IT-Sicherheit und Datenschutz
Weltweit über eine halbe Million Mitarbeiter verschiedener Unternehmen verlassen sich jeden Tag auf die Ideen- und Innovationsmanagement-Software von Table of Visions, um innerhalb ihres Unternehmens ein modernes und sicheres Ideenmanagement abbilden zu können. Die Anforderungen unserer Kunden an Sicherheit und Datenschutz sind sehr unterschiedlich, wobei viele aus den am stärksten regulierten und sicherheitsbewussten Industrien der Welt kommen, wie bspw. dem Banken- oder Automotive-Bereich. Um diesen Anforderungen gerecht zu werden, steht IT-Sicherheit und Datenschutz für uns an höchster Stelle.
Unser starkes Fundament aus Produktfeatures und Prozessen als Dienstleister gewährleistet einen branchenweit führenden Schutz in allen Bereichen.
Unsere Infrastruktur schützt alle Nutzer- und Ideendaten über den gesamten Lebenszyklus innerhalb der Plattform, selbstverständlich konform mit den neuesten Datenschutzbestimmungen im Rahmen der DSGVO (Datenschutz-Grundverordnung) im Hinblick auf Lösch- und Aufbewahrungsfristen. Zudem bietet unsere flexible Software die Möglichkeit, eigene Sicherheits- und Datenschutzanforderungen je nach Kundenwunsch individuell anzupassen.
Wir sind der festen Überzeugung, dass Sicherheit zu keinem Zeitpunkt angezweifelt werden sollte. Dank unseres Supports können all unsere Kunden voll und ganz auf eine sichere und zuverlässige Plattform vertrauen, die ihren Anforderungen und Interessen gerecht wird.
Stand: März 2024
ISO 27001 Zertifizierung
Die ISO 27001 ist der internationale de facto Standard für Informationssicherheitsmanagement. Table of Visions arbeitet daher ausschließlich mit Hosting-Anbieter zusammen, die eine ISO 27001 Zertifizierung haben. Wir setzen dabei auf unsere langjährigen Partner wie bspw. die Digitas GmbH.
Organisatorische Struktur und Steuerung
Neben der regelmäßigen Durchführung interner Audits werden wir bei Table of Visions sowohl durch einen externen Datenschutzbeauftragten als auch durch eine externe IT-Sicherheitsfirma unterstützt, die u.a. regelmäßig Penetrationstests durchführt und die Software auf mögliche Sicherheitslücken prüft.
Sicherheitsschulungen
Durch regelmäßige Trainings schulen wir unsere Mitarbeiter kontinuierlich zu Inhalten der Informationssicherheit und schärfen somit das Bewusstsein für damit verbundene Risiken, Angriffe und aktuelle Themen. Alle Entwickler bei Table of Visions nehmen regelmäßig an Sicherheitsschulungen teil, um immer auf dem aktuellen Stand bezüglich typischer Risiken in der Entwicklung und dem Schutz von Kundendaten zu sein.
Außerdem verpflichten sich alle Arbeitnehmer und externen Dienstleister zur Einhaltung von vereinbarten Sicherheitsrichtlinien, welche u.a. Vertraulichkeit, Bankgeheimnis, Datenschutz und die Meldung von Sicherheitsvorfällen regeln.
Vertraulichkeit
Grundsätzlich gehören zu all unseren Kundenverträgen Klauseln zur Vertraulichkeit.
Darüber hinaus sind alle Arbeitnehmer und externe Dienstleister von Table of Visions dazu verpflichtet, Vertraulichkeitsvereinbarungen zu unterzeichnen, die Kundendaten schützen. Als Teil unseres Prüfungsprozesses für Lieferanten (siehe unten) besitzt Table of Visions mit allen Dienstleistern, die personenbezogene Daten oder vertrauliche Informationen unserer Kunden verarbeiten, Vertraulichkeitsvereinbarungen.
Sicherheitsvorfälle – Meldung und Behandlung
Alle Arbeitnehmer und externe Dienstleister sind dazu verpflichtet, Sicherheitsvorfälle zu melden. Table of Visions verfügt über ein Notfallkonzept, um unverzüglich und systematisch auf jegliche eventuell auftretenden Sicherheits- oder Verfügbarkeitsvorfälle zu reagieren. Dieses Konzept wird regelmäßig geprüft und aktualisiert.
Prüfung von Lieferanten
Als Teil der Unternehmensführung und Konformitätsprüfung haben wir eine Richtlinie zur detaillierten Überprüfung aller Dienstleister eingeführt, die möglicherweise Einfluss auf die Sicherheit des Software von Table of Visions haben könnten. Dienstleister müssen einem gemeinsamen Verständnis in der Informationssicherheit, der Berichterstattung über Vorfälle sowie Kontrollen beim Umgang mit Daten zustimmen.
Notfallwiederherstellung und Redundanz
Table of Visions hat ein System entwickelt, um Störungen des Dienstes, z. B. aufgrund von Hardwarefehlern, Naturkatastrophen und anderen unvorhergesehenen Ereignissen oder Katastrophen, zu minimieren.
Unser Ansatz zur Wiederherstellung im Notfall beinhaltet:
- Nutzung von modernsten Dienstleistern zur Unterstützung unserer Plattform:
Tausende andere Unternehmen vertrauen bei der Bereitstellung ihrer Daten und Dienste ebenfalls auf diese Dienstleister. - Backups:
Wir führen täglich Datensicherungen aller relevanten Systeme durch. Basierend auf verschiedenen Szenarien, werden diese bis zu einem Monat vorgehalten und stehen zur Datenwiederherstellung auf der Grundlage identifizierter Vorfälle bereit. - Notfallwiederherstellungskonzept:
Unser Notfallwiederherstellungskonzept konzentriert sich auf technische Vorfälle für den Betrieb unserer Plattform und beinhaltet sowohl verschiedene Szenarien als auch regelmäßiges Training für das Notfallteam. Das Team ist daher in der Lage, Daten im Notfall wiederherzustellen.
Reduzierter Zugriff
Zugriff auf unsere Produktivsysteme ist auf einen möglichst kleinen Kreis an Personen, welche für Wartung und Betrieb zuständig sind, beschränkt. Table of Visions auditiert Zugriffe auf produktive Systeme mindestens jährlich und folgt dem Least-Privilege-Prinzip.
Internes Kontrollsystem (IKS)
Das interne Kontrollsystem (IKS) der Table of Visions GmbH ist eine Systematisierung aller Prozesse und deren Risikobewertung. Auf dieser Grundlage sind Richtlinien und Kontrollen zur Abwehr von Schäden eingeführt worden, die durch das eigene Personal oder böswillige Dritte verursacht werden können. Dadurch werden insbesondere die folgenden Ziele erreicht:
- Identifikation der Risiken, Lücken und Schwachstellen in den bestehenden Abläufen
- Einhaltung der Gesetze und Vorschriften
- Definition von Maßnahmen zur Risikovermeidung und -minderung
- Einrichten von Prüfmechanismen zur Fehlervermeidung und damit Sicherung des Vermögens
- Dokumentation der Prozesse und Kontrollen, um das Handeln nachvollziehbar und überprüfbar zu machen
- Funktionstrennungen, die für relevante und risiko-geneigte Maßnahmen gewährleisten, dass Entscheidung, Ausführung und Kontrolle nicht ausschließlich in der Hand einer Person liegen
- Vier-Augen-Prinzip für sensible Vorgänge
Lernen Sie unsere Software in Aktion kennen!
Infrastruktur und Hosting
Wir sind uns bewusst, dass die Wahl des Hosting-Anbieter und des -Standorts für unsere Kunden und ihre Compliance-Anforderungen besonders wichtig sind. Aus diesem Grund hosten wir unsere Anwendung und die Daten bei der Digitas GmbH, deren Rechenzentren sich in Deutschland (Berlin) befinden, so dass alle Daten in Deutschland verbleiben. Die Digitas GmbH ist BSI-Grundschutz- sowie ISO 27001-zertifiziert.
Netzwerksicherheit (Alle Rechenzentren)
Sicherheit
Unsere Server-Infrastruktur wird durchgehend von redundanten Layer-4 Firewalls geschützt. Jegliche Kommunikation über öffentliche Netze erfolgt mit sicherer HTTPS-Transportverschlüsselung. Der Zugang unserer Systemadministratoren zu unseren Produktiv- und Testsystemen findet ausschließlich via VPN (Virtual Private Network), schlüsselbasierter Authentifizierung und zu Wartungszwecken statt.
Architektur
Die Netzwerkarchitektur ist so ausgelegt, dass das Risiko einer Sicherheitsverletzung minimiert wird, indem nur der Zugriff auf die minimal erforderlichen Systeme erlaubt wird, während andere Systeme, wie z. B. Datenbankserver, nur intern zugänglich sind. Jeglicher Datenverkehr zu unseren Applikationsservern wird durch unsere Proxies und Gateways geroutet.
Behandlung von Informationssicherheitsvorfällen
Unsere Hosting-Partner nutzen ein System zum Sicherheitsinformations- und Ereignismanagement (SIEM) um alle verfügbaren Protokolle von unseren Systemen zu sammeln und auf korrelierte Ereignisse zu analysieren. Das System benachrichtigt unser Sicherheitsteam über das Ereignis und das Team reagiert entsprechend eines definierten Prozesses darauf.
Intrusion Detection und Prevention
Unser Hosting Provider realisiert Maßnahmen zur Intrusion Detection und Prevention, um ein Höchstmaß an Sicherheit sicherzustellen.
DDoS Risikominderung
Als erfahrener Betreiber von Rechenzentren vermindert die Digitas GmbH als Hosting Anbieter das Risiko von DDoS (Distributed Denial of Service) Angriffen.
Logischer Zugriff
Zugriff auf das Produktionsnetz von Table of Visions ist auf den Kern des Teams für den technischen Betrieb beschränkt und beinhaltet die Überwachung und Kontrolle aller Zugriffe. Jeglicher Zugriff des Teams zu den Produktivsystemen ist durch VPN gesichert und erfordert eine schlüsselbasierte Authentifizierung.
Reaktion auf Informationssicherheitsvorfällen
Im Falle eines Systemalarms werden Sicherheitsvorfälle zum Table of Visions Sicherheitsteam eskaliert. Unsere Mitarbeiter sind für die Reaktion auf Sicherheitsvorfälle geschult. Dies beinhaltet auch die Kommunikationskanäle und Eskalationspfade. Die Behandlung von Vorfällen erfolgt gemäß eines definierten Prozesses für Informationssicherheitsvorfälle.
Unser Hosting-Partner setzt auf den ISO 27001-Standard.
Verschlüsselung
Transportverschlüsselung
Jegliche Kommunikation unserer Produktivserver über öffentliche Netzwerke erfolgt verschlüsselt unter Nutzung von HTTPS. Die Öffentlichkeit hat keinen direkten Zugriff auf den Server. Die Kommunikation durchläuft einen vorgeschalteten Load Balancer, in dem die Verschlüsselung erfolgt. SSLv3 und SSL2 sind deaktiviert.
Verschlüsselung im Ruhezustand
Wir verschlüsseln Nutzerkennwörter durch die Verwendung von Industry-Best-Practice Einweg-Hashfunktionen, um den Einfluss von Datenlecks zu minimieren.
Produktsicherheit
System für Sicherheitsmaßnahmen
Unsere Produkte werden durch Best-Practices gegen geläufige Risiken wie CSRF (Cross Site Forgery Request), SQLi (SQL Injection) und XSS (Cross-Site-Scripting) geschützt und folgen den etablierten OWASP (Open Web Application Security Project) Empfehlungen.
Qualitätssicherung
Um ein Höchstmaß an Qualität zu gewährleisten, führen wir eine Reihe von automatisierten Tests auf unserem Quellcode durch. Zusätzlich werden alle Codeänderungen nach dem Vier-Augen-Prinzip geprüft, bevor sie in das Produktivsystem eingespielt werden.
Getrennte Umgebungen
Die Table of Visions Test- und Entwicklungsumgebungen sind logisch von den Produktivsystemen getrennt. Zu Testzwecken werden von Table of Visions dedizierte Testdaten verwendet.
Penetrationstests
Table of Visions beauftragt externe Penetrationstester, um mindestens jährlich unabhängige Penetrationstests durchzuführen. Unsere Security Engineers testen fortlaufend neue und existierende Features auf Schwachstellen, um das Sicherheitsniveau unseres Produktes zu verbessern. Wir erlauben zudem Kunden auf Anfrage eigene Black-Box Penetrationstests durchzuführen. Das Sicherheitsteam von Table of Visions arbeitet eng mit dem Produktteam zusammen, um die Behandlung identifizierter Schwachstellen entsprechend ihrer Gewichtung zu priorisieren. Eine Zusammenfassung der aktuellen Penetrationstests ist auf Anfrage, im Rahmen einer gültigen Geheimhaltungsvereinbarung, einsehbar.
Sicherheitsfeatures der Table of Visions Software
Um ein hohes Sicherheitsniveau in Bezug auf Rollen mit dazugehörigen Zugriffsrechten innerhalb der Software zu gewährleisten, kann dies kundenspezifisch konfiguriert werden.
Registrierung
Das Onboarding von Mitarbeitern ohne PC-Arbeitsplatz, von denen manche noch nie eine Firmen-E-Mail-Adresse oder einen anderen IT-Zugang besessen haben, erzeugt ein einzigartiges Problem für die IT- und Sicherheitsabteilungen unserer Kunden – Table of Visions bietet einzigartige Lösungen für dieses Problem.
Wir bieten mehrere Wege an, um Nutzer in die Plattform einzuladen und Ihren Anwendungsfall zu unterstützen:
- Nutzen Sie E-Mail & Passwort, wenn Sie die E-Mail Adressen Ihrer Nutzer kennen. Üblicherweise nutzen sie dafür ihre Firmenadresse.
- Verwenden Sie Nutzername & Passwort, falls E-Mail keine Option ist.
- Selbstregistrierung unter Nutzung der Firmen-E-Mail-Adresse ist ein effizienter und leichter Weg, um eine große Zahl an Nutzer mit Firmen-E-Mail einzuladen.
- Verwenden Sie Single-Sign-On (SSO), wenn Sie bereits ein zentrales System zum Identitätsmanagement verwenden. Die Table of Visions Plattform unterstützt verschiedene Industriestandards wie SAML 2.0, Azure AD oder LDAP.
Richtlinie für Passwörter
Passwörter müssen entsprechend der Empfehlung des BSI (Bundesamt für Sicherheit in der Informationstechnik) aus mindestens 8 Zeichen bestehen und dabei mindestens einen Groß- und einen Kleinbuchstaben sowie eine Zahl und ein Sonderzeichen enthalten. Je nach Konfiguration kann das System den Nutzer in regelmäßigen Abständen dazu auffordern, sein Passwort zu ändern. Hierbei vermeidet eine Passwort-Historie die Verwendung des immer gleichen Passworts.
E-Mail-Signatur und -Reputationsmanagement
Wir verwenden Industriestandards wie DMARC (Domain-based Message Authentication, Reporting and Conformance), DKIM ((Domain Keys Identified Mail) und SPF (sender policy framework) zur Sicherung der E-Mail-Sicherheit und -Reputation.
Sichere Speicherung von Anmeldedaten
Passwörter in Table of Visions können grundsätzlich nicht extrahiert werden, da sie mittels eines salted Hash Verfahrens verschlüsselt werden und somit nach aktuellen Standards nicht zu entschlüsseln sind.
Rollen & Zugriffsrechte
Abhängig von den individuellen Anforderungen werden Rollen und die damit verbundenen Zugriffsrechte durch Table of Visions entsprechend konfiguriert
Auftragsverarbeitungsvereinbarung (AVV) – DSGVO
Table of Visions bietet DSGVO-konforme Auftragsverarbeitungsvereinbarungen (AVV). Zusätzlich hat Table of Visions mit sämtlichen Subdienstleistern AVVs abgeschlossen.
Datenschutzgrundverordnung (DSGVO)
Table of Visions erfüllt die Anforderungen der EU-Datenschutz-Grundverordnung und bietet eine sichere Plattform, die Kunden, Ideen- und Nutzerdaten gleichermaßen schützt. Das Recht unserer Kunden, ihrer Mitarbeiter und der Sicherheit ihrer personenbezogenen Daten haben für uns oberste Priorität.
Anbindung der Nutzerdatenbank via Single Sign-On (SSO)
Die Software von Table of Visions wurde bereits in diverse Intranets eingebunden. Hierbei werden Industriestandards wie bspw. SAML 2.0, Azure AD, LDAP oder Active Directory unterstützt, um Single-Sign-On (SSO) zu verwenden. Die Anbindung an die lokale Nutzerdatenbank ermöglicht eine einfache und einheitliche Benutzerverwaltung und vermeidet, dass sich die Mitarbeiter einzeln registrieren und sich ein eigenes Passwort für die Plattform merken müssen. Zudem müssen die Nutzerdaten nur zentral in der bereits vorhandenen Nutzerdatenbank und nicht zusätzlich in der Anwendung gepflegt werden.
Kooperation mit Staffbase
Staffbase ist einer der führenden Anbieter für mobiles Intranet und Mitarbeiter-Apps. Table of Visions und Staffbase verbindet hierbei eine tiefgreifende Kooperation, die die Ideen- und Innovationsmanagementlösung von Table of Visions ganz einfach in die Anwendung von Staffbase integriert. Somit können die Nutzer ganz einfach und ohne Medienbruch direkt in der Staffbase-Anwendung Ideen einreichen, bewerten oder kommentieren.
Für weitere Informationen kontaktieren Sie uns gerne über das Kontaktformular.
Bitte füllen Sie dieses Formular aus und wir werden uns in Kürze mit Ihnen in Verbindung setzen.
Gerne können Sie mich auch anrufen unter +49 (0) 30 54 83 60 23
oder mir eine E-Mail schreiben: simon.radeck@tableofvisions.com.