Sicherheit

Security by Design
– das bedeutet auch Transparenz!

Die Sicherheit Ihrer Daten und die Ihrer Mitarbeitenden steht bei uns ganz vorne. Wir ergreifen eine ganze Palette redundanter Maßnahmen die Sicherheit unserer IT-Systeme sicherzustellen oder menschliche Fehler zu erkennen und vermeiden.

Ein wichtiger Bestandteil unseres Sicherheitskonzeptes ist es dieses transparent offenzulegen und einer öffentlichen Prüfung zu unterziehen.

Unser Sicherheitskonzept

Löschen / nicht speichern

Daten, die man nicht hat, kann man auch nicht verlieren. Deshalb speichern wir nur die Daten, die wir wirklich brauchen und löschen diese, sobald wir sie nicht mehr benötigen.

Security by Design

Sicherheit steht bei uns ganz vorne während wir unsere Services und Systeme entwerfen aber auch bei dem Einsatz von Drittdienstleistern.

Regelmäßige Kontrolle

Vertrauen ist gut, Kontrolle ist besser. Deshalb veröffentlichen wir alle relevanten Informationen zu Systeme und Prozesse und unterziehen diese einer regelmäßigen Prüfung.

Häufige Fragen zur Datensicherheit

Ja, wir stellen sicher, dass die Daten ihrer Mitarbeitenden sicher und gemäß der EU Datenschutz-Grundverordnung geschützt werden. Dazu zählt auch, dass wir nur die wirklich nötigen Daten erfassen und diese vorrangig auf Servern innerhalb der EU verarbeiten.

Die Daten Ihrer Mitarbeitenden sind uns wichtig. Ihre Mitarbeitenden entscheiden selbst, ob und welche Daten Sie mit uns Teilen möchten. Durch ein cleveres “Single Sign-On”-Verfahren (SSO), ermöglicht eine schnelle und reibungslose Integration in jede Unternehmensstruktur ohne technische Unterstützung Ihrer hauseigenen IT.

Bei all unsere Online-Services kommen ausschließlich die aktuellsten kryptografischen Verfahren zum Einsatz. Darüber hinaus unterziehen wir unsere Systeme regelmäßigen externen Sicherheitstests um die Daten Ihrer Mitarbeiten und deren Familien zu schützen.

Datenschutz bedeutet für uns auch, nur die Daten zu erfassen, die wir für eine ausgezeichnete Dienstleistung brauchen. Darüber hinaus sorgen automatisierte Löschroutine dafür, dass persönliche Daten nicht länger als nötig gespeichert werden.

Daten an Dritte, wie z.B. Anbieter von Familienangeboten, geben wir nur mit ausdrücklichem Einverständnis Ihren Mitarbeitenden und im minimal notwendigen Umfang weiter.

Ja, wenngleich wir generell von dem Austausch von personenbezogenen Daten zwischen Ihrem Unternehmen und Ihren Angestellten absehen, schließen wir mit Ihnen gerne einen Auftragsdatenverarbeitungsvertrag.

Um Ihre persönliche Ausführung des Auftragsdatenverarbeitungsvertrages zu erhalten, wenden Sie sich bitte an datenschutz@voiio.de

Ja, Ihre Daten werden nach dem neusten Stand der Technik auf mehreren Ebenen verschlüsselt.

Mehr Informationen zur Verschlüsselung.

Verschlüsselung

Encryption in Transport

Daten werden grundsätzlich auf dem Transport verschlüsselt. Hierzu kommen nur verfahren zum Einsatz, die nach dem neusten TLS Standards als sicher gelten. Eine Transportverschlüsselung ist grundsätzlich auch innerhalb desselben Rechenzentrums gegeben. Die einzige Ausnahme ist der Transport von Daten zwischen dem Application-Server und dem HTTPS-Proxy. Diese Maßnahme ist weitverbreitet und dient der Steigerung der Sicherheit, da das hierfür das streng geheime X.509-Zertifikat nur dem HTTPS-Proxy bekannt ist und nicht ausgelesen werden kann.

Encryption at Rest

Daten werden im Ruhezustand auf Volumen-Ebene verschlüsselt. Hierzu kommen AES-256 oder eine vergleichbare hochsichere Chiffre zum Einsatz. Auf Datenbank- bzw. Anwendungsebene werden die meisten Daten unverschlüsselt benötigt. Zusätzliche Verschlüsslung findet hier nur für Authentifizierung-Daten statt.

Die Datenträger unserer lokalen Geräte sind ebenfalls vollständig AES-256 verschlüsselt.

Application Layer Encryption

Da sich Apps-Server und Speichermedien bei dem selbem Anbieter befinden und alle Daten bereits auf Ruheebene verschlüsselt sind, verzichten wir auf zusätzliche generell Applicaiton-Layer-Verschlüsselung. Ausgeschlossen hiervon sind selbstverständlich hochsensible Daten, wie Passwörter. Diese werden lediglich als salted HMAC-SHA256-Hash gespeichert.

Key-Management

Wir speichern grundsätzlich keine Zugangsdaten in Code oder auf persistenten Datenträgern. Sowohl auf Heroku, GitHub und AWS kommen deren Key Management Systeme zum Einsatz.

Authentifizierung

Registrierung und Sign-up

Die initiale Registrierung auf der Plattform kann über zwei mögliche Methoden erfolgen. Welche zum Einsatz kommt, entscheidet das Unternehmen für seine Mitarbeitenden.

Die eine Methode nutzt eine Whitelist von E-Mail-Domainnamen. Anhand dieser weisen wir Nutzer bei der Anmeldung dem richtigen Unternehmen zu. Nutzer geben hier bei der Registrierung lediglich Ihre Firmen-E-Mail an und erhalten hier einen Bestätigungslink. Das Unternehmen stellt hierdurch indirekt die Authentifizierung, da Sie die volle Kontrolle über Ihre internen E-Mail-Postfächer hat.

Die zweite Methode ist für kleinere Unternehmen, die ggf. keine eine E-Mail-Domain betreibt. Hier kann das Unternehmen seinen Mitarbeitenden einen Einladungs-Code zukommen lassen. Dieser muss bei der Registrierung angegeben werden und weist die neue Nutzer:in so dem richtigen Unternehmen zu.

Authentifizierung und Log-in

Die Authentifizierung benötigt keine Passwörter. Dies verhindert, dass Mitarbeitende interne Passwörter wieder verwenden können oder unsichere Passwörter gewählt werden. Die Authentifizierung erfolgt ebenfalls via E-Mail. Diese bedeutet, dass das Unternehmen weiterhin die Kontrolle über die Authentifizierung behält. Hierzu wird eine Log-in-URL mit einer salted HMAC-SHA256-Signatur verschickt. Unsere E-Mail-Server verschicken E-Mails ausschließlich über verschlüsselte Verbindungen, um die höchste Sicherheit Ihrer Mitarbeitenden und deren Familien zu gewährleisten.

Unser Tech-Stack

Softwareentwicklung

Unsere Softwareentwicklung basiert auf den neuesten Methoden und Werkzeugen. Von Continuos Integration und Deployment über Peer-Reviews und Static-Code-Analysis kommt bei uns alles zum Einsatz. Sie können gerne einen genaueren Blick unter unsere Haube werfen unser code.voiio.de

Sicherheitsupdates

We only use the latest software. In addition, we are automatically informed about potential risks of the software we use. Every potential incident is documented, assessed and resolved. Many of these steps are automated, but never without the control of experienced developers.

SoftwareVersionPatch Cycle
Python3.10daily / once binary released by Heroku
Django3.2 LTSinstantly (security) or daily via dependabot
Python 3rd-party packagesLATESTinstantly (security) or daily via dependabot
Node.jsLTS/*daily / once binary released by Heroku
Node.js 3rd-party packgesLATESTinstantly (security) or weekly via dependabot​

Drittdienstleister

Bevor wir mit einem Drittanbieter zusammen arbeiten, prüfen wir eingehen ob dieser unseren hohen Sicherheitsstandards entspricht. Diese Prüfung wird selbstverständlich in regelmäßigen abständen wiederholt.

Bei Anbietern mit Firmensitz oder Rechenzentren außerhalb der Europäischen Union kommen deren Rechenzentren in der EU zum Einsatz. Darüber hinaus existieren mit selbigen Firmen gesonderte Datenverarbeitungsabkommen (DAPs).

AnbieterAddressData-CenterISO 27001SOC LevelDAPPurpose
Amazon Web Service EMEA SARL38 Avenue John F. Kennedy, L-1855, LuxembourgEUcertified3signedhosting, messaging
Heroku Inc.415 Mission Street Suite 300 San Francisco, CA 94105, USAEUcertified3signedhosting
Google LLC1600 Amphitheatre Parkway, Mountain View, California 94043, USAEUcertified3signedOffice Tools
ZOHO CORPORATION B. V.Beneluxlaan 4B, 3527 HT UTRECHT, The NetherlandsEUcertified2signedCRM
Sendinblue GmbHKöpenicker Straße 126, 10179 BerlinDEcertifiedsignedmessaging


E-Mail Zustellbarkeit

Um eine hohe Zustellbarkeit unserer E-Mails zu gewährleisten, nutzen wir eine eigene IP-Adresse, die von unserem deutschen Partnerunternehmen Sendinblue GmbH bereitgestellt wird. Um sicherzustellen, dass Sie unsere E-Mails erhalten, empfehlen wir Ihnen, sich an Ihre IT-Abteilung zu wenden, um die folgende IP-Adresse und Domäne zu den „Erlaubnislisten“ der Firewalls/E-Mail-Konfiguration Ihres Unternehmens hinzuzufügen:

  • 172.246.5.94 > mx.sib.outbound-mail.voiio.family

Die folgenden Domains sind für den Versand unserer Transaktions-E-Mails zuständig (bereitgestellt von Amazon Web Service EMEA):

  • eu-west-1.ses.outbound-mail.voiio.family
  • eu-west-1.ses.outbound-mail.voiio.de

Unsere E-Mails-Server verwenden durchgehen DKIM zur E-Mail Signierung und unsere DMARC-Konfiguration ist sehr strikt, um Phishing vorzubeugen. In seltenen Fällen modifiziert hausinterne Antivirussoftware E-Mails. Dies ist aus Sicherheitsgründen untersagt und kann zu Zustellungsproblemen führen. Wenden Sie sich in diesen Fällen gerne an Ihre hausinterne IT.

Wir geben uns große Mühe alle Informationen auf dieser Seite auf dem neusten Stand zu halten, garantieren aber nicht für deren Aktualität und Vollständigkeit. Wenn Sie weitere Fragen zu unseren Sicherheitsvorkehrungen haben, wenden Sie sich jederzeit an code@voiio.de