Staffbase Customers

Knapp eine Million Mitarbeiter*innen weltweit verlassen sich jeden Tag auf die Staffbase-Plattform, um innerhalb ihres Unternehmens sicher zu kommunizieren. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen. Um dem gerecht zu werden, steht Sicherheit an höchster Stelle für unsere Plattform und Vision.

Hier bei Staffbase gewährleistet unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister einen branchenweit führenden Schutz in allen Bereichen.

Staffbase_Office

Unsere innovative Infrastruktur schützt Kundendaten über den gesamten Lebenszyklus innerhalb der Plattform. Zudem bietet eine leistungsstarke Palette von anpassbaren Einstellungen und Tools unseren Kunden die Möglichkeit, ihre eigenen Sicherheits- und Datenschutzanforderungen zu definieren.

Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.

Stand: 15. März 2021

ISO 27001 Zertifizierung

Header-security-v3

Die ISO 27001 ist der de facto internationale Standard für Informations­sicherheits­management. Im Jahr 2018 schuf Staffbase ein Informations­sicherheits­management­system (ISMS), welches noch im gleichen Jahr erfolgreich durch den TÜV Süd nach ISO 27001 zertifiziert wurde. Diese Zertifizierung wird jährlich durch einen fortlaufenden Auditierungs­prozess bestätigt. Das aktuelle Zertifikat finden Sie hier hier.

Als Bestandteil der ISO 27001 Zertifizierung führen wir bei Staffbase regelmäßig Risikobewertungen durch. Daraufhin bereiten wir Behandlungspläne vor, welche alle identifizierten Risiken reduzieren, um unsere Sicherheitsstandards kontinuierlich zu erhöhen. Das Staffbase Sicherheitsteam verbessert fortlaufend die Eignung, Angemessenheit und Effektivität des ISMS.

Organisatorische Struktur und Steuerung

Sicherheits- und Datenschutz­teams bei Staffbase
Staffbase beschäftigt einen dedizierten Chief Information Security Officer (CISO), der die Security-Abteilung leitet. Das Staffbase Sicherheitsteam überprüft und implementiert Sicherheitsmaßnahmen in allen Bereichen von Staffbase. Bezüglich der Prüfung und Implementierung von Security,- Privacy und Datenschutzprogrammen geschieht dies in enger Zusammenarbeit mit unserer Legal- und Compliance-Abteilung, welche durch einen Privacy Counsel komplettiert wird.

Staffbase ist Mitglied der International Association of Privacy Professionals (IAPP). Unsere Legal- und Compliance-Abteilung besteht aus IAPP Mitgliedern und CIPP/E (Certified Information Privacy Professionals/Europe) zertifizierten Experten und besitzt einschlägige Erfahrungen in den Bereichen Privacy und Datenschutz, sowohl in Deutschland, den Niederlanden, dem Vereinigten Königreich und den USA.
Sicherheits­schulungen
Sowohl durch jährliche Trainings als auch regelmäßige Beiträge in unserer eigenen internen Staffbase-App schulen wir unsere Mitarbeitenden kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Staffbase nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.

Außerdem verpflichten sich alle Arbeitnehmer und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.
Vertraulichkeit
Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.

Darüber hinaus sind alle Arbeitnehmer und externe Dienstleister von Staffbase dazu verpflichtet Vertraulichkeitsvereinbarungen zu unterzeichnen, die Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Staffbase mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.
Sicherheitsvorfälle – Meldung und Behandlung
Alle Arbeitnehmer, externe Dienstleister und Hauptlieferanten sind dazu verpflichtet, Sicherheitsvorfälle zu melden. Staffbase verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretenden Sicherheits- oder Verfügbarkeits­vorfälle zu reagieren. Dieses Konzept wird im Rahmen der ISO 27001 Zertifizierung regelmäßig geprüft und aktualisiert.
Prüfung von Lieferanten
Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Staffbase-Dienstes haben könnten. Diese Überprüfung besteht aus zwei Ebenen, welche die Rechts- und Sicherheitsabteilung einbeziehen. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.
Notfallwieder­herstellung und Redundanz
Staffbase hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.

Unser Ansatz zur Wiederherstellung im Katastrophenfall beinhaltet:
  • Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform. Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister.
  • Backups. Wir führen täglich Backups aller relevanten Systeme durch, die bis zu einem Monat lang an geo-redundanten Standorten gespeichert werden. Diese stehen für die Wiederherstellung bei Vorfällen zur Verfügung.
  • Dual-Modus. Alle Produktivsysteme laufen im Dual-Modus, um eine schnell reagierende Ausfallsicherung sicherzustellen.
  • Internationales Team. Staffbase arbeitet verteilt über zwei Kontinente aus vier Ländern und kann im Falle eines regionalen Vorfalles von den anderen Standorten aus bei Wiederherstellungs­maßnahmen unterstützt werden.
  • Notfallwieder­herstellungs­konzept. Unser Notfall­wiederherstellungs­konzept konzentriert sich auf technische Vorfälle für den Betrieb der Staffbase-Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.
Der Betriebsstatus unserer Systeme kann jederzeit auf der Statusseite unter https://status.staffbase.com/ eingesehen werden.
Reduzierter Zugriff
Zugriff auf unsere Produktiv­systeme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Staffbase auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.

Infrastruktur und Hosting

EU Hosting (Deutschland)

Die EU Staffbase Server werden von 1&1 Ionos und SysEleven in Deutschland gehostet. Beide Anbieter sind ISO 27001 zertifiziert.

US Hosting (Virginia)

Die nordamerikanischen Staffbase Server werden von Microsoft Azure gehostet. Die Rechenzentren sind ISO 27001 und SSAE-16 zertifiziert. Standort der Rechenzentren ist der Bundesstaat Virginia, USA.

Netzwerksicherheit (Alle Rechenzentren)

Sicherheit
Unser Netzwerk wird von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer Systemadministratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via schlüsselbasierter Authentifizierung zu Wartungszwecken statt.
Architektur
Die Staffbase Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikations­servern wird durch unsere Proxies und Gateways geroutet. Alle anderen Systeme in unseren Rechenzentren haben nie direkten Zugang zum Internet, weder eingehend noch ausgehend.
Bereitstellung (CDN)
Staffbase nutzt branchenführende Content-Delivery-Network (CDN) Dienste von Amazon Cloudfront, um multimediale Inhalte (z.B. Bilder, Videos) bereitzustellen.

Im Allgemeinen basieren alle URLs zu Multimedia-Inhalten, die auf unseren Medienservern gespeichert und zugänglich sind, auf einer zufälligen/nicht erratbaren Zeichenfolge von 192 Zeichen. Kunden, welche das Enterprise-Paket abonniert haben und das CDN nutzen, um multimediale Inhalte bereitzustellen, können eine zusätzliche Sicherheitsebene hinzufügen. Diese erfordert die Authentifizierung bevor auf Medieninhalte zugegriffen werden kann. Dadurch wird sichergestellt, dass Dateien nur an Autorisierte Nutzer innerhalb der Kundeninstanz ausgeliefert werden.
Kunden, die keine CDN-Nutzung wünschen, können dies auf Anfrage deaktivieren.

AWS Cloudfront ist ISO 27001, ISO 27017 und ISO 27018 zertifiziert. Ebenso hat AWS Cloudfront den CSA Consensus Assessments Initiative Fragebogen vervollständigt und stellt regelmäßig SOC (System and Organization Controls) Berichte der Stufen 1, 2 und 3 bereit. Der aktuelle SOC 3 Bericht (Sicherheit, Verfügbarkeit und Vertraulichkeit) ist öffentlich an dieser Stelle verfügbar.
Behandlung von Informations­­sicherheits­­vorfällen
Staffbase nutzt ein System zum Sicherheits­informations- und Ereignis­management (SIEM) um alle verfügbaren Protokolle von unseren Systemen zu sammeln und auf korrelierte Ereignisse zu analysieren. Das System benachrichtigt unser Sicherheitsteam über das Ereignis und das Team reagiert entsprechend eines definierten Prozesses darauf.
Intrusion Detection und Prevention
Unsere Hosting Provider realisieren Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit in beiden Hosting Standorten sicherzustellen.
DDoS Risikominderung
Als erfahrene Betreiber von Rechenzentren vermindern Microsoft Azure, 1&1 Ionos und SysEleven als Hosting Anbieter das Risiko von DDoS (Distributed Denial of Service) Angriffen.
Logischer Zugriff
Zugriff auf das Produktionsnetz von Staffbase ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch schlüsselbasierte Authentifizierung gesichert.
Reaktion auf Informations­­sicherheits­­vorfällen
Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Staffbase Sicherheitsteam eskaliert. Unsere Mitarbeitenden sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.

Der Prozess entspricht der ISO 27001.

Verschlüsselung

Transport­­verschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS mit aktiviertem TLS (TLS 1.2) und Perfect Forward Secrecy (PFS). Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsverstößen unterstützend vorzubeugen.

Verschlüsselung im Ruhezustand

Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen um den Einfluss von Datenlecks zu minimieren. Zusätzlich werden nahezu alle unsere Datenbanken mittels symmetrischen Industry-Best-Practice Verfahren verschlüsselt.

Produktsicherheit

System für Sicherheitsmaßnahmen
Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Empfehlungen.
Qualitätssicherung
Um ein Höchstmaß an Qualität zu gewährleisten, führen wir eine Reihe von automatisierten Tests auf unserem Quellcode durch. Zusätzlich werden alle Codeänderungen nach dem Vier-Augen-Prinzip geprüft, bevor sie in das Produktivsystem eingespielt werden.
Getrennte Umgebungen
Die Staffbase Test- und Entwicklungs­umgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Staffbase dedizierte Testdaten verwendet.
Penetrationstests
Staffbase beauftragt externe Penetrationstester, um mindestens jährlich unabhängige Penetrationstests durchzuführen. Unsere Security Engineers testen fortlaufend neue und existierende Features auf Schwachstellen, um das Sicherheitsniveau unseres Produktes zu verbessern.

Staffbase hat zudem ein privates Bug Bounty Programm mit HackerOne gestartet, um kontinuierliche Sicherheitstests durch eine globale Gemeinschaft von ethischen Hackern (sog. “ethical hacker” oder auch “White Hat Hacker”) durchzuführen. Externe Hacker sind ebenfalls willkommen, ihre Funde mit CVSS-Ratings >= 9.0 über unsere öffentliche Seite hier einzureichen und automatisch zu unserem privaten Bug Bounty-Programm auf hackerone.com eingeladen zu werden.

Unsere Security Engineers testen fortlaufend neue und bestehende Features auf Schwachstellen, um das Sicherheitsniveau unseres Produktes noch weiter zu verbessern.

Wir erlauben zudem unseren Kunden auf Anfrage eigene Black-Box Penetrationstests durchzuführen. Das Sicherheitsteam von Staffbase arbeitet eng mit dem Produktteam zusammen, um die Behandlung identifizierter Schwachstellen entsprechend ihrer Gewichtung zu priorisieren.
image-devider-HQ

Sicherheits­features der Staffbase-Plattform

Um ein hohes Sicherheitsniveau innerhalb der Staffbase-Dienste zu gewährleisten, können Kunden Einstellungen, Zugriffsrechte und Rollen entsprechend ihrer individuellen Anforderungen anpassen. Manche der unten aufgeführten Features sind vom konkret ausgewählten Plan abhängig.

Registrierung
Das Onboarding von Mitarbeiter*innen ohne PC-Arbeitsplatz, von denen manche noch nie eine Firmen-E-Mail-Adresse oder einen anderen IT-Zugang besessen haben, erzeugt ein einzigartiges Problem für die IT- und Sicherheitsabteilungen unserer Kunden - Staffbase bietet einzigartige Lösungen für dieses Problem.

Wir bieten mehrere Wege an, um Nutzer in die Staffbase-App einzuladen und Ihren Anwendungsfall zu unterstützen:
  • Nutzen Sie E-Mail & Passwort, wenn Sie die E-Mail Adressen Ihrer Nutzer kennen. Üblicherweise nutzen Sie dafür die Firmenadresse, aber die private E-Mail Adresse funktioniert ebenfalls.
  • Verwenden Sie Nutzername & Passwort, falls E-Mail keine Option ist.
  • Selbst-Anmeldung unter Nutzung der Firmen-E-Mail-Adresse ist ein effizienter und leichter Weg, um eine große Zahl an Nutzer mit Firmen-E-Mail einzuladen.
  • Verwenden Sie Single-Sign-On, wenn Sie bereits ein zentrales System zum Identitätsmanagement verwenden. Die Staffbase-Plattform unterstützt Industriestandards wie SAML 2.0 und OpenID Connect.
Sicherheit von Nutzersitzungen
Kunden können das Sitzungs­management konfigurieren, um es den existierenden Firmenrichtlinien für Ihre IT-Systeme anzupassen. Staffbase bietet die Möglichkeit, eine individuelle Sitzungsdauer für jedes Gerät zu definieren. Während Nutzer verschiedene Geräte wie Smartphone, Tablet und Desktop-Rechner für den Zugang zu Staffbase verwenden können, können Sie einstellen, wie viele parallele Sitzungen pro Anwender erlaubt sind.
Konfigurierbare Passwort­richtlinie
Sie können außerdem Anforderungen an Passwörter in Bezug auf Mindestlänge (zwischen 5 und 160 Zeichen) und Komplexität (verschiedene Zeichensätze wie Groß/Kleinbuchstaben, Zahlen und Sonderzeichen) konfigurieren, um sie Ihren Bedürfnissen und Richtlinien anzupassen.
E-Mail Signatur
Wir verwenden DKIM ((Domain Keys Identified Mail) zur Signatur von ausgehenden E-Mails von Staffbase.
Sichere Speicherung von Anmeldedaten
Passwörter in Staffbase können nicht extrahiert werden, da sie in einer Datenbank gespeichert werden, die Scrypt verwendet - eine Einweg-Hashfunktion die kollisionsfreie Hash-Werte erzeugt.
API Sicherheit und Authentifizierung
Unsere für Kunden verfügbare API wird durch HTTPS und einen API Token gesichert, welcher die HTTP Basisauthentifizierung nutzt. Die API-Dokumentation ist für Integrationen verfügbar auf unserem Entwickler Portal.
Zugriffsrechte und Rollen
Abhängig von den individuellen Anforderungen können Sie die Zugriffsrechte und Rollen in Staffbase detailliert anpassen. Die entsprechende Dokumentation über die Nutzerrollen in Staffbase finden sie in unserem Support Portal.
App-Sperre für mobile Geräte
Mit unserer App-Sperrfunktion für mobile Geräte können Sie die Sicherheit von Unternehmensdaten weiter gewährleisten und vertrauliche Informationen noch besser schützen. Nachdem Sie diese Funktion für alle Ihre Mitarbeiter aktiviert haben, kann die App nur dann verwendet werden, wenn das mobile Gerät gesichert ist, z. B. mit einem Entsperrcode, einem Fingerabdruck oder Gesichtserkennung.

Privatsphäre und Datenschutz

Auftrags­verarbeitungs­­vereinbarung (AVV) - DSGVO

Staffbase bietet DSGVO-konforme Auftrags­verarbeitungs­vereinbarungen (AVV). Zusätzlich, durch den bereits erwähnten Prüfungsprozess für Lieferanten, verfügt Staffbase über AVVs mit jeglichen Subdienstleistern, die personenbezogene Daten verarbeiten. Für mehr Informationen über die DSGVO besuchen Sie bitte die gesonderte DSGVO-Seite.

Datenschutz­grund­verordnung (DSGVO)

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grund­verordnung und bietet eine sichere Kommunikations­plattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeitenden und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität. Daher haben wir, unter Führung unserer Legal- und Complianceabteilung, unseres Datenschutz­beauftragten und unseres Sicherheitsteams ein DSGVO Compliance-Programm.

Kontaktieren Sie uns, wenn Sie Fragen haben