Skip to main content

Informationen über

das Vertrauen und die Sicherheit

Bildung und Sensibilisierung

Wir sind der Meinung, dass qualifiziertes Personal einer der wichtigsten Teile der Sicherheitswartung ist. Wir führen regelmäßig Schulungen und Tests mit unseren Mitarbeitern durch. Das Schulungs- und Sensibilisierungsprogramm ist das Hauptinstrument zur Vermittlung von Verantwortlichkeiten an unser Team gemäß den internen Richtlinien und Verfahren zur Informationssicherheit.

Während des Einarbeitungsprozesses nehmen neue Mitglieder unseres Teams an einer Schulung zum Sicherheitsbewusstsein teil und unterzeichnen eine strenge Geheimhaltungsvereinbarung.

Das Unternehmen führt vor der Einstellung gründliche Background-Checks durch. Softwareentwickler werden darin geschult, wie sie alle Aspekte der Systementwicklungsmethodik sicher und effizient anwenden können.

Mission für Informationssicherheit

Wir sorgen uns um unsere Kunden und ihre Bequemlichkeit bei der Verwendung von welPop. Wir stellen unser Produkt so her, dass sich die Benutzer so weit wie möglich auf die Umsetzung ihrer Arbeitsabläufe konzentrieren können. Alles andere wird von unserem Team übernommen.

Unser Unternehmen nimmt die Datensicherheit sehr ernst und verpflichtet sich, mit Daten verantwortungsvoll und in Übereinstimmung mit den geltenden Informationssicherheitsstandards und den weltweiten Datenschutzgesetzen umzugehen.

Sicherheit von Anwendungen

Wir stellen hohe Anforderungen an die sichere Entwicklung von welPop, die Implementierung der notwendigen Sicherheitskontrollen und die Durchführung regelmäßiger Bewertungen der Sicherheitsrisiken. Die Methodik der Programmentwicklung ist festgelegt und basiert auf den besten Praktiken der Systementwicklung und des Projektmanagements.

welPop umfasst proaktive Sicherheitskontrollen, die dabei helfen, Bedrohungen für Desktop-/Mobilanwendungen und die Webinfrastruktur zu vermeiden.

Wir legen großen Wert auf das Testen der welPop-Komponenten. Das welPop-Testing umfasst die Nutzung von Techniken zur statischen Code-Analyse während der Entwicklungs- und Testphase. Die Entwicklungs-, Test- und Szenenumgebungen sind von den Produktionsumgebungen und voneinander isoliert.

Für zusätzliche Kontrolle und einen besseren Prozess der Benutzerverwaltung bieten wir die Benutzerauthentifizierung über Single Sign-On (SSO) an. Derzeit unterstützen wir (LDAP und OAuth (Google Workspace (ehemals G Suite)) und arbeiten an der SAML-Implementierung.

Zugangskontrolle

Wir implementieren Zugriffskontrollmechanismen auf jeder Schicht des Stapels, wobei wir unsere Infrastruktur nach Zonen, Umgebungen und Abteilungen unterteilen. Wir haben strenge Zugriffskontrollen auf den folgenden Ebenen eingeführt:

 

  • Physischer Zugang
  • Zugang zum Netzwerk
  • Zugriff auf die Infrastruktur des Rechenzentrums
  • Zugriff auf das Betriebssystem
  • Zugang zu Anwendungen.

 

Authentifizierung wird nur über einen verstärkten Passwortschutz (gemäß der Passwortrichtlinie) und eine Mehrfaktor-Authentifizierung (falls zutreffend) bereitgestellt. Der Zugriff (entsprechend den administrativen Zuständigkeiten) auf vertrauliche Geschäftsdaten, Anwendungen und das Unternehmensnetzwerk wird auf der Grundlage des „Wissensbedarfs“ gewährt. Unser Team überwacht den Zugang zu allen Daten- und Verarbeitungsinformationssystemen kontinuierlich und überprüft die Einhaltung der Zugangsrichtlinien.

 

Der physische Zugang zu unseren Rechenzentren und Einrichtungen ist ausschließlich auf befugtes Personal beschränkt.

 

Der Netzwerkzugang zum internen Unternehmensnetzwerk wird unter Verwendung eines VPN gewährt. Die Zugangskontrolle zur Cloud-Infrastruktur von welPop erfolgt über ein Virtual Private Cloud (VPC)-Routing und eine verschlüsselte, zertifikatsbasierte Verbindung.

Politik der Zuverlässigkeit

Wir schätzen und respektieren jede Minute unserer Kunden und kümmern uns um die Zugänglichkeit unserer Anwendung. welPop wird in AWS gehostet, das ein hohes Maß an Skalierbarkeit und Fehlertoleranz bietet. Die Anwendung, die Daten und die Sicherungsdaten werden repliziert und in mehreren Rechenzentren innerhalb der AWS-Regionen gespeichert. Die persönlichen Daten der Kunden werden in Übereinstimmung mit unserer Datenschutzrichtlinie und den weltweiten Datenschutzbestimmungen behandelt.

Umgang mit Risiken

Das Informationssicherheitsprogramm des Unternehmens basiert auf einem risikobasierten Ansatz. Der Risikomanagementprozess ist in allen Informationssystemen und Geschäftsprozessen implementiert. Die Ziele des Unternehmens im Bereich des Risikomanagements sind wie folgt:

 

Unser Team führt eine Bedrohungsmodellierung für welPop durch, um potenzielle Sicherheitsbedrohungen zu identifizieren und zu priorisieren. Diese Informationen werden sowohl im Designprozess der Anwendung als auch in den späteren Entwicklungsphasen berücksichtigt. Alle wichtigen Mitglieder des Entwicklungsteams sind in den Prozess der objektiven Bedrohungsmodellierung eingebunden.

Antivirus-Richtlinie

Unser Unternehmen hat den notwendigen Schutz implementiert, um „bösartige Codes“ (Computerviren, Malware) zu verhindern und vor ihnen zu schützen, die darauf ausgelegt sind, Schwachstellen auszunutzen, die Leistung der Computerumgebung zu beeinträchtigen und/oder an vertrauliche Geschäftsdaten zu gelangen, die auf Laptops, Arbeitsplatzrechnern und Servern in Rechenzentren gespeichert sind.

Richtlinien zur Netzwerksicherheit

Im Prozess des Einsatzes und der Wartung der Netzwerksicherheit nutzen wir die Anforderungen und Empfehlungen der besten Praktiken für Informationssicherheit und der Standards der Anbieter. Wir analysieren unsere Netzwerkinfrastruktur sowohl in unseren Einrichtungen als auch in AWS regelmäßig und konfigurieren sie entsprechend neuer potenzieller Bedrohungen und Risiken um.

 

Unsere Kontrollen der Netzwerksicherheit umfassen verschiedene Schutzmaßnahmen:

 

  • Netzwerksegmentierung
  • Firewall mit Konfigurationsregeln
  • verschlüsselte Protokolle

Network Security ermöglicht es uns, Bedrohungen der „internen“ und „externen“ Anwendungsinfrastruktur wirksam zu begegnen.

Verwaltung von Schwachstellen / Patches

Unser IT-Team ergreift Maßnahmen, um systemübergreifend Informationen über Schwachstellen zu sammeln und alle Systeme mit den vom Anbieter bereitgestellten Software-Updates und Patches auf dem neuesten Stand zu halten. Unser Schwachstellen-/Patch-Management umfasst fünf Schritte:

 

  1. Governance – Aufrechterhaltung einer Struktur für das Schwachstellen- / Patchmanagement.
  2. Abdeckung – sicherstellen, dass die entsprechenden Systemkomponenten den Richtlinien für das Schwachstellen-/Patchmanagement entsprechen.
  3. Inspektion – Verwendung automatisierter und/oder manueller Techniken, die darauf ausgelegt sind, Schwachstellen / Patches zu identifizieren, die mit bestimmten Systemkomponenten des Unternehmens verbunden sind.
  4. Reporting – Definition, Sammlung und Eskalation von Informationen über die Implementierung von Schwachstellen/Patches, um die Behebung im Einklang mit der Unternehmensstrategie und den organisatorischen Zielen zu erleichtern.
  5. Manipulation – Systeme korrigieren oder verbessern, um negative Auswirkungen auf das System zu verhindern, zu minimieren oder abzuschwächen.

Wünschen Sie weitere Informationen?

Kontaktieren Sie uns per Telefon, Instagram oder E-Mail.

Über uns

Dienst

Allgemeine Informationen

Kontaktieren Sie uns