Sicherheitspraktiken

Weil Datensicherheit unsere Priorität ist

Wir bei Evermood nehmen die Sicherheit deiner Daten sehr ernst und setzen auf die höchsten Sicherheitsstandards, um den bestmöglichen Schutz deiner Daten und der deines Teams zu ermöglichen. Daher speichern und verwalten wir alle personenbezogenen Daten ausschließlich in ausgezeichneten Rechenzentren in Deutschland und testen diese regelmäßig auf ihre Sicherheit und Zugänglichkeit. Transparenz ist einer unserer Grundsätze und deshalb ist es unser Ziel, so klar und offen wie möglich zu erläutern, wie wir mit Sicherheitsfragen umgehen. Darüber hinaus verwenden wir umfangreiche Sicherheitspraktiken, welche wir im folgenden Abschnitt erläutern: Solltest du weitere Fragen zum Thema Sicherheit bei Evermood haben, sende uns deine Frage bitte an legal@evermood.com und wir werden dir so schnell wie möglich antworten.

Vertraulichkeit

Wir haben ein umfangreiches Kontrollsystem eingerichtet, welches den Zugang unserer MitarbeiterInnen zu den Daten, die du und dein Team über die Nutzung der Evermood-Leistungen zur Verfügung stellen, überwacht. Die Bereitstellung unseres Leistungsangebotes erfordert, dass einige MitarbeiterInnen Zugang zu den Systemen haben, in denen Kundendaten gespeichert und verarbeitet werden. Für die Diagnose eines Problems, welches du oder ein Teammitglied mit einem unserer Leistungen hast, müssen wir eventuell auf deine Kundendaten zugreifen. Diesen MitarbeiterInnen ist es untersagt, ihre Berechtigung für den Zugriff auf Kundendaten zu nutzen, sofern dies für ihre unmittelbare Tätigkeit nicht unbedingt erforderlich ist. Wir verfügen über technische Kontrollen und Prüfrichtlinien, die sicherstellen, dass jeder Zugriff auf Kundendaten protokolliert wird.

Compliance

Es ist unser Ziel, unseren Kunden stets den besten Standard für Datensicherheit und Datenschutz anzubieten. Daher stellen wir zu jedem Zeitpunkt sicher, dass die Umgebung, in der die Evermood-Leistungen gehostet werden, mindestens folgende Audits und Zertifizierungen vorweisen:
  • C5 (Bundesrepublik Deutschland)
  • ASIP HDS (Frankreich)
  • G-Cloud (GB, Nordirland)
  • PCI-Zertifizierung
  • ISO 9001
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 1
  • SOC 2
  • SOC 3
Darüber hinaus stellen wir sicher, dass wir als Organisation die Kriterien des SOC 2 jederzeit einhalten und lassen dies regelmäßig durch einen externen Audit feststellen. Das aktuelle Prüfungsergebnis ist hier zum Download verfügbar.

Zugriffsprotokollierung

Wir protokollieren jede Anmeldung unserer MitarbeiterInnen und verzeichnen den verwendeten Gerätetyp sowie die IP-Adresse der Verbindung.

Zwei-Faktor-Authentifizierung

Unsere MitarbeiterInnen müssen sich, sofern der jeweilige Dienst dies zulässt, mithilfe einer Zwei-Faktor-Authentifizierung authentifizieren. Unsere MitarbeiterInnen dazu verpflichtet, jegliche Passwörter im Zusammenhang mit ihrer Tätigkeit für Evermood in dem von Evermood zur Verfügung gestellten Passwort-Manager (1Password) zu sichern. Erstellen oder verändern unsere MitarbeiterInnen Passwörter, so sind hierbei mindestens die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) zu erfüllen. Hierzu wird stets der obige Passwort-Manager verwendet.

Löschung von Kundendaten

Evermood bietet Admins die Möglichkeit, Kundendaten während des Abonnementzeitraums jederzeit zu löschen. Spätestens 24 Stunden nach einer von einem Admin initiierten Löschung entfernen wir unwiderruflich alle Daten aus aktuell laufenden Produktionssystemen. Weitere Informationen findest du in unserem Auftragsverarbeitungs-Vertrag.

Datenverschlüsselung bei der Übertragung und im Ruhezustand

Alle Leistungen von Evermood unterstützen die jüngsten empfohlenen sicheren Verfahren und Protokolle zur Verschlüsselung aller Daten bei der Übertragung. Die Kundendaten sind im Ruhezustand verschlüsselt.

Notfallwiederherstellung

Kundendaten werden redundant an mehreren Standorten in den Rechenzentren unserer Hosting-Anbieter gespeichert, um deren Verfügbarkeit zu gewährleisten. Wir verfügen über bewährte Datensicherungs- und Wiederherstellungsverfahren, die auch bei Notfällen größeren Ausmaßes vor Datenverlust schützen. Die Kundendaten und unser Quellcode werden jede Nacht automatisch gesichert. Das operative Team wird bei einer Fehlfunktion des Systems unverzüglich benachrichtigt.

Netzwerkschutz

Zusätzlich zu unserem hochentwickelten Überwachungs- und Protokollierungssystem haben wir eine Zwei-Faktor-Authentifizierung für jeden Serverzugriff in unserer gesamten Produktionsumgebung eingeführt. Firewalls werden gemäß den Best Practices der Branche konfiguriert.

Host-Management

Wir führen automatische Schwachstellenprüfungen unserer Staging- und Produktions-Hosts durch und korrigieren alle entdeckten Probleme, die ein Risiko für unsere Umgebung darstellen.

Protokollierung

Wir unterhalten umfangreiche und zentralisierte Protokollierungsumgebung in unserer Staging- und Produktionsumgebung, die Informationen in Bezug auf die Sicherheit, die Überwachung, die Verfügbarkeit, den Zugriff und andere Kennzahlen unseres Leistungsangebotes enthält. Diese Protokolle werden unter der Aufsicht des Sicherheits-Teams mittels automatischer Überwachungssoftware auf Sicherheitsereignisse analysiert.

Produkt-Sicherheitsverfahren

Neue Eigenschaften, Funktionen und Designänderungen werden vom Sicherheits-Team einer Sicherheitsprüfung unterzogen. Darüber hinaus wird unser Programm-Code mit einer automatisierten Software für die statische Analyse geprüft und getestet, bevor er für die Produktion freigegeben wird. Das Sicherheits-Team arbeitet eng mit den Entwicklungs-Teams zusammen, um weitere Sicherheitsprobleme zu klären, die während der Entwicklung auftreten.