Sicherheitsrichtlinie

Datum des Inkrafttretens: 15.05.2018

Überblick

Bei QuizzClub nehmen wir den Schutz von Kundendaten sehr ernst. Diese Sicherheitsrichtlinie beschreibt die organisatorischen und technischen Maßnahmen, die wir ergreifen, um den unbefugten Zugriff, die unbefugte Verwendung, Änderung oder Weitergabe von Kundendaten zu verhindern.

Sicherheitsteam

Zu unserem Infrastruktur- und Sicherheitsteam gehören Mitarbeiter, die bei der Entwicklung, dem Bau und dem Betrieb von hochsicheren Internet-Systemen in Unternehmen, von Start-ups bis hin zu großen öffentlichen Unternehmen, eine führende Rolle gespielt haben.

Bewährte Praktiken

Incident Response Planung

  • Wir haben ein formelles Verfahren für Sicherheitsereignisse implementiert und alle Mitarbeiter über unsere Richtlinien informiert.
  • Wenn Sicherheitsereignisse erkannt werden, werden sie an unseren Notfall-Alias weitergeleitet. Die Teams werden per Paging benachrichtigt und versammelt, um das Ereignis schnell zu beheben.
  • Nachdem ein Sicherheitsereignis behoben wurde, erstellen wir eine Post-Mortem-Analyse.
  • Die Analyse wird persönlich überprüft, über das Unternehmen verteilt und umfasst Maßnahmen, die das Erkennen und Verhindern eines ähnlichen Ereignisses in Zukunft erleichtern.
  • QuizzClub benachrichtigt Sie umgehend schriftlich, sobald eine Sicherheitsverletzung der QuizzClub-Dienste festgestellt wurde, die sich auf Ihre Daten auswirkt. Die Benachrichtigung beschreibt den Verstoß und den Status der QuizzClub-Untersuchung.

Automatisierung des Build-Prozesses

  • Wir verfügen über eine funktionsfähige, häufig verwendete Automatisierung, sodass wir Änderungen an unserer Anwendung und am Standort innerhalb von Minuten sicher und zuverlässig implementieren können.
  • Wir stellen Code in der Regel Dutzende Male am Tag bereit, sodass wir uns darauf verlassen können, dass wir bei Bedarf schnell eine Sicherheitslücke schließen können.

Infrastruktur

  • Alle unsere Dienste und Daten werden in Hetzner-Einrichtungen in Deutschland und Finnland gehostet und durch Het security geschützt
  • Die Stromversorgungssysteme der Rechenzentren von Hetzner sind redundant ausgelegt und können ohne Beeinträchtigung des Dauerbetriebs 24 Stunden am Tag und 7 Tage die Woche gewartet werden. In den meisten Fällen wird für kritische Infrastrukturkomponenten im Rechenzentrum eine primäre und eine alternative Stromquelle mit jeweils gleicher Kapazität bereitgestellt.
  • Die Dienste von Quizzclub wurden unter Berücksichtigung der Notfallwiederherstellung entwickelt.
  • Unsere gesamte Infrastruktur ist auf die Hetzner-Rechenzentren (Verfügbarkeitszonen) verteilt und funktioniert auch dann, wenn eines dieser Rechenzentren unerwartet ausfällt.
  • Alle unsere Server befinden sich innerhalb des internen Netzwerks und verwenden ACLs (Network Access Control Lists), die nicht autorisierte Anforderungen verhindern.
  • QuizzClub verwendet eine Sicherungslösung für Datenspeicher, die Kundendaten enthalten. Backup-Archive werden mit starker Verschlüsselung gespeichert.

Daten

  • Alle Kundendaten werden in Deutschland gespeichert.
  • Wir haben keine individuellen Datenspeicher für jeden Kunden. In unserem Anwendungscode gibt es jedoch strenge Datenschutzbestimmungen, die den Datenschutz gewährleisten und verhindern sollen, dass ein Kunde auf die Daten eines anderen Kunden zugreift (d. H. Logische Trennung). Wir haben viele Unit- und Integrationstests eingerichtet, um sicherzustellen, dass diese Datenschutzkontrollen wie erwartet funktionieren. Diese Tests werden jedes Mal ausgeführt, wenn unsere Codebasis aktualisiert wird, und selbst wenn ein einzelner Test fehlschlägt, wird verhindert, dass neuer Code an die Produktion gesendet wird.
  • Jedes Quizzclub-System, das zur Verarbeitung von Kundendaten verwendet wird, wird entsprechend den branchenweit anerkannten Standards zur Systemhärtung mit wirtschaftlich vertretbaren Methoden konfiguriert und überwacht.
  • Quizzclub beauftragt bestimmte Prozessoren mit der Verarbeitung von Kundendaten. Diese Prozessoren sind bei Drittanbietern aufgeführt, die von Quizzclub von Zeit zu Zeit aktualisiert werden können.

Datenübertragung

Unsere API- und Anwendungsendpunkte sind nur TLS/SSL-fähig und erhalten bei SSL Labs-Tests die Note "A", was eine angemessene kommerzielle Sicherheit bedeutet. Quizzclub-Server unterstützen den Austausch von mit RSA und ECDSA signierten kryptografischen Schlüsseln mit ephemeren elliptischen Kurven. Diese Perfect Forward Secrecy (PFS)-Methoden tragen zum Schutz des Datenverkehrs bei und minimieren die Auswirkungen eines kompromittierten Schlüssels oder eines kryptografischen Durchbruchs.

Authentifizierung

  • QuizzClub wird 100% über HTTPS bereitgestellt.
  • Es gibt keine Unternehmensressourcen oder zusätzlichen Berechtigungen für das Netzwerk von QuizzClub.

Berechtigungen und Administratorsteuerelemente

  • Mit QuizzClub können Berechtigungsstufen für alle Mitarbeiter festgelegt werden, die Zugriff auf QuizzClub haben.
  • Berechtigungen und Zugriff können so festgelegt werden, dass sie Einstellungen, Benutzerdaten oder die Möglichkeit zum Senden / Bearbeiten von manuellen und automatischen Nachrichten enthalten.

Kundenverantwortlichkeit

  • Verwalten Sie Ihr eigenes Benutzerkonto innerhalb der QuizzClub-Dienste.
  • Einhaltung der Endbenutzer-Lizenzvereinbarung mit QuizzClub, einschließlich der Einhaltung von Gesetzen.
  • Benachrichtigen Sie QuizzClub unverzüglich, wenn Sie den Verdacht haben, dass verdächtige Aktivitäten die Sicherheit der QuizzClub-Dienste oder Ihres Kontos beeinträchtigen könnten.
  • Ohne die ausdrückliche vorherige schriftliche Zustimmung von QuizzClub dürfen Sie keine Sicherheitsüberprüfungen oder Sicherheitsbewertungen durchführen.

Kontaktinformation

Wenn Sie Fragen zu dieser Mitteilung haben, verwenden Sie bitte unser Kontaktformular