Sicherheit
      Zurück zur Startseite
      1. Hilfe-Center
      2. Sicherheit

      Informationssicherheitskontrollen

      Dieser Sicherheitsüberblick gibt einen Überblick über die Sicherheitsmaßnahmen, die zur Erreichung dieses Ziels eingeführt wurden

      Der Schutz der Daten unserer Kunden hat für uns jederzeit höchste Priorität. Diese Sicherheitsübersicht bietet einen Überblick über die Sicherheitspraktiken, die zur Erreichung dieses Ziels eingesetzt werden. Fragen oder Anregungen? Schreiben Sie uns bitte an security@web1on1.chat.

      Web1on1 setzt administrative, technische und physische Kontrollen über Systeme und Daten ein, um deren Vertraulichkeit, Integrität und Verfügbarkeit zu schützen. Die Kontrollen werden in Übereinstimmung mit den besten Praktiken der Branche und der Sicherheit implementiert, zur Erreichung des entsprechende Risikoniveaus. Sehen Sie im Folgenden eine Zusammenfassung der von Web1on1 implementierten Informationssicherheitskontrollen für die gesamte Infrastruktur.

      Administrative Kontrollen

      Sicherheitsmanagement

      Herr Peter de Vos (CTO) ) ist für die Informationssicherheit zuständig, die die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten gewährleistet (im Folgenden: Sicherheitskontrollen)

        • Alle Parteien, die mit oder für Web1on1 arbeiten und personenbezogene Daten verarbeiten, die der Datenverarbeitungsvereinbarung unterliegen, sind verpflichtet, angemessene Sicherheitskontrollen durchzuführen.

      Personalwesen

      • Mitarbeiter/Auftragnehmer erkennen ihre Verantwortung für die Sicherheit an;

      • Die Mitarbeiter kenne die Sicherheitsrichtlinien;

      • Die Mitarbeiter verpflichten sich sowohl bei der Einstellung als auch jährlich, zur Einhaltung der akzeptablen Nutzung;

      • Ein Programm zur Förderung des Sicherheitsbewusstseins unterrichtet über Sicherheits- und Datenschutzpraktiken.

      Richtlinien und Standards, Benutzerbewusstsein

      • Es werden Sicherheitsrichtlinien und -standards entwickelt und aufrechterhalten;
      • Die Sicherheitsrichtlinien werden jährlich überprüft und je nach Bedarf oder Notwendigkeit aktualisiert;
      • Es wurden Sicherheitsmaßnahmen zu folgenden Themen entwickelt:
        • Richtlinie zur akzeptablen Nutzung
        • Richtlinie zur Klassifizierung von Informationen
        • Clean-Desk Richtlinie
        • Richtlinie zur Erstellung von Passwörtern
        • Richtlinie zum Passwortschutz
        • Richtlinie zu Datenschutzverletzungen
        • Richtlinie für internationale Reisen
        • Richtlinie für physischen Zugang und Kontrolle

      • Die Sicherheitsrichtlinien wurden an die Beteiligten weitergegeben;

      • Es existieren Richtlinien und Verfahren, um die Notwendigkeit einer Risikobewertung zu ermitteln und die Nutzung und Verwaltung neuer oder störender Technologien zu behandeln.

      Risikobewertung und Audits

      • Es wird eine jährliche Sicherheitsrisikobewertung durchgeführt, um Bedrohungen und Schwachstellen zu ermitteln und nach Prioritäten zu ordnen;
      • Daten werden gemäß der Risikobewertung klassifiziert;
      • Eine  Risikobewertung des Einsatzes neuer Technologien oder risikoreicher Datenver-arbeitungstätigkeiten wird vor der Einführung solcher Technologien bzw. risikoreicher Datenverarbeitung durchgeführt;
      • Regelmäßige Überprüfungen der Einhaltung der Vorschriften werden jährlich in einem internen Audit durchgeführt;
      • Mit Partnern und Lieferanten werden vertragliche Sicherheitsaudits zur Einhaltung der Vorschriften durchgeführt.

      Zwischenfall-Management

      • Ein Programm für das Management von Sicherheitsvorfällen wird eingeführt und in die allgemeinen Notfall- und Problemmanagementprozesse integriert;
      • Es existiert eine Richtlinie für Datenschutzverletzungen;
      • Ein Register für Datenschutzverletzungen ist eingerichtet.


      Kontakt mit Behörden

      • Im Falle einer Datenschutzverletzung, die eine Meldung an die Behörden erfordert;
      • Für den Fall, dass Behörden einen Nachweis über die Einhaltung der geltenden Datenschutzgesetze und -vorschriften verlangen oder Zugang zu den Daten von Web1on1 verlangen.

      Technische und betriebliche Kontrollen

      Zugang / Zugriff

      • Für den Zugriff auf Systeme und Daten ist eine ordnungsgemäße Authentifizierung erforderlich, sowohl innerhalb als auch außerhalb des Unternehmens;
      • Alle Systeme, die geschützte Daten enthalten, sind nur über eine Zwei-Faktor-Authentifizierung oder ein Single Sign-On zugänglich;
      • Die Authentifizierung erfolgt in Abhängigkeit von der Datenklassifizierung und auf der Grundlage der Notwendigkeit des Zugriffs;
      • Die Authentifizierung erfolgt vorbehaltlich von Sicherheits- und Vertraulichkeitsverpflichtungen;
      • Einzelpersonen werden eindeutige Benutzerkennungen zugewiesen und benötigen Passwörter und eine Zwei-Faktor-Authentifizierung, um auf Anwendungen zuzugreifen;
      • Es werden Zugangsprotokolle geführt;
      • Bei Beendigung des Arbeitsverhältnisses oder des Auftrags werden die Mitarbeiter und Auftragnehmer unverzüglich vom Zugang zu allen Diensten des Unternehmens ausgeschlossen und das gesamte Eigentum des Unternehmens wird eingezogen.

      Datenübertragung

      • Geeignete Datenkontrollen (Zugang, Verwendung, Vernichtung usw.) werden auf der Grundlage der Datenklassifizierung von Web1on1 durchgeführt;
      • Gegebenenfalls sind sichere Protokolle erforderlich;
      • Es werden IPS/IDS und Firewalls zur Sicherung des Unternehmensnetzes eingesetzt;
      • Die Nutzung öffentlicher Netze zur Übertragung personenbezogener Daten ist nicht gestattet.

      Datenverarbeitungsintegrität

      • Verfahren zur Reaktion auf Vorfälle, zur Änderungskontrolle und zum Problemmanagement sind implementiert, um die Integrität der Verarbeitung zu gewährleisten;
      • Für kritische Systeme werden eine Hochverfügbarkeitsarchitektur und Backups eingesetzt und gepflegt.

      Überwachung

      • Die Netzwerküberwachung wird an einen Anbieter von Managed Services ausgelagert;
      • Für kritische Systeme werden Audit-Protokolle geführt und überprüft;
      • Regelmäßige Schwachstellen-Scans und Quellcode-Scans werden von Qualis durchgeführt;
      • Jährliche Penetrationstests werden ausgelagert.

      Sicherung

      • Backup-Einrichtungen für Sicherungskopien für Notfälle und Disaster Recovery.

      Risikobewertung durch Dritte

      • Regelmäßige Schwachstellen-Scans in Bezug auf Dienste und Ressourcen von Drittanbietern. 

      Physikalische Kontrollen

      Web1on1 Zugang zur Einrichtung

      • Alle Besucher werden registriert;
      • Regelmäßige Zugangsprüfungen werden durchgeführt;
      • Die Arbeitsplätze verfügen über sichere Aufbewahrungsorte und Richtlinien, die die Verantwortung für die Sicherheit des Einzelnen am Ende des Tages regeln.

      Datenzentrum

      • Die Rechenzentren von Web1on1 sind ausgelagert; die Mitarbeiter von Web1on1 haben keinen Zugang zu den Rechenzentren.

      Ausrüstung

      • Eine planmäßige Überprüfung und Wartung von Ausrüstung und Strukturen wird durchgeführt;
      • Die Ausgabe und Konfiguration von Benutzersystemen ist standardisiert und wird zentral verwaltet;
      • Sichere Prozesse für die Entsorgung und den Transfer von Ausrüstung sind implementiert.

      Infrastruktur

      Cloud-Infrastruktur

      Alle unsere Dienste laufen in der Cloud. Es werden von uns keine eigenen Router, Load Balancer, DNS-Server oder physischen Server gehostet oder betrieben. Unser Service basiert auf der Google Cloud Platform. Diese bietet starke Sicherheitsmaßnahmen zum Schutz unserer Infrastruktur und entspricht den meisten Zertifizierungen. Mehr über die Praktiken von Google finden Sie hier: Google Cloud Platform

      Wir nutzen die Google-Rechenzentren in den Niederlanden und Belgien.

      Überwachung und Schutz der Sicherheit auf Netzwerkebene

      Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Wir überwachen und schützen unser Netzwerk, um sicherzustellen, dass kein unbefugter Zugriff erfolgt. Wir nutzen:

      • Eine Firewall, die den eingehenden und ausgehenden Netzwerkverkehr überwacht und kontrolliert;

      • Eine Lösung für Intrusion Detection und/oder Prevention Technologies (IDS/IPS), die potenziell schädliche Datenpakete überwacht und blockiert;

      • IP-Adressen-Filterung. 

      DDoS Schutz

      Wir verwenden DDoS (Distributed Denial of Service)-Abwehrdienste, die von einer branchenführenden Lösung unterstützt werden.

      Datenverschlüsselung

      Verschlüsselung bei der Übertragung: Alle Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, werden während der Übertragung mit branchenüblichen Verfahren verschlüsselt, die Transport Layer Security (TLS) verwenden. Der Bericht von SSLLabs kann hier eingesehen werden. Verschlüsselung im Ruhezustand: Alle unsere Benutzerdaten (einschließlich Passwörter) werden in der Datenbank mit kampferprobten Verschlüsselungsalgorithmen verschlüsselt.

      Aufbewahrung und Löschung von Daten

      Wir bewahren Ihre Nutzungsdaten für einen Zeitraum von 90 Tagen nach Ihrer Testphase bzw. 30 Tage nach der Archivierung einer Organisation auf. Danach werden alle Daten vollständig von den Servern und Datenbanken gelöscht.

      Nachrichten werden je nach Wichtigkeit zwischen 30 Tagen und 18 Monaten aufbewahrt. Inaktive oder archivierte Benutzer- oder Kontaktdaten werden für einen Zeitraum von 90 Tagen aufbewahrt.

      Jeder Benutzer kann die Löschung von Nutzungsdaten beantragen, indem er sich an den Support wendet. Lesen Sie mehr über unsere Datenschutzeinstellungen unter Web1on1 - Privacy policy.

      Geschäftskontinuität und Disaster Recovery

      Alle kritischen Daten werden von uns gesichert und wir versuchen regelmäßig, die Sicherungskopie wiederherzustellen, um im Falle einer Katastrophe eine schnelle Wiederherstellung zu gewährleisten. Alle unsere Sicherungen sind verschlüsselt.

      Überwachung der Anwendungssicherheit

      • Wir verwenden eine Sicherheitsüberwachungslösung, um Einblick in die Sicherheit unserer Anwendungen zu erhalten, Bedrohungen zu erkennen und schnell auf eine Datenverletzung zu reagieren;
      • Wir verwenden Technologien zur Überwachung von Ausnahmen, Protokollen und zur Erkennung von Anomalien in unseren Anwendungen;
      • Wir sammeln und speichern Protokolle, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen;
      • Wir verwenden Überwachungsfunktionen wie Open Tracing in unseren Microservices;
      • Wir verwenden Telemetrie in unseren clientseitigen Anwendungen, um die Leistung zu überwachen und zu verbessern.

      Anwendungssicherheitsschutz

      • Wir verwenden Funktionen zur Sicherheitsautomatisierung, die Bedrohungen für unsere Anwendungen automatisch erkennen und darauf reagieren;
      • Wir halten uns bei der Entwicklung technischer Lösungen an bewährte Sicherheitsverfahren und Frameworks (OWASP Top 10, SANS Top 25).

      Verantwortungsbewusste Offenlegung

      Wir empfehlen allen, die verantwortungsbewusste Offenlegung praktizieren und sich an unsere Richtlinien und Nutzungsbedingungen halten, die Teilnahme an unserem Bug Bounty Programm.

      Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte geben Sie keine Informationen über die Sicherheitslücken weiter, bis wir sie behoben haben. Die Vergütung liegt in unserem Ermessen und hängt von der Kritikalität der gemeldeten Sicherheitslücke ab.

      Sie können Schwachstellen melden, an security@web1on1.chat. Bitte fügen Sie einen Konzeptnachweis bei. Wir werden so schnell wie möglich auf Ihre Meldung reagieren.

      Erfassungsbereich

      • *.web1on1.chat

      Ausschlüsse

      • https://developers.web1on1.chat/webwidget

      • https://status.web1on1.chat/

      Akzeptierte Sicherheitslücken sind folgende:

      • Cross-Site Scripting (XSS)

      • Offene Weiterleitung

      • Cross-site Request Forgery (CSRF)

      • Einbindung von Befehlen/Dateien/URLs

      • Probleme bei der Authentifizierung

      • Code-Ausführung

      • Code- oder Datenbank-Einfügungen

      Dieses Bug Bounty Programm beinhaltet NICHT:

      • CSRF-Abmeldung

      • Konto-/E-Mail-Aufzählungen

      • Denial of Service (DoS)

      • Angriffe, die die Zuverlässigkeit/Integrität unseres Unternehmens beeinträchtigen könnten

      • Spam-Angriffe

      • Clickjacking auf Seiten ohne Authentifizierung und/oder sensible Statusänderungen

      • Warnmeldungen über gemischte Inhalte

      • Fehlen von DNSSEC

      • Spoofing von Inhalten/Texteinfügung

      • Timing-Angriffe

      • Social engineering

      • Phishing

      • Unsichere Cookies für nicht sensitive Cookies oder Cookies von Drittanbietern

      • Schwachstellen, die eine äußerst unwahrscheinliche Benutzerinteraktion erfordern

      • Exploits, die physischen Zugriff auf den Computer eines Benutzers erfordern

      Benutzerschutz

      Kontoübernahme-Schutz

      Wir schützen unsere Benutzer vor Datenverletzungen, indem wir Brute-Force-Angriffe überwachen und blockieren.

      Single sign-on / Einmalige Anmeldung

      Single sign-on (SSO)  ist über Ihr Google-Konto verfügbar. Andere Identitätsanbieter werden als Add-on für unsere Unternehmenskunden unterstützt.

      Rollenbasierte Zugriffskontrolle

      Die rollenbasierte Zugriffskontrolle (RBAC) wird für alle unsere Konten angeboten und ermöglicht es unseren Benutzern, Rollen und Berechtigungen zuzuweisen.

      Konformität

      DSGVO

      Wir sind konform mit der Allgemeinen Datenschutzverordnung (DSGVO). Der Zweck der DSGVO ist es, die privaten Informationen von EU-Bürgern zu schützen und ihnen mehr Kontrolle über ihre persönlichen Daten zu geben.  Lesen Sie mehr über unsere Konformität mit der DSGVO

      Zahlungsinformationen

      Die Verarbeitung aller Zahlungsmittel ist sicher an Stripe ausgelagert, das als PCI Level 1 Service Provider zertifiziert ist. Wir erheben keine Zahlungsinformationen und unterliegen daher nicht den PCI-Verpflichtungen.