Security

Der sorgfältige und respektvolle Umgang mit Kundendaten ist uns wichtig. Wir treffen sowohl technische als auch organisatorische Massnahmen, um unsere Dienste sicher und verantwortungsbewusst zu betreiben. Nachfolgend finden Sie einen kurzen Überblick über die wichtigsten Massnahmen und Grundsätze, die zur Sicherstellung der Vertraulichkeit, Integrität und dauerhaften Verfügbarkeit der uns anvertrauten Daten getroffen wurden.

Die im folgenden beschriebenen Massnahmen gelten für die von Dividat selbst entwickelten und betriebenen Produkte und Services. Für von Dividat nur vertriebene Produkte sehen Sie bitte beim jeweiligen Hersteller nach oder sprechen Sie uns an.

Kontaktinformationen für Responsible Disclosure finden Sie am Ende dieser Seite.

Technische Massnahmen

Verschlüsselter Transport Alle Benutzerdaten werden über verschlüsselte HTTPS-Verbindungen übertragen, mit modernen TLS-Versionen.

Ratenbegrenzte Authentifizierung Die Authentifizierungsendpunkte unserer Server sind ratenbegrenzt, um vor Brute-Forcing zu schützen.

Passwortspeicherung Passwörter werden vor der Speicherung mit modernen Algorithmen gehasht und mit entsprechender Zutaten versehen.

Automatisierte Backups Verschlüsselte Backups unserer Datenbanken werden in regelmässigen Abständen automatisch erstellt und getrennt von unseren Servern gespeichert. Wir führen regelmässige Proben für die Wiederherstellung der Backups durch. Die Backups werden nach einer begrenzten Aufbewahrungszeit automatisch gelöscht.

Ereignisprotokollierung Unsere Backend-Server leiten ein Protokoll der internen Ereignisse an eine zentrale Logging-Plattform weiter. Sensible oder persönlich identifizierbare Informationen werden vor der Übermittlung an den zentralen Speicher entfernt oder pseudonymisiert. Die Logs werden nur für einen begrenzten Zeitraum aufbewahrt.

Managed Server Unsere Backend-Server werden von Nine, einem nach ISO 27001 und ISO 9001 zertifizierten Hosting-Anbieter, betrieben. Die Server sind in physisch geschützten Rechenzentren in der Schweiz untergebracht. Sicherheitsupdates werden regelmässig durchgeführt, um die Sicherheit und Stabilität zu verbessern. Weitere Server werden in anderen, ebenfalls zugriffsgeschützten Rechenzentren in Europa betrieben.

Organisatorische Massnahmen

Schrittweise Veröffentlichung Unsere Software-Releases werden schrittweise von der Entwicklungs- in die Produktionsumgebung überführt, was die Chance erhöht, dass Fehler erkannt werden, bevor sie die Kunden erreichen. Eine kleine Anzahl von Validierungspartnern hilft uns, den Code vor dem allgemeinen Einsatz unter realen Bedingungen zu testen.

Kennworthilfe Unsere Anwendungen bieten interaktives Feedback zur Qualität von Kennwörtern, anstatt statische Regeln anzuwenden, und folgen damit den aktuellen Empfehlungen des NIST.

Peer-Review und Versionskontrolle Neuer Code wird einem Peer-Review unterzogen, bevor er in unsere Anwendungen integriert wird. Sowohl der Code als auch die Konfiguration der Kern-Infrastruktur sind in Versionskontrolle, sodass Builds und Installationen nachvollziehbar und reproduzierbar sind.

Kontinuierliche Integration Für Code, der unserem Versionskontrollsystem hinzugefügt wird, werden automatisch Builds und Testprogramme ausgeführt.

Mitarbeiterzugang Alle Mitglieder unseres Entwicklungs- und Betriebsteams sind mit Hardware-Tokens für Zwei-Faktor-Authentifizierung und den Schutz sensibler Daten ausgestattet. Die Teammitglieder erhalten Zugriffsrechte, die ihren Verantwortlichkeiten angemessen sind. Die Unterzeichnung einer an GDPR orientierten Vertraulichkeitsvereinbarung ist Voraussetzung für den Zugriff auf Produktionssysteme.

Vorfallberichte Auf jeden betrieblichen Vorfall folgt eine schriftliche Nachuntersuchung, um die Ereignisse zu analysieren und eine Reihe geeigneter Präventivmassnahmen festzulegen. Dies geschieht unabhängig davon, ob der Vorfall eine Störung für unsere Benutzer verursacht.

Kontakt

Kontaktinformationen für sicherheitsrelevante Themen finden Sie unter Responsible Disclosure