Sicherheit

Die Sicherheit Ihrer Daten ist unsere höchste Priorität. Wir setzen auf 256-bit-TLS-Datenverschlüsselung, fortgeschrittene Firewalls, regelmässige Sicherheitsaudits und ISO 27001-zertifizierte Rechenzentren. Außerdem wird die App von uns auf 🇩🇪 deutschen Servern gehostet.

Durchgehende Datenverschlüsselung

AES 256 und TLS 1.2 verschlüsselt, Daten werden in REST und Transit verschlüsselt

Gesetzliche Auflagen

Datenschutzgrundverordnung DSGVO (GDPR), Deutsches Bundesdatenschutzgesetz (BDSG)

Virtuelle private Cloud

Serverstandort garantiert in Deutschland, ISO 27001-zertifizierte Rechenzentren, höchst sicheres Cloud-basiertes SaaS-Angebot

Zugriffskontrolle durch Kunde

Rollenbasierter Zugriff und Rollenverwaltung über das Admin-Funktionen, Nutzer sperren jederzeit möglich, Einladung von Nutzern nur für Mitarbeiter

Whitepaper Sicherheit herunterladen

Whitepaper Sicherheit und Datenschutz

Laden Sie sich unser Security Whitepaper als PDF-Dokument herunter

Infrastruktur und Systemsicherheit

Die Services und Daten der App werden von Amazon gehostet und kommen somit den Sicherheitsmaßnahmen nach ISO 27001 und SSAE-16 nach. Alle übertragenen Daten sind mit TLS 1.2 und PFS verschlüsselt und Sicherheitsvorfälle werden 24 Stunden am Tag an unser Team weitergegeben. Zudem ist der Zugang zum Quiply-Netzwerk auf ein Kernteam begrenzt und wir nehmen mehrfach täglich Sicherungskopien vor. Unsere Uptime beträgt 99,9%.

Sicherheit der Hardware

Einrichtungen

Die Quiply-Server werden von Amazon (Amazon Web Services, AWS) gehostet. AWS ist sowohl zu ISO 27001 als auch zur SSAE-16 Zertifizierung konform. Alle Details zur Zertifizierung unseres Dienstleisters AWS finden Sie unter https://aws.amazon.com/compliance

Standort

Die Quiply-Server des Rechenzentrums befinden sich in Frankfurt a.M. in Deutschland.

Sicherheit des Systems

Technische Netzwerksicherheit

Unser Netzwerk ist durch redundante Layer-4-Firewalls, sicherer HTTPS-Transport-Kommunikation über öffentliche Netze, obligatorischen VPN-Zugriff zu unseren Produktiv- sowie Testsystemen als auch schlüsselbasierter Authentifizierung für Systemadministratoren geschützt.

Netzwerkarchitektur

Die Quiply-Netzstruktur und das Design des Systems wurden so entworfen, dass das Risiko eines Sicherheitsverstoßes minimiert wird, indem nur Zugriff auf benötigte Systeme gewährt wird, während andere Systeme, wie z.B. Datenbankserver, nur aus dem internen Netz erreichbar sind. Jeglicher Datenverkehr zu unseren Anwendungsservern wird über unsere Proxys und Gateways geleitet.

Sicherheitsmeldungen

Alle relevanten Sicherheitsmeldungen werden zentral gesammelt und analysiert. Das System informiert das Quiply-Team über relevante Ereignisse, das Team bewertet diese und führt entsprechende Maßnahmen durch.

DDos

Distributed Denial of Service (DDoS) wird durch unseren Hosting-Anbieter Amazon abgefangen.

Logische Netzwerksicherheit

Der Zugriff zum produktiven Netzwerk von Quiply ist beschränkt auf das Core Operations Team. Dies beinhaltet die regelmäßige Überwachung sowie Überprüfung der Zugriffe. Alle produktiven Systeme sind entsprechend gesichert und erfordern eine schlüsselbasierte Authentifizierung.

Vorgehen Sicherheitsvorfall

Im Falle eines Systemalarms oder eines erkannten Sicherheitsvorfalls werden diese 24/7 zu unserem Quiply-Security-Team eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet sowohl Kommunikationskanäle als auch Eskalationswege.

Sicherheit Datentransport

Jegliche Kommunikation unserer Systeme über öffentliche Netze ist durch HTTPS mit Transport Layer Security (TLS 1.2) sowie Perfect Forward Secrecy (PFS) geschützt. Wir haben SSLv3 auf allen Web-Server-Systemen deaktiviert, um Sicherheitsvorfällen vorzubeugen.

Sicherheit Daten

Passwörter

Wir verschlüsseln Nutzerpasswörter mittels Best-Practice One-Way-Hash-Funktionen, um den Einfluss eines Datenlecks zu minimieren.

Datenbank

Als Datenbanksystem wird ein MongoDB-Cluster eingesetzt. Die Daten werden mit Hilfe der professionellen Sicherheitsmechanismen der Datenbank abgelegt und mehrfach am Tag physikalisch gesichert.

Filesystem

Als Dateiablage für Bilder, Videos und Dokumente wird S3 von Amazon eingesetzt. Die dort abgelegten Dateien liegen in einem geschützten Bereich, ein Zugriff ist nur über einen gesicherten Aufruf möglich.

Verfügbarkeit

Wir garantieren eine Verfügbarkeit von über 99,9% für alle Quiply-Dienste.

Sicherheit der Anwendung

Unsere Anwendung ist durch erprobte Vorgehensweisen gegen geläufige Angriffe im Internet wie CSRF, SQLi und XSS geschützt. Wir führen regelmäßige Tests durch und kontrollieren alle Veränderungen in den Entwicklungscodes unserer Entwickler. Die gesamte Entwicklung findet durch eigene Mitarbeiter statt. Dadurch sichern wir Vertraulichkeit und Qualität.

Softwareentwicklung

Know-How

Die Sicherheit einer Anwendung beginnt bereits während der Entwicklung. Daher legen wir großen Wert darauf, dass unsere Mitarbeiter immer über das entsprechende Knowhow verfügen. Somit werden Themen zur Datensicherheit und mögliche Sicherheitsrisiken mit der entsprechenden Sorgfalt behandelt.

Qualität

Um ein maximales Niveau an Qualität und Stabilität zu gewährleisten führen wir zahlreiche automatisierte Tests unseres Quellcodes durch. Außerdem durchlaufen alle Änderungen am Quellcode ein Peer-Review bzw. einen Peer-Test. So wird sichergestellt, dass Änderungen und neue Features die Qualität des Produktes stetig steigern.

Verschiedene Laufzeitsysteme

Die Entwicklungs- ,Test- sowie Staging-Systeme sind logisch von den Produktivsystemen getrennt. Somit können wir bestehende und zukünftige Versionen des Produktes getrennt voneinander betreiben. Notwendige Fehlerbehebungen oder neue Produktversionen lassen sich so ausführlich testen und verifizieren, bevor diese in das Produktionssystem überführt werden.

Produktsicherheit

Mandantenfähigkeit

Die Daten unserer Kunden werden in einem hochverfügbaren Datenbank-Cluster per Kunde verwaltet. Das bedeutet, dass die Daten eines jeden Kunden als unabhängiger Mandant verwaltet werden und getrennt von anderen Kundendaten gespeichert sind.

Benutzerverwaltung

Für die Einladung der Nutzer bieten wir verschiedene Optionen an. Je nach Organisation können Sie bei der Einrichtung der Anwendung entscheiden, welches Verfahren verwendet werden soll. Nutzer können über E-Mail zur Anwendung eingeladen werden. Die generierten einmaligen Registrierungscodes können sowohl per Telefon, SMS oder per E-Mail an den Nutzer verschickt werden. Auch der Ausdruck eines Registrierungscodes ist möglich, sodass Sie diesen mit Registrierungsinstruktionen per Brief (z.B. mit der Gehaltsabrechnung) oder PDF an den Nutzer verschicken können. Nutzer können jederzeit von einem Administrator deaktiviert und gelöscht werden, sodass für den entsprechenden Nutzer unmittelbar kein Zugriff auf die Anwendung mehr möglich ist.

Zugangsrechte und Rollen

Die Vergabe von Berechtigungen und die Zuweisung von Rollen zu einem Nutzer geben Ihnen die Möglichkeit, die Verantwortlichkeit für Themen der Verwaltung und der Erstellung von Inhalten durch verschiedene Personen durchführen zu lassen.

Anmeldeinformationen

Die Anmeldeinformationen können nicht aus dem System oder von Quiply-Mitarbeitern extrahiert werden, da diese sicher in einer Datenbank hinterlegt sind durch eine Einwegfunktion, welche die Daten verschlüsselt ablegt.

API Sicherheit & Authentifikation

Unsere API, welche für Kunden im Zuge einer gesonderten Vereinbarung zugänglich gemacht werden kann, ist über JWT Tokens gesichert.

Datenübertragungssicherheit

Wir nutzen HTTPS-Verbindungen für jede Form der Kommunikation zwischen der Quiply-App, unseren Kunden und den Servern.

Datenschutz und Datensicherheit

Neben Sicherheitsschulungen sind alle unsere Mitarbeiter zur Geheimhaltung nach den aktuellen deutschen und europäischen Gesetzen verpflichtet.


DSGVO

Datenschutz Grundverordnung DSGVO - Quiply erfüllt bereits jetzt schon die Vorgaben der DSGVO (GDPR).

BDSG

Natürlich erfüllt Quiply auch alle Regularien des Bundesdatenschutzgesetzes (BDSG).

Sicherheitspolitik

Unsere Sicherheitsstandards werden von unserem Sicherheitsbeauftragten regelmäßig kontrolliert und erweitert.

Sicherheitstraining

Durch Sicherheitsfortbildungen halten wir unsere Mitarbeiter jederzeit auf dem neuesten Stand was Sicherheitsrisiken angeht.

Vertraulichkeitsabkommen

Alle unsere Mitarbeiter unterschreiben Vertraulichkeitsabkommen welche mit den deutschen und europäischen Gesetzen zum Thema Datenschutz in Einklang stehen.

Begrenzter Zugang

Der Zugang zu unserem Produktionssystem ist auf eine geringe Anzahl von Mitarbeitern begrenzt welche für die Instandhaltung verantwortlich sind.

Datenverkehr

Wir teilen keine Kundendaten mit Dritten.

Auftragsdatenvereinbarung

Wenn es nach dem Datenschutzgesetz gewünscht ist, setzen wir Verträge zur Auftragsdatenvereinbarung auf.

Möchten Sie unsere Mitarbeiter-App testen?

Unverbindlich und kostenlos erhalten Sie Ihre persönliche Testversion von Quiply

Jetzt kostenlos testen