Sicherheit

Security by Design
– das bedeutet auch Transparenz!

Die Sicherheit Ihrer Daten und die Ihrer Mitarbeitenden steht bei uns ganz vorne. Wir ergreifen eine ganze Palette redundanter Maßnahmen die Sicherheit unserer IT-Systeme sicherzustellen oder menschliche Fehler zu erkennen und vermeiden.

Ein wichtiger Bestandteil unseres Sicherheitskonzeptes ist es dieses transparent offenzulegen und einer öffentlichen Prüfung zu unterziehen.

Unser Sicherheitskonzept

Löschen / nicht speichern

Daten, die man nicht hat, kann man auch nicht verlieren. Deshalb speichern wir nur die Daten, die wir wirklich brauchen und löschen diese, sobald wir sie nicht mehr benötigen.

Security by Design

Sicherheit steht bei uns ganz vorne während wir unsere Services und Systeme entwerfen aber auch bei dem Einsatz von Drittdienstleistern.

Regelmäßige Kontrolle

Vertrauen ist gut, Kontrolle ist besser. Deshalb veröffentlichen wir alle relevanten Informationen zu Systeme und Prozesse und unterziehen diese einer regelmäßigen Prüfung.

Häufige Fragen zur Datensicherheit

Ja, wir stellen sicher, dass die Daten ihrer Mitarbeitenden sicher und gemäß der EU Datenschutz-Grundverordnung geschützt werden. Dazu zählt auch, dass wir nur die wirklich nötigen Daten erfassen und diese vorrangig auf Servern innerhalb der EU verarbeiten.

Die Daten Ihrer Mitarbeitenden sind uns wichtig. Ihre Mitarbeitenden entscheiden selbst, ob und welche Daten Sie mit uns Teilen möchten. Durch ein cleveres “Single Sign-On”-Verfahren (SSO), ermöglicht eine schnelle und reibungslose Integration in jede Unternehmensstruktur ohne technische Unterstützung Ihrer hauseigenen IT.

Bei all unsere Online-Services kommen ausschließlich die aktuellsten kryptografischen Verfahren zum Einsatz. Darüber hinaus unterziehen wir unsere Systeme regelmäßigen externen Sicherheitstests um die Daten Ihrer Mitarbeiten und deren Familien zu schützen.

Datenschutz bedeutet für uns auch, nur die Daten zu erfassen, die wir für eine ausgezeichnete Dienstleistung brauchen. Darüber hinaus sorgen automatisierte Löschroutine dafür, dass persönliche Daten nicht länger als nötig gespeichert werden.

Daten an Dritte, wie z.B. Anbieter von Familienangeboten, geben wir nur mit ausdrücklichem Einverständnis Ihren Mitarbeitenden und im minimal notwendigen Umfang weiter.

Ja, wenngleich wir generell von dem Austausch von personenbezogenen Daten zwischen Ihrem Unternehmen und Ihren Angestellten absehen, schließen wir mit Ihnen gerne einen Auftragsdatenverarbeitungsvertrag.

Um Ihre persönliche Ausführung des Auftragsdatenverarbeitungsvertrages zu erhalten, wenden Sie sich bitte an datenschutz@voiio.de

Ja, Ihre Daten werden nach dem neusten Stand der Technik auf mehreren Ebenen verschlüsselt.

Mehr Informationen zur Verschlüsselung.

Verschlüsselung

Encryption in Transport

Daten werden grundsätzlich auf dem Transport verschlüsselt. Hierzu kommen nur verfahren zum Einsatz, die nach dem neusten TLS Standards als sicher gelten. Eine Transportverschlüsselung ist grundsätzlich auch innerhalb desselben Rechenzentrums gegeben. Die einzige Ausnahme ist der Transport von Daten zwischen dem Application-Server und dem HTTPS-Proxy. Diese Maßnahme ist weitverbreitet und dient der Steigerung der Sicherheit, da das hierfür das streng geheime X.509-Zertifikat nur dem HTTPS-Proxy bekannt ist und nicht ausgelesen werden kann.

Encryption at Rest

Daten werden im Ruhezustand auf Volumen-Ebene verschlüsselt. Hierzu kommen AES-256 oder eine vergleichbare hochsichere Chiffre zum Einsatz. Auf Datenbank- bzw. Anwendungsebene werden die meisten Daten unverschlüsselt benötigt. Zusätzliche Verschlüsslung findet hier nur für Authentifizierung-Daten statt.

Die Datenträger unserer lokalen Geräte sind ebenfalls vollständig AES-256 verschlüsselt.

Application Layer Encryption

Da sich Apps-Server und Speichermedien bei dem selbem Anbieter befinden und alle Daten bereits auf Ruheebene verschlüsselt sind, verzichten wir auf zusätzliche generell Applicaiton-Layer-Verschlüsselung. Ausgeschlossen hiervon sind selbstverständlich hochsensible Daten, wie Passwörter. Diese werden lediglich als salted HMAC-SHA256-Hash gespeichert.

Key-Management

Wir speichern grundsätzlich keine Zugangsdaten in Code oder auf persistenten Datenträgern. Sowohl auf Heroku, GitHub und AWS kommen deren Key Management Systeme zum Einsatz.

Unser Tech-Stack

Softwareentwicklung

Unsere Softwareentwicklung basiert auf den neuesten Methoden und Werkzeugen. Von Continuos Integration und Deployment über Peer-Reviews und Static-Code-Analysis kommt bei uns alles zum Einsatz. Sie können gerne einen genaueren Blick unter unsere Haube werfen unser code.voiio.de

Sicherheitsupdates

Bei uns kommt nur die aktuellste Software zum Einsatz. Darüber hinaus werden wir automatisch über potenzielle Risiken der von uns verwendeten Software informiert. Jeder potenzielle Zwischenfall wird dokumentiert, bewertet und behoben. Viele dieser Schritte sind automatisiert geschehen aber nie ohne die Kontrolle von erfahrenen Entwicklern.

SoftwareVersionPatch Cycle
Python3.9daily / once binary released by Heroku
Django3.2 LTSinstantly (security) or daily via dependabot
Python 3rd-party packagesLATESTinstantly (security) or daily via dependabot
Node.jsLTS/*daily / once binary is realed by Heroku
Node.js 3rd-party packgesLATESTinstantly (security) or weekly via dependabot​

Drittdienstleister

Bevor wir mit einem Drittanbieter zusammen arbeiten, prüfen wir eingehen ob dieser unseren hohen Sicherheitsstandards entspricht. Diese Prüfung wird selbstverständlich in regelmäßigen abständen wiederholt.

Bei Anbietern mit Firmensitz oder Rechenzentren außerhalb der Europäischen Union kommen deren Rechenzentren in der EU zum Einsatz. Darüber hinaus existieren mit selbigen Firmen gesonderte Datenverarbeitungsabkommen (DAPs).

AnbieterAddressData-CenterISO 27001SOC LevelDAPPurpose
Amazon Web Service EMEA SARL38 Avenue John F. Kennedy, L-1855, LuxembourgEUcertified3signedhosting
Heroku Inc.415 Mission Street Suite 300 San Francisco, CA 94105, USAEUcertified3signedhosting
Google LLC1600 Amphitheatre Parkway, Mountain View, California 94043, USAEUcertified3signedOffice Tools
ZOHO CORPORATION B. V.Beneluxlaan 4B, 3527 HT UTRECHT, The NetherlandsEUcertified2signedCRM
Twilio Ireland Limited25-28 North Wall Quay, Dublin 1, IrelandUScertified2signedEmail
Sendinblue GmbHKöpenicker Straße 126, 10179 BerlinDEcertifiedsignedEmail

Wir geben uns große Mühe alle Informationen auf dieser Seite auf dem neusten Stand zu halten, garantieren aber nicht für deren Aktualität und Vollständigkeit. Wenn Sie weitere Fragen zu unseren Sicherheitsvorkehrungen haben, wenden Sie sich jederzeit an code@voiio.de