Staffbase Customers

Mehr als 2.500 Unternehmen und über eine Million Mitarbeiter weltweit verlassen sich jeden Tag auf die Staffbase Plattform, um innerhalb ihres Unternehmens sicher zu kommunizieren. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen. Um dem gerecht zu werden, steht Sicherheit an höchster Stelle für unsere Plattform und Vision.

Hier bei Staffbase gewährleistet unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister einen branchenweit führenden Schutz in allen Bereichen.

Staffbase_Office

Unsere innovative Infrastruktur schützt Kundendaten über den gesamten Lebenszyklus innerhalb der Plattform. Zudem bietet eine leistungsstarke Palette von anpassbaren Einstellungen und Tools unseren Kunden die Möglichkeit, ihre eigenen Sicherheits- und Datenschutzanforderungen zu definieren.

Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.

Stand: März 2023

Verantwortungsvolle Offenlegung

Wenn du Sicherheitsschwachstellen in Systemen oder Produkten von Staffbase zu melden hast, leite diese bitte an vulnerability@staffbase.com weiter. Derzeit kommen kritische Sicherheitslücken mit CVSS-Ratings >= 9.0 für Bounty-Prämien in Frage.

Zertifizierungen

Header-security-v3

ISO 27001

Die ISO 27001 ist der de facto internationale Standard für Informations­sicherheits­management. Im Jahr 2018 schuf Staffbase ein Informations­sicherheits­management­system (ISMS), welches noch im gleichen Jahr erfolgreich durch den TÜV Süd nach ISO 27001 zertifiziert wurde. Diese Zertifizierung wird jährlich durch einen fortlaufenden Auditierungs­prozess bestätigt. Das aktuelle Zertifikat findest du hier, welches unser ISMS näher beschreibt.

Als Bestandteil der ISO 27001 Zertifizierung führen wir bei Staffbase regelmäßig Risikobewertungen durch. Daraufhin bereiten wir Pläne vor, die identifizierte Risiken zu behandeln und damit unsere Sicherheitsstandards kontinuierlich zu erhöhen. Das Staffbase Sicherheitsteam verbessert fortlaufend die Eignung, Angemessenheit und Effektivität des ISMS.

SOC 2 Type 2 badge

SOC 2 Type 2

Darüber hinaus wurden alle Staffbase-Produkte und -Einheiten von unabhängiger Stelle auf ihre SOC 2 Type 2 Konformität geprüft und haben einen SOC 2 Typ 2-Bericht erhalten, der unser Engagement für Sicherheit, Verfügbarkeit und Vertraulichkeit bestätigt. Das Staffbase-Sicherheitsteam arbeitet aktiv an der Aufrechterhaltung und Erweiterung der SOC 2 Typ 2 Abdeckung in der gesamten Staffbase-Gruppe
Der Bericht ist auf Anfrage im Rahmen einer Vertraulichkeitsvereinbarung (NDA) erhältlich.

Organisatorische Struktur und Steuerung

Sicherheits- und Datenschutz­teams bei Staffbase
Staffbase setzt sich unermüdlich für die Einhaltung der höchsten Standards für Informationssicherheit, Privatsphäre und Datenschutz ein. Unser Chief Operating Officer (COO) beaufsichtigt zusammen mit unserem Global Head of Information Security unsere Abteilung für Informationssicherheit. Unser Sicherheitsteam prüft und implementiert sorgfältig robuste Sicherheitskontrollen um unsere Produkte vor potenziellen Bedrohungen zu schützen.

Dieses Team arbeitet auch eng mit unserer Rechts- und Complianceabteilung zusammen, die von einem Datenschutzbeauftragten unterstützt wird. Diese Zusammenarbeit unterstreicht unser unermüdliches Engagement für die Einhaltung hoher Sicherheits- und Datenschutzstandards bei Staffbase.
Sicherheits­schulungen
Durch jährliche Trainings als auch regelmäßige Beiträge in unserem eigenen Staffbase-Intranet schulen wir unsere Mitarbeiter kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Staffbase nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.

Außerdem verpflichten sich alle Mitarbeiter*innen und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.
Vertraulichkeit
Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.

Darüber hinaus sind alle Mitarbeiter*innen und externe Dienstleister von Staffbase dazu verpflichtet Vertraulichkeitsvereinbarungen zu unterzeichnen, um Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Staffbase mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.
Sicherheitsvorfälle - Meldung und Behandlung
Alle Mitarbeiter*innen, externe Dienstleister und Hauptlieferanten sind dazu verpflichtet, Sicherheitsvorfälle zu melden.

Staffbase verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretende Sicherheits- oder Verfügbarkeitsvorfälle zu reagieren. Der Reaktionsplan basiert dabei auf NIST 800-61v2 und ist unterteilt in vier Phasen, welche dazu dienen Sicherheitsvorfälle zu verhindern, zu erkennen, zu beheben und abzustellen. Verfahren zur Reaktion auf mögliche Datenschutzverletzungen sind ebenfalls inkludiert, und erfordern die Konsultation des Datenschutzteams. Betroffene Kunden werden ohne Verzögerung und gemäß der anwendbaren Gesetze und Gesetzgebungen informiert.

Unser Vorfallreaktionsplan beinhaltet zudem einen Problemmanagementprozess, der die Ursache von unbekannten Vorfällen identifiziert und adressiert. Das gesamte Sicherheitsteam ist im Umgang mit Sicherheitsvorfällen und den dazugehörigen Prozessen geschult.

Diese Pläne und Konzepte werden im Rahmen der ISO 27001 Zertifizierung regelmäßig geprüft und aktualisiert.
Prüfung von Lieferanten
Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Staffbase-Dienstes haben könnten.

Diese Überprüfung besteht aus vier Stufen, welche die Staffbase Finanz-, IT-, Sicherheits-, Rechtsabteilung einbeziehen. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.
Notfallwieder­herstellung und Redundanz
Staffbase hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.

Unser Ansatz zur Wiederherstellung im Katastrophenfall beinhaltet:
  • Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform. Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister.
  • Backups. Wir führen täglich Backups aller relevanten Systeme durch, die an geo-redundanten Standorten gespeichert werden. Diese stehen für die Wiederherstellung bei Vorfällen zur Verfügung.
  • Dual-Modus. Alle Produktivsysteme laufen im Dual-Modus, um eine schnell reagierende Ausfallsicherung sicherzustellen.
  • Internationales Team. Staffbase arbeitet verteilt in sechs Ländern und kann im Falle eines regionalen Vorfalles von den anderen Standorten aus bei Wiederherstellungs­maßnahmen unterstützt werden.
  • Notfallwieder­herstellungs­konzept. Unser Notfall­wiederherstellungs­konzept konzentriert sich auf technische Vorfälle für den Betrieb der Staffbase-Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.
Der Betriebsstatus unserer Systeme kann jederzeit auf der Statusseite unter https://status.staffbase.com/ eingesehen werden.
Reduzierter Zugriff
Zugriff auf unsere Produktiv­systeme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Staffbase auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.

Infrastruktur und Hosting

Wir sind uns bewusst, dass Hostingstandorte für unsere Kunden und ihre Compliance-Anforderungen besonders wichtig sind. Aus diesem Grund bieten wir unseren Kunden die Auswahl zwischen EU und US Hosting für unsere Staffbase-Dienste an. Weitere Informationen zu unseren Auftragsverarbeitern findest du hier.

EU Hosting (Deutschland)

Die EU Staffbase Server werden von Microsoft Azure (Mitarbeiter Plattform) und Amazon Web Services (Mitarbeiter Email) in Deutschland gehostet. Alle Anbieter sind ISO 27001 zertifiziert.

US Hosting (Virginia)

Die nordamerikanischen Staffbase Server werden von Microsoft Azure and Amazon Web Services gehostet. Die Rechenzentren sind mindestens ISO 27001zertifiziert. Standort der Rechenzentren ist der Bundesstaat Virginia, USA (Mitarbeiter Plattform) und Oregon (Mitarbeiter E-Mail).

Netzwerksicherheit (Alle Rechenzentren)

Sicherheit
Unser Netzwerk wird von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer Systemadministratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via schlüsselbasierter Authentifizierung zu Wartungszwecken statt.
Architektur
Die Staffbase Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikationsservern wird durch unsere Proxies und Gateways geroutet. Alle anderen Systeme in unseren Rechenzentren haben nie direkten Zugang zum Internet, weder eingehend noch ausgehend.
Web Application Firewall (WAF)
Staffbase setzt WAFs ein, um Infrastruktur und Kundendaten zu schützen. Web Application Firewalls ermöglichen es den Datenverkehr auf Applikationsebene zu untersuchen, sowie eine Bandbreite an Angriffsszenarien (z.B. OWASP Top 10) zu verhindern bzw. abzuschwächen.
Bereitstellung (CDN)
Die Staffbase-Produkte "Employee App" und "Frontdoor Intranet" nutzen die branchenführenden Content Delivery Network (CDN)-Dienste von "Amazon CloudFront" und "Cloudflare", um Multimedia-Inhalte bereitzustellen. Im Allgemeinen basieren alle URLs zu Multimedia-Inhalten, die auf unseren Medienservern gespeichert und zugänglich sind, auf einer zufälligen/nicht ermittelbaren Zeichenfolge von 192 Zeichen.

Für Kunden, die es vorziehen, auf ein CDN zu verzichten, kann die Nutzung eines CDN für Multimedia-Inhalte bei Bedarf deaktiviert werden.
  • AWS Cloudfront ist ISO 27001, ISO 27017 und ISO 27018 zertifiziert. AWS hat zudem den CSA Consensus Assessments Initiative Fragebogen ausgefüllt und stellt regelmäßig SOC 2 Typ 1, 2 und 3 Berichte zur Verfügung. Der aktuellste SOC 3 Bericht (Sicherheit, Verfügbarkeit, Vertraulichkeit) ist hier öffentlich verfügbar.
  • Cloudflare ist ISO 27001 und ISO 27701 (Datenschutz, inklusive Datenschutzmanagementsystem) zertifiziert. Zusätzlich sind SOC 2 Typ 2 und 3 Berichte hier in den entsprechenden Abschnitten verfügbar.
  • Kunden, welche das Enterprise Paket gebucht haben und CDN für Multimediainhalte nutzen, können eine zusätzliche Sicherheitsebene hinzufügen. Diese erfordert für den Zugriff eine zusätzliche Authentifizierung und stellt somit sicher, dass Dateien lediglich an authentifizierten Nutzer*innen innerhalb der dedizierten Kundeninstanz ausgespielt werden.
Behandlung von Informationssicherheits-vorfällen
Staffbase verwendet ein SIEM-System (Security Incident Event Management), um alle verfügbaren Protokolle von unseren Systemen zu sammeln und diese auf korrelierte Ereignisse zu analysieren. Das SIEM-System benachrichtigt das Staffbase-Sicherheitsteam über das Ereignis, und das Staffbase-Sicherheitsteam reagiert auf dieses Ereignis gemäß einem speziellen Prozess.
Intrusion Detection und Prevention
Unsere Hosting Provider realisieren Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit in den Hosting Standorten sicherzustellen.
DDoS Risikominderung
Das Risiko von DDoS (Distributed Denial of Service) wird durch unsere Hosting Provider Microsoft Azure und Amazon Web Services behandelt.
Logischer Zugriff
Zugriff auf das Produktionsnetz von Staffbase ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch schlüsselbasierte Authentifizierung gesichert.
Reaktion auf Informationssicherheits-vorfällen
Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Staffbase Sicherheitsteam eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.

Der Prozess entspricht der ISO 27001.

Verschlüsselung

Transport-verschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS mit aktiviertem TLS (TLS 1.2) und Perfect Forward Secrecy (PFS). Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsverstößen unterstützend vorzubeugen.

Verschlüsselung im Ruhezustand

Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen um den Einfluss von Datenlecks zu minimieren. Nahezu alle unsere Dienste verwenden branchenweit bewährte symmetrische Verschlüsselungssysteme.

Produktsicherheit

Unser Secure Development Lifecycle (SDLC) beschreibt die Prozesse und Tools, die in der Softwareentwicklung und im Betrieb zur Verbesserung der Sicherheit eingesetzt werden. Die Prozesse und Tools orientieren sich an Best Practices der Branche und verwandten Frameworks.

System für Sicherheitsmaßnahmen
Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Empfehlungen.
Qualitätssicherung
Um ein Höchstmaß an Qualität zu gewährleisten, folgen wir den branchenüblichen Entwicklungs- und Qualitätssicherungsprozessen und führen eine Reihe automatisierter Tests am Sourcecode durch. Außerdem überprüfen wir alle Codeänderungen, die von unseren Entwicklern am Code vorgenommen werden, durch Peer-Reviews (Vier-Augen-Prinzip).
Getrennte Umgebungen
Die Staffbase Test- und Entwicklungsumgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Staffbase dedizierte Testdaten verwendet.
Penetrationstests
Staffbase beauftragt einen externen Penetrationstester mit der Durchführung unabhängiger Penetrationstests, die mindestens einmal jährlich durchgeführt werden. Staffbase verwendet den etablierten CVSS-Score, um den Schweregrad der identifizierten Schwachstellen zu bewerten. Das Sicherheitsteam von Staffbase arbeitet eng mit dem Produktteam zusammen, um die Behebung identifizierter Schwachstellen je nach Schweregrad zu priorisieren.
  • Unsere Sicherheitsingenieure testen kontinuierlich neue und bestehende Funktionen auf Schwachstellen, um das Sicherheitsniveau unserer Anwendung zu erhöhen. Außerdem werden automatisierte Abhängigkeitsüberprüfungen und Maßnahmen zur Behebung von Schwachstellen eingeführt, um die Sicherheit der verwendeten Bibliotheken und Frameworks zu erhöhen.
  • Eine Zusammenfassung des letzten Penetrationstests ist auf Anfrage im Rahmen einer Vertraulichkeitsvereinbarung erhältlich.
  • Wir ermöglichen unseren Kunden auf Anfrage auch die Durchführung eigener Blackbox-Penetrationstests. Diese Tests sind derzeit nur für unsere App/Intranet- und Comms Control-Produkte verfügbar.
  • Wir haben außerdem ein privates Bug-Bounty-Programm mit HackerOne ins Leben gerufen, das kontinuierliche Sicherheitstests durch eine globale Gemeinschaft von ethischen Hackern ermöglicht. Das Bug Bounty Programm hat dazu beigetragen, unsere Sicherheitskontrollen für das App/Intranet Produkt mit großem Erfolg zu verbessern. Wir planen, es auch auf unsere anderen Produkte auszuweiten.
Externe Hacker sind ebenfalls herzlich eingeladen, ihre Funde mit CVSS-Ratings >= 9.0 über unsere öffentliche Seite hier einzureichen und werden automatisch zu unserem privaten Bug Bounty Programm auf hackerone.com eingeladen.
image-devider-HQ

Privatsphäre und Datenschutz

Mit seinen Ursprüngen in Deutschland und der EU haben wir bei Staffbase Privatsphäre und Datenschutz sehr tief in der Art und Weise, wie wir unsere Produkte, Dienste und interne Führung gestalten, verankert. Deutschland besitzt eines der strengsten Datenschutzgesetze der Welt und wir bringen diese Erfahrungen aus Deutschland darin zum Ausdruck, wie wir Mitarbeiterkommunikation aufbauen und entwickeln.

Auftrags­verarbeitungs­­vereinbarung (AVV) - DSGVO

Staffbase bietet DSGVO-konforme Auftragsverarbeitungsvereinbarungen (AVV). Zusätzlich, durch den bereits erwähnten Prüfungsprozess für Lieferanten, verfügt Staffbase über AVVs mit jeglichen Subdienstleistern, die personenbezogene Daten verarbeiten. Für mehr Informationen über die DSGVO besuche bitte die gesonderte DSGVO-Seite.
Weitere Informationen

Datenschutz­grund­verordnung (DSGVO)

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und bietet eine sichere Kommunikationsplattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeiter und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität. Daher haben wir, unter Führung unserer Legal- und Complianceabteilung, unseres Datenschutzbeauftragten und unseres Sicherheitsteams ein DSGVO Compliance-Programm.
Weitere Informationen

Kontaktiere uns, wenn du Fragen hast

Kontakt
Gartner Peer Insights™ are trademarks of Gartner, Inc. and/or its affiliates. All rights reserved. Gartner Peer Insights content consists of the opinions of individual end users based on their own experiences, and should not be construed as statements of fact, nor do they represent the views of Gartner or its affiliates. Gartner does not endorse any vendor, product or service depicted in this content nor makes any warranties, expressed or implied, with respect to this content, about its accuracy or completeness, including any warranties of merchantability or fitness for a particular purpose.