Sicherheit und Compliance

Gültig ab 9. Mai 2024

Dieses Dokument beschreibt unser Engagement für den Schutz der Sicherheit und des Datenschutzes der Daten, die Sie uns anvertrauen. Hier finden Sie detaillierte Informationen darüber, wie wir unsere Dienste hosten und verwalten, unsere Einhaltung internationaler Sicherheitsstandards, unsere Datenschutzpraktiken und die Maßnahmen, die wir ergreifen, um die Integrität und Verfügbarkeit unserer Systeme zu gewährleisten.

Hosting

Unsere Anwendungskomponenten werden über mehrere Dienste gehostet:

Netlify: Hostet statische Assets und clientseitigen Code.
Firebase: Verwaltet die Benutzerauthentifizierung und Backend-Funktionen.
Hetzner: Stellt Serverinfrastruktur bereit.
MongoDB Atlas: Speichert Anwendungsdaten auf Clustern, die auf der Google Cloud Platform gehostet werden.

Authentifizierung

Benutzer können auf unsere Dienste entweder über E-Mail-/Passwort-Authentifizierung oder Google OAuth 2.0 zugreifen. Derzeit unterstützen wir keine Zwei-Faktor-Authentifizierung.

Sitzungsmanagement

Sitzungstoken werden automatisch erneuert, es sei denn, sie werden vom Benutzer explizit widerrufen. Wir implementieren eine Richtlinie zur Sperrung bei ungültigem Passwort, um die Sicherheit zu erhöhen.

Compliance-Zertifizierungen

Unsere Server und Infrastrukturanbieter erfüllen wichtige Sicherheitsstandards:

Netlify: SOC 2 Typ 2 und ISO 27001 zertifiziert. Weitere Informationen
Hetzner: ISO 27001 zertifiziert. Weitere Informationen
Firebase: ISO 27001, SOC 1, SOC 2 und SOC 3 konform. Weitere Informationen
MongoDB Atlas: SOC 2 Typ 2 und ISO 27001 zertifiziert. Weitere Informationen

Datenspeicherung

Daten im Zusammenhang mit Räumen (Titel, Anpassung, Timer, Nachrichten, Protokolle) werden auf MongoDB Atlas-Clustern in South Carolina (us-east1) gespeichert, wobei Backups drei Monate lang aufbewahrt werden. Bilder (benutzerdefinierte Logos, Hintergründe usw.) werden in einem Google Cloud Platform-Speicher-Bucket gemäß einer "EU (mehrere Regionen in der Europäischen Union)"-Richtlinie gespeichert.

Sicherheitspraktiken

Datenlöschung: Nach der Löschung werden Raumdaten und Benutzerkonten innerhalb von 30 Tagen aus unseren Systemen entfernt. Alle Backups werden innerhalb von drei Monaten gelöscht.
Desktop-App: Verfügbar für Mac und Windows, funktioniert ausschließlich auf dem lokalen Dateisystem ohne Cloud-Interaktion. Sie prüft regelmäßig über HTTP-Anfragen auf Updates, aber das Blockieren dieser Anfragen beeinträchtigt die App-Funktionalität nicht.

Backup und Wiederherstellung

Unsere Datenwiederherstellungsstrategie umfasst:

Stündliche Snapshots: Werden alle 6 Stunden erstellt mit einer Aufbewahrungsfrist von 7 Tagen.
Wöchentliche Snapshots: Werden jeden Samstag erstellt mit einer Aufbewahrungsfrist von 4 Wochen.
Monatliche Snapshots: Werden am letzten Tag jedes Monats erstellt mit einer Aufbewahrungsfrist von 3 Monaten.

Systemintegrität und Redundanz

Tests: Wir führen vor jeder Systemaktualisierung automatisierte Tests durch, um die Integrität kritischer Funktionen sicherzustellen.
Redundanz: Kritische Systeme verfügen über mindestens dreifache Redundanz, um eine hohe Verfügbarkeit zu gewährleisten. Die Zuverlässigkeit unseres Systems kann auf unserer Statusseite überwacht werden.

Sicherheitsmaßnahmen

Datenverschlüsselung: Alle Daten während der Übertragung werden mit SSL verschlüsselt. Auf unseren Systemen gespeicherte Daten werden jedoch nicht im Ruhezustand verschlüsselt, sondern durch starke Authentifizierungs- und Sicherheitsprotokolle geschützt.
Zugriff durch Dritte: Der Zugriff auf Live-Benutzerdaten ist streng auf autorisiertes Personal beschränkt. Vertraulichkeitsvereinbarungen bestehen mit Auftragnehmern und Geschäftspartnern, und wo immer möglich, arbeiten diese mit Test- oder anonymisierten Daten, um unbefugten Zugriff auf sensible Informationen zu verhindern.

Weitere Informationen darüber, welche Drittanbieterdienste wir nutzen, die möglicherweise personenbezogene Daten erhalten, finden Sie in unserer Datenschutzrichtlinie.