Datensicherheit hat oberste Priorität

Wir nehmen Datensicherheit sehr ernst und halten uns an die höchsten Sicherheitsstandards, um zu gewährleisten, dass deine Daten jederzeit und ausnahmslos geschützt sind. Unsere Sicherheitspraktiken sind mehrfach zertifiziert und schaffen Vertrauen durch maximale Transparenz.

 
 

Einhaltung von Sicherheitsvorschriften

Compliance

Es ist unser Ziel, unseren Kunden stets den besten Standard für Datensicherheit und Datenschutz anzubieten. Daher stellen wir zu jedem Zeitpunkt sicher, dass die Umgebung, in der die Evermood-Leistungen gehostet werden, mindestens folgende Audits und Zertifizierungen vorweisen:

  • C5 (Bundesrepublik Deutschland)
  • ASIP HDS (Frankreich)
  • G-Cloud (GB, Nordirland)
  • PCI-Zertifizierung
  • ISO 9001
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 1
  • SOC 2
  • SOC 3
SOC 2 Type 2

Wir stellen sicher, dass unsere Organisation die Kriterien des SOC 2 jederzeit erfüllt und lassen dies regelmäßig durch einen externen Audit feststellen. Das aktuelle Prüfungsergebnis ist hier zum Download verfügbar.

IT-Sicherheitskonzept

Unser vollständiges IT-Sicherheitskonzept kannst du hier einsehen.

Sicherheitsbeauftragter

Sicherheitsbeauftragter bei Evermood ist:

Luiz Fonseca
security@evermood.com

Damit du die nicht alle relevanten rechtlichen Ressourcen einzeln zusammensuchen musst, haben wir dir diese in einem Ordner zusammengeführt. In diesem Ordner findest du folgende Dokumente:
  • Allgemeine Geschäftsbedingungen
  • Auftragsverarbeitungs-Vertrag
  • Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO (Anlage A der AVV)
  • Löschkonzept (Anlage B der AVV)
  • Nutzungsbedingungen für Nutzer (Anlage C der AVV)
  • Diagramm der Netzwerk Architektur
  • Diagramm des Anonymisierungsprozesses von Anliegen

Ordner herunterladen

Cloud Sicherheit

Einrichtungen

Unsere Servicedaten werden ausschließlich in Rechenzentren der Amazon Web Services (AWS) gehostet. Diese sind unter anderem nach ISO 27001, PCI/DSS Service Provider Level 1 und SOC 2 zertifiziert. [Weitere Infos zum Thema Compliance bei AWS findest du hier.

Die Server und Infrastruktur der AWS sind unter anderem mit Reservestrom-, HLK-Systemen und Brandbekämpfungsanlagen ausgestattet. So sind deine Daten bestmöglich geschützt. Weitere Infos über die Sicherheitsmaßnahmen in den AWS-Rechenzentren findest du hier.

Sicherheit vor Ort

Die Sicherheit der AWS-Rechenzentren vor Ort ist durch Sicherheitspersonal, Umzäunung, Videoüberwachung, Einbruchserkennung und weitere Maßnahmen gewährleistet. [Weitere Infos über die physische Sicherheit in AWS-Rechenzentren findest du hier.

Datenhosting-Standort

Evermood nutzt ausschließlich AWS-Rechenzentren in Frankfurt/Main, Deutschland.

EBA/REC 2017/03

Der Begleitzettel zur Auslagerung an Cloud-Anbieter (in Anlehnung an EBA/REC 2017/03) dient vorwiegend Unternehmen im öffentlichen und dem stark regulierten Sektor und kann hier abgerufen werden.

Schutz

Unser Netzwerk ist durch die umfassenden Sicherheitsdienste von AWS, Integration mit unseren Cloudflare-basierten Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien geschützt, die es kontinuierlich auf bekannte bösartige Verkehrsmuster und Netzwerkattacken überwachen und diese blockieren.

Architektur

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz.

Sicherheitsprüfungen

Mithilfe von regelmäßigen Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.

Penetrationstests durch externe Experten

Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Evermood jedes Jahr von externen Sicherheitsexperten einen umfangreichen Penetrationstest unserer gesamten Produktions- und Unternehmensnetzwerke durchführen.

Security Incident Event Management (SIEM)

Wir nutzen ein Security-Incident-Event-Management-System (SIEM), um umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen zu erfassen. Das SIEM-System spricht bei Auslösern an, die über das Auftreten bestimmter Vorfälle benachrichtigen. So können wir frühzeitig Untersuchungen und passende Maßnahmen einleiten.

Logischer Zugriff

Die Bereitstellung unseres Leistungsangebotes sowie etwaige Problemdiagnosen erfordern, dass einige Mitarbeitende Zugang zu den Systemen haben, in denen Kundendaten gespeichert und verarbeitet werden. Der Zugriff auf diese ist jedoch auf die minimal notwendige Anzahl Mitarbeitender (Need-to-know-Prinzip) mit den jeweils minimal notwendigen Zugriffsrechten (Prinzip der geringsten Rechte) beschränkt. Mitarbeitenden von Evermood ist solch ein Zugriff nur gestattet, sofern dies für ihre unmittelbare Tätigkeit unbedingt erforderlich ist. Wir verfügen über technische Kontrollen und Prüfrichtlinien, die sicherstellen, dass jeder Zugriff auf Kundendaten protokolliert wird. Um Zugriff auf die Produktionsumgebung zu erhalten, müssen sich Mitarbeitende mehrfach authentifizieren.

Zugriffsprotokollierung

Wir protokollieren jede Anmeldung unserer Mitarbeitenden und verzeichnen den verwendeten Gerätetyp sowie die IP-Adresse der Verbindung.

Passwortrichtlinie & Zwei-Faktor-Authentifizierung

Unsere Mitarbeitenden müssen sich, sofern möglich, immer mithilfe einer Zwei-Faktor-Authentifizierung authentifizieren. Darüber hinaus sind sie dazu verpflichtet, jegliche Passwörter im Zusammenhang mit ihrer Tätigkeit für Evermood in dem von Evermood zur Verfügung gestellten Passwort-Manager (1Password) zu sichern. Für die Erstellung oder Veränderung von Passwörtern nutzen Mitarbeitende stets den oben genannten Passwort-Manager und erfüllen so mindestens die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik).

Netzwerkschutz

Zusätzlich zu unserem hochentwickelten Überwachungs- und Protokollierungssystem haben wir eine Zwei-Faktor-Authentifizierung für jeden Serverzugriff in unserer gesamten Produktionsumgebung eingeführt. Firewalls werden gemäß den Best Practices der Branche konfiguriert.

Reaktion auf Sicherheitsvorfälle

Bei einem Sicherheitsalarm werden Vorfälle an unseren Sicherheitsbeauftragten eskaliert. Der Sicherheitsbeauftragte ist in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.

Data-in-Transit-Verschlüsselung

Alle Leistungen von Evermood unterstützen die jüngsten empfohlenen sicheren Verfahren und Protokolle zur Verschlüsselung aller Daten bei der Übertragung. Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Evermood ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen dir und Evermood sicher ist. Für E-Mails verwenden wir standardmäßig TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.

Data-at-Rest-Verschlüsselung

Die Kundendaten sind im Ruhezustand verschlüsselt. Bei AWS werden Daten durch Data-at-Rest-Verschlüsselung gesichert (AES-256).

Redundanz

Um Single Points of Failure (SPOF) zu eliminieren, nutzt Evermood Service-Clustering und Netzwerkredundanzen: Kundendaten werden redundant an mehreren Standorten in den Rechenzentren unserer Hosting-Anbieter gespeichert. Die Kundendaten und unser Quellcode werden jede Nacht automatisch gesichert. Unsere strikten Backup- und Disaster-Recovery-Programme replizieren Daten über mehrere Verfügbarkeitszonen hinweg und ermöglichen so zu jedem Zeitpunkt maximale Verfügbarkeit.

Disaster Recovery

Mithilfe eines Disaster-Recovery-Programms gewährleisten wir, dass unsere Services im Katastrophenfall weiterhin verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies erreichen wir durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und regelmäßige Testaktivitäten. Wir verfügen über bewährte Datensicherungs- und Wiederherstellungsverfahren, die auch bei Notfällen größeren Ausmaßes vor Datenverlust schützen. Das operative Team wird bei einer Fehlfunktion des Systems unverzüglich benachrichtigt.

Sicherheit

Secure-Code-Schulungen

Unsere Development-Team nimmt mindestens einmal jährlich an einer Schulung zum Thema Secure Coding teil, bei der unter anderem Themen wie gängige Angriffsvektoren und Evermood-Sicherheitskontrollen behandelt werden.

Framework-Sicherheitskontrollen

Evermood nutzt moderne und sichere Open-Source-Frameworks mit Sicherheitskontrollen, um das Risiko von SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF) so weit wie möglich zu reduzieren.

Quality Assurance

Unser Sicherheitsbeauftragter überprüft und testet regelmäßig unsere Codebasis. Dabei werden Sicherheitsschwachstellen im Code identifiziert, getestet und priorisiert. Neue Eigenschaften, Funktionen und Designänderungen werden ebenfalls einer Sicherheitsprüfung unterzogen. Der Sicherheitsbeauftragte arbeitet eng mit den Entwicklungs-Teams zusammen, um weitere Sicherheitsprobleme zu klären, die während der Entwicklung auftreten.

Separate Umgebungen

Die Test- und Staging-Umgebungen von Evermood sind sowohl physisch als auch logisch von der Produktionsumgebung getrennt. Kundendaten kommen dabei nur in der Produktionsumgebung zum Einsatz.

Protokollierung

Wir unterhalten umfangreiche und zentralisierte Protokollierungssysteme in unseren Staging- und Produktionsumgebungen, die Informationen in Bezug auf die Sicherheit, die Überwachung, die Verfügbarkeit, den Zugriff und andere Kennzahlen unseres Leistungsangebotes enthalten. Diese Protokolle werden unter der Aufsicht des Sicherheitsbeauftragten mittels automatischer Überwachungssoftware auf Sicherheitsereignisse analysiert.

Dynamische Schwachstellenprüfungen

Wir führen kontinuierlich automatische Schwachstellenprüfungen unserer Staging- und Produktions-Hosts durch und korrigieren alle entdeckten Probleme, die ein Risiko für unsere Umgebung darstellen. Zu diesem Zweck nutzen wir verschiedene Sicherheitstools von Drittanbietern.

Statische Codeanalyse

Unser Programm-Code wird stets mit einer automatisierten Software für die statische Analyse geprüft und getestet, bevor er für die Produktion freigegeben wird.

Penetrationstests durch externe Experten

Evermood lässt regelmäßig von externen Sicherheitsexperten detaillierte Penetrationstests durchführen.

Unterauftragnehmer

Zur Unterstützung der Bereitstellung unserer Leistungen können wir Datenverarbeiter mit Zugriff auf bestimmte Kundendaten hinzuziehen und nutzen. Vor dem Hinzuziehen eines externen Unterauftragsverarbeiters überprüfen und beurteilen wir umfangreich dessen Datenschutz-, Sicherheits- und Vertraulichkeitspraktiken. Die folgende Tabelle listet alle aktuellen Unterauftragsverarbeiter von Evermood:

  • Amazon Web Services (Luxemburg, Luxemburg)
  • Mailjet (Paris, Frankreich)
  • AppSignal* (’s-Hertogenbosch, Niederlande)
  • bugsnag* (San Francisco, USA)

*Unterauftragnehmer, die mit einem Sternchen [*] gekennzeichnet sind, haben keinen Zugang zu personenbezognen Daten unserer Kunden. 

Speicherung von Zugangsdaten
Evermood folgt grundsätzlich den aktuellen Best Practices zum sicheren Speichern von Zugangsdaten. Kennwörter werden zu keinem Zeitpunkt in einem für Menschen lesbaren Format gespeichert, sondern stets mithilfe einer sicheren Einweg-Hashfunktion, die Salts verwendet.
Richtlinien

Evermood hat umfassende und thematisch breit aufgestellte Sicherheitsrichtlinien entwickelt. Alle Mitarbeitenden und Unterauftragnehmer, die Zugriff auf unsere Datenbestände haben, haben Kenntnis dieser Richtlinien und sind zu deren Einhaltung verpflichtet.

Schulung

Alle Mitarbeitenden von Evermood nehmen bei ihrer Einstellung und anschließend einmal jährlich an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Unser Development-Team absolviert jährlich eine Schulung zum Thema Secure Coding.

Background-Checks

Evermood führt im Rahmen der gesetzlichen Möglichkeiten für alle neuen Mitarbeitenden einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für externe Dienstleister erforderlich. Der Background-Check umfasst eine Überprüfung relevanter Vorstrafen, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten.

Vertraulichkeitsvereinbarungen

Alle neu eingestellten Mitarbeitenden von Evermood unterzeichnen eine Vertraulichkeits- und Geheimhaltungsvereinbarung.