Security

Der sorgfältige und respektvolle Umgang mit Kundendaten ist uns wichtig. Wir treffen sowohl technische als auch organisatorische Massnahmen, um unsere Dienste sicher und verantwortungsbewusst zu betreiben. Nachfolgend finden Sie einen kurzen Überblick über die wichtigsten Massnahmen und Grundsätze, die zur Sicherstellung der Vertraulichkeit, Integrität und dauerhaften Verfügbarkeit der uns anvertrauten Daten getroffen wurden.

Die im folgenden beschriebenen Massnahmen gelten für die von Dividat selbst entwickelten und betriebenen Produkte und Services. Für von Dividat nur vertriebene Produkte sehen Sie bitte beim jeweiligen Hersteller nach oder sprechen Sie uns an.

Kontaktinformationen für Responsible Disclosure finden Sie am Ende dieser Seite.

Technische Massnahmen

Verschlüsselter Transport Alle Benutzerdaten werden über verschlüsselte HTTPS-Verbindungen übertragen.

Ratenbegrenzte Authentifizierung Die Authentifizierungsendpunkte unserer Server sind ratenbegrenzt, um vor Brute-Forcing zu schützen.

Passwortspeicherung Passwörter werden vor der Speicherung mit modernen Algorithmen gehasht und mit entsprechender Zutaten versehen.

Automatisierte Backups Verschlüsselte Backups unserer Datenbanken werden in regelmässigen Abständen automatisch erstellt und getrennt von unseren Servern gespeichert. Wir führen regelmässige Proben für die Wiederherstellung der Backups durch. Die Backups werden nach einer begrenzten Aufbewahrungszeit automatisch gelöscht.

Ereignisprotokollierung Unsere Backend-Server leiten ein Protokoll der internen Ereignisse an eine zentrale Logging-Plattform weiter. Sensible oder persönlich identifizierbare Informationen werden vor der Übermittlung an den zentralen Speicher entfernt oder pseudonymisiert. Die Logs werden nur für einen begrenzten Zeitraum aufbewahrt.

Managed Server Unsere Backend-Server werden von Nine, einem nach ISO 27001 und ISO 9001 zertifizierten Hosting-Anbieter, betrieben. Die Server sind in physisch geschützten Rechenzentren in der Schweiz untergebracht. Sicherheitsupdates werden regelmässig durchgeführt, um die Sicherheit und Stabilität zu verbessern. Weitere Server werden in anderen, ebenfalls zugriffsgeschützten Rechenzentren in Europa betrieben.

Organisatorische Massnahmen

Schrittweise Veröffentlichung Unsere Software-Releases werden schrittweise von der Entwicklungs- in die Produktionsumgebung überführt, was die Chance erhöht, dass Fehler erkannt werden, bevor sie die Kunden erreichen. Eine kleine Anzahl von Validierungspartnern hilft uns, den Code vor dem allgemeinen Einsatz unter realen Bedingungen zu testen.

Kennworthilfe Unsere Anwendungen bieten interaktives Feedback zur Qualität von Kennwörtern, anstatt statische Regeln anzuwenden, und folgen damit den aktuellen Empfehlungen des NIST.

Peer-Review und Versionskontrolle Neuer Code wird einem Peer-Review unterzogen, bevor er in unsere Anwendungen integriert wird. Sowohl der Code als auch die Konfiguration der Kern-Infrastruktur sind in Versionskontrolle, sodass Builds und Installationen nachvollziehbar und reproduzierbar sind.

Kontinuierliche Integration Für Code, der unserem Versionskontrollsystem hinzugefügt wird, werden automatisch Builds und Testprogramme ausgeführt.

Mitarbeiterzugang Alle Mitglieder unseres Entwicklungs- und Betriebsteams sind mit Hardware-Tokens für Zwei-Faktor-Authentifizierung und den Schutz sensibler Daten ausgestattet. Die Teammitglieder erhalten Zugriffsrechte, die ihren Verantwortlichkeiten angemessen sind. Die Unterzeichnung einer an GDPR orientierten Vertraulichkeitsvereinbarung ist Voraussetzung für den Zugriff auf Produktionssysteme.

Vorfallberichte Auf jeden betrieblichen Vorfall folgt eine schriftliche Nachuntersuchung, um die Ereignisse zu analysieren und eine Reihe geeigneter Präventivmassnahmen festzulegen. Dies geschieht unabhängig davon, ob der Vorfall eine Störung für unsere Benutzer verursacht.

Kontakt

Für Responsible Disclosure oder Fragen zur Sicherheit können Sie uns unter security@dividat.com kontaktieren. Wenn Sie beabsichtigen, sensible Informationen zu übermitteln, verschlüsseln Sie diese bitte mit unserem PGP-Schlüssel.

-----BEGIN PGP PUBLIC KEY BLOCK-----
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=KvZd
-----END PGP PUBLIC KEY BLOCK-----