In unserem Security & Trust Center finden Sie die neuesten Informationen zur technischen Sicherheit und Datenschutz.
Eine sichere Zugangsverwaltung ist ein wichtiger Eckpfeiler in jedem technologiegestützten Unternehmen. Mit einer SASE-Architektur validieren und authentifizieren wir die Datenübertragung auf kontextbasierte Weise (unter Berücksichtigung des Geräts des Benutzers, seines Zustands, seines Standorts usw.).
Der Faktor Mensch: Datensicherheit liegt auch in der Verantwortung der Nutzer. Wir unterstützen Menschen gezielt beim sicheren Einsatz und bei der Nutzung von Daten. Unsere Teams durchlaufen ein spezielles Sicherheits-Onboarding, bei dem wir ein Bewusstsein für die wichtigsten Gefahren innerhalb unseres Unternehmens schaffen.
Um Daten während der täglichen Arbeit zu sichern, verlassen wir uns auf eine starke Grundlage. SAʴý nutzt Google Workplace (Enterprise), Ende-zu-Ende-verschlüsselte Kommunikationskanäle und weitere spezielle öܲԲ, um sicherzustellen, dass die Daten zu jedem Zeitpunkt sicher sind.
Um die Sicherheit unserer AWS-Umgebung kontinuierlich zu verbessern, setzen unsere Teams spezielle Sicherheitstools ein, die kontinuierliche Sicherheitsprüfungen durchführen. Dabei handelt es sich um die öܲԲ Cloud Security Posture Management (CSPM) und Cloud Infrastructure & Entitlement Management (CIEM).
Neben der fast vollständigen Nutzung von serverlosen Konzepten wie AWS Fargate setzen wir auf gezielte Sicherheitsvorkehrungen in jeder von uns verwalteten Laufzeit von Programmen. Dazu gehören öܲԲ für Endpoint Detection & Response (EDR) und Vulnerability Management (VM), um potentielle Sicherheitsrisiken frühzeitig zu identifizieren.
Die Infrastruktur von SAʴý wird durch das Edge-Netzwerk von Cloudflare und die damit verbundenen Funktionen für Web Application and API Protection (WAAP) geschützt. Diese zusätzliche Sicherheitsebene schützt vor 0day-Exploits, volumetrischen Angriffen und mehr.
Sich in die Position von Angreifern zu versetzen, ist eine wichtige (und sehr wirksame) strategische Waffe gegen Angriffe. Bei SAʴý steht unsere externe Angriffsfläche unter ständiger Kontrolle, um Eintrittspunkte für Angriffe von außen zu minimieren.
Das EU-basierte Datenhosting von SAʴý ist eine der wichtigsten Entscheidungen, die schon früh getroffen wurden. AWS ist ein expliziter Bestandteil unseres Sicherheitsmodells und bietet SAʴý modernste Technologie, Sicherheitsvorkehrungen und die Einhaltung von Branchenstandards.
Bei SAʴý kommen strenge Grundsätze der Datentrennung zur Anwendung. Dies bedeutet, dass die Daten unserer Kunden auf der Speicherebene klar voneinander getrennt sind und strenge Zugriffsregelungen gelten. Selbst intern haben nur autorisierte Personen innerhalb von SAʴý Zugang zu diesen Daten.
Die Verschlüsselung ist ein wichtiger Bestandteil der Datensicherheitsstrategie von SAʴý. An jedem Punkt, an dem Daten zwischen unseren Systemen verarbeitet werden, setzen wir auf Transport Layer Security (TLS) für die Transitverschlüsselung. Dies verhindert das Abhören von Daten. Für Daten, die "im Ruhezustand" gespeichert werden, nutzen wir die nativen AWS-Funktionen, um unsere Datenspeicher standardmäßig zu verschlüsseln (S3, RDS, EBS).
SAʴý steht in engem Austausch mit der Cybersicherheit-Community. Wir schätzen deren Hilfe bei der Identifizierung von Schwachstellen in unseren Produkten sehr. Mit unserem Bug Bounty Programm schaffen wir Anreize für Externe, uns dabei zu unterstützen, unser Angebot noch sicherer zu machen.
Der Umgang mit Sicherheitsrisiken folgt einem klaren Prozess: Aktionen, Eskalationen, Schadensbegrenzungen, öܲԲ und Benachrichtigungen für alle potenziellen Vorfälle sind festgelegt, die sich auf die Sicherheit unserer Plattform oder unserer Daten auswirken.
Unser Sicherheitsteam führt regelmäßige Workshops durch, in denen aus einem risikozentrischen Blickwinkel heraus Risikoszenarien modelliert werden. Sicherheitslücken und Verbesserungspotenziale werden so schnell identifiziert und behoben.
Die Authentifizierung auf unserer Plattform basiert auf der Auth0-Technologie (ein Okta-Unternehmen). Wir unterstützen die Integration von externen Identitätsanbietern, wenn Sie SAʴý mit Ihrer unternehmensinternen Arbeitsplatz-IDP verbinden möchten.
Ja.
Diese können wir auf Anfrage zur Verfügung stellen.
Unsere Anwendung wird auf AWS in der EU gehostet und unterliegt den EU-GDPR-Bestimmungen und ist mit diesen konform.
Für die Datenübermittlung nutzen wir den Verschlüsselungs-Standard TLS für eingehenden HTTP-Verkehr und Verbindungen zwischen internen Diensten.
Für unsere Anwendung nutzen wir mehrere AWS-eigene Speichermechanismen (RDS, S3, SNS, SQS). Für die SAʴý Kundendaten im Ruhezustand kommen AWS-eigene Verschlüsselungsmechanismen zum Einsatz. RDS zum Beispiel verschlüsselt Daten mit kryptografischen Schlüsseln, die in AWS KMS gespeichert sind. Der Verschlüsselungsalgorithmus AES-256 wird zur Verschlüsselung von RDS-Speicher, Backups, Read Replicas, Snapshots o. Ä. verwendet.
Unsere allgemeinen Sicherheitsprinzipien beruhen auf den Zero-Trust und Need-to-know Grundsätzen. Daher erhalten nur ausgewählte Kundenbetreuer:innen Zugang zu Kundendaten. Darüber hinaus hat unsere Technologieabteilung, die die Plattform betreibt, Zugang zu der zugrunde liegenden Infrastruktur und den Datenbanken.
Ja. Unser Sicherheitsteam ist für das Sicherheitsprogramm von SAʴý verantwortlich, das beispielsweise jährliche Zielvorgaben, Designprinzipien oder Architekturentscheidungen beinhaltet. Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität, und wir investieren weiterhin in die besten Tools, um dieses Versprechen zu erfüllen.
Ja. Insbesondere halten wir uns so weit wie möglich an die folgenden Standards:
SOC2 Type II
ISO 27001
CIS AWS 1.4.0
NIST 800-171 Rev2
AWS Well Architected
Bescheinigungen und Benchmarks für ausgewählte Bereiche können auf Anfrage zur Verfügung gestellt werden.
Bei der Auswahl unserer Dienstleister achten wir auf Sicherheit und Compliance. Daher entsprechen die wichtigsten Parteien in unserem Anbieter-Ökosystem zu 100 % den Sicherheitsstandards der Branche wie SOC2 Typ II oder ISO 27001. SAʴý bewertet seine Lieferanten regelmäßig nach diesen Anforderungen.
SAʴý selbst hat sich bisher noch keinem Audit mit zertifizierter Bescheinigung unterzogen. Unser Sicherheitsrahmenwerk geht weit über die Anforderungen der Industriestandards hinaus, aber aufgrund des Feedbacks unserer Kunden hat sich die Investition in den zeitaufwändigen Prozess der jährlichen Audits und der Aufrechterhaltung der Konformität bis heute nicht als praktisch notwendig erwiesen.
Ja. Wir führen regelmäßig verschiedene Arten von Tests durch.
Vor allem aber betreiben wir ein hochmodernes, rund um die Uhr verfügbares Programm zur Erkennung von Schwachstellen, um potenzielle Risiken so früh wie möglich zu erkennen. Darüber hinaus führen wir mehrmals im Jahr Penetration Tests und Inside-Out-Sicherheitsaudits durch.