Hohe Sicherheit für Ihre Mitarbeiter-App

Standardmäßig werden die Staffbase Server von Microsoft Azure gehostet. Microsoft Azure ist sowohl zu ISO 27001 als auch zur SSAE-16 Zertifizierung konform.

Staffbase Server, die von Microsoft Azure gehostet werden, befinden sich in Virginia (USA).

Optional bieten wir das Hosting unserer Lösung in einem EU-Rechenzentrum an. Hierfür arbeiten wir mit dem Dienstleister Profitbricks zusammen. Die Firma Profitbricks ist konform zu ISO 27001 und ISO 9001.

Die Staffbase Server des EU-Rechenzentrums befinden sich in Frankfurt a.M. (Deutschland).

Unser Netzwerk ist durch redundante Layer-4-Firewalls, sicherer HTTPS Transport-Kommunikation über öffentliche Netze, obligatorischen VPN-Zugriff zu unseren Produktiv- sowie Testsystemen als auch Schlüsselbasierter Authentifizierung für Systemadministratoren geschützt.

Die Staffbase Netzarchitektur wurde so entworfen, dass das Risiko eines Sicherheitsverstoßes verringert wurde, indem nur Zugriff auf benötigte Systeme gewährt wird, während andere Systeme, wie z.B. Datenbankserver, nur aus dem internen Netz erreichbar sind. Jeglicher Datenverkehr zu unseren Anwendungsservern wird über unsere Proxys und Gateways geleitet. Alle anderen Systeme in unseren Datenzentren haben niemals direkten Zugang zum Internet, weder eingehend noch ausgehend.

Wir erlauben unseren Kunden, auf Anfrage eigene Penetration Tests durchzuführen. Zusätzlich stellen wir Zusammenfassungen bisheriger Penetration Tests auf Anfrage zur Verfügung.

Ein Security Incident Event Management (SIEM) System sammelt alle verfügbaren Logs von unseren Systemen und analysiert diese bezüglich korrelierender Ereignisse. Das SIEM System informiert das Staffbase Security Team über das Ereignis und das Staffbase Security Team reagiert auf dieses Ereignis.

Intrusion Detection und Prevention wird durch unsere Hosting Anbieter Microsoft Azure und Profitbricks durchgeführt, um den größtmöglichen Schutz in unserem System zu gewährleisten.

Distributed Denial of Service (DDoS) wird durch unsere Hosting-Anbieter Microsoft Azure und Profitbricks abgefangen.

Zugang zu dem produktiven Netzwerk von Staffbase ist beschränkt auf das Core Operations Team. Dies beinhaltet die regelmäßige Überwachung sowie Überprüfung der Zugriffe. Alle produktiven Systeme sind per VPN gesichert und erfordern eine Schlüsselbasierte Authentifizierung.

Im Falle eines Systemalarms werden Sicherheitsvorfälle 24/7 zu unserem Staffbase Security Team eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet sowohl Kommunikationskanäle als auch Eskalationswege.

Jegliche Kommunikation unserer Systeme über öffentliche Netze ist durch HTTPS mit Transport Layer Security (TLS 1.2) sowie Perfect Forward Secrecy (PFS) geschützt. Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsvorfällen vorzubeugen.

Wir verschlüsseln Nutzerpasswörter mittels Best-Practice One-Way-Hash-Funktionen, um den Einfluss eines Datenlecks zu minimieren.

Wir garantieren eine 99.9 % Verfügbarkeit für alle Staffbase Dienste.

Wir führen tägliche Backups für alle relevanten Systeme durch. Diese Backups werden bis zu einem Monat gespeichert, um sie im Falle eines Vorfalls einzuspielen. Außerdem laufen alle produktiven Staffbase-Systeme zumindest im Dual-Betrieb, um eine schnelle Ausfallsicherung zu gewährleisten.

Unser Disaster Recovery Programm beinhaltet sowohl Pläne für verschiedene Disaster Szenarien als auch Training für unser Recovery Team, um unsere Systeme im Falle eines Disasters möglichst schnell wiederherzustellen.

Unsere Entwickler durchlaufen eine regelmäßige Schulung zur Schärfung des Bewusstseins für übliche Sicherheitsrisiken in der Entwicklung als auch dem Datenschutz und der Datensicherheit von Kundendaten.

Unsere Anwendungen sind durch Best-Practice Mechanismen gegen übliche Gefahren für Webanwendungen, wie CSRF, SQLi und XSS, geschützt.

Um ein maximales Niveau an QA zu gewährleisten führen wir zahlreiche automatisierte Tests unseres Quellcodes durch. Außerdem durchlaufen alle Änderungen am Quellcode ein Peer-Review.

Staffbase Test- sowie Staging-Systeme sind logisch von den Produktivsystemen getrennt.

Während wir unseren Kunden erlauben, ihre eigenen Penetration Tests auf Anfrage durchzuführen, führen auch unsere Mitarbeiter jährlich Penetration Tests durch, um das Sicherheitsniveau unserer Anwendung zu erhöhen.

Wir bieten mehrere Wege an, Nutzer in die Staffbase-App einzuladen. Nutzer können via E-Mail eingeladen werden, aber auch via Domän-Bindung. Das bedeutet, dass jeder Nutzer mit einer E-Mail Adresse in dieser Domäne (z. B. Ihre firmeninterne E-Mail-Adresse) automatisch eingeladen wird. Aber selbst wenn Sie die E-Mail Adressen Ihrer Nutzer nicht kennen, können Sie diese mit einmaligen Zugangscodes oder persönlich generierten Zugangscodes registrieren. Zusätzlich steht Ihnen noch die Möglichkeit des SSO zur Verfügung.

Für die Authentifizierung genau wie die Integration stellen wir SSO zur Verfügung. Mit diesem System können Sie Ihre vorhandenen Systeme via SAML oder OpenID in die App integrieren.

Wenn Sie SSO nutzen, können Sie personalisierte Passwortbestimmungen einstellen. Auf Anfrage stellen wir diese auch zur Verfügung.

Zwei-Faktor Authentifizierung kann mit SSO genutzt werden.

Passwörter können nicht aus Staffbase extrahiert werden, weil diese in einer Datenbank hinterlegt sind, welche bycrypt (eine Einwegfunktion, die Zugriffe verhindert) nutzt.

Unsere API, welche für Kunden zugänglich ist, ist von HTTPS und API tokens gesichert welche HTTP Authentifizierung unterstützen.

Innerhalb Ihrer Staffbase App können Sie Zugangsrechte und Administratorenrollen individuell an Ihre Bedürfnisse anpassen.

Wir nutzen HTTPS Verbindungen für jede Form der Kommunikation zwischen Staffbase, unseren Kunden und den Servern.

Wir nutzen DKIM (Domain Keys Identified Mail) um E-Mails von Staffbase zu signieren.

Innerhalb der App sind Sie in der Lage die Laufzeit der Sitzungen Ihrer Nutzer anzupassen so dass diese mit den Vereinbarungen zum Thema Sicherheit innerhalb Ihrer Firma übereinstimmen.

Unsere Sicherheitsstandards werden von unserem Sicherheitsbeauftragten regelmäßig kontrolliert und erweitert.

Wir halten jährliche Sicherheitstrainings ab und halten unsere Mitarbeiter jederzeit auf dem neuesten Stand was Sicherheitsrisiken angeht.

Alle unsere Mitarbeiter unterschreiben Vertraulichkeitsabkommen welche mit den deutschen Gesetzen zum Thema Datenschutz vereinbart sind und somit dem § 5 Bundesdatenschutzgesetze und dem Gesetz zur Telekommunikation entsprechen.

Der Zugang zu unserem Produktionssystem ist auf eine geringe Zahl von Mitarbeitern begrenzt welche für die Instandhaltung verantwortlich sind.

Wir teilen keine Kundendaten mit Dritten. Alle Plugins sind optional und können von dieser Garantie ausgeschlossen sein (z. B. Facebook).

Wenn es nach dem Datenschutzgesetz gewünscht ist, setzen wir Verträge zur Auftragsdatenvereinbarung auf.

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und bietet eine sichere Kommunikationsplattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden auf Privatsphäre und die Sicherheit der persönlichen Daten haben für uns oberste Priorität. Daher haben wir unter der Leitung unseres Datenschutzbeauftragten (DPO) ein Team zusammengestellt, das die Erfüllung sämtlicher Vorschriften garantiert. Erfahren Sie mehr >