Werden die eingesetzten Systeme und Software regelmäßig einem Pen-Test unterzogen?
Ja, es werden jährlich externe Pen-Tests durchgeführt.
Werden die Kundendaten während der Übertragung verschlüsselt? (in Bewegung)
Der gesamte Datenverkehr, der über öffentliche Netzwerke gesendet wird, wird mit einer Verschlüsselung nach Industriestandard verschlüsselt.
HTTPS beinhaltet ein Softwarezertifikat mit einer Schlüsselgröße von 2048 Bit, dem Signaturalgorithmus SHA384 mit RSA und TLS 1.2-Unterstützung.
Siehe https://www.ssllabs.com/ssltest/analyze.html?d=webapp.honestly.de für weitere Informationen.
Werden die Kundendaten im Ruhezustand verschlüsselt?
Ja, alle Daten werden im Ruhezustand verschlüsselt, einschließlich Offsite-Backups. Die Daten sind mit AES 256 Bit verschlüsselt.
Wo sind die Backup-Standorte (Stadt und Land)?
Backups werden verschlüsselt gespeichert und laufen täglich in einem Rechenzentrum in Frankfurt, Deutschland (Offsite). Mehrere Verfügbarkeitszonen.
Wo stehen die Rechenzentren von Honestly (Stadt und Land)?
Frankfurt, Deutschland. Mehrere Verfügbarkeitszonen.
Ist das System redundant?
Yes:
- Loadbalanced (Lastausgleich) mehrere redundante Anwendungsinstanzen, mehrere redundante Speicherorte und mehrere redundante Datenbankinstanzen
- Offsite-Backups können jederzeit wiederhergestellt werden
Wie lange ist die Wiederherstellungszeit bei einem Serverausfall/-beschädigung?
Dienste werden automatisch wiederhergestellt, wenn Instanzen ausfallen.
Welche Art von Softwareentwicklungsprozessen verwendet Honestly, um sichere Software zu produzieren?
- Kontinuierliche Integration & kontinuierliche Auslieferung inkl. Unit-, Funktions- und Integrationstests.
- Der Zugriff auf den Quellcode ist auf einer Need-to-know-Basis beschränkt
- Der Zugriff auf den Quellcode ist pro Anwendung und Produkt eingeschränkt
- Alle Entwickler werden kontinuierlich in Bezug auf die OWASP Top 10 geschult
- Andere verwandte Literatur zum Thema Sicherheit
Welche Art von Logging-Einrichtungen verwendet Honestly?
- Hochmoderne Sicherheitsüberwachung und -protokollierung
- Zentrales Logging auf Anwendungs- und Webserverebene
Sind die Honestly-Rechenzentren zertifiziert?
Ja. Nähere Informationen zu allen Zertifizierungen finden Sie nachfolgend: https://aws.amazon.com/de/compliance/programs/ & https://aws.amazon.com/de/compliance/programs/
Wie ist die physische Sicherheit im Rechenzentrum geregelt?
Hier ausführliche Informationen https://aws.amazon.com/de/compliance/programs/ & https://aws.amazon.com/de/compliance/programs/
Wie schützen Sie Ihre Systeme vor Sicherheitslücken?
- Systeme werden regelmäßig (täglich) auf Sicherheitslücken gescannt
- System-Sicherheitspatches werden innerhalb von 24 Stunden eingespielt
- Kritische Software-Sicherheitspatches werden innerhalb von 24 Stunden eingespielt
- Pakete werden automatisch im Rahmen der kontinuierlichen Integration gescannt
- Komplette Server-Scans werden durchgeführt (Port, Virus, Firewall, Datei...)
- Instanzen werden wöchentlich gescannt
- Logs werden analysiert und Benutzer werden aufgrund von Fehlversuchen automatisch gesperrt
Sind sich Ihre Mitarbeiter ihrer Verpflichtung bewusst, die Vertraulichkeit aller Kundendaten zu wahren?
Ja:
- Es bestehen Geheimhaltungsvereinbarungen (NDAs) mit allen Mitarbeitern
- Jährliche Schulung für alle Mitarbeiter zum Thema Datenschutz mit anschließendem Test und Dokumentation
- Weitere Awareness-Trainings wie simulierte Phishing-Attacken werden durchgeführt
In welchen Ländern werden die Kundendaten gespeichert und verarbeitet?
Alle Honestly-Server befinden sich in Deutschland. E-Mail-Benachrichtigungen werden über Mailjet mit Rechenzentren in der Europäischen Union versendet.
Wie funktioniert die private App-Registrierung über MDM?
Diese Beschreibung gilt für Kunden, die ihr eigenes MDM-System für den Rollout von Honestly Engage an ihre Mitarbeiter nutzen. Um jeden Mitarbeiter mit dem Konto des Kunden zu assoziieren, wird ein geheimes, zufällig generiertes Konto-Token über Apples Managed-App-Konfigurationsfunktion auf das Gerät des Mitarbeiters gepusht (verschlüsselt). Beim ersten Start sendet die Engage App diesen Account-Token an den Server von Honestly. Während dieses verschlüsselten Registrierungsprozesses wird eine neue App-Instanz zusammen mit einem geheimen Zugangs-Token generiert, das von der App in Zukunft zur Authentifizierung verwendet wird. Die generierte App-Instanz wird mit dem Konto des Kunden unter Verwendung des Konto-Tokens verknüpft.
Wie gehen Sie mit Authentifizierung & Autorisierung um?
Wir unterstützen die Anmeldung mit E-Mail-Adresse und Passwort. Wir unterstützen auch SSO-Anmeldung. Wir unterstützen mehrere Rollen und Admins können Benutzern Zugriff auf Segmente von Mitarbeiterdaten geben. Die Trennung der Berechtigungen erfolgt auf einer logischen Ebene.
Datenfluss und Architektur