IT-Sicherheit und Datenschutz
Die Sicherheit der Kundendaten ist für Questback der Ausgangspunkt für unser Schaffen. Als vertrauenswürdiger Partner für die Verarbeitung Ihrer Daten haben wir uns zu den höchsten Standards im IT-Sicherheit und Datenschutz verpflichtet. Wir verfolgen die Entwicklung von Sicherheitsstandards laufend und richten unsere Prozesse und Sicherheitsleitlinien danach aus.
Im Folgenden finden Sie einen Überblick darüber, wie wir Kundendaten vor unbefugtem Zugriff, Verwendung, Veränderung oder Zerstörung schützen. Außerdem wird dargelegt wie wir täglich und fortlaufend daran arbeiten unser Produkt und unseren Datenschutz zu überprüfen und zu optimieren um gesetzliche Vorschriften (DSGVO) und Sicherheits-Best-Practices zu erfüllen.
In Europa ansässig, ist Questback natürlich zu 100 % DSGVO-konform.
Standort der Datenspeicherung: Questback nutzt ISO-zertifizierte Hochleistungsrechenzentren, die zu 100% in Deutschland gehostet werden.
Penetrationstests: Um ein Höchstmaß an Sicherheit zu erreichen, lässt Questback regelmäßig Penetrationstests durch unabhängige Cybersicherheitsunternehmen durchführen. Der jüngste Test ergab sehr gute Ergebnisse.
Datenzugriff: Der Questback-Mandant ist durch ein Best-Practice-Setup in Bezug auf Sicherheit, Leistung und Redundanz geschützt, das über Jahre hinweg entwickelt worden ist. Backend-Dienste und Datenbanken sind nur von innerhalb des Mandanten zugänglich und können nicht von außen ohne VPN-Zugang erreicht werden. Alle von außen zugänglichen Ressourcen auf dem Questback-Mandanten sind mit SSL verschlüsselt. Der direkte Zugriff erfolgt über einen persönlichen VPN-Zugang, der durch eine Zwei-Faktor-Authentifizierung (2FA) gesichert ist.
Audit Logs: Questback erstellt Audit Logs für Administrator-Aktivitäten und wenn Benutzer auf Daten zugreifen.
Authentifizierung: Jede Datenanfrage – intern oder extern – wird authentifiziert und auf ihre Berechtigung überprüft. Alle Datenanfragen kommen von authentifizierten und genehmigten Benutzern, mit formularbasierter und SAML 2.0-Authentifizierung.
Sicheres Login: Questback-Nutzer können durch Single-Sign-on (SSO) und Multi-Faktor-Authentifizierung (MFA) vor Cyberattacken geschützt werden.
PII- und Datenverschlüsselung: Die Volume-Verschlüsselung ist auf allen Volumen innerhalb des Questback-Mandanten für die Verschlüsselung im Ruhezustand aktiviert. Die Verschlüsselungsschlüssel werden in einem Hardware-Sicherheitsmodul (HSM) gespeichert, dass die Sicherheitszertifizierung Federal Information Processing Standards (FIPS) 140-2 Level 3 erfüllt. Der im HSM gespeicherte Hauptschlüssel entspricht dem AES256-Standard. Zusätzlich zur Datenträgerverschlüsselung werden die Questback-Datenbanken mit TDE verschlüsselt, wobei ein weiterer AES256-Hauptschlüssel verwendet wird. TDE verschlüsselt die Datenbank-Speicherdateien auf der Festplatte.
Alle eingehenden Kundenanfragen an den Questback-Mandanten verwenden SSL (Verschlüsselung bei der Übertragung).
Produktsicherheit: Sicherheit wird in jeder Phase des Softwareentwicklungszyklus berücksichtigt. Die Sicherheit ist von Anfang an in den Code integriert und wird nicht erst dann angegangen, wenn Tests kritische Produktmängel aufzeigen. Die Sicherheit wird bereits in der Planungsphase berücksichtigt, noch bevor der Code geschrieben wird. Wir testen den Code frühzeitig und häufig. Wir setzen statische und dynamische Tests während des gesamten Entwicklungsprozesses ein. Wir berücksichtigen die Sicherheitsanforderungen an die Software neben den funktionalen Anforderungen. Wir führen während des Code-Design-Phase eine Risikoanalyse durch, damit wir potenzielle Sicherheitsbedrohungen frühzeitig erkennen können.
Business Continuity: Die Questback Essentials-Anwendung ist so konfiguriert, dass sie fast rund um die Uhr verfügbar ist, und sie verfügt über redundante Hardware und Software, die sie trotz Ausfällen verfügbar macht. Mehrere Komponenten können die gleiche Aufgabe übernehmen und sind auf 2 oder 3 Rechenzentren verteilt. Das Problem eines Single Point of Failure entfällt, da redundante Komponenten eine Aufgabe übernehmen können, die von einer ausgefallenen Komponente ausgeführt wurde. Als Teil unserer Vorbereitung auf eine mögliche Katastrophensituation testen wir ein vollständiges Wiederherstellungsverfahren regelmäßig, um sicherzustellen, dass wir unseren hohen Erwartungen gerecht werden.
Systemredundanz und Backups: Der Speicher wurde so konzipiert, dass er äußerst langlebig ist. Mehrere Kopien der Daten werden auf Servern in verschiedenen Datenzentren gespeichert. Außerdem wird die Datenintegrität aktiv durch Prüfsummen überwacht. Beschädigte Daten werden automatisch erkannt und von redundanten Kopien geheilt. Jeder Verlust von Datenredundanz wird aktiv durch die Erstellung einer neuen Kopie der Daten mitigiert.
Neben der Hochverfügbarkeit führen wir policy-basierte Backups durch, um automatische, geplante Backups durchzuführen und diese auf der Grundlage einer Backup-Richtlinie aufzubewahren. Diese Backups können über verschiedene Rechenzentren hinweg wiederhergestellt werden.
IT- und Datensicherheitsschulung – Questback schult seine Mitarbeiter regelmäßig in IT- und Datensicherheit – gerade jetzt findet eine IT-Sicherheitsschulung statt, bei der Sicherheitsbedrohungen von unabhängigen externen Parteien simuliert werd.
Für weitere Informationen besuchen Sie bitte unser Trust Center: https://www.questback.com/trust-center/