DSGVO, Datenschutz und Datensicherheit

Wir haben zahlreiche Sicherheitsbewertungen mit unseren Kunden durchgeführt und wissen, dass Sicherheit für ein hochwertiges B2B SaaS wichtig ist. Diese Seite zeigt eine Auswahl von Fragen rund um die Sicherheit von SIGNL4. Wir können hier nicht alle (sensiblen) Details angeben, geben aber auf Anfrage oder im Rahmen eines Genehmigungsverfahrens gerne weitere Informationen weiter.

DSGVO_Icon_DE

Ist SIGNL4 DSGVO-konform?

DSGVO-Konformität

SIGNL4 ist vollständig DSGVO-konform. Unser europäisches Datenzentrum befindet sich in Amsterdam, Niederlande (Microsoft Azure Datenzentrum).

Vereinbarung zur Datenverarbeitung

Für die bestmögliche Einhaltung von DSGVO (GDRP) und für Kunden in der Europäischen Union bieten wir eine vollständige Datenverarbeitungsvereinbarung, die hier eingesehen und bei Bedarf elektronisch unterzeichnet werden kann.

Datenschutzrichtlinien

Unsere Datenschutzrichtlinie finden Sie hier.

Ist das SIGNL4 Rechenzentrum zertifiziert (ISO 27001, etc)?

SIGNL4 wird im Microsoft Azure Datacenter (EU, Amsterdam) betrieben. Dieses ist ISO 27001 zertifiziert und hat auch weitere Zertifizierungen. Weitere Details finden Sie hier

Verschlüsseln Sie meine Daten?

Vollständige Verschlüsselung im Ruhezustand

Die Speicherung von SIGNL4-Daten in Azure wird transparent mit 256-Bit-AES-Verschlüsselung ver- und entschlüsselt, einer der stärksten verfügbaren Blockchiffren, und ist FIPS 140-2-konform.

Vollständige Verschlüsselung der Daten während des Transports

Die Dienstkonnektivität ist über SSL (REST) und TLS (SMTP) gesichert. Wir verschlüsseln auch die Kommunikation zwischen unseren Knoten-Clustern und internen Anwendungen auf der Grundlage von TLS 1.2.

Teilweise Verschlüsselung der Daten während der Nutzung

Wir verschlüsseln/hashen bestimmte Inhalte wie Dienstkennwörter und Kennwörter für Dienstkonten von Drittanbieter-Tools und vergleichen nur gehashte Daten. Bestimmte logische Operationen an Inhalten wie der Algorithmus zum Abgleich von Schlüsselwörtern erfordern jedoch eine entschlüsselte Verarbeitung.

Was ist die Grundlage Ihrer Authentifizierungsmethoden?

Die Authentifizierung der mobilen App erfolgt auf Token-Basis, und die Daten werden automatisch vom mobilen Gerät gelöscht, wenn keine gültige Authentifizierung vorliegt. Die Authentifizierung gegenüber externen Anbietern wie Microsoft Azure AD erfolgt ebenfalls auf Basis von Token. Bitte kontaktieren Sie uns, wenn Sie weitere Details benötigen.

Wo sind meine Daten, wo wird SIGNL4 gehostet?

SIGNL4 wird in einem europäischen (EU) Rechenzentrum von Microsoft Azure gehostet.

Führen Sie SAST/DAST/PEN-Prüfungen durch?

Ja, wir führen kontinuierlich automatisierte DAST (Dynamic Application Security Testing) mit einem kommerziellen Tool mindestens wöchentlich durch. Wir können Ihnen Berichte als Teil einer Sicherheitsbewertung zur Verfügung stellen.

Mit externen Tools führen wir auch SAST (Static Application Security Testing) und SCA (Source Code Analysis) Tests durch. Manuelle PEN Tests werden in Kürze von uns durchgeführt.

Haben Sie eine Firewall eingerichtet?

Ja, natürlich. Der SIGNL4-Cluster ist durch eine kommerzielle Firewall geschützt.

Welche TLS-Version wird von Ihnen unterstützt/erzwungen?

Wir erzwingen keine TLS-Version, aber wir unterstützen TLS 1.2.

Gibt es eine Richtlinie zur Datenaufbewahrung? Kann ich meine Daten löschen?

Ja. Sie haben die volle Kontrolle über Ihre Daten. Wenn Sie sich entscheiden, Ihr Konto zu löschen, löschen wir alle Ihre Daten. Wir arbeiten vollständig gemäß der europäischen GDPR.

Solange Ihr Konto aktiv ist, bewahren wir Ihre Daten auf. Wir bewahren Benachrichtigungs-/Nachrichten-/Ereignisdaten je nach Abonnementplan bis zu 12 Monate auf.

Haben Sie eine Strategie für die Notfallwiederherstellung? Wie sieht es mit Backups aus?

Ja. Zunächst einmal ist SIGNL eine Multi-Node-Cluster-Anwendung mit inhärenter Hochverfügbarkeit und Failover. Unsere Notfallwiederherstellung umfasst auch tägliche Backups außerhalb des Standorts, was zu einem RPO (Recovery Point Objective) von 24 Stunden führt. Wir nutzen auch Dienste von Drittanbietern und versuchen sicherzustellen, dass diese unsere eigenen Verfügbarkeitsziele erfüllen oder übertreffen.

Sie können unsere Betriebszeit von nahezu 99,99 % hier verfolgen: https://status.signl4.com

Wie trennen Sie die Kundendaten?

SIGNL4 ist ein öffentliches SaaS. Daher haben wir eine logische Datentrennung in unserem Code implementiert, die auf Client- und API-Schlüsseln basiert. Dies verhindert den Zugang zu allen Daten außer Ihren eigenen, auch über unsere API.

Haben Sie Richtlinien für die Verwaltung von Schlüsseln und Passwörtern?

Ja. API-Schlüssel und Passwörter (Kunden-Login) werden im Hash-Format gespeichert. API-Schlüssel werden dem Nutzer nur einmal bei der Erstellung angezeigt.

Wie schützen Sie den Zugang zu Daten durch Ihre Mitarbeiter?

Wir verfügen über eine breite Palette von Richtlinien (TOMs – technische und organisatorische Maßnahmen), die von der physischen Zugangskontrolle über die Kontrolle digitaler Zugangsrechte bis hin zur Multi-Faktor-Authentifizierung reichen. Weitere Einzelheiten entnehmen Sie bitte unserer Datenverarbeitungsvereinbarung.

Unterstützen Sie MFA?

Wir unterstützen derzeit MFA (Multi-Faktor-Authentifizierung) über Microsoft Azure AD, Google- und Apple-Authentifizierung, wenn Sie MFA bei diesen Anbietern aktivieren. Für unsere benutzerdefinierte Anmeldung planen wir die Implementierung von MFA.