Datenschutz und Cybersicherheitspraktiken

Letzte Aktualisierung: 04. Januar 2024

1. Fachkenntnisse in Cybersicherheit

Unser Cybersicherheitsrahmen basiert auf den Erfahrungen unseres CTO, der zuvor bei Open Systems AG in Zürich gearbeitet hat, einem der weltweit führenden Anbieter für Cybersicherheit.

Zu den wichtigen Projekten gehörte der Umgang mit sensiblen Informationen, insbesondere in Bereichen wie Finanzen und Steuern. Die Arbeit mit solch kritischen Daten hat unsere Fähigkeiten im Umgang, der Sicherung und dem Schutz sensibler Informationen gegen eine Vielzahl von Cyberbedrohungen geschärft.

2. Verbesserte Cloud-Cybersicherheit

Wir verwenden Cloudflare für die Cloud-Cybersicherheit, einschließlich ihrer fortschrittlichen DDoS-Minderungs- und Proxy-Dienste. Diese Tools sind unerlässlich, um vor einem breiten Spektrum von Cyberbedrohungen zu schützen und die Sicherheit und Zuverlässigkeit unseres Systems zu erhöhen.

3. Zwei-Faktor-Authentifizierung (2FA)

Alle Mitarbeiter müssen für den Zugriff auf Drittsysteme eine Zwei-Faktor-Authentifizierung (2FA) zusammen mit komplexen, computergenerierten Passwörtern verwenden. Diese Kombination von Sicherheitsmaßnahmen verringert das Risiko eines unbefugten Zugriffs erheblich.

4. Sicherheit der IT-Infrastruktur

Unsere IT-Infrastruktur, die auf AWS Cloud gehostet wird, ist durch strenge VPN-basierte Zugangskontrollen geschützt. Dieses begrenzte Zugriffsmodell ist entscheidend, um sicherzustellen, dass nur autorisiertes Personal Zugang zu unserem Netzwerk hat und so die allgemeine Sicherheit verstärkt.

Zusätzlich zu den VPN-Kontrollen implementieren wir eine 'Blockieren als Standard'-Richtlinie in verschiedenen Sicherheitsgruppen. Das bedeutet, dass jeder Versuch, auf Ressourcen zuzugreifen, verweigert wird, es sei denn, es ist ausdrücklich erlaubt, was das Potenzial für unbefugten Zugriff erheblich reduziert.

Darüber hinaus sind die meisten unserer Dienste strategisch in einer Demilitarisierten Zone (DMZ) platziert. Diese Trennung zwischen internen und externen Netzwerken fügt eine zusätzliche Sicherheitsebene hinzu, schützt sensible interne Daten und ermöglicht kontrollierten Zugang zu notwendigen externen Diensten.

Alle Aspekte unseres Netzwerks und unserer Dienste werden ständig überwacht, um sofortige Identifikation und Reaktion auf jede ungewöhnliche Aktivität oder potenzielle Sicherheitsbedrohungen zu gewährleisten. Diese umfassende Überwachung ist der Schlüssel zur Aufrechterhaltung der Integrität und Sicherheit unserer IT-Infrastruktur.

5. Datenverschlüsselung

Für die Dateispeicherung verwenden wir die Serverseitige Verschlüsselung mit Amazon S3-verwalteten Schlüsseln (SSE-S3), um sicherzustellen, dass alle Daten, einschließlich Anbieterbilder, verschlüsselt werden. Wir implementieren auch kurzlebige signierte URLs für den Amazon S3-Dateizugriff, um die Verfügbarkeit dieser URLs auf eine kurze, vorher festgelegte Dauer für erhöhte Sicherheit zu beschränken.

Sensible Informationen wie Benutzertelefonnummern werden mit dem Advanced Encryption Standard (AES-256) verschlüsselt, wobei die Verschlüsselungsschlüssel sicher gespeichert werden, um unbefugten Zugriff zu verhindern. Gerätedaten werden mit geräteeigenen Verschlüsselungsmethoden verschlüsselt.

6. Speicherort der Daten

Alle Benutzerdaten werden innerhalb Europas auf AWS gespeichert, um die Einhaltung strenger regionaler Datenschutzvorschriften zu gewährleisten. Durch die Speicherung von Daten in europäischen Rechenzentren halten wir uns an die hohen Standards, die durch lokale Gesetze, einschließlich der Allgemeinen Datenschutzverordnung (GDPR), gesetzt werden.

7. Dokumentenverifizierung und Datenspeicherung

Wir nutzen GBG (www.gbgplc.com) für den Dokumentenverifizierungsprozess, ohne persönliche Dokumentendaten auf unseren Servern zu speichern, um die Datenanfälligkeit zu minimieren.

8. Protokoll zur Löschung von Benutzerdaten

Auf Anfrage eines Benutzers zur Löschung des Kontos stellt unser vollautomatisches System sicher, dass deren Daten umgehend und dauerhaft aus unserer Datenbank entfernt werden.

9. Automatisierte Cybersicherheits-Scan-Tools

Automatisierte Scan-Tools sind im Einsatz, um sicherzustellen, dass der Quellcode Sicherheits- und Qualitätsziele erfüllt. Dies umfasst die Überprüfung gegen OWASP Top 10. Wir nutzen umfangreich automatisierte Tools wie Snyk und SonarQube für kontinuierliches Cybersicherheitsscannen, ergänzt durch andere Dienste, einschließlich der eigenen Scan-Fähigkeiten von AWS. Dieses breite Spektrum an Tools ermöglicht die proaktive Identifizierung und Minderung potenzieller Schwachstellen in unserer Infrastruktur.

In unserem Engagement für Sicherheit halten wir uns an eine strenge Politik, identifizierte kritische Schwachstellen innerhalb eines Lösungszeitraums von 24 Stunden ab Erkennung zu adressieren.

10. Einschränkungen bei sensiblen Daten

Wir nutzen sensible Daten nur dann, wenn es für die Ausführung wesentlicher betrieblicher Funktionen unbedingt notwendig ist. Dieser Ansatz ist integraler Bestandteil der Wahrung der Integrität und Vertraulichkeit von Benutzerdaten.

Wir haben Kontrollen implementiert, um zu verhindern, dass sensible Daten mit Drittanbietersoftware geteilt werden, außer in Fällen, in denen es für spezifische Funktionen, wie Authentifizierungsprozesse, unerlässlich ist. Selbst in diesen Szenarien wird das Teilen von Daten durch strenge Protokolle geregelt, um maximale Sicherheit zu gewährleisten.

Zusätzlich stellen unsere Softwareentwicklungsbestpraktiken sicher, dass sensible Daten nicht in einer Form protokolliert oder gespeichert werden, die zu unbefugtem Zugriff oder Offenlegung führen könnte.

11. Sicherheit der Personalressourcen

Alle unsere Mitarbeiter und Auftragnehmer arbeiten unter strengen Geheimhaltungs- (NDA) und Vertraulichkeitsvereinbarungen. Das Offboarding von Personal und die Rücknahme von Benutzerzugängen erfolgt umgehend, um unbefugten Zugang zu Informationen zu vermeiden.

12. Roadmap

Als Teil unseres fortlaufenden Engagements für Cybersicherheit beabsichtigen wir, innerhalb von 2024 die Zertifizierung nach ISO 27001 zu erreichen. Zur Vorbereitung darauf planen wir umfassende externe Cybersicherheitstests, einschließlich Penetrationstests und Audits. Diese Aktivitäten sind abhängig von einem Fundraising-Prozess, den wir innerhalb des ersten Quartals 2024 abschließen möchten.

How can you contact us about this?

If you have any questions or concerns please contact us.

[email protected]