Machen Sie Ihre App sicher

Staffbase trifft umfangreiche Maßnahmen, damit Ihre Daten sicher sind. Mit unseren Funktionalitäten können Sie nicht nur die Sicherheits- und Datenschutzrichtlinien innerhalb der App festlegen, sondern es steht Ihnen auch frei die App auf 🇩🇪 deutschen Servern zu hosten.

Icon Infrastruktur und Systemsicherheit

Infrastruktur und Systemsicherheit

Unsere App wird in von Profitbricks und Azure gehostet und kommt somit den Sicherheitsmaßnahmen nach ISO27001 und SSAE-16 nach. Alle Daten sind mit TLS 1.2 und PFS verschlüsselt und Sicherheitsvorfälle werden 24 Stunden am Tag an unser Team weitergegeben. Zudem ist der Zugang zum Staffbase Netzwerk auf ein Kernteam begrenzt und wir nehmen täglich Sicherungskopien vor. Unsere Uptime beträgt 99.9 %.

Physische Sicherheit - Azure

Einrichtungen

Standardmäßig werden die Staffbase Server von Microsoft Azure gehostet. Microsoft Azure ist sowohl zu ISO 27001 als auch zur SSAE-16 Zertifizierung konform.

Standort

Staffbase Server, die von Microsoft Azure gehostet werden, befinden sich in Virginia (USA).

Physische Sicherheit - Profitbricks

Einrichtungen

Optional bieten wir das Hosting unserer Lösung in einem EU-Rechenzentrum an. Hierfür arbeiten wir mit dem Dienstleister Profitbricks zusammen. Die Firma Profitbricks ist konform zu ISO 27001 und ISO 9001.

Standort

Die Staffbase Server des EU-Rechenzentrums befinden sich in Frankfurt a.M. (Deutschland).

Netzwerksicherheit

Netzwerksicherheit

Unser Netzwerk ist durch redundante Layer-4-Firewalls, sicherer HTTPS Transport-Kommunikation über öffentliche Netze, obligatorischen VPN-Zugriff zu unseren Produktiv- sowie Testsystemen als auch Schlüsselbasierter Authentifizierung für Systemadministratoren geschützt.

Architektur

Die Staffbase Netzarchitektur wurde so entworfen, dass das Risiko eines Sicherheitsverstoßes verringert wurde, indem nur Zugriff auf benötigte Systeme gewährt wird, während andere Systeme, wie z.B. Datenbankserver, nur aus dem internen Netz erreichbar sind. Jeglicher Datenverkehr zu unseren Anwendungsservern wird über unsere Proxys und Gateways geleitet. Alle anderen Systeme in unseren Datenzentren haben niemals direkten Zugang zum Internet, weder eingehend noch ausgehend.

Drittanbieter Penetration Tests

Wir erlauben unseren Kunden eigene Penetration Tests auf Anfrage durchzuführen. Zusätzlich stellen wir Zusammenfassungen bisheriger Penetration Tests auf Anfrage zur Verfügung.

Security Incident Event Management

Ein Security Incident Event Management (SIEM) System sammelt alle verfügbaren Logs von unseren Systemen und analysiert diese bezüglich korrelierender Ereignisse. Das SIEM System informiert das Staffbase Security Team über das Ereignis und das Staffbase Security Team reagiert auf dieses Ereignis.

Intrusion Detection und Prevention

Intrusion Detection und Prevention wird durch unsere Hosting Anbieter Microsoft Azure und Profitbricks durchgeführt, um den größtmöglichen Schutz in unserem System zu gewährleisten.

DDoS Maßnahmen

Distributed Denial of Service (DDoS) wird durch unsere Hosting-Anbieter Microsoft Azure und Profitbricks abgefangen.

Logischer Zugriff

Zugang zu dem produktiven Netzwerk von Staffbase ist beschränkt auf das Core Operations Team. Dies beinhaltet die regelmäßige Überwachung sowie Überprüfung der Zugriffe. Alle produktiven Systeme sind per VPN gesichert und erfordern eine Schlüsselbasierte Authentifizierung.

Security Incident Response

Im Falle eines Systemalarms werden Sicherheitsvorfälle 24/7 zu unserem Staffbase Security Team eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet sowohl Kommunikationskanäle als auch Eskalationswege.

Verschlüsselung

Transportverschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netze ist durch HTTPS mit Transport Layer Security (TLS 1.2) sowie Perfect Forward Secrecy (PFS) geschützt. Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsvorfällen vorzubeugen.

Speicherverschlüsselung

Wir verschlüsseln Nutzerpasswörter mittels Best-Practice One-Way-Hash-Funktionen, um den Einfluss eines Datenlecks zu minimieren.

Verfügbarkeit und Continuity

Verfügbarkeit

Wir garantieren eine 99.9 % Verfügbarkeit für alle Staffbase Dienste.

Redundanz

Wir führen tägliche Backups für alle relevanten Systeme durch. Diese Backups werden bis zu einem Monat gespeichert, um sie im Falle eines Vorfalls einzuspielen. Außerdem laufen alle produktiven Staffbase-Systeme zumindest im Daul-Betrieb, um eine schnelle Ausfallsicherung zu gewährleisten.

Disaster Recovery

Unser Disaster Recovery Programm beinhaltet sowohl Pläne für verschiedene Disaster Szenarien als auch Training für unser Recovery Team, um unsere Systeme im Falle eines Disasters möglichst schnell wiederherzustellen.

Icon Sicherheit der Applikation

Sicherheit der Applikation

Unsere Applikation ist durch erprobte Vorgehensweisen gegen geläufige Angriffe im Internet wie CSRF, SQLi und XSS geschützt. Wir machen regelmäßige Penetrationstests und kontrollieren alle Veränderungen in den Entwicklungscodes unserer Entwickler.

Sicheres Development

Sicherheitsschulung

Unsere Entwickler durchlaufen eine regelmäßige Schulung zur Schärfung des Bewusstseins für übliche Sicherheitsrisiken in der Entwicklung als auch dem Datenschutz und der Datensicherheit von Kundendaten.

Framework Security Controls

Unsere Anwendungen sind durch Best-Practice Mechanismen gegen übliche Gefahren für Webanwendungen, wie CSRF, SQLi und XSS, geschützt.

QA

Um ein maximales Niveau an QA zu gewährleisten führen wir zahlreiche automatisierte Tests unseres Quellcodes durch. Außerdem durchlaufen alle Änderungen am Quellcode ein Peer-Review.

Separierte Umgebungen

Staffbase Test- sowie Staging-Systeme sind logisch von den Produktivsystemen getrennt.

Anwendungsschwachstellen

Security Penetration Tests

Während wir unseren Kunden erlauben, ihre eigenen Penetration Tests auf Anfrage durchzuführen, führen auch unsere Mitarbeiter jährlich Penetration Tests durch, um das Sicherheitsniveau unserer Anwendung zu erhöhen.

Icon Sicherheit innerhalb des Produkts

Sicherheit innerhalb des Produkts

Um auch innerhalb der App ein hohes Level an Sicherheit zu gewähren können Sie, erstens, Zugangserlaubnisse individuell bestimmen und, zweitens, die Loginzeit der Mitarbeiter an die Unternehmensbedingungen anpassen.

Sicherheitsentwicklung

Nutzermanagement

Wir bieten mehrere Wege an, Nutzer in die Staffbase-App einzuladen. Nutzer können via E-Mail eingeladen werden, aber auch via Domän-Bindung. Das bedeutet, dass jeder Nutzer mit einer E-Mail Adresse in dieser Domäne (z. B. Ihre firmeninterne E-Mail-Adresse) automatisch eingeladen wird. Aber selbst wenn Sie die E-Mail Adressen Ihrer Nutzer nicht kennen, können Sie diese mit einmaligen Zugangscodes oder persönlich generierten Zugangscodes registrieren. Zusätzlich steht Ihnen noch die Möglichkeit des SSO zur Verfügung.

Single-Sign-On (SSO)

Für die Authentifizierung genau wie die Integration stellen wir SSO zur Verfügung. Mit diesem System können Sie Ihre vorhandenen Systeme via SAML oder OpenID in die App integrieren.

Personalisierte Passwort Bestimmungen

Wenn Sie SSO nutzen, können Sie personalisierte Passwortbestimmungen einstellen. Auf Anfrage stellen wir diese auch zur Verfügung.

Zwei-Faktor Authentifizierung

Zwei-Faktor Authentifizierung kann mit SSO genutzt werden.

Verwahrung von Anmeldeinformationen

Passwörter können nicht aus Staffbase extrahiert werden, weil diese in einer Datenbank hinterlegt sind, welche bycrypt (eine Einwegfunktion, die Zugriffe verhindert) nutzt.

API Sicherheit & Authentifikation

Unsere API, welche für Kunden zugänglich ist, ist von HTTPS und API tokens gesichert welche HTTP Authentifizierung unterstützen.

Zusätzliche Sicherheitsvorkehrungen innerhalb des Produktes

Zugangsrechte und Rollen

Innerhalb Ihrer Staffbase App können Sie Zugangsrechte und Administratorenrollen individuell an Ihre Bedürfnisse anpassen.

Datenübertragungssicherheit

Wir nutzen HTTPS Verbindungen für jede Form der Kommunikation zwischen Staffbase, unseren Kunden und den Servern.

E-Mail Signierung

Wir nutzen DKIM (Domain Keys Identified Mail) um E-Mails von Staffbase zu signieren.

Laufzeit der Sitzungen

Innerhalb der App sind Sie in der Lage die Laufzeit der Sitzungen Ihrer Nutzer anzupassen so dass diese mit den Vereinbarungen zum Thema Sicherheit innerhalb Ihrer Firma übereinstimmen.

Icon Datenschutz und Datensicherheit

Datenschutz und Datensicherheit

Zusätzlich zu jährlichen Sicherheitsschulungen unterschreiben alle unsere Mitarbeiter Geheimhaltungsabkommen nach dem deutschen Datenschutzgesetz und dem Telekommunikationsgesetz. Diese Gesetze gelten als die strengsten Vorgaben weltweit.

Sicherheitspolitik

Unsere Sicherheitsstandards werden von unserem Sicherheitsbeauftragten regelmäßig kontrolliert und erweitert.

Sicherheitstraining

Wir halten jährliche Sicherheitstrainings ab und halten unsere Mitarbeiter jederzeit auf dem neuesten Stand was Sicherheitsrisiken angeht.

Vertraulichkeitsabkommen

Alle unsere Mitarbeiter unterschreiben Vertraulichkeitsabkommen welche mit den deutschen Gesetzen zum Thema Datenschutz vereinbart sind und somit dem § 5 Bundesdatenschutzgesetze und dem Gesetz zur Telekommunikation entsprechen.

Begrenzter Zugang

Der Zugang zu unserem Produktionssystem ist auf eine geringe Zahl von Mitarbeitern begrenzt welche für die Instandhaltung verantwortlich sind.

Datenverkehr

Wir teilen keine Kundendaten mit Dritten. Alle Plugins sind optional und können von dieser Garantie ausgeschlossen sein (z. B. Facebook).

Auftragsdatenvereinbarung

Wenn es nach dem Datenschutzgesetz gewünscht ist, setzen wir Verträge zur Auftragsdatenvereinbarung auf.

Ressource

Employee-app, Employee-engagement-App, Internal-Communications-App, Infrastructure & Systems Security, Application Security, Product Security Features, Data Privacy & Data Security
Whitepaper
Datenschutz und Privatsphäre - Richtlinien und Maßnahmen zum Thema Datenschutz, Hosting und Privatsphäre