Sicherheit
Security by Design
– das bedeutet auch Transparenz!
Die Sicherheit Ihrer Daten und die Ihrer Mitarbeitenden steht bei uns ganz vorne. Wir ergreifen eine ganze Palette redundanter Maßnahmen die Sicherheit unserer IT-Systeme sicherzustellen oder menschliche Fehler zu erkennen und vermeiden.
Ein wichtiger Bestandteil unseres Sicherheitskonzeptes ist es dieses transparent offenzulegen und einer öffentlichen Prüfung zu unterziehen.
Unser Sicherheitskonzept
Löschen / nicht speichern
Daten, die man nicht hat, kann man auch nicht verlieren. Deshalb speichern wir nur die Daten, die wir wirklich brauchen und löschen diese, sobald wir sie nicht mehr benötigen.
Security by Design
Sicherheit steht bei uns ganz vorne während wir unsere Services und Systeme entwerfen aber auch bei dem Einsatz von Drittdienstleistern.
Regelmäßige Kontrolle
Vertrauen ist gut, Kontrolle ist besser. Deshalb veröffentlichen wir alle relevanten Informationen zu Systeme und Prozesse und unterziehen diese einer regelmäßigen Prüfung.
Häufige Fragen zur Datensicherheit
Ja, wir stellen sicher, dass die Daten ihrer Mitarbeitenden sicher und gemäß der EU Datenschutz-Grundverordnung geschützt werden. Dazu zählt auch, dass wir nur die wirklich nötigen Daten erfassen und diese vorrangig auf Servern innerhalb der EU verarbeiten.
Ein AVV ist für die Erbringung unserer Dienstleistung in der Regel nicht notwendig.
Für die Integration von voiio in Ihrem Unternehmen, ist es nicht notwendig personenbezogene Daten Ihrer Mitarbeitenenden auszutauschen. Mitarbeitenden gehen eigenständig ein Vertragsverhältnis mit voiio ein.
Sollten sie dennoch auf ein AVV bestehen, oder Rückfragen haben, wenden Sie sich gerne an datenschutz@voiio.de
Ja, Ihre Daten werden nach dem neusten Stand der Technik auf mehreren Ebenen verschlüsselt.
Verschlüsselung
Encryption in Transport
Daten werden grundsätzlich auf dem Transport verschlüsselt. Hierzu kommen nur verfahren zum Einsatz, die nach dem neusten TLS Standards als sicher gelten. Eine Transportverschlüsselung ist grundsätzlich auch innerhalb desselben Rechenzentrums gegeben. Die einzige Ausnahme ist der Transport von Daten zwischen dem Application-Server und dem HTTPS-Proxy. Diese Maßnahme ist weitverbreitet und dient der Steigerung der Sicherheit, da das hierfür das streng geheime X.509-Zertifikat nur dem HTTPS-Proxy bekannt ist und nicht ausgelesen werden kann.
Encryption at Rest
Daten werden im Ruhezustand auf Volumen-Ebene verschlüsselt. Hierzu kommen AES-256 oder eine vergleichbare hochsichere Chiffre zum Einsatz. Auf Datenbank- bzw. Anwendungsebene werden die meisten Daten unverschlüsselt benötigt. Zusätzliche Verschlüsslung findet hier nur für Authentifizierung-Daten statt.
Die Datenträger unserer lokalen Geräte sind ebenfalls vollständig AES-256 verschlüsselt.
Application Layer Encryption
Da sich Apps-Server und Speichermedien bei dem selbem Anbieter befinden und alle Daten bereits auf Ruheebene verschlüsselt sind, verzichten wir auf zusätzliche generell Applicaiton-Layer-Verschlüsselung. Ausgeschlossen hiervon sind selbstverständlich hochsensible Daten, wie Passwörter. Diese werden lediglich als salted HMAC-SHA256-Hash gespeichert.
Key-Management
Wir speichern grundsätzlich keine Zugangsdaten in Code oder auf persistenten Datenträgern. Sowohl auf Heroku, GitHub und AWS kommen deren Key Management Systeme zum Einsatz.
Authentifizierung
Registrierung und Sign-up
Die initiale Registrierung auf der Plattform kann über zwei mögliche Methoden erfolgen. Welche zum Einsatz kommt, entscheidet das Unternehmen für seine Mitarbeitenden.
Die eine Methode nutzt eine Whitelist von E-Mail-Domainnamen. Anhand dieser weisen wir Nutzer bei der Anmeldung dem richtigen Unternehmen zu. Nutzer geben hier bei der Registrierung lediglich Ihre Firmen-E-Mail an und erhalten hier einen Bestätigungslink. Das Unternehmen stellt hierdurch indirekt die Authentifizierung, da Sie die volle Kontrolle über Ihre internen E-Mail-Postfächer hat.
Die zweite Methode ist für kleinere Unternehmen, die ggf. keine eine E-Mail-Domain betreibt. Hier kann das Unternehmen seinen Mitarbeitenden einen Einladungs-Code zukommen lassen. Dieser muss bei der Registrierung angegeben werden und weist die neue Nutzer:in so dem richtigen Unternehmen zu.
Authentifizierung und Log-in
Die Authentifizierung benötigt keine Passwörter. Dies verhindert, dass Mitarbeitende interne Passwörter wieder verwenden können oder unsichere Passwörter gewählt werden. Die Authentifizierung erfolgt ebenfalls via E-Mail. Diese bedeutet, dass das Unternehmen weiterhin die Kontrolle über die Authentifizierung behält. Hierzu wird eine Log-in-URL mit einer salted HMAC-SHA256-Signatur verschickt. Unsere E-Mail-Server verschicken E-Mails ausschließlich über verschlüsselte Verbindungen, um die höchste Sicherheit Ihrer Mitarbeitenden und deren Familien zu gewährleisten.
Unser Tech-Stack
Softwareentwicklung
Unsere Softwareentwicklung basiert auf den neuesten Methoden und Werkzeugen. Von Continuos Integration und Deployment über Peer-Reviews und Static-Code-Analysis kommt bei uns alles zum Einsatz. Sie können gerne einen genaueren Blick unter unsere Haube werfen unser code.voiio.de
Sicherheitsupdates
We only use the latest software. In addition, we are automatically informed about potential risks of the software we use. Every potential incident is documented, assessed and resolved. Many of these steps are automated, but never without the control of experienced developers.
Software
Version
Patch Cycle
instantly (security) or daily via dependabot
Drittdienstleister
Bevor wir mit einem Drittanbieter zusammen arbeiten, prüfen wir eingehen ob dieser unseren hohen Sicherheitsstandards entspricht. Diese Prüfung wird selbstverständlich in regelmäßigen abständen wiederholt.
Bei Anbietern mit Firmensitz oder Rechenzentren außerhalb der Europäischen Union kommen deren Rechenzentren in der EU zum Einsatz. Darüber hinaus existieren mit selbigen Firmen gesonderte Datenverarbeitungsabkommen (DPAs).
Anbieter
Address
Data-Center
IE/EU
EU
EU
DE/EU
EU
DPA
signed
signed
signed
signed
signed
signed
Purpose
hosting, messaging
hosting
Office Tools
CRM
messaging
video chat
Firewall Einstellungen – voiio Domains
voiio nutzt eine Reihe verschiedener Domains, um die diversen Services für Ihre Mitarbeitenden bereitzustellen.
Für die Nutzung via Web, also TCP 443 (und 80), kommen aktuell folgende Domains zu Einsatz:
- *.voiio.de
- *.voiio.family
- *.voiio.app
- voiio-platform-production.s3.amazonaws.com
- voiio-email-template.s3.amazonaws.com
- voiio.whereby.com
Online Veranstaltungen & Video
Damit Ihre Mitarbeitenden voiio reibungslos nutzen können, ist es wichtig, dass Sie ihre firmeninterne Firewall überprüfen.
voiio verwendet für die meisten digitalen Angebote einen eigenen Video-Chat bzw. Webinar-Tool. Hierfür muss Ihre IT WebRTC auf der Domain voiio.whereby.com freihalten sowie Zugriff auf den Port 443 via TCP und UDP.
Leiten Sie diese Seite einfach an Ihre Unternehmens-IT weiter, damit sie alle Einstellungen vor der Einführung von voiio überprüfen können.
E-Mail Zustellbarkeit
Um eine hohe Zustellbarkeit unserer E-Mails zu gewährleisten, nutzen wir eine eigene IP-Adresse, die von unserem deutschen Partnerunternehmen Sendinblue GmbH bereitgestellt wird. Um sicherzustellen, dass Sie unsere E-Mails erhalten, empfehlen wir Ihnen, sich an Ihre IT-Abteilung zu wenden, um die folgende IP-Adresse und Domäne zu den „Erlaubnislisten“ der Firewalls/E-Mail-Konfiguration Ihres Unternehmens hinzuzufügen:
- 172.246.5.94 > mx.sib.outbound-mail.voiio.family
Die folgenden Domains sind für den Versand unserer Transaktions-E-Mails zuständig (bereitgestellt von Amazon Web Service EMEA):
- eu-west-1.ses.outbound-mail.voiio.family
- eu-west-1.ses.outbound-mail.voiio.de
Unsere E-Mails-Server verwenden durchgehen DKIM zur E-Mail Signierung und unsere DMARC-Konfiguration ist sehr strikt, um Phishing vorzubeugen. In seltenen Fällen modifiziert hausinterne Antivirussoftware E-Mails. Dies ist aus Sicherheitsgründen untersagt und kann zu Zustellungsproblemen führen. Wenden Sie sich in diesen Fällen gerne an Ihre hausinterne IT.
LDAP Synchronisation (optional)
LDAP oder Lightweight Directory Access Protocol ist ein Protokoll für den Zugriff auf und die Verwaltung von verteilten Verzeichnisinformationsdiensten über ein IP-Netzwerk. Es wird häufig von Organisationen als zentraler Speicher für Mitarbeitendeninformationen und als Authentifizierungsdienst verwendet.
Um die LDAP-Integration zu aktivieren, müssen Sie die folgenden Informationen angeben:
- Der Hostname oder die IP-Adresse des LDAP-Servers.
- Die Portnummer des LDAP-Servers.
- Der Basis-DN (Distinguished Name) des LDAP-Servers.
- Der Benutzername und das Passwort des LDAP-Servers.
- Das E-Mail-Attribut des LDAP-Servers.
Ihre Ansprechperson bei voiio, kann ihnen gerne mehr Informationen zu diesem Service bereitstellen.
Wir geben uns große Mühe alle Informationen auf dieser Seite auf dem neusten Stand zu halten, garantieren aber nicht für deren Aktualität und Vollständigkeit. Wenn Sie weitere Fragen zu unseren Sicherheitsvorkehrungen haben, wenden Sie sich jederzeit an code@voiio.de
Newsletter
Alles rund um voiio
Jetzt neu bei voiio:
Diversity & Inclusion für Ihr Unternehmen
Eine Lösung so vielfältig wie das Thema selbst
