Sicherheit und Datenschutz

Wir haben zahlreiche Sicherheitsbewertungen mit unseren Kunden durchgeführt und wissen, dass Sicherheit für ein hochwertiges B2B SaaS wichtig ist. Diese Seite zeigt eine Auswahl von Fragen rund um die Sicherheit von SIGNL4. Wir können hier nicht alle (sensiblen) Details angeben, geben aber auf Anfrage oder im Rahmen eines Genehmigungsverfahrens gerne weitere Informationen weiter.

DSGVO

DSGVO und Datenschutz

 

DSGVO-Konformität

SIGNL4 ist vollständig DSGVO-konform. Unser europäisches Datenzentrum befindet sich in Amsterdam, Niederlande (Microsoft Azure Datenzentrum).

Vereinbarung zur Datenverarbeitung

Für die bestmögliche Einhaltung von DSGVO (GDPR) und für Kunden in der Europäischen Union bieten wir eine umfangreiche Datenverarbeitungsvereinbarung (AVV), die hier eingesehen und bei Bedarf elektronisch unterzeichnet werden kann.

Datenschutzrichtlinien

Unsere Datenschutzrichtlinie findest Du hier.

Gibt es eine Richtlinie zur Datenaufbewahrung? Kann ich meine Daten löschen?

Ja. Du hast die volle Kontrolle über Deine Daten. Wenn Du Dich entscheidest, Dein Konto zu löschen, löschen wir alle Daten Deines Accounts. Wir arbeiten vollständig gemäß der europäischen DSGVO.

Solange Dein Konto aktiv ist, bewahren wir Deine Daten auf. Wir bewahren Benachrichtigungs-/Nachrichten-/Ereignisdaten je nach Abonnementplan bis zu 12 Monate auf.

Wo sind meine Daten, wo wird SIGNL4 gehostet?

SIGNL4 wird in einem europäischen (EU) Rechenzentrum von Microsoft Azure gehostet.

Wie trennen Ihr die Kundendaten?

SIGNL4 ist ein öffentliches SaaS. Daher haben wir eine logische Datentrennung in unserem Code implementiert, die auf Client- und API-Schlüsseln basiert. Dies verhindert den Zugang zu allen Daten außer den eigenen, auch über unsere API.

Sicherheit

Vollständige Verschlüsselung im Ruhezustand

Die Speicherung von SIGNL4-Daten in Azure wird transparent mit 256-Bit-AES-Verschlüsselung ver- und entschlüsselt, einer der stärksten verfügbaren Blockchiffren, und ist FIPS 140-2-konform.

Vollständige Verschlüsselung der Daten während des Transports

Die Dienstkonnektivität ist über SSL (REST) und TLS (SMTP) gesichert. Wir verschlüsseln auch die Kommunikation zwischen unseren Knoten-Clustern und internen Anwendungen auf der Grundlage von TLS 1.2.

Teilweise Verschlüsselung der Daten während der Nutzung

Wir verschlüsseln/hashen bestimmte Inhalte wie Dienstkennwörter und Kennwörter für Dienstkonten von Drittanbieter-Tools und vergleichen nur gehashte Daten. Bestimmte logische Operationen an Inhalten wie der Algorithmus zum Abgleich von Schlüsselwörtern erfordern jedoch eine entschlüsselte Verarbeitung.

Was ist die Grundlage Eurer Authentifizierungsmethoden?

Die Authentifizierung der mobilen App erfolgt auf Token-Basis, und die Daten werden automatisch vom mobilen Gerät gelöscht, wenn keine gültige Authentifizierung vorliegt. Die Authentifizierung gegenüber externen Anbietern wie Microsoft Azure AD erfolgt ebenfalls auf Basis von Token. Bitte kontaktiere uns, wenn Du weitere Details benötigst.

Führt Ihr SAST/DAST/PEN-Prüfungen durch?

Ja, wir führen kontinuierlich automatisierte DAST (Dynamic Application Security Testing) mit einem kommerziellen Tool mindestens wöchentlich durch. Wir können Berichte als Teil einer Sicherheitsbewertung zur Verfügung stellen.

Mit externen Tools führen wir auch SAST (Static Application Security Testing) und SCA (Source Code Analysis) Tests durch. Manuelle PEN Tests werden regelmäßig durchgeführt, zum Teil durch staatliche Stellen.

Habt Ihr eine Firewall eingerichtet?

Ja, natürlich. Der SIGNL4-Cluster ist durch eine kommerzielle Firewall (Web Application Firewall – WAF) geschützt.

Welche TLS-Version wird von unterstützt/erzwungen?

Wir erzwingen keine TLS-Version, aber wir unterstützen TLS 1.2.

Habt Richtlinien für die Verwaltung von Schlüsseln und Passwörtern?

Ja. API-Schlüssel und Passwörter (Kunden-Login) werden im Hash-Format gespeichert. API-Schlüssel werden dem Nutzer nur einmal bei der Erstellung angezeigt.

Wie schützt Ihr den Zugang zu Daten durch Eure Mitarbeiter?

Wir verfügen über eine breite Palette von Richtlinien (TOMs – technische und organisatorische Maßnahmen), die von der physischen Zugangskontrolle über die Kontrolle digitaler Zugangsrechte bis hin zur Multi-Faktor-Authentifizierung reichen. Weitere Einzelheiten entnimm bitte unserer Datenverarbeitungsvereinbarung.

Unterstützt Ihr MFA?

Wir unterstützen derzeit MFA (Multi-Faktor-Authentifizierung) über Microsoft Azure AD, Google- und Apple-Authentifizierung, wenn Du MFA bei diesen Anbietern aktivierst. Für unsere benutzerdefinierte Anmeldung planen wir die Implementierung von MFA.

Verfügbarkeit

Habt Ihr eine Strategie für die Notfallwiederherstellung? Wie sieht es mit Backups aus?

Ja. Zunächst einmal ist SIGNL eine Multi-Node-Cluster-Anwendung mit inhärenter Hochverfügbarkeit und Failover. Unsere Notfallwiederherstellung umfasst auch tägliche Backups außerhalb des Azure-Datacenter-Standorts, was zu einem RPO (Recovery Point Objective) von 24 Stunden führt. Wir nutzen auch Dienste von Drittanbietern und versuchen sicherzustellen, dass diese unsere eigenen Verfügbarkeitsziele erfüllen oder übertreffen.

Du kannst unsere Verfügbarkeit von nahezu 99,99 % hier verfolgen: https://status.signl4.com

Zertifizierungen

Ist das SIGNL4 Rechenzentrum zertifiziert (ISO 27001, etc)?

SIGNL4 wird im Microsoft Azure Datacenter (EU, Amsterdam) betrieben. Dieses ist ISO 27001 zertifiziert und hat auch weitere Zertifizierungen. Weitere Details findest Du hier

Wir befinden uns im Prozess zur Vorbereitung der Zertifizierung nach TISAX und ISO 27001, die 2024 erfolgen wird.