Datenschutz und Sicherheit

Die Flowmium GmbH ist als Softwareanbieter in besonderem Ma├če f├╝r die Sicherheit der anvertrauten Daten verantwortlich. Wir sind uns dieser Verantwortung bewusst und haben zahlreiche Ma├čnahmen getroffen.

  • Zertifizierung Flowmium nach ISO/IEC 27001
    check
  • Datenspeicherung in Deutschland
    check
  • check
    Zertifiziertes Rechenzentrum nach ISO 27001
  • check
    Vollst├Ąndig DSGVO-konform

├ťbersicht

Organisation und Allgemeines

Erfahren Sie mehr ├╝ber Datenschutz und Sicherheit bei Flowmium und Allgemeines.

Zum Abschnitt

Anwendung

Erfahren Sie mehr ├╝ber Datenschutz und Sicherheit in der Anwendung.

Zum Abschnitt

IT-Infrastruktur

Erfahren Sie mehr ├╝ber Datenschutz und Sicherheit unserer IT-Infrastruktur.

Zum Abschnitt

Produktentwicklung

Erfahren Sie mehr ├╝ber Datenschutz und Sicherheit in der Produktentwicklung.

Zum Abschnitt

Die wichtigsten Downloads

Noch mehr Fragen? Kontakt aufnehmen

Organisation und Allgemeines

In diesem Abschnitt geben wir Ihnen einen ├ťberblick, welche Ma├čnahmen zum Datenschutz und zur Informationssicherheit bei der Flowmium GmbH als Unternehmen getroffen werden.

York Hoffmann
Robin Data GmbH
Fritz-Haber-Str. 9
06217 Merseburg
E-Mail: dsb@robin-data.io

Wir schlie├čen mit jedem Kunden einen Auftragsverarbeitungsvertrag. Dieser Vertrag wurde von der Datenschutz P├Âllinger GmbH zuletzt am 09.07.2021 gepr├╝ft und hat alle Kriterien erf├╝llt. Den Pr├╝fbericht erhalten Sie auf Anfrage.

Die technischen und organisatorischen Ma├čnahmen wurden von der Datenschutz P├Âllinger GmbH zuletzt am 09.07.2021 im Rahmen der Pr├╝fung des Auftragsverarbeitungsvertrags gepr├╝ft und hat alle Kriterien erf├╝llt. Den Pr├╝fbericht erhalten Sie auf Anfrage.

Unsere Mitarbeiter werden zu der Einhaltung des Datenschutzes verpflichtet und mindestens einmal j├Ąhrlich geschult.

Folgende Dokumente unterschreiben unsere Mitarbeiter:

  • Datenschutz- und Vertraulichkeitsrichtlinie
  • Kommunikationsrichtlinie
  • Richtlinien im Rahmen des ISMS

Folgende Schulungen f├╝hren wir durch:

  • Datenschutz
  • Informationssicherheit

Unsere Ma├čnahmen zum Datenschutz lassen wir regelm├Ą├čig von einem externen Datenschutzauditor ├╝berpr├╝fen. Zuletzt wurde das Audit am 09.07.2021 durch die Datenschutz P├Âllinger GmbH durchgef├╝hrt. Zum Pr├╝fbericht

Wir betreiben ein ISMS nach ISO 27001 und sind seit dem 18.01.2024 durch den T├ťV Rheinland zertifiziert. Zum Zertifikat

Wir garantieren eine Verf├╝gbarkeit der Anwendung von 99,95 % im Monatsdurchschnitt. Ausgenommen sind angek├╝ndigte Wartungen. Die Verf├╝gbarkeit sowie Vorf├Ąlle und Wartungen k├Ânnen auf unserer Statusseite eingesehen werden.

Anwendung

In diesem Abschnitt geben wir Ihnen einen ├ťberblick, welche Ma├čnahmen zum Datenschutz und zur Informationssicherheit direkt in der Anwendung getroffen werden.

Im Folgenden erhalten Sie einen ├ťberblick, wie Daten gespeichert und verarbeitet werden.

Die Software wird kontinuierlich weiterentwickelt und um neue Funktionen erg├Ąnzt, sodass sich ├änderungen am Datenfluss ergeben k├Ânnen.

In der Anwendung werden grunds├Ątzlich nur Daten gespeichert, die entweder direkt f├╝r die Erstellung eines Zeugnisses oder f├╝r einen reibungslosen und nachvollziehbaren Prozess innerhalb des Unternehmens ben├Âtigt werden.

Benutzeraktionen

Ab der Softwareversion 1.64.0 (Installation bei Kunden im Mai/Juni 2023) werden sicherheitsrelevante Aktionen von Benutzern protokolliert.

Dazu z├Ąhlen:

  • erfolgreiche Anmeldungen
  • fehlgeschlagene Anmeldungen
  • Anforderung zum Zur├╝cksetzen des Passworts
  • Zur├╝cksetzung des Passworts

F├╝r alle Aktionen werden folgende Daten gespeichert:

  • Zeit (Datum, Uhrzeit)
  • Benutzer (Verkn├╝pfung mit dem Benutzerkonto)
  • IP-Adresse
  • Art der Aktion (Anmeldung, Passwort├Ąnderung usw.)

Zus├Ątzlich werden fehlgeschlagene Anmeldungen gez├Ąhlt. Nach 5 fehlgeschlagenen Anmeldeversuchen wird der Benutzer gesperrt und muss vom Support freigeschaltet werden.

L├Âschung der Logdateien

Die Logdateien werden 60 Tage gespeichert und anschlie├čend gel├Âscht.

Auswertung der Logdateien

Eine systematische Auswertung der Logdateien wird zum aktuellen Zeitpunkt nicht vorgenommen.

Änderungsnachverfolgung für Zeugnisse

Sofern der Kunde die Funktion in den Datenschutzeinstellungen aktiviert hat, werden s├Ąmtliche ├änderungen an einem Zeugnis protokolliert. Dazu werden der Name des Benutzers/Bearbeiters, die Bearbeitungszeit sowie der Vorher- und Nachherwert gespeichert. Wird ein Zeugnis gel├Âscht, wird auch das Protokoll gel├Âscht.

F├╝r die Erstellung von Zeugnissen m├╝ssen personenbezogene Daten des Mitarbeiters verarbeitet werden.

Folgende Daten werden gespeichert:

  • Pers├Ânliche Daten (Anrede, Vorname, Nachname, Titel/akademischer Grad, Geburtsdatum, Geburtsort)
  • Kontaktdaten (Stra├če, Postleitzahl, Ort, E-Mail-Adresse)
  • Besch├Ąftigungsdaten (Eintrittsdatum, Austritts-/Ausstellungsdatum, Austritts-/Ausstellungsgrund, T├Ątigkeitsbeschreibungen, Unterbrechungen, Vollmachten)
  • Zeugnisbewertungen (Bereitschaft, Bef├Ąhigung, Wissen, Weiterbildung, Arbeitsweise, Arbeitserfolg, F├╝hrungserfolg, Verhalten Intern, Verhalten Extern, Ergebnis Abschlusspr├╝fung, diverse pers├Ânliche und fachliche Attribute)
  • Erstellte Arbeitszeugnisse

F├╝r einen reibungslosen und nachvollziehbaren Prozess bei der Zeugniserstellung werden Daten der Zeugnisbearbeiter erhoben und gespeichert.

Folgende Daten werden gespeichert:

  • Benutzer und Datum bei Erstellung eines Zeugnisses
  • Benutzer und Datum bei ├änderung des Zeugnisstatus
  • Name des Vorgesetzten und Datum, an dem das Zeugnis zur Bearbeitung ├╝bergeben wurde
  • Name des Vorgesetzten und Datum, wann die Bearbeitung des Zeugnisses beendet wurde
  • Protokoll der vorgenommenen ├änderungen, sofern aktiviert

In der Anwendung kann jedem Benutzer eine Rolle mit definierten Rechten zugewiesen werden und festgelegt werden, auf welche Zeugnisse der Zugriff gew├Ąhrt wird. In den folgenden Punkten erhalten Sie einen ├ťberblick, welche Einstellungen vorgenommen werden k├Ânnen.

Benutzer sind Personen, die direkten Zugriff auf die Anwendung haben. In der Regel sind das Mitarbeiter der Personalabteilung. Es k├Ânnen, je nach gebuchtem Paket, mehrere Benutzer hinzugef├╝gt werden.

Folgende Angaben sind bei einem Benutzer hinterlegt:

  • Vorname
  • Nachname
  • E-Mail-Adresse
  • Rolle
  • Zugriffsberechtigung Zeugnisse
  • Telefonnummer (Optional)
Anlage neuer Benutzer/Registrierungsprozess

Neue Benutzer k├Ânnen von einem bisherigen Benutzer angelegt werden, sofern die hinterlegte Rolle ihn dazu berechtigt.

  1. Benutzer mit entsprechender Berechtigung (siehe Rollen) f├╝gt den neuen Benutzer hinzu
  2. Neuer Benutzer bekommt eine E-Mail mit einem Registrierungslink
  3. Neuer Benutzer vergibt sein Passwort
Deaktivierung

Benutzer, die keinen Zugriff mehr haben sollen, k├Ânnen deaktiviert werden. Ab dem Zeitpunkt der Deaktivierung ist kein Login mehr m├Âglich.

Passwortrichtlinie

Folgende Passwortrichtlinie ist festgelegt:

  • Mindestl├Ąnge: 8 Zeichen
  • Erfordert Kleinbuchstaben: ja
  • Erfordert Gro├čbuchstaben: ja
  • Erfordert alphanumerische Zeichen: ja
  • Erfordert Zahl: ja
  • Maximale fehlerhafte Anmeldeversuche: 5
Zur├╝cksetzen des Passworts

├ťber ÔÇ×Passwort vergessenÔÇť kann der Benutzer sein Passwort selbstst├Ąndig zur├╝cksetzen. Dazu muss der Benutzer seine E-Mail-Adresse eintragen. Anschlie├čend wird eine E-Mail mit einem Link an die hinterlegte Adresse versendet. ├ťber diesen Link kann ein neues Passwort vergeben werden.

Rollen legen fest, auf welche Bereiche der Anwendung ein Benutzer Zugriff hat. Es kann eine unbegrenzte Anzahl an Rollen angelegt werden.

Folgende Bereiche k├Ânnen pro Rolle berechtigt werden:

  • Administrator (Zugriff auf alle Bereiche, kann nicht eingeschr├Ąnkt werden)
  • Mitarbeiter
  • Unternehmen
  • Benutzer
  • Rollen
  • Berufsbilder
  • Zeugnisformatierung
  • Brieftexte
  • E-Mail-Vorlagen
  • Qualifikationen
  • Self-Service
  • Individualisierung
  • Datenschutz
  • Schnittstellen
  • Account

Die Ansicht und Bearbeitung von Zeugnissen k├Ânnen nach den folgenden Kriterien eingeschr├Ąnkt werden:

  • Unternehmen
  • Standort
  • Abteilung
  • Organisationseinheit
  • Arbeitnehmertyp

Ein Zeugnis kann von einem Benutzer als ÔÇ×PrivatÔÇť markiert werden. In diesem Fall sieht nur der Benutzer das Zeugnis, der es erstellt hat. Dar├╝ber hinaus k├Ânnen nur Benutzer, denen bei der ÔÇ×Zugriffsberechtigung ZeugnisseÔÇť das Kriterium ÔÇ×AdministratorÔÇť zugeteilt wurde, das Zeugnis einsehen. Alle anderen Benutzer haben keinen Zugriff auf das Zeugnis.

Zeugnisse k├Ânnen zur weiteren Bearbeitung an beliebige Personen (in der Regel Vorgesetzte und evtl. Mitarbeiter) ├╝bergeben werden. Dazu wird eine E-Mail mit einem Link an den Bearbeiter geschickt. ├ťber diesen Link kann auf das Zeugnis zugegriffen werden. Der Link beinhaltet zwei Zeichenketten (GUIDs) mit jeweils 32 Buchstaben/Ziffern.

Bei der ├ťbergabe kann der Benutzer (HR-Abteilung) definieren, welche Prozessschritte und Bereiche der Bearbeiter sehen (lesen) und/oder bearbeiten (schreiben) kann.

Folgende Berechtigungen k├Ânnen vergeben werden:

Daten l/s
Pers├Ânliche Daten l/s
Unternehmen l/s
Zeugnisdaten l/s
Weitere Angaben l/s
Unterschriften l/s
Werdegang l/s
Stationen l/s
T├Ątigkeiten l/s
Zusatzt├Ątigkeiten l/s
Weiterbildungen l/s
Vollmachten l/s
Bewertung l/s
Bewertung l/s
Qualifikationen l/s
Erfolge l/s
Ergebnis l/s
Download (ja/nein)

Der Versand von E-Mails findet ├╝ber unsere Server statt. Die Absenderadresse lautet: [nicht sichtbar im Web]. Der Absendername lautet: Flowmium Zeugnisgenerator. Der Absendername kann in den Einstellungen individuell angepasst werden.

Ausgehende E-Mails werden mit TLS 1.2 verschl├╝sselt. Dr├╝ber hinaus werden alle empfohlenen Sicherheitsvorkehrungen wie DMARC, DKIM und SPF genutzt.

Manuelle L├Âschung

Ein Benutzer kann ein erstelltes Zeugnis jederzeit in der Anwendung selbst l├Âschen.

Automatische L├Âschung

In der Anwendung kann festgelegt werden, nach welcher Zeit Zeugnisse automatisch gel├Âscht werden. Dabei besteht die M├Âglichkeit, in Zwischen- und Endzeugnisse zu unterscheiden.

Manuelle L├Âschung

Ein Benutzer kann Mitarbeiterstamms├Ątze in der Anwendung selbst l├Âschen. Voraussetzung daf├╝r ist, dass der Mitarbeiter nicht in einem Zeugnis (z.B. bei der Unterschrift) hinterlegt ist.

Automatische L├Âschung

In der Anwendung kann festgelegt werden, dass ein Mitarbeiterstammsatz automatisch nach einer definierten Anzahl an Monaten nach Austritt gel├Âscht wird. Voraussetzung daf├╝r ist, dass der Mitarbeiter nicht in einem Zeugnis (z.B. bei der Unterschrift) hinterlegt ist.

Auf Wunsch kann eine Zwei-Faktor-Authentifizierung f├╝r die Anmeldung von Benutzern aktiviert werden. Beim Login eines Benutzers wird in diesen F├Ąllen zus├Ątzlich zu dem Passwort ein Einmalcode abgefragt, der per SMS an die hinterlegte Telefonnummer gesendet wird. Der Code ist 5 Minuten g├╝ltig.

Eine Authentifizierung der Benutzer per SSO ist ├╝ber die Azure Active Directory m├Âglich. Es kann definiert werden, dass Benutzer sich ausschlie├člich mit dieser Methode authentifizieren k├Ânnen, oder dies nur eine zus├Ątzliche Option ist. Eine Anleitung zur Einrichtung ist ├╝ber den Support erh├Ąltlich.

Auf Wunsch kann der versendete Link zur Bearbeitung eines Zeugnisses durch Vorgesetzte oder Mitarbeiter durch eine Zwei-Faktor-├ťberpr├╝fung gesch├╝tzt werden. In diesen F├Ąllen wird beim Klicken auf den Link ein Einmalcode an die hinterlegte E-Mail-Adresse oder per SMS gesendet.

In den Datenschutzeinstellungen kann definiert werden, dass bei jeder ├ťbergabe die Zwei-Faktor-├ťberpr├╝fung verpflichtend aktiviert sein muss. Auch kann festgelegt werden, welche der Wege (SMS, E-Mail) zur Verf├╝gung stehen sollen. Andernfalls kann der Benutzer die Optionen bei jeder ├ťbergabe manuell aktivieren oder deaktivieren.

Nach Beendigung des Vertrages stehen die Zeugnisdaten noch 30 Tage im Lesemodus zur Verf├╝gung. In dieser Zeit k├Ânnen Zeugnisse angeschaut und heruntergeladen werden. Auf Wunsch exportiert der Support von Flowmium alle Zeugnisse und stellt dem Kunden die Kosten daf├╝r zu den aktuell geltenden Konditionen in Rechnung.

IT-Infrastruktur

In diesem Abschnitt geben wir Ihnen einen ├ťberblick, wie unsere IT-Infrastruktur aufgebaut ist und welche Ma├čnahmen wir treffen, um den Datenschutz und die Sicherheit im Allgemeinen zu gew├Ąhrleisten.

Unsere Server werden als Managed Service von der centron GmbH in Deutschland betrieben.

Auszug aus den technischen und organisatorischen Ma├čnahmen der centron GmbH:

Sicherheit

  • 24/7 ├ťberwachung mit Alarmsicherung und Einbruchschutz
  • Durchg├Ąngige Kamera├╝berwachung
  • Mehrfache elektronische Zugangskontrolle
  • Biometrische Zugangskontrolle zum Datacenter
  • Patrouillierender Werkschutz
  • Zwei getrennte Brandabschnitte
  • Alle Server werden durch Hochleistungsfirewalls gesch├╝tzt

Stromversorgung

  • 1,25 MW Redundante Stromversorgung
  • 600 kW USV Notstromanlage
  • 1 MW Notstromgenerator
  • Permanente ├ťberwachung und Optimierung des Energieverbrauchs

Infrastruktur

  • Redundanter Glasfaser-Backbone mit Multi-Carrier-Anbindung
  • Anbindung an die wichtigsten Netzknoten (z.B. De-Cix, N-IX)
  • Internetanbindung mit bis zu 800 GBit, redundant ├╝ber mehrere Trassenf├╝hrungen
  • Interne Vernetzung Ihrer Server 1/10 GBit
  • 24/7-├ťberwachung aller Server und Netzwerkdienste

Klima- & K├Ąltetechnik

  • Redundante 300 KW N+1 Klimatisierung
  • Konditionierte Au├čenluftk├╝hlung
  • Energieeffiziente Kaltgangeinhausung
  • Min. 3,5 KW Klimaleistung je Rack
  • Permanente Temperatur├╝berwachung

Brandschutz

  • Zwei physikalisch getrennte Brandschutzabschnitte
  • Brandfr├╝herkennung
  • Direkte Aufschaltung zum Datacenter-Team und zur Feuerwehr

Zertifizierungen

  • ISO 27001 Zertifizierung durch das BSI
  • ISO 9001 zertifiziertes Qualit├Ątsmanagement
  • ISO 14001 zertifiziertes Umwelt Management System

Alle technischen und organisatorischen Ma├čnahmen (TOMs) von centron liegen unseren TOMs bei.

Alle Daten werden bei der centron GmbH in Hallstadt, Deutschland gespeichert. Es findet keine ├ťbertragung an ein Drittland innerhalb oder au├čerhalb der europ├Ąischen Union statt.

Support-Mitarbeiter (1st-Level-Support) von Flowmium haben grunds├Ątzlich keinen Zugriff auf Kundendaten. Um Support leisten zu k├Ânnen, ist es in einigen F├Ąllen allerdings notwendig, auf die Anwendung und damit die Daten zuzugreifen. Daf├╝r muss der Kunde in der Anwendung zun├Ąchst eine Supportfreigabe erteilen. Die Dauer der Freigabe kann der Kunde selbst bestimmen.

Bei einer Supportfreigabe wird ein Supportzugang freigeschaltet, ├╝ber die sich Mitarbeiter von Flowmium anmelden k├Ânnen. Nach dem Ende der Freigabe wird der Supportzugang automatisch auf inaktiv gesetzt, sodass ein Login nicht mehr m├Âglich ist.

Systemadministratoren (3rd-Level-Support) von Flowmium und des Rechenzentrumsanbieters centron GmbH haben Zugriff auf die Datenbank- und Application-Server. Sie k├Ânnen f├╝r Wartungs- und Supportzwecke auf die Datenbanken und damit die Daten zugreifen.

Backup der Server
Wie wird gesichert?

Bei centron werden die Sicherungen der Systeme nach dem Generationenprinzip abgelegt, auch als Gro├čvater-Vater-Sohn-Prinzip bekannt. Dies bedeutet eine monatliche Vollsicherung des Systems, auf der w├Âchentliche und t├Ągliche Sicherungen aufbauen. Diese Sicherungskette wird so lange vorgehalten, bis das Ablaufdatum (EOL = End Of Life) erreicht ist.

Wohin wird gesichert?

Um das Risiko physikalischer Einfl├╝sse zu minimieren, werden die Backup-Daten bei centron in einen anderen Brandschutzabschnitt des Rechenzentrums ausgelagert.

Was wird gesichert?

Gesichert werden Datentr├Ąger (HDD, SSD, etc.) des Betriebssystems, s├Ąmtliche weitere Datentr├Ąger und Partitionen.

Wann und f├╝r welchen Zeitraum wird gesichert?

centron f├╝hrt Backups f├╝r Systeme auf Basis von folgendem Zeitplan durch:

  • Alle 4 Wochen Full-Backup (4 Wochen Vorhaltezeit)
  • Jede Woche inkrementelles Backup auf letztes Full-Backup (2 Wochen Vorhaltezeit)
  • T├Ąglich inkrementell auf letztes w├Âchentliches inkrementelles Backup (1 Woche Vorhaltezeit)

Backup der Datenbanken

Zus├Ątzlich zum Backup der Server einschlie├člich der Datenbanken werden alle Datenbanken zus├Ątzlich gesichert. Damit gew├Ąhrleisten wir die schnelle Wiederherstellung vor allem bei falschen Benutzereingaben (versehentliche L├Âschung eines Zeugnisses).

Wann und f├╝r welchen Zeitraum wird gesichert?

  • T├Ąglich Full-Backup (7 Tage Vorhaltezeit)
  • Alle 6 Stunden differenzielles Backup auf letztes Full-Backup (1 Wochen Vorhaltezeit)

Kontrolle der Backups

Die Backupsoftware kommuniziert mit dem Monitoring Systems von centron. Das Monitoring System meldet fehlgeschlagene oder nur zum Teil erfolgreiche Sicherungen direkt an das Ticketsystem. Hierdurch wird sichergestellt, dass das Backup Team jederzeit eingreifen und Probleme beheben kann.

Zus├Ątzlich fordern wir in regelm├Ą├čigen Abst├Ąnden einen vollautomatischen Report einer Testwiederherstellung an. Dieser zeigt nicht nur, dass eine Sicherung erfolgreich stattgefunden hat, sondern dass auch eine Wiederherstellung verschiedener Dateien fehlerfrei funktioniert.

Verschl├╝sselung des Transportwegs

Die Daten zwischen Client (Kunden) und dem Server sind SSL-verschl├╝sselt. Wir nutzen den Standard SHA256.

Verschl├╝sselung der Datenbanken

Die Datenbanken werden auf Dateiebene per TDE (Transparent data encryption) verschl├╝sselt, sodass die Daten aus der Datenbank nur nach ordnungsgem├Ą├čer Authentifizierung am jeweiligen Datenbank-System gelesen werden k├Ânnen. Wir nutzen den Verschl├╝sselungsalgorithmus AES256.

Eine Sicherung des f├╝r die Verschl├╝sselung eingesetzten Zertifikats wird au├čerhalb der Serverinfrastruktur aufbewahrt.

Die Updates der Betriebssysteme (Funktionsupdates, monatliche Patches), dazugeh├Âriger Netzwerkkomponenten und Hardware werden durch den Rechenzentrumsbetreiber centron durchgef├╝hrt. Durch eine von uns eingesetzte Monitoring-Software kontrollieren wir den Status der Server.

Zus├Ątzlich zur allgemeinen Firewall des Rechenzentrums werden unsere Server durch eine weitere und individuell konfigurierte Firewall gesch├╝tzt.

Um Aussp├Ąhversuche und Angriffe (z.B. Port Scans, Spoofing, Bruteforce, Cross Site Scripting, SQL Injection) zu erkennen und zu verhindern, wird der Netzverkehr durch ein Intrusion Detection und Prevention System ├╝berwacht und gesch├╝tzt.

Die Anwendung wird kontinuierlich durch ein Monitoring-Software ├╝berwacht, um die Verf├╝gbarkeit sicherzustellen und um Schwachstellen zu erkennen.

Folgende Parameter werden ├╝berwacht:

  • Verf├╝gbarkeit
  • DNS
  • Http-Headers
  • SSL/TSL
  • Frameworks/Libraries/Plugins
  • Ports

Produktentwicklung

In diesem Abschnitt geben wir Ihnen einen ├ťberblick, wie wir die Software entwickeln und welche Ma├čnahmen wir treffen, um den Datenschutz und die Informationssicherheit zu gew├Ąhrleisten.

Alle Änderungen am Programmcode werden über eine Versionsverwaltung (Git) dokumentiert.

Um die Anwendung auf Schwachstellen zu testen, setzen wir ein DAST-Tool ein. Damit ├╝berpr├╝fen wir regelm├Ą├čig, mindestens einmal pro Quartal oder nach gr├Â├čeren Anpassungen, ob die aktuellen Empfehlungen der OWASP eingehalten werden.

Um Sicherheitsl├╝cken und unsichere Codes direkt in der Programmierung zu finden und auszuschlie├čen, verwenden wir ein SAST-Tool.

Folgende Parameter werden ├╝berpr├╝ft:

  • Zuverl├Ąssigkeit (Bugs)
  • Wartbarkeit (Code Smells)
  • Sicherheit (Vulnerabilities)

Die Anwendung wird kontinuierlich durch ein Monitoring-Software ├╝berwacht, um die Verf├╝gbarkeit sicherzustellen und um Schwachstellen zu erkennen. Diese Erkenntnisse flie├čen in die Entwicklung ein.

Folgende Parameter werden ├╝berwacht:

  • Verf├╝gbarkeit
  • DNS
  • Http-Headers
  • SSL/TSL
  • Frameworks/Libraries/Plugins
  • Ports

Es werden regelm├Ą├čig, in der Regel alle 1-2 Jahre oder nach gr├Â├čeren Softwareanpassungen, Penetrationstests durchgef├╝hrt. Der letzte Penetrationstest fand im Januar 2023 statt. Zum Zertifikat

Kontakt

Haben Sie Fragen zu den Themen Datenschutz, Informationssicherheit und IT? Wir beantworten Ihnen gerne alle Fragen und lassen Ihnen weitere Informationen zukommen.

* Pflichtfeld
arrow-up icon