Sicherheit

Datensicherheit hat für uns oberste Priorität

Wir nehmen Datensicherheit sehr ernst und halten uns an die höchsten Sicherheitsstandards, damit deine Daten jederzeit und ausnahmslos geschützt sind.

Datenstandort Deutschland

Hosting in Deutschland
Evermood wird ausschließlich in zertifizierten Hochsicherheitszentren der Open Telekom Cloud in Deutschland gehostet.
Die Verarbeitung und Speicherung von Daten erfolgt ausschließlich in Deutschland und gelangt nicht in Drittländer.
ISO 27001 & Trusted Cloud
Wir stellen sicher, dass die Informationssicherheit der Rechenzentren stets den Anforderungen der ISO 27001 genügt und dass die Verarbeitung personenbezogener Daten im Einklang mit den Trusted Cloud Anforderungen steht.

Physische Sicherheit

Einrichtungen
Unsere Servicedaten werden ausschließlich in Rechenzentren der Open Telekom Cloud gehostet. Diese sind unter anderem nach ISO 27001, PCI/DSS Service Provider Level 1 und SOC 2 zertifiziert.
Sicherheit vor Ort
Die Sicherheit der Open Telekom Cloud-Rechenzentren vor Ort ist durch Sicherheitspersonal, Umzäunung, Videoüberwachung, Einbruchserkennung und weitere Maßnahmen gewährleistet.

Netzwerksicherheit

Allgemeine Maßnahmen
Unser Netzwerk ist durch die umfassenden Sicherheitsdienste von der Open Telekom Cloud, Integration mit unseren Cloudflare-basierten Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien geschützt, die es kontinuierlich auf bekannte bösartige Verkehrsmuster und Netzwerkattacken überwachen und diese blockieren.
Architektur
Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz.
Sicherheitsprüfungen
Mithilfe von regelmäßigen Netzwerksicherheitsprüfungen können wir nichtkonforme oder potenziell anfällige Systeme schnell identifizieren.
Penetrationstests durch externe Experten
Zusätzlich zu unserem umfassenden internen Prüf- und Testprogramm lässt Evermood jedes Jahr von externen Sicherheitsexperten einen umfangreichen Penetrationstest unserer gesamten Produktions- und Unternehmensnetzwerke durchführen.
Security Incident Event Management (SIEM)
Wir nutzen ein Security-Incident-Event-Management-System (SIEM), um umfassende Protokolle von wichtigen Netzwerkgeräten und Hostsystemen zu erfassen. Das SIEM-System spricht bei Auslösern an, die über das Auftreten bestimmter Vorfälle benachrichtigen. So können wir frühzeitig Untersuchungen und passende Maßnahmen einleiten.
Zugriffsprotokollierung
Wir protokollieren jede Anmeldung unserer Mitarbeitenden und verzeichnen den verwendeten Gerätetyp sowie die IP-Adresse der Verbindung.
Passwortrichtlinie & Zwei-Faktor-Authentifizierung
Unsere Mitarbeitenden müssen sich, sofern möglich, immer mithilfe einer Zwei-Faktor-Authentifizierung authentifizieren. Darüber hinaus sind sie dazu verpflichtet, jegliche Passwörter im Zusammenhang mit ihrer Tätigkeit für Evermood in dem von Evermood zur Verfügung gestellten Passwort-Manager (1Password) zu sichern. Für die Erstellung oder Veränderung von Passwörtern nutzen Mitarbeitende stets den oben genannten Passwort-Manager und erfüllen so mindestens die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik).
Logischer Zugriff
Die Bereitstellung unseres Leistungsangebotes sowie etwaige Problemdiagnosen erfordern, dass einige Mitarbeiter:innen Zugang zu den Systemen haben, in denen Kundendaten gespeichert und verarbeitet werden. Der Zugriff auf diese ist jedoch auf die minimal notwendige Anzahl Mitarbeiter:innen (Need-to-know-Prinzip) mit den jeweils minimal notwendigen Zugriffsrechten (Prinzip der geringsten Rechte) beschränkt. Mitarbeitenden von Evermood ist solch ein Zugriff nur gestattet, sofern dies für ihre unmittelbare Tätigkeit unbedingt erforderlich ist. Wir verfügen über technische Kontrollen und Prüfrichtlinien, die sicherstellen, dass jeder Zugriff auf Kundendaten protokolliert wird.
Netzwerkschutz
Zusätzlich zu unserem hochentwickelten Überwachungs- und Protokollierungssystem haben wir eine Zwei-Faktor-Authentifizierung für jeden Serverzugriff in unserer gesamten Produktionsumgebung eingeführt. Firewalls werden gemäß den Best Practices der Branche konfiguriert.
Reaktion auf Sicherheitsvorfälle
Bei einem Sicherheitsalarm werden Vorfälle an unseren Sicherheitsbeauftragten eskaliert. Der Sicherheitsbeauftragte ist in der Reaktion auf Sicherheitsvorfälle geschult und mit den jeweiligen Kommunikationskanälen und Eskalationspfaden vertraut.

Verschlüsselung

Data-in-Transit-Verschlüsselung
Alle Leistungen von Evermood unterstützen die jüngsten empfohlenen sicheren Verfahren und Protokolle zur Verschlüsselung aller Daten bei der Übertragung. Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Evermood ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen dir und Evermood sicher ist. Für E-Mails verwenden wir standardmäßig TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.
Data-at-Rest-Verschlüsselung
Die Kundendaten sind im Ruhezustand verschlüsselt. Bei der Open Telekom Cloud werden Daten durch Data-at-Rest-Verschlüsselung gesichert (AES-256).

Verfügbarkeit & Kontinuität

Redundanz
Um Single Points of Failure (SPOF) zu eliminieren, nutzt Evermood Service-Clustering und Netzwerkredundanzen: Kundendaten werden redundant an mehreren Standorten in den Rechenzentren unserer Hosting-Anbieter gespeichert. Die Kundendaten und unser Quellcode werden jede Nacht automatisch gesichert. Unsere strikten Backup- und Disaster-Recovery-Programme replizieren Daten über mehrere Verfügbarkeitszonen hinweg und ermöglichen so zu jedem Zeitpunkt maximale Verfügbarkeit.
Disaster Recovery
Mithilfe eines Disaster-Recovery-Programms gewährleisten wir, dass unsere Services im Katastrophenfall weiterhin verfügbar bleiben bzw. leicht wiederherstellbar sind. Dies erreichen wir durch eine robuste technische Umgebung, Disaster-Recovery-Pläne und regelmäßige Testaktivitäten. Wir verfügen über bewährte Datensicherungs- und Wiederherstellungsverfahren, die auch bei Notfällen größeren Ausmaßes vor Datenverlust schützen. Das operative Team wird bei einer Fehlfunktion des Systems unverzüglich benachrichtigt.

Anwendungssicherheit

Secure-Code-Schulungen
Unsere Development-Team nimmt mindestens einmal jährlich an einer Schulung zum Thema Secure Coding teil, bei der unter anderem Themen wie gängige Angriffsvektoren und Evermood-Sicherheitskontrollen behandelt werden.
Framework-Sicherheitskontrollen
Evermood nutzt moderne und sichere Open-Source-Frameworks mit Sicherheitskontrollen, um das Risiko von SQL Injection (SQLi), Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF) so weit wie möglich zu reduzieren.
Separate Umgebungen
Die Test- und Staging-Umgebungen von Evermood sind sowohl physisch als auch logisch von der Produktionsumgebung getrennt. Kundendaten kommen dabei nur in der Produktionsumgebung zum Einsatz.
Quality Assurance
Unser Sicherheitsbeauftragter überprüft und testet regelmäßig unsere Codebasis. Dabei werden Sicherheitsschwachstellen im Code identifiziert, getestet und priorisiert. Neue Eigenschaften, Funktionen und Designänderungen werden ebenfalls einer Sicherheitsprüfung unterzogen. Der Sicherheitsbeauftragte arbeitet eng mit den Entwicklungs-Teams zusammen, um weitere Sicherheitsprobleme zu klären, die während der Entwicklung auftreten.
Protokollierung
Wir unterhalten umfangreiche und zentralisierte Protokollierungssysteme in unseren Staging- und Produktionsumgebungen, die Informationen in Bezug auf die Sicherheit, die Überwachung, die Verfügbarkeit, den Zugriff und andere Kennzahlen unseres Leistungsangebotes enthalten. Diese Protokolle werden unter der Aufsicht des Sicherheitsbeauftragten mittels automatischer Überwachungssoftware auf Sicherheitsereignisse analysiert.

Produktsicherheit

Dynamische Schwachstellenprüfungen
Wir führen kontinuierlich automatische Schwachstellenprüfungen unserer Staging- und Produktions-Hosts durch und korrigieren alle entdeckten Probleme, die ein Risiko für unsere Umgebung darstellen. Zu diesem Zweck nutzen wir verschiedene Sicherheitstools von Drittanbietern.
Statische Codeanalyse
Unser Programm-Code wird stets mit einer automatisierten Software für die statische Analyse geprüft und getestet, bevor er für die Produktion freigegeben wird.
Penetrationstests durch externe Experten
Evermood lässt regelmäßig von externen Sicherheitsexperten detaillierte Penetrationstests durchführen.
Unterauftragnehmer
Zur Unterstützung der Bereitstellung unserer Leistungen können wir Datenverarbeiter mit Zugriff auf bestimmte Kundendaten hinzuziehen und nutzen. Vor dem Hinzuziehen eines externen Unterauftragsverarbeiters überprüfen und beurteilen wir umfangreich dessen Datenschutz-, Sicherheits- und Vertraulichkeitspraktiken. Aktuell nutzen wir ausschließlich die Dienste der Open Telekom Cloud als als Unterauftragsverarbeiter.

Speicherung von Zugangsdaten
Evermood folgt grundsätzlich den aktuellen Best Practices zum sicheren Speichern von Zugangsdaten. Kennwörter werden zu keinem Zeitpunkt in einem für Menschen lesbaren Format gespeichert, sondern stets mithilfe einer sicheren Einweg-Hashfunktion, die Salts verwendet.

Personalsicherheit

Richtlinien
Evermood hat umfassende und thematisch breit aufgestellte Sicherheitsrichtlinien entwickelt. Alle Mitarbeitenden und Unterauftragnehmer, die Zugriff auf unsere Datenbestände haben, haben Kenntnis dieser Richtlinien und sind zu deren Einhaltung verpflichtet.
Background-Checks
Evermood führt im Rahmen der gesetzlichen Möglichkeiten für alle neuen Mitarbeitenden einen Hintergrund-Check durch. Eine derartige Prüfung ist auch für externe Dienstleister erforderlich. Der Background-Check umfasst eine Überprüfung relevanter Vorstrafen, Überprüfung von Schulabschlüssen und Überprüfung früherer Erwerbstätigkeiten.
Schulungen
Alle Mitarbeiter:innen von Evermood nehmen bei ihrer Einstellung und anschließend einmal jährlich an einer Schulung zur Förderung des Sicherheitsbewusstseins teil. Unser Development-Team absolviert jährlich eine Schulung zum Thema Secure Coding.
Vertraulichkeitsvereinbarungen
Alle neu eingestellten Mitarbeitenden von Evermood unterzeichnen eine Vertraulichkeits- und Geheimhaltungsvereinbarung.