Sicherheit und Compliance

Gültig ab 9. September 2024
Englische Übersetzung: Security & Compliance

Dieses Dokument beschreibt unser Engagement zum Schutz der Sicherheit und Privatsphäre der Daten, die Sie uns anvertrauen. Hier finden Sie detaillierte Informationen darüber, wie wir unsere Dienste hosten und verwalten, unsere Einhaltung internationaler Sicherheitsstandards, unsere Datenschutzpraktiken und die Maßnahmen, die wir ergreifen, um die Integrität und Verfügbarkeit unserer Systeme zu gewährleisten.

Hosting

Unsere Anwendungsbestandteile werden auf mehreren Diensten gehostet:

  • Hetzner: Stellt die Serverinfrastruktur bereit.

Authentifizierung

Benutzer können auf unsere Dienste ausschließlich mit E-Mail/Passwort-Authentifizierung zugreifen. Derzeit unterstützen wir kein Google OAuth 2.0 und auch keine Zwei-Faktor-Authentifizierung.

Sitzungsverwaltung

Sitzungstoken werden automatisch erneuert, es sei denn, sie werden vom Benutzer ausdrücklich widerrufen. Wir implementieren eine Sperrrichtlinie bei ungültigem Passwort, um die Sicherheit zu erhöhen.

Compliance-Zertifizierungen

Unsere Server und Infrastrukturanbieter entsprechen den wichtigsten Sicherheitsstandards:

Datenspeicherung

Alle Daten werden in einer Datenbank auf unseren Servern gespeichert. Diese Daten werden in regelmäßigen Abständen gesichert. Die Server befinden sich alle in Deutschland.

Sicherheitspraktiken und -maßnahmen

  • Datenlöschung: Nach der Löschung werden Benutzerkonten innerhalb von 30 Tagen aus unseren Systemen entfernt. Alle Backups werden innerhalb von drei Monaten gelöscht mit einhaltung der gesetzlichen Speicherungspflichten und -fristen.
  • Datenverschlüsselung: Alle Daten werden während der Übertragung mittels SSL verschlüsselt. Daten, die auf unseren Systemen gespeichert werden, sind jedoch nicht im Ruhezustand verschlüsselt, sondern durch starke Authentifizierungs- und Sicherheitsprotokolle geschützt.
  • Zugriff durch Dritte: Der Zugriff auf Live-Benutzerdaten ist streng auf autorisierte Mitarbeiter beschränkt. Vertraulichkeitsvereinbarungen bestehen mit Auftragnehmern und Geschäftspartnern, und wo immer möglich, arbeiten diese mit Test- oder anonymisierten Daten, um den unbefugten Zugriff auf sensible Informationen zu verhindern.

Backup und Wiederherstellung

Unsere Datenwiederherstellungsstrategie umfasst:

  • Stündliche Snapshots: Jede Stunde erstellt, mit einer Aufbewahrungsfrist von 3 Monaten.

Systemintegrität

  • Tests: Wir führen automatisierte Tests vor jedem Systemupdate durch, um die Integrität kritischer Funktionen sicherzustellen.

Weitere Details zu den von uns genutzten Drittanbieterdiensten, die möglicherweise personenbezogene Daten erhalten, finden Sie in unserer Datenschutzerklärung.