TermlySicherheit FAQ

Termly ist bestrebt, die Bedürfnisse unserer Kunden in Bezug auf Datenschutz und Datensicherheit zu erfüllen. Auf dieser Seite finden Sie eine Zusammenfassung unserer Praktiken und Richtlinien, die dazu beitragen, dass Ihre persönlichen Daten sicher und geschützt sind. Wir arbeiten hart, um sicherzustellen, dass unsere Systeme und unsere Infrastruktur vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung geschützt sind.

Inhaltsübersicht
  1. Zugangskontrolle
  2. Kontrolle der Übertragung
  3. Eingabekontrolle
  4. Verfügbarkeitskontrolle
  5. Bewährte Praktiken bei der Entwicklung
  6. Einhaltung der Vorschriften und Zertifizierung

Zugangskontrolle

Unbefugten Zugriff auf das Produkt verhindern

Authentifizierung

Für unsere Kundenprodukte wurde eine einheitliche Passwortpolitik eingeführt:

  1. Mindestlänge von 8 Symbolen
  2. Das Passwort muss mindestens einen Großbuchstaben, einen Kleinbuchstaben und eine Ziffer enthalten.

Wir bieten auch SSO-Authentifizierungsoptionen über Google an, so dass die Nutzer die Multi-Faktor-Authentifizierung über diese Methoden aktivieren können.

Kunden, die über die Benutzeroberfläche mit Termly Services interagieren, müssen sich authentifizieren, bevor sie auf nicht-öffentliche Kundendaten zugreifen können.

Autorisierung

Wir speichern Kundendaten in sicheren Speichersystemen. Die Benutzer haben keinen direkten Zugriff auf die zugrunde liegende Anwendungsinfrastruktur. Der Zugang zu sensiblen Daten erfolgt rollenbasiert (auf der Basis von "need to know") und nur für bestimmte Zwecke.

Trennung der Umgebungen

Wir trennen Entwicklungs-, Test- und Betriebsumgebungen, um die Risiken eines unbefugten Zugriffs oder von Änderungen an der Betriebsumgebung zu minimieren.

Zugang für Mitarbeiter

Eine begrenzte Anzahl unserer geschulten Mitarbeiter hat über kontrollierte Schnittstellen Zugang zu Kundendaten. Der Zweck der Ermöglichung des Mitarbeiterzugangs besteht darin, einen effizienten Kundensupport zu bieten, Sicherheitsvorfälle zu erkennen und darauf zu reagieren, potenzielle Probleme zu beheben und die Datensicherheit zu erleichtern.

Den Mitarbeitern wird der Zugang je nach Rolle gewährt, und alle Zugangsanfragen werden protokolliert. Nur einige ausgewählte Mitarbeiter haben Zugang zur Infrastruktur. Termly Mitarbeiter haben keinen physischen Zugang zu den Datenbanken der Kunden. Alle Mitarbeiter erhalten während ihres Einführungsprozesses und als Voraussetzung für ihre weitere Beschäftigung eine Schulung zum Datenschutz und zur Sicherheit.

Der Zugang zu kritischen und sensiblen Daten ist rollenbasiert (auf einer "Need-to-know"-Basis), nur für die Zwecke der Erfüllung der Aufgaben der Dienststellen und wird für ausgeschiedene Mitarbeiter sofort widerrufen.

Verhinderung des unbefugten Zugangs zur Infrastruktur

Physische und ökologische Sicherheit

Unsere Produktinfrastruktur wird bei ausgelagerten, mandantenfähigen Infrastrukturanbietern gehostet. Deren physische und ökologische Sicherheitskontrollen werden im Hinblick auf eine breite Palette von Standards und Compliance-Vorschriften geprüft.

Siehe https://aws.amazon.com/compliance/ für weitere Informationen.

Verarbeitung durch Dritte

Damit wir unseren Kunden den Dienst in Übereinstimmung mit unserer DPA zur Verfügung stellen können, unterhalten wir vertragliche Beziehungen mit Anbietern. Dazu gehören vertragliche Vereinbarungen, Datenschutzrichtlinien und Programme zur Einhaltung der Vorschriften durch die Anbieter. Die Anbieter werden im Rahmen der Anbieterbewertung auf die Einhaltung der Datenschutz- und Sicherheitsvorschriften überprüft.

Sicherheit im Netz

Mechanismen zur Kontrolle des Netzwerkzugriffs sollen verhindern, dass Netzwerkverkehr mit nicht autorisierten Protokollen die Produktinfrastruktur erreicht. Die implementierten technischen Maßnahmen unterscheiden sich je nach Infrastrukturanbieter und umfassen Virtual Private Cloud (VPC)-Implementierungen, die Zuweisung von Sicherheitsgruppen und traditionelle Firewall-Regeln. Wir haben eine Web Application Firewall (WAF)-Lösung implementiert, um über das Internet zugängliche Anwendungen zu schützen. Die WAF wurde entwickelt, um Angriffe auf öffentlich zugängliche Netzwerkdienste zu erkennen und zu verhindern.

Kontrolle der Übertragung

Daten werden während der Übertragung verschlüsselt

Wir verwenden geprüfte und bewährte sichere Verschlüsselungsprotokolle und deaktivieren veraltete und anfällige Protokolle. Jeder Zugriff auf das Produkt erfordert sichere Verbindungen.

Passwort-Datenverschlüsselung

Die Passwortdaten werden als gesalzener Einweg-Hash mit modernen Algorithmen gespeichert.

Eingabekontrolle

Erkennung

Wir haben unsere Infrastruktur so konzipiert, dass umfangreiche Informationen über das Systemverhalten, den empfangenen Datenverkehr, die Systemauthentifizierung und andere Anwendungsanforderungen protokolliert werden. Interne Systeme fassen die Protokolldaten zusammen und alarmieren die zuständigen Mitarbeiter bei bösartigen, unbeabsichtigten oder anormalen Aktivitäten. Unsere Mitarbeiter, einschließlich Sicherheits-, Betriebs- und Supportpersonal, reagieren auf bekannte Vorfälle.

Reaktion und Verfolgung

Wir führen Aufzeichnungen über bekannte Sicherheitsvorfälle, die Beschreibungen, Daten und Uhrzeiten relevanter Aktivitäten sowie den Verlauf des Vorfalls enthalten. Verdächtige und bestätigte Sicherheitsvorfälle werden von Sicherheits-, Betriebs- oder Support-Mitarbeitern untersucht, und es werden geeignete Lösungsschritte festgelegt und dokumentiert. Bei allen bestätigten Vorfällen ergreifen wir geeignete Maßnahmen, um Schäden an Produkten und Kunden oder eine unbefugte Offenlegung zu minimieren. Wir benachrichtigen unsere Kunden in Übereinstimmung mit den Allgemeinen Geschäftsbedingungen.

Verfügbarkeitskontrolle

Verfügbarkeit der Infrastruktur

Termly wird in einer logisch getrennten und verteilten AWS-Cloud-Infrastruktur gehostet. Wenn die AWS-Infrastruktur ausfällt, kommt es zu Ausfällen. Diese sind jedoch selten und beschränken sich in der Regel auf eine Handvoll bestimmter Dienste.

Alle System- und Infrastrukturausfälle werden von den Infrastruktur- und Softwareteams protokolliert und untersucht, und es werden angemessene, wirtschaftlich vertretbare Maßnahmen als Reaktion auf jedes Ereignis ergriffen. Der aktuelle Stand sowie die jüngsten Vorfälle können unter https://status.termly.io/ eingesehen werden.

Termly nutzt DDOS-Schutzdienste, um Ausfallzeiten durch böswillige Denial-of-Service-Angriffe zu verhindern.

Fehlertoleranz

Die Sicherungs- und Replikationsstrategien sind so konzipiert, dass sie Redundanz und Failover-Schutz bei einem erheblichen Verarbeitungsausfall gewährleisten. Die Kundendaten werden in mehreren dauerhaften Datenspeichern gesichert und über mehrere Verfügbarkeitszonen repliziert.

Redundanz und nahtlose Ausfallsicherung

Die Serverinstanzen und andere Dienste, die die Produkte unterstützen, sind so konzipiert, dass einzelne Fehlerquellen vermieden werden. Dieses Design unterstützt unseren Betrieb bei der Wartung und Aktualisierung der Produktanwendungen und des Backends, während gleichzeitig die Ausfallzeiten begrenzt werden.

Geschäftskontinuität

Termly unterhält Richtlinien und Verfahren, die sicherstellen, dass Termly bei einem außergewöhnlichen Ereignis weiterhin geschäftskritische Funktionen ausführen kann. Dazu gehören die Ausfallsicherheit des Rechenzentrums und Verfahren zur Wiederherstellung geschäftskritischer Daten und Verarbeitungsfunktionen.

Bewährte Praktiken bei der Entwicklung

Git wird für die Versionskontrolle von privaten und öffentlichen Repositories verwendet. Jede Zusammenführung mit dem Hauptzweig bedarf der Genehmigung durch das Ingenieurteam. Änderungen am Code werden mit einer Reihe von automatisierten und manuellen Tests geprüft. Dazu gehören sowohl die statische Code-Analyse als auch die Durchführung von Unit-, Funktions- und Integrationstestsuiten für Artefakte. Schwachstellendatenbanken werden regelmäßig überprüft und auf neue Schwachstellen hin untersucht, um festzustellen, ob sie auf unsere Systeme/Anbieter zutreffen.

Einhaltung der Vorschriften und Zertifizierung

Gemäß DSGVO und CCPA verpflichtet sich Termly , alle angemessenen Vorkehrungen zu treffen, um die Privatsphäre und die Sicherheit der Daten zu wahren und sie insbesondere vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, Verfälschung, unberechtigter Weitergabe oder unberechtigtem Zugriff sowie vor jeder anderen Form der unrechtmäßigen Verarbeitung oder Offenlegung gegenüber Unbefugten zu schützen. Zusätzlich zur Einhaltung der gesetzlichen Vorschriften bereitet sich Termlyderzeit auf das SOC2-Audit vor, um sein Engagement für die Einhaltung der strengen Industriestandards zu dokumentieren.