Datensicherheitsstandards

Einleitung

Bei Lumiform sind wir bestrebt, die Sicherheit und den Schutz der Daten unserer Kunden zu gewährleisten. Unsere Plattform ist darauf ausgelegt, Unternehmen aus verschiedenen Branchen dabei zu helfen, ihr Qualitätsmanagement, ihre Sicherheit, ihre Compliance und ihre betrieblichen Prozesse zu verbessern. Mit über 90.000 Unternehmen, die Lumiform weltweit nutzen, sind wir uns unserer entscheidenden Rolle im täglichen Betrieb unserer Kunden bewusst. Sicherheit hat für uns oberste Priorität und wir halten uns an strenge europäische Richtlinien, um deine Daten zu schützen.

In diesem Dokument wird der Ansatz unseres Unternehmens in Bezug auf (Cyber-)Sicherheit erläutert. Bei Fragen wenden Sie sich bitte an privacy@lumiformapp.com.

Überblick über unser Cybersicherheitsprogramm

Lumiform hat ein umfassendes Cybersicherheitsprogramm eingeführt, das darauf abzielt, den aktuellen und neu auftretenden Bedrohungen in der digitalen Landschaft zu begegnen. Unser Ansatz kombiniert technische und betriebliche Kontrollen, um uns vor potenziellen Cyberangriffen zu schützen und die von unserer SaaS-Anwendung verarbeiteten Daten zu sichern.

Die wichtigsten Funktionen unseres Cybersicherheitsprogramms:

  1. Erstklassige Infrastruktur: Unsere Informationssysteme und technische Infrastruktur werden in SOC 2-akkreditierten Rechenzentren gehostet. Diese Einrichtungen setzen physische Sicherheitsmaßnahmen ein, darunter eine 24/7-Überwachung, Sicherheitskameras, Besucherprotokolle und Zugangsbeschränkungen, um eine sichere Umgebung für die Datenverarbeitung zu gewährleisten.
  2. Einhaltung von Branchenstandards: Die von uns verwendete Cloud-Plattform erfüllt vertrauenswürdige Sicherheitsstandards wie ISO 27001 und SOC 2, die für die Aufrechterhaltung hoher Standards im Informationssicherheitsmanagement unerlässlich sind.
  3. Robuste Zugangskontrolle: Der Zugriff auf Lumiform-Systeme und Kundendaten wird mithilfe einer Multi-Faktor-Authentifizierung und strenger Zugriffsverwaltungsprotokolle kontrolliert und überwacht, wodurch das Risiko eines unbefugten Zugriffs minimiert wird.
  4. Datenverschlüsselung: Wir verwenden robuste Verschlüsselungsmechanismen, um Kundendaten während der Übertragung und im Ruhezustand zu schützen, und halten uns dabei an branchenführende Standards zum Schutz sensibler Informationen.
  5. Proaktives Patch-Management: Patches werden umgehend auf unsere IT-Umgebung und Produkte angewendet, um Schwachstellen zu minimieren und das Risiko der Ausnutzung durch Cyber-Angreifer zu reduzieren.
  6. Schwachstellenmanagement: Unser Team überwacht und testet aktiv auf Schwachstellen in unserer IT-Umgebung und unseren Produkten und sorgt für eine schnelle Lösung festgestellter Vorfälle, um die Systemintegrität zu gewährleisten.
  7. Reaktionsbereitschaft im Falle von Vorfällen: Es gibt ein festgelegtes Verfahren zur Reaktion auf Vorfälle, das von einem speziellen Team unterstützt wird, um im Falle eines Sicherheitsvorfalls schnelle Unterstützung und Lösungen zu bieten und die Kontinuität des Betriebs zu gewährleisten.
  8. Strategische Partnerschaften: Wir wählen Partner aus, die hohe Sicherheitsstandards erfüllen, und verbessern durch gemeinsame Anstrengungen die allgemeine Sicherheitslage unseres Ökosystems.

Der Rest dieses Dokuments bietet einen detaillierten Überblick über die verschiedenen Komponenten unseres Sicherheitsprogramms und unterstreicht unseren systematischen Ansatz, unseren Kunden eine sichere und zuverlässige Plattform zu bieten.

Organisatorische Sicherheit

Unser Sicherheitsansatz entspricht den bewährten Verfahren, die in anerkannten Standards wie ISO 27001 festgelegt sind. Wir sind bestrebt, unser Sicherheitsprogramm kontinuierlich zu erweitern, wobei eine formelle Zertifizierung unser zukünftiges Ziel ist.

Sicherheitsmanagement

Lumiform verfügt über ein umfassendes Regelwerk an Richtlinien und Verfahren, die unseren Sicherheitsansatz definieren. Diese Dokumente werden an alle Mitarbeiter weitergegeben und jährlich oder bei Bedarf auch häufiger überprüft und aktualisiert, um sicherzustellen, dass sich unsere Sicherheitspraktiken mit neu auftretenden Bedrohungen weiterentwickeln.

Rechenschaftspflicht und Transparenz sind integraler Bestandteil unserer Sicherheits-Governance. Die Stakeholder von Lumiform kommen regelmäßig zusammen, um sicherheitsrelevante Angelegenheiten zu besprechen und fundierte Entscheidungen zu treffen, die unsere Cybersicherheitsstrategie prägen.

Zugang zu internen Systemen und Cloud-Plattformen

Der Zugriff auf unsere IT-Systeme und Cloud-Plattformen ist auf Mitarbeiter beschränkt, die ihn für ihre Aufgaben benötigen. Wir überprüfen regelmäßig die Zugriffsberechtigungen, um die Einhaltung unserer Sicherheitsrichtlinien sicherzustellen.

Der Administratorzugriff erfordert eine Multi-Faktor-Authentifizierung, und Mitarbeiter müssen eine zugelassene VPN-Lösung für eine sichere Verbindung verwenden. Unser Offboarding-Prozess stellt sicher, dass der Zugriff ausscheidender Mitarbeiter auf Systeme und Dienste umgehend widerrufen wird, wodurch eine strenge Kontrolle des Datenzugriffs gewährleistet wird.

Sicherheit durch Dritte

Wir führen sowohl zu Beginn als auch fortlaufend gründliche Überprüfungen der Sicherheitspraktiken von Dritten durch, die wir beauftragen, um sicherzustellen, dass sie unseren hohen Standards entsprechen und unsere Sicherheitsrichtlinien und Datenschutzrichtlinien eingehalten werden. Der Zugriff, der Dritten gewährt wird, ist auf die spezifischen Zwecke beschränkt, für die sie beauftragt wurden.

Als kritischer Anbieter arbeitet AWS nach einem Modell der gemeinsamen Verantwortung für Sicherheit und Compliance, das Rollen und Verantwortlichkeiten klar definiert. AWS erfüllt zahlreiche Branchenstandards. Wir arbeiten bei Finanztransaktionen mit Chargebee zusammen und halten uns dabei an den Payment Card Industry Data Security Standard (PCI-DSS).

Netzwerksicherheit

Unsere cloudbasierten Plattformen nutzen hauptsächlich Amazon Web Services (AWS), die eine mehrschichtige Sicherheitsstrategie zum Schutz vor externen Angriffen implementieren. Techniken wie Netzwerkzugriffskontrollen und Datentrennung mit Firewalls und virtuellen privaten Clouds werden eingesetzt, um bösartigen Datenverkehr herauszufiltern. AWS-Dienste, einschließlich Web Application Firewall und AWS Shield, schützen unsere Produkte vor webbasierten Angriffen und Denial-of-Service-Angriffen.

Protokollierung und Überwachung

Lumiform verwendet ein zentralisiertes Protokollierungssystem für Zugriffsprotokolle von Anwendungen, die von unseren Technikern zur Auswertung überprüft werden. Die Protokolle werden 90 Tage lang aufbewahrt und enthalten Amazon ELB-Protokolle zur Verfolgung von Servicezugriffsanfragen. Diese in AWS gespeicherten Aufzeichnungen sind unveränderlich und der Zugriff ist auf das erforderliche Personal beschränkt. Es werden regelmäßige Protokollüberprüfungen durchgeführt, um böswillige Aktivitäten zu erkennen und potenzielle Schwachstellen zu identifizieren.

Sicherheitsbewusstseinsschulung

Alle Mitarbeiter von Lumiform nehmen an jährlichen Schulungen zur Sensibilisierung für Sicherheit teil, die auf technische und nicht-technische Funktionen zugeschnitten sind. Die Schulungsmaterialien werden an die einzelnen Mitarbeiter angepasst, um spezifische Sicherheitsherausforderungen zu behandeln, die für ihre Positionen relevant sind.

Patching und Schwachstellenmanagement

Die Behebung von Sicherheitslücken hat Priorität und das Patchen unserer IT-Umgebung ist eine grundlegende Maßnahme. Wir verwenden AWS System Manager, um Patches in unserer Cloud-Infrastruktur bereitzustellen. Wir implementieren eine Lösung zur Geräteverwaltung für unsere interne IT-Infrastruktur, um eine zeitnahe und effiziente Installation von Patches zu gewährleisten. Patches für kritische Schwachstellen werden priorisiert und zunächst in unserer Nicht-Produktionsumgebung getestet.

Schutz von Kundendaten

Lumiform priorisiert die Sicherheit von Kundendaten durch umfassende Maßnahmen, die darauf abzielen, unbefugten Zugriff zu verhindern und die Datenintegrität zu gewährleisten.

Beschränkung des Datenzugriffs

Kundendaten werden sicher in unserer Produktionsumgebung gespeichert, wobei der Zugriff streng auf Mitarbeiter beschränkt ist, deren Aufgaben dies erfordern. Um den Datenzugriff zu verwalten, setzen wir Tools zur Zugriffskontrolle und Authentifizierung ein, darunter die Zwei-Faktor-Authentifizierung von Amazon Web Services und anderen Cloud-Partnern.

Mitarbeiter greifen ausschließlich zu Zwecken auf Daten zu, die mit den vertraglich vereinbarten Dienstleistungen in Zusammenhang stehen, wie z. B. zur Bearbeitung von technischen Supportanfragen. Ausführliche Informationen findest du in der Datenschutzerklärung von Lumiform. In einigen Fällen kann es erforderlich sein, dass Support- oder Entwicklungspersonal auf einen vollständigen Kundendatensatz zugreifen muss; in solchen Fällen wird vor dem Zugriff die Zustimmung des Kunden eingeholt.

Wir speichern oder cachen keine Finanzdaten von Kunden, die für die Rechnungsstellung auf der Lumiform-Plattform verwendet werden, und unsere Mitarbeiter haben keinen direkten Zugriff auf diese Daten.

Physischer Zugriff auf Kundendaten

Kundendaten werden auf der Infrastruktur von Amazon Web Services gehostet, die den branchenüblichen Best Practices für physische Sicherheit entspricht, wie im Sicherheits-Whitepaper von AWS beschrieben. An unseren physischen Bürostandorten werden keine Kundendaten gespeichert; alle Daten befinden sich in der AWS-Region Europa (Frankfurt).

Verschlüsselung von Daten

Lumiform verwendet robuste Verschlüsselungsstrategien, um Kundendaten im Ruhezustand und während der Übertragung zu schützen. Daten im Ruhezustand werden mit AES-256 verschlüsselt, wobei die entscheidende Verwaltung vom Key Management Service von AWS übernommen wird. Daten während der Übertragung werden durch Transport Layer Security (TLS) geschützt, mit einem Mindeststandard von TLS v1.2 unter Verwendung von 128-Bit-Chiffrierschlüsseln, die Verbindungen mit bis zu 256-Bit-AES-Chiffrierschlüsseln unterstützen.

Datensicherungen

Die Daten werden kontinuierlich mit den Speicherlösungen von Amazon Web Services gesichert, wobei die Kundendaten verschlüsselt werden. Der Zugriff auf die Sicherungskopien ist auf bestimmte Mitarbeiter von Lumiform beschränkt, deren Aufgabenbereich dies erfordert.

Löschung und Vernichtung von Daten

Kundendaten, die bei Amazon Web Services gespeichert sind, unterliegen den Lösch- und Entsorgungsverfahren von AWS, einschließlich der sicheren logischen Löschung von ausgemusterten Medien. Gelöschte Medien werden geprüft, um die erfolgreiche Datenvernichtung zu bestätigen. Lumiform-Hardware, die vertrauliche Daten enthält, wird vor dem Recycling einer branchenüblichen logischen Zerstörung unterzogen. Wir bevorzugen, wenn möglich, die digitale Datenspeicherung, die mit AES-256 GCM verschlüsselt ist, gegenüber physischen Medien.

Schutz unseres Produkts

Sicherheit und Transparenz sind für die Entwicklung und den Betrieb der Lumiform-App von grundlegender Bedeutung, um eine zuverlässige und sichere Benutzererfahrung zu gewährleisten.

Praktiken für die sichere Softwareentwicklung

Unser Produktentwicklungsprozess umfasst strenge Code-Überprüfungen mit Schwerpunkt auf Sicherheit, bevor Änderungen in die Live-Umgebung integriert werden. Wir unterhalten separate Test-, Entwicklungs- und Produktionsumgebungen, um die Sicherheit und Stabilität zu erhöhen.

Änderungskontrolle

Aktualisierungen und Änderungen am Lumiform-Produkt werden während der Entwicklung gründlich getestet, um mögliche Auswirkungen auf Endbenutzer zu minimieren. Wir verwenden Änderungsverfolgungs- und Versionskontrollsysteme, um Änderungen an unserer Codebasis effektiv zu überwachen und zu verwalten.

Identifizierung von Schwachstellen und Entwicklung von Patches

Die proaktive Identifizierung und Behebung von Schwachstellen ist für die Aufrechterhaltung der Produktsicherheit von entscheidender Bedeutung. Lumiform überwacht und testet Anwendungen aktiv auf Sicherheitslücken.

Wenn eine Schwachstelle identifiziert wird, wird sie intern nachverfolgt und je nach potenziellen Auswirkungen auf Kundendaten priorisiert. Der Zeitrahmen für die Behebung wird je nach Schweregrad festgelegt und kann bedeuten, dass unsere Entwickler intensiv arbeiten müssen, bis eine Lösung gefunden ist.

Patches für identifizierte Schwachstellen werden entwickelt und durch kontinuierliche Integration in die Produktionsumgebung eingesetzt. Für Patches, die sich auf Endbenutzer auswirken können, stellen wir Benachrichtigungen bereit und richten ein Servicefenster für die Bereitstellung ein, um Unterbrechungen so gering wie möglich zu halten.

Umgang mit Sicherheitsvorfällen

Obwohl wir uns bemühen, Sicherheitsvorfälle zu verhindern, ist die Vorbereitung entscheidend, um die Auswirkungen auf unsere Kunden und Lumiform zu minimieren. Wir haben mehrere Maßnahmen ergriffen, um ein effektives Vorfallsmanagement zu gewährleisten:

  • Verfahren für das Vorfallmanagement: Wir haben einen definierten und dokumentierten Prozess für die Behandlung von Vorfällen, die sich auf die Vertraulichkeit, Integrität oder Verfügbarkeit unserer IT-Umgebung und Anwendungen auswirken können.
  • Engagiertes Einsatzteam: Ein spezialisiertes Team von Lumiform-Mitarbeitern bietet Unterstützung bei Sicherheitsvorfällen und sorgt für eine koordinierte und effektive Reaktion.
  • Notfallwiederherstellung und Notfallplanung: Wir haben Notfallwiederherstellungspläne und zusätzliche Notfallstrategien erstellt, um die Geschäftskontinuität bei Vorfällen aufrechtzuerhalten.

Im Falle eines schwerwiegenden Vorfalls, der die Zugänglichkeit der Lumiform-Dienste oder die Vertraulichkeit und Integrität der Benutzerdaten beeinträchtigt, werden wir betroffene Kunden umgehend über die Datenschutzrichtlinie von Lumiform benachrichtigen. Weitere Einzelheiten findest du in unserer Datenschutzrichtlinie hier.

Schlussbemerkungen

Cybersicherheit ist ein wesentlicher Bestandteil der Geschäftstätigkeit von Lumiform und der Produkte, die wir weltweit anbieten. Die in diesem Dokument beschriebenen Kontrollen und Maßnahmen bieten einen allgemeinen Überblick über unseren mehrschichtigen Sicherheitsansatz. Unser Engagement für Sicherheit geht über diese Maßnahmen hinaus und gewährleistet einen umfassenden Schutz für unsere Kunden.

Bei Fragen zu diesem Dokument oder für weitere Informationen zu unseren Sicherheitspraktiken und -produkten stehen wir Ihnen gerne zur Verfügung:

Der Datenverantwortliche
Lumiform GmbH
Torstraße 201
10115 Berlin
Telefon: +49 30 30 3119 7191
E-Mail: privacy@lumiformapp.com

Datenschutzbeauftragter
Sebastian Schenk, tätig für Simply Legal GmbH
Burkarderstraße 36
97082 Würzburg
E-Mail: info@dieter-datenschutz.de
Telefon: +49 931 90 87 95 20