VOICES verpasst? Hier gehts zu den Aufzeichnungen der VOICES 2021. Jetzt anschauen

Staffbase Customers

Knapp eine Million Mitarbeiter weltweit verlassen sich jeden Tag auf die Staffbase Plattform, um innerhalb ihres Unternehmens sicher zu kommunizieren. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen. Um dem gerecht zu werden, steht Sicherheit an höchster Stelle für unsere Plattform und Vision.

Hier bei Staffbase gewährleistet unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister einen branchenweit führenden Schutz in allen Bereichen.

Staffbase_Office

Unsere innovative Infrastruktur schützt Kundendaten über den gesamten Lebenszyklus innerhalb der Plattform. Zudem bietet eine leistungsstarke Palette von anpassbaren Einstellungen und Tools unseren Kunden die Möglichkeit, ihre eigenen Sicherheits- und Datenschutzanforderungen zu definieren.

Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.

Stand: 15. März 2021

ISO 27001 Zertifizierung

Header-security-v3

Die ISO 27001 ist der de facto internationale Standard für Informations­sicherheits­management. Im Jahr 2018 schuf Staffbase ein Informations­sicherheits­management­system (ISMS), welches noch im gleichen Jahr erfolgreich durch den TÜV Süd nach ISO 27001 zertifiziert wurde. Diese Zertifizierung wird jährlich durch einen fortlaufenden Auditierungs­prozess bestätigt. Das aktuelle Zertifikat finden Sie hier hier.

Als Bestandteil der ISO 27001 Zertifizierung führen wir bei Staffbase regelmäßig Risikobewertungen durch. Daraufhin bereiten wir Behandlungspläne vor, welche alle identifizierten Risiken reduzieren, um unsere Sicherheitsstandards kontinuierlich zu erhöhen. Das Staffbase Sicherheitsteam verbessert fortlaufend die Eignung, Angemessenheit und Effektivität des ISMS.

Organisatorische Struktur und Steuerung

Sicherheits- und Datenschutz­teams bei Staffbase
Staffbase beschäftigt einen dedizierten Chief Information Security Officer (CISO), der die Security-Abteilung leitet. Das Staffbase Sicherheitsteam überprüft und implementiert Sicherheitsmaßnahmen in allen Bereichen von Staffbase. Bezüglich der Prüfung und Implementierung von Security,- Privacy und Datenschutzprogrammen geschieht dies in enger Zusammenarbeit mit unserer Legal- und Compliance-Abteilung, welche durch einen Privacy Counsel komplettiert wird.

Staffbase ist Mitglied der International Association of Privacy Professionals (IAPP). Unsere Legal- und Compliance-Abteilung besteht aus IAPP Mitgliedern und CIPP/E (Certified Information Privacy Professionals/Europe) zertifizierten Experten und besitzt einschlägige Erfahrungen in den Bereichen Privacy und Datenschutz, sowohl in Deutschland, den Niederlanden, dem Vereinigten Königreich und den USA.
Sicherheits­schulungen
Sowohl durch jährliche Trainings als auch regelmäßige Beiträge in unserer eigenen internen Staffbase-App schulen wir unsere Mitarbeiter kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Staffbase nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.

Außerdem verpflichten sich alle Arbeitnehmer und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.
Vertraulichkeit
Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.

Darüber hinaus sind alle Arbeitnehmer und externe Dienstleister von Staffbase dazu verpflichtet Vertraulichkeitsvereinbarungen zu unterzeichnen, die Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Staffbase mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.
Sicherheitsvorfälle – Meldung und Behandlung
Alle Arbeitnehmer, externe Dienstleister und Hauptlieferanten sind dazu verpflichtet, Sicherheitsvorfälle zu melden. Staffbase verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretenden Sicherheits- oder Verfügbarkeits­vorfälle zu reagieren. Dieses Konzept wird im Rahmen der ISO 27001 Zertifizierung regelmäßig geprüft und aktualisiert.
Prüfung von Lieferanten
Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Staffbase-Dienstes haben könnten. Diese Überprüfung besteht aus zwei Ebenen, welche die Rechts- und Sicherheitsabteilung einbeziehen. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.
Notfallwieder­herstellung und Redundanz
Staffbase hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.

Unser Ansatz zur Wiederherstellung im Katastrophenfall beinhaltet:
  • Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform. Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister.
  • Backups. Wir führen täglich Datensicherungen aller relevanten Systeme durch. Basierend auf verschiedenen Szenarien, werden diese bis zu einem Monat vorgehalten und stehen zur Datenwiederherstellung auf der Grundlage identifizierter Vorfälle bereit.
  • Dual-Modus. Alle Produktivsysteme laufen im Dual-Modus, um eine schnell reagierende Ausfallsicherung sicherzustellen.
  • Internationales Team. Staffbase arbeitet verteilt über zwei Kontinente aus vier Ländern und kann im Falle eines regionalen Vorfalles von den anderen Standorten aus bei Wiederherstellungs­maßnahmen unterstützt werden.
  • Notfallwieder­herstellungs­konzept. Unser Notfall­wiederherstellungs­konzept konzentriert sich auf technische Vorfälle für den Betrieb der Staffbase Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.
Reduzierter Zugriff
Zugriff auf unsere Produktiv­systeme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Staffbase auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.

Infrastruktur und Hosting

Wir sind uns bewusst, dass Hostingstandorte für unsere Kunden und ihre Compliance-Anforderungen besonders wichtig sind. Aus diesem Grund bieten wir unseren Kunden die Auswahl zwischen EU und US Hosting für unsere Staffbase-Dienste an.

EU Hosting (Deutschland)

Die EU Staffbase Server werden von 1&1 Ionos und SySeleven in Deutschland gehostet. Beide Anbieter sind ISO 27001 zertifiziert.

US Hosting (Virginia)

Die nordamerikanischen Staffbase Server werden von Microsoft Azure gehostet. Die Rechenzentren sind ISO 27001 und SSAE-16 zertifiziert. Standort der Rechenzentren ist der Bundesstaat Virginia, USA.

Netzwerksicherheit (Alle Rechenzentren)

Sicherheit
Unser Netzwerk wird von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer System­administratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via VPN (Virtual Private Network), schlüsselbasierter Authentifizierung und zu Wartungszwecken statt.
Architektur
Die Staffbase Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikations­servern wird durch unsere Proxies und Gateways geroutet. Alle anderen Systeme in unseren Rechenzentren haben nie direkten Zugang zum Internet, weder eingehend noch ausgehend.
Bereitstellung (CDN)
Staffbase nutzt branchenführende Content-Delivery-Network (CDN) Dienste von Amazon Cloudfront, um multimediale Inhalte (z.B. Bilder, Videos) bereitzustellen.

Im Allgemeinen basieren alle URLs zu Multimedia-Inhalten, die auf unseren Medienservern gespeichert und zugänglich sind, auf einer zufälligen/nicht erratbaren Zeichenfolge von 192 Zeichen. Kunden, welche das Enterprise-Paket abonniert haben und das CDN nutzen, um multimediale Inhalte bereitzustellen, können eine zusätzliche Sicherheitsebene hinzufügen. Diese erfordert die Authentifizierung bevor auf Medieninhalte zugegriffen werden kann. Dadurch wird sichergestellt, dass Dateien nur an Autorisierte Nutzer innerhalb der Kundeninstanz ausgeliefert werden.
Kunden, die keine CDN-Nutzung wünschen, können dies auf Anfrage deaktivieren.

AWS Cloudfront ist ISO 27001, ISO 27017 und ISO 27018 zertifiziert. Ebenso hat AWS Cloudfront den CSA Consensus Assessments Initiative Fragebogen vervollständigt und stellt regelmäßig SOC (System and Organization Controls) Berichte der Stufen 1, 2 und 3 bereit. Der aktuelle SOC 3 Bericht (Sicherheit, Verfügbarkeit und Vertraulichkeit) ist öffentlich an dieser Stelle verfügbar.
Behandlung von Informations­­sicherheits­­vorfällen
Staffbase nutzt ein System zum Sicherheits­informations- und Ereignis­management (SIEM) um alle verfügbaren Protokolle von unseren Systemen zu sammeln und auf korrelierte Ereignisse zu analysieren. Das System benachrichtigt unser Sicherheitsteam über das Ereignis und das Team reagiert entsprechend eines definierten Prozesses darauf.
Intrusion Detection und Prevention
Unsere Hosting Provider realisieren Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit in beiden Hosting Standorten sicherzustellen.
DDoS Risikominderung
Als erfahrene Betreiber von Rechenzentren vermindern Microsoft Azure, 1&1 Ionos und SysEleven als Hosting Anbieter das Risiko von DDoS (Distributed Denial of Service) Angriffen.
Logischer Zugriff
Zugriff auf das Produktionsnetz von Staffbase ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch VPN gesichert und erfordert eine schlüsselbasierte Authentifizierung.
Reaktion auf Informations­­sicherheits­­vorfällen
Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Staffbase Sicherheitsteam eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.

Der Prozess entspricht der ISO 27001.

Verschlüsselung

Transport­­verschlüsselung

Jegliche Kommunikation unserer Systeme über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS mit aktiviertem TLS (TLS 1.2) und Perfect Forward Secrecy (PFS). Wir haben SSLv3 auf allen Systemen deaktiviert, um Sicherheitsverstößen unterstützend vorzubeugen.

Verschlüsselung im Ruhezustand

Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen um den Einfluss von Datenlecks zu minimieren. Zusätzlich werden nahezu alle unsere Datenbanken mittels symmetrischen Industry-Best-Practice Verfahren verschlüsselt.

Produktsicherheit

System für Sicherheitsmaßnahmen
Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Empfehlungen.
Qualitätssicherung
Um ein Höchstmaß an Qualität zu gewährleisten, führen wir eine Reihe von automatisierten Tests auf unserem Quellcode durch. Zusätzlich werden alle Codeänderungen nach dem Vier-Augen-Prinzip geprüft, bevor sie in das Produktivsystem eingespielt werden.
Getrennte Umgebungen
Die Staffbase Test- und Entwicklungs­umgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Staffbase dedizierte Testdaten verwendet.
Penetrationstests
Staffbase beauftragt externe Penetrationstester, um mindestens jährlich unabhängige Penetrationstests durchzuführen. Unsere Security Engineers testen fortlaufend neue und existierende Features auf Schwachstellen, um das Sicherheitsniveau unseres Produktes zu verbessern.

Wir erlauben zudem Kunden auf Anfrage eigene Black-Box Penetrationstests durchzuführen. Staffbase nutzt den etablierten CVSS-Standard (Common Vulnerability Scoring System), um erkannte Schwachstellen zu bewerten. Das Sicherheitsteam von Staffbase arbeitet eng mit dem Produktteam zusammen, um die Behandlung identifizierter Schwachstellen entsprechend ihrer Gewichtung zu priorisieren.

Eine Zusammenfassung der aktuellen Penetrationstests ist auf Anfrage, im Rahmen einer gültigen Geheimhaltungsvereinbarung, einsehbar.
image-devider-HQ

Sicherheits­features der Staffbase Plattform

Um ein hohes Sicherheitsniveau innerhalb der Staffbase-Dienste zu gewährleisten, können Kunden Einstellungen, Zugriffsrechte und Rollen entsprechend ihrer individuellen Anforderungen anpassen. Manche der unten aufgeführten Features sind vom konkret ausgewählten Plan abhängig.

Registrierung
Das Onboarding von Mitarbeitern ohne PC-Arbeitsplatz, von denen manche noch nie eine Firmen-E-Mail-Adresse oder einen anderen IT-Zugang besessen haben, erzeugt ein einzigartiges Problem für die IT- und Sicherheitsabteilungen unserer Kunden - Staffbase bietet einzigartige Lösungen für dieses Problem.

Wir bieten mehrere Wege an, um Nutzer in die Staffbase-App einzuladen und Ihren Anwendungsfall zu unterstützen:
  • Nutzen Sie E-Mail & Passwort, wenn Sie die E-Mail Adressen Ihrer Nutzer kennen. Üblicherweise nutzen Sie dafür die Firmenadresse, aber die private E-Mail Adresse funktioniert ebenfalls.
  • Verwenden Sie Nutzername & Passwort, falls E-Mail keine Option ist.
  • Selbst-Anmeldung unter Nutzung der Firmen-E-Mail-Adresse ist ein effizienter und leichter Weg, um eine große Zahl an Nutzer mit Firmen-E-Mail einzuladen.
  • Verwenden Sie Single-Sign-On, wenn Sie bereits ein zentrales System zum Identitätsmanagement verwenden. Die Staffbase Plattform unterstützt Industriestandards wie SAML 2.0 und OpenID Connect.
Sicherheit von Nutzersitzungen
Kunden können das Sitzungs­management konfigurieren, um es den existierenden Firmenrichtlinien für Ihre IT-Systeme anzupassen. Staffbase bietet die Möglichkeit, eine individuelle Sitzungsdauer für jedes Gerät zu definieren. Während Nutzer verschiedene Geräte wie Smartphone, Tablet und Desktop-Rechner für den Zugang zu Staffbase verwenden können, können Sie einstellen, wie viele parallele Sitzungen pro Anwender erlaubt sind.
Konfigurierbare Passwort­richtlinie
Sie können außerdem Anforderungen an Passwörter in Bezug auf Mindestlänge (zwischen 5 und 160 Zeichen) und Komplexität (verschiedene Zeichensätze wie Groß/Kleinbuchstaben, Zahlen und Sonderzeichen) konfigurieren, um sie Ihren Bedürfnissen und Richtlinien anzupassen.
E-Mail Signatur
Wir verwenden DKIM ((Domain Keys Identified Mail) zur Signatur von ausgehenden E-Mails von Staffbase.
Sichere Speicherung von Anmeldedaten
Passwörter in Staffbase können nicht extrahiert werden, da sie in einer Datenbank gespeichert werden, die Scrypt verwendet - eine Einweg-Hashfunktion die kollisionsfreie Hash-Werte erzeugt.
API Sicherheit und Authentifizierung
Unsere für Kunden verfügbare API wird durch HTTPS und einen API Token gesichert, welcher die HTTP Basisauthentifizierung nutzt. Die API-Dokumentation ist für Integrationen verfügbar auf unserem Entwickler Portal.
Zugriffsrechte und Rollen
Abhängig von den individuellen Anforderungen können Sie die Zugriffsrechte und Rollen in Staffbase detailliert anpassen. Die entsprechende Dokumentation über die Nutzerrollen in Staffbase finden sie in unserem Support Portal.

Privatsphäre und Datenschutz

Mit seinen Ursprüngen in Deutschland und der EU haben wir bei Staffbase Privatsphäre und Datenschutz sehr tief in der Art und Weise, wie wir unsere Produkte, Dienste und interne Führung gestalten, verankert.

Deutschland besitzt eines der strengsten Datenschutzgesetze der Welt und wir bringen diese Erfahrungen aus Deutschland darin zum Ausdruck, wie wir Mitarbeiterkommunikation aufbauen und entwickeln.

Auftrags­verarbeitungs­­vereinbarung (AVV) - DSGVO

Staffbase bietet DSGVO-konforme Auftrags­verarbeitungs­vereinbarungen (AVV). Zusätzlich, durch den bereits erwähnten Prüfungsprozess für Lieferanten, verfügt Staffbase über AVVs mit jeglichen Subdienstleistern, die personenbezogene Daten verarbeiten. Für mehr Informationen über die DSGVO besuchen Sie bitte die gesonderte DSGVO-Seite.

Datenschutz­grund­verordnung (DSGVO)

Staffbase erfüllt die Anforderungen der EU-Datenschutz-Grund­verordnung und bietet eine sichere Kommunikations­plattform, die Mitarbeiter- und Kundendaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeiter und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität. Daher haben wir, unter Führung unserer Legal- und Complianceabteilung, unseres Datenschutz­beauftragten und unseres Sicherheitsteams ein DSGVO Compliance-Programm.
Weitere Informationen

Kontaktieren Sie uns, wenn Sie Fragen haben

Kontakt