Sicherheit Ein Überblick über unsere Sicherheitsrichtlinien und -standards

Infrastruktur Sicherheit


Unsere Infrastruktur läuft auf Rechenzentren, die von Amazon Web Services (AWS) bereitgestellt werden und über zahlreiche Sicherheitsmaßnahmen verfügen. Wir halten uns an die bewährten Vorgehensweisen für Plattformen, wie hier beschrieben

Smartmoove-Server laufen auf stabilen, regelmäßig gepatchten Versionen von Microsoft mit sorgfältig konfigurierten Sicherheitsgruppen, rollenbasierter Zugriffskontrolle und dem erweiterten Firewall-Schutz von AWS. Wir haben auch einen separaten Schutz auf den Ebenen Anwendung und Netzwerk eingerichtet.

Konto Sicherheit


Wir bedienen unsere Apps und Webseiten ausschließlich über HTTPS und Secure WebSockets. Alle Netzwerkinteraktionen verwenden TLS mit digitalen 2048-Bit-Signaturen und 128-Bit-AES-Verschlüsselung.


Software Sicherheit


Unsere Anwendungen laufen auf der neuesten stabilen Version. Unser Sicherheitsteam ist an der Festlegung von Architekturrichtlinien, der Überprüfung des Codes und der Bereitstellung aller Mikrodienste beteiligt, die mit den Kundendaten interagieren können.


Mitarbeiterzugriff


Der gesamte Benutzerzugriff wird über eine sorgfältig verwaltete und geprüfte Sicherheitsrichtlinie gesteuert, die Zugriffssteuerung, Kennwortrichtlinie und Netzwerkzugriff umfasst.


Datensicherheit


Der Kundendatenzugriff basiert auf Mitarbeiterrollen und wird mithilfe von Sicherheitsschlüsseln erzwungen. Nur das Kernteam, das auf die Gründer und CTO beschränkt ist, hat Zugriff auf diese Daten. Alle Daten, die für den Kundensupport (oder auf andere Weise) benötigt werden, werden über das Kernteam bezogen. Das Team stellt sicher, dass die Anforderungshypothese validiert wird und die Daten verschleiert und bereinigt werden, bevor sie an Support oder Engineering zurückgemeldet werden.
Alle Kundendaten werden in MS-QL-Datenbanken auf Amazon RDS gespeichert, die regelmäßig aus Sicherheitsgründen gepatcht werden. Daten werden mit mindestens zweifacher Redundanz und 15-tägigen Backups gespeichert und sind nur innerhalb der privaten Cloud zugänglich. Wir haben auch den Zugriffsschutz und die Datenisolierung pro Dienst eingerichtet.
Kundendaten werden je nach ihrer vor der Speicherung auf der Anwendungsebene ebenfalls AES-256-GCM verschlüsselt. Zu den sensiblen Daten gehören die Umgebungsvariablen und die globalen Variablen, deren Verwendung zum Speichern von Authentifizierungsschlüsseln und Kennwörtern dringend empfohlen wird.


Angriffsprävention und -minderung


Wir protokollieren Aktivitäten auf unserer Plattform, von einzelnen API-Anfragen bis zu Änderungen der Infrastrukturkonfiguration. Protokolle werden zur Überwachung, Analyse und Erkennung von Anomalien aggregiert und im Speicher für verwaltete Speicher archiviert. Wir implementieren Maßnahmen zur Erkennung und Verhinderung von Manipulationsversuchen oder Unterbrechungen.
Um Sicherheitsverletzungen zu ermitteln, überwachen wir Zugriffsmuster und Netzwerkdatenflussmuster mithilfe automatisierter Systeme, die uns im Falle einer Anomalie benachrichtigen. Wir verfolgen auch die öffentlichen Kanäle (und gegebenenfalls private Kontakte) unseres gesamten Open-Source- und Drittanbieter-Technologie-Stacks für sicherheitsrelevante Informationen. Im Falle eines vom Kunden gemeldeten Verstoßes werden der CTO, der CEO, automatisch benachrichtigt und der Bericht wird innerhalb weniger Stunden beantwortet.
Unsere Server sind gegen Angriffe von CSRF (Cross Site Request Forgery) und CSWSH (Socket Hijacking) geschützt.


Zahlungsabwicklung


Wir verarbeiten alle Zahlungen mit Micropayment, das als PCI-DSS Standards Level 1 Service Provider zertifiziert wurde.


Identifizieren, analysieren und bewerten das Ausmaß des Verstoßes


● Versuchen, die Lücke zu schließen. Priorität besteht darin, den Dienst offline zu schalten, wenn der Verstoß während des Prozesses aktiv ist.
● Informieren direkt betroffene Kundengruppe, wenn es sich um eine Verletzung handelt, die aufgrund unserer Nachlässigkeit verursacht wurde, und informieren Sie die Verletzung bei allen indirekt betroffenen Kunden.

Im Falle einer globalen Verletzung führen wir die oben genannten Schritte durch und informieren alle unsere Kunden über einen unserer öffentlichen Kommunikationskanäle. Für den Fall, dass der Verstoß in Zukunft erneut auftreten könnte, führen wir Sicherheitsregressionsüberprüfungen für Netzwerkcodeschichten durch.

Wenn Sie in unserem Service oder auf unserer Website eine Sicherheitslücke gefunden haben oder zusätzliche Informationen zur Sicherheitsverwaltung wünschen, senden Sie eine E-Mail an security@smartmoove.de Wir werden es überprüfen und Ihnen innerhalb von 24 Stunden persönlich antworten.