Sicherheit & Compliance bei Workerbase
Wir erfuellen die hoechsten Sicherheits- und Datenschutzstandards
Workerbase wird regelmaessig von unabhaengigen externen Pruefern auf die Einhaltung der DSGVO- und CCPA-Datenschutzvorschriften geprueft. Unsere Einhaltung der DSGVO und CCPA zeigt unser Engagement fuer den Schutz personenbezogener Daten und die Umsetzung eines einwilligungsbasierten Ansatzes zur Verarbeitung personenbezogener Daten.
Unsere Verschluesselungsprotokolle sind auf hoechstem Sicherheitsniveau
In einer Multi-Cloud-Umgebung stellt Workerbase sicher, dass alle Daten sowohl im Ruhezustand als auch bei der Uebertragung verschluesselt sind, unter Verwendung erstklassiger Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256. Wir verwenden Transport Layer Security (TLS) zur Verschluesselung der Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, gemaess den besten Branchenpraktiken. Alle gespeicherten Daten profitieren von robusten Verschluesselungsalgorithmen und werden mit fortschrittlichen Secret-Management-Diensten gesichert.
Workerbase bietet umfassende Verschluesselung in jeder Phase -- ob Daten im Ruhezustand, bei der Uebertragung oder in der Cloud gespeichert sind, um maximale Sicherheit, Datenschutz und Integritaet zu gewaehrleisten. Zusaetzlich sind auch Metadaten-Kommunikationen zwischen Ihrem System und Workerbase vollstaendig verschluesselt.
Unser einwilligungsbasiertes Modell gibt Menschen die Kontrolle ueber ihre persoenlichen Daten
Gemaess der Datenschutz-Grundverordnung (DSGVO), die 2018 in Europa eingefuehrt wurde, sind Einzelpersonen Eigentuemer ihrer personenbezogenen Daten, einschliesslich geschuetzter Gesundheitsdaten, und jede Einwilligung zur Verarbeitung oder Weitergabe dieser Daten muss "frei gegeben, spezifisch und informiert" sein. Wir unterstuetzen dieses Prinzip vollstaendig.
Wenn ein Nutzer Workerbase-Dienste nutzt, erbittet er effektiv die Erlaubnis einer Person, auf deren Daten zuzugreifen. Dieser Prozess ermaechtigt Menschen, ihre Rechte auf Einwilligung und Eigentum an ihren Daten auszuueben.
Unsere Sicherheitsmassnahmen entwickeln sich staendig weiter, um mit der sich aendernden Bedrohungslage Schritt zu halten
Unser Engagement fuer Sicherheit und Datenschutz ist fortlaufend und umfasst einen staendigen Kreislauf aus Forschung, Ueberarbeitung, Implementierung, Testen, Korrektur, Skalierung, Schutz und Berechtigungsvergabe. Wir sind bestrebt, die Erwartungen von Regulierungsbehoerden, Investoren, Partnern und Nutzern konsequent zu erfuellen und zu uebertreffen. Unser Team lebt und atmet taeglich Sicherheitsprozesse und macht sie zu einem grundlegenden Teil unserer Kultur. Schliesslich ist Sicherheit einer der Kerndienste, die wir anbieten.
Datenspeicherung und -loeschung ist standardisiert und liegt im Ermessen unserer Nutzer
Alle berechtigten Nutzerdaten, die Workerbase vorhalt, stehen unseren Kunden fuer einen Zeitraum von 30 Tagen nach Ablauf oder Kuendigung des Master Service Agreement zum elektronischen Abruf zur Verfuegung. Alle Daten werden danach vollstaendig von den Workerbase-Servern entfernt. Jeder Nutzer kann die Loeschung seiner personenbezogenen Daten beantragen, indem er den Workerbase-Support kontaktiert.
Wir errichten starke Abwehrmechanismen an Eintrittspunkten
Workerbase hat Apps und Backend-Infrastruktur, die die primaeren Zugangspunkte fuer Nutzerdaten sind, so konzipiert, dass sie Client-Anfragen nur ueber robuste TLS-Protokolle akzeptieren. Darueber hinaus erfolgen alle Datenuebertragungen zwischen von Workerbase verwalteter Infrastruktur und Datenplattformen ueber verschluesselte Tunnel.
Wir treffen alle notwendigen Infrastruktur-Vorkehrungen
Alle unsere Dienste laufen in Cloud-Umgebungen. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmaessig unabhaengigen Ueberpruefungen der Sicherheits-, Datenschutz- und Compliance-Kontrollen gegen folgende Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele weitere.
Sicherer Code: transparente Entwicklung mit Sicherheit im Fokus
Der Schutz von Kundendaten vor modernen Bedrohungen bedeutet, dass Produkte, die ueber unsere Dienste entwickelt werden, mit Sicherheit im Fokus entwickelt werden muessen. Folgende Praktiken gewaehrleisten das hoechste Sicherheitsniveau in unserer Software:
Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Integration von Sicherheit in den Entwicklungszyklus konzentriert. Entwicklung und kontinuierliche Pflege einer sicherheitsorientierten Unternehmenskultur. Wir bewerten die Sicherheit unseres Codes anhand branchenweit anerkannter Sicherheits-Frameworks wie ATT&CK, OWASP Top 10 und SANS Top 25. Entwickler nehmen an regelmaessigen Sicherheitsschulungen teil. Wir ueberpruefen unseren Code auf Sicherheitsschwachstellen. Wir aktualisieren regelmaessig unsere Backend-Infrastruktur und Software. Wir verwenden statische (SAST) und dynamische (DAST) Anwendungssicherheitstests. Wir fuehren regelmaessig externe Penetrationstests in unseren Produktionsumgebungen durch.
Unsere Loesungen zur Anwendungssicherheitsueberwachung ermoeglichen es uns: Angriffe zu identifizieren und schnell auf Datenverletzungen zu reagieren, Ausnahmen und Protokolle zu ueberwachen und Anomalien zu erkennen, sowie Protokolle zu sammeln und zu speichern, um einen Audit-Trail bereitzustellen.
Wir setzen auch ein Laufzeitschutzsystem ein, das Web-Angriffe und Geschaeftslogik-Angriffe in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header zum Schutz unserer Nutzer vor Angriffen.
Wir praktizieren strenge Sicherheitsueberwachung und -schutz auf Netzwerkebene
Wir betreiben ein eigenes internes Security Operations Center. Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswuerdigen und Next-Generation-Firewalls ueberwachen und schuetzen, einschliesslich IP-Adressfilterung, um vor unbefugtem Zugriff zu schuetzen. Wir setzen eine Intrusion-Detection- und/oder Prevention-Loesung (IDS/IPS) ein, die potenziell schaedliche Pakete ueberwacht und blockiert, sowie DDoS-Abwehrdienste, die von einer branchenfuehrenden Loesung unterstuetzt werden.
Wir verfuegen ueber ein branchenfuehrendes Sicherheitsteam
Unser Sicherheitsteam besteht aus Sicherheitsexperten, die sich der staendigen Verbesserung der Sicherheit unserer Organisation widmen. Unser Team ist geschult und zertifiziert in den Bereichen Sicherheitsbedrohungserkennung und Incident Response, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Sicherheitsmanagement-Compliance und neueste Sicherheits-Best-Practices.
Wir foerdern verantwortungsvolle Offenlegung
Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu benachrichtigen, indem Sie infosec@workerbase.com kontaktieren. Bitte fuegen Sie Ihrer E-Mail einen Proof of Concept bei. Wir werden so schnell wie moeglich auf Ihre Einreichung reagieren und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung befolgen:
Bitte vermeiden Sie automatisierte Tests und fuehren Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte fuegen Sie Ihrer E-Mail einen Proof of Concept bei. Geben Sie keine Informationen ueber die Schwachstellen preis, bis eine eindeutige Genehmigung erteilt wurde.
Bitte beachten Sie, dass unser Bug-Bounty-Programm derzeit geschlossen ist und wir keine neuen Sicherheitsforscher suchen.
Allgemeine Informationssicherheitsrichtlinie
Schutz der Informations- und IT-Vermoegenswerte des Unternehmens (einschliesslich, aber nicht beschraenkt auf alle Computer, mobile Geraete, Netzwerkausruestung, Software und sensible Daten) gegen alle internen, externen, vorsaetzlichen oder zufaelligen Bedrohungen und Minderung der Risiken im Zusammenhang mit Diebstahl, Verlust, Missbrauch, Beschaedigung oder Missbrauch dieser Systeme.
Sicherstellen, dass Informationen gegen jeden unbefugten Zugriff geschuetzt sind. Benutzer sollen nur Zugang zu Ressourcen haben, fuer die sie ausdruecklich autorisiert wurden. Die Zuweisung von Berechtigungen wird streng kontrolliert und regelmaessig ueberprueft.
Schutz der Vertraulichkeit von Informationen. Vertraulichkeit von Informationen bedeutet den Schutz von Informationen vor der Offenlegung an unbefugte Parteien.
Sicherstellung der Integritaet von Informationen. Integritaet von Informationen bezieht sich auf den Schutz von Informationen vor der Aenderung durch unbefugte Parteien.
Aufrechterhaltung der Verfuegbarkeit von Informationen fuer Geschaeftsprozesse. Verfuegbarkeit von Informationen bezieht sich auf die Sicherstellung, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen koennen.
Foerderung der kontinuierlichen Verbesserung von Sicherheitsmassnahmen. Kontinuierliche Verbesserung im Kontext der Informationssicherheit bezieht sich auf die fortlaufenden Bemuehungen zur Verbesserung und Staerkung von Sicherheitskontrollen und -prozessen.
Einhaltung und, wo immer moeglich, Uebertreffen nationaler gesetzlicher und regulatorischer Anforderungen, Standards und Best Practices.
Entwicklung, Pflege und Test von Business-Continuity-Plaenen, um sicherzustellen, dass wir trotz aller Hindernisse auf Kurs bleiben.
Sensibilisierung fuer Informationssicherheit durch Bereitstellung von Sicherheitsschulungen fuer alle Mitarbeiter. Sicherheitsbewusstsein und gezielte Schulungen sollen konsequent durchgefuehrt werden, Sicherheitsverantwortlichkeiten in Stellenbeschreibungen widergespiegelt werden und die Einhaltung von Sicherheitsanforderungen soll als Teil unserer Kultur erwartet und akzeptiert werden.
Sicherstellen, dass keine Massnahmen gegen Mitarbeiter ergriffen werden, die ein Informationssicherheitsbedenken melden, es sei denn, eine solche Offenlegung weist zweifelsfrei auf eine rechtswidrige Handlung, grobe Fahrlaessigkeit oder eine wiederholte vorsaetzliche Missachtung von Vorschriften oder Verfahren hin.
Alle tatsaechlichen oder vermuteten Informationssicherheitsverletzungen an infosec@workerbase.com melden.