherheitsforscher suchen.  

 

Allgemeine Informationssicherheitspolitik 

Schutz der Informations- und IT-Ressourcen von Secfix (einschließlich, aber nicht beschränkt auf alle Computer, mobilen Geräte, Netzwerkausrüstung, Software und sensiblen Daten) vor allen internen, externen, vorsätzlichen oder versehentlichen Bedrohungen und Minderung der Risiken im Zusammenhang mit Diebstahl, Verlust, Missbrauch, Beschädigung oder Missbrauch dieser Systeme; 

Sicherstellen, dass die Informationen vor unbefugtem Zugriff geschützt werden. Die Nutzer dürfen nur auf die Ressourcen zugreifen, für die sie eine spezielle Zugangsberechtigung besitzen. Die Zuteilung von Privilegien ist streng zu kontrollieren und regelmäßig zu überprüfen. 

Schutz der VERTRAULICHKEIT von Informationen. Wenn wir über die Vertraulichkeit von Informationen sprechen, geht es darum, die Informationen vor der Offenlegung gegenüber Unbefugten zu schützen; 

Sicherstellung der INTEGRITÄT von Informationen. Die Integrität von Informationen bezieht sich auf den Schutz von Informationen vor Änderungen durch Unbefugte; 

Aufrechterhaltung der VERFÜGBARKEIT von Informationen für Geschäftsprozesse. Die Verfügbarkeit von Informationen bezieht sich auf die Gewährleistung, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen können. 

Einhaltung und, wo immer möglich, Übertreffen nationaler gesetzlicher und behördlicher Anforderungen, Normen und bewährter Verfahren; 

Entwicklung, Pflege und Prüfung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs, um sicherzustellen, dass wir trotz aller Hindernisse, auf die wir stoßen können, auf Kurs bleiben. Es geht darum, "Ruhe zu bewahren und weiterzumachen"; 

Schärfung des Bewusstseins für die Informationssicherheit durch die Bereitstellung von Schulungen zur Informationssicherheit für alle Mitarbeiter. Das Sicherheitsbewusstsein und gezielte Schulungen müssen konsequent durchgeführt werden, die Verantwortung für die Sicherheit muss sich in den Stellenbeschreibungen widerspiegeln, und die Einhaltung der Sicherheitsanforderungen muss als Teil unserer Kultur erwartet und akzeptiert werden; 

Ensure that no action will be taken against any employee who discloses an information security concern through reporting or in direct contact with Information Security Management Leader, unless such disclosure indicates, beyond any reasonable doubt, an illegal act, gross negligence, or a repetitive deliberate or willful disregard for regulations or procedures; 

Report all actual or suspected information security breaches to [email protected] 

 

Wir sind Ihr Sicherheitsvorteil. Wir bieten Ihnen Entspannung.