Sicherheitserklärung

Für SABIO ist es Priorität, alle Kundendaten durch die Nutzung modernster Technologien und durch die Anwendung bewährter Industriestandards zu schützen. Viele unserer namhaften Kunden aus den Branchen Telekommunikation, Finanz- und Versicherungswirtschaft, Energieversorger, Gesundheitswesen, u.v.m. haben sich von der Datensicherheit unseres Services überzeugt und vertrauen ihre Daten SABIO bereits im Hosting an. Diese Sicherheitserklärung soll Transparenz über unsere technischen und organisatorischen Sicherheitsmaßnahmen schaffen, so dass Sie sich davon überzeugen können, dass wir Datenschutz bei SABIO ernst nehmen und Ihre Daten entsprechend schützen.

Sicheres Rechenzentrum und Betrieb

SABIO hostet die Applikation auf dedizierten Servern in den Räumlichkeiten zertifizierter Rechenzentren in Deutschland. Diese Rechenzentren stellen auf Betreiberebene folgende Schutzmaßnahmen zur Datensicherung und Datenverarbeitung zur Verfügung:

Physische Sicherheit

  • ISO 27001 Zertifizierung

    SABIO arbeitet nur mit Rechenzentren zusammen, die nach ISO 27001 zertifiziert sind.

  • Zugriffssteuerung und Überwachung der Infrastruktur

    Unsere Rechenzentren sind rund um die Uhr, 7 Tage die Woche besetzt und überwacht. Umfangreiche Schutzmaßnahmen (u.a. Alarmanlage, Videoüberwachung, Chipkartenzugangssystem, Zutrittskonzept für die Serverräume, u.v.m.) stellen sicher, dass kein Unbefugter Zutritt zu den Datenverarbeitungsanlagen erhält.

  • Umweltkontrollen

    Kontrollierter Betrieb der Infrastruktur durch die Nutzung von Feuchtigkeits- und Temperaturkontrolle. Schutzmaßnahmen wie eine unterbrechungsfreie Stromversorgung, Rauch- und Feuermelder, Videoüberwachung und entsprechender Reaktionssysteme sind installiert. Das Vorgehen bei externen Störungen regelt ein umfassender Notfallplan.

  • Speicherung der Daten in Deutschland

    Alle Daten unserer Kunden werden auf eigenen Servern in Rechenzentren in Deutschland gespeichert. Unsere Server werden in verschlossenen Racks gelagert.

  • Regelmäßige Überprüfung der Sicherheitsmaßnahmen

    Die Rechenzentren werden regelmäßig im Rahmen von externen Audits, Kundenaudits und durch Audits des Datenschutzbeauftragten von SABIO bezüglich der Sicherheit geprüft.

Sicherstellung der Verfügbarkeit

  • Verfügbarkeit der Anwendung

    Ein lückenloses Monitoring überwacht die Verfügbarkeit und Performance unserer Anwendung und der Infrastruktur. Bei Betriebsunterbrechung wird umgehend Personal bei SABIO im Rahmen eines automatischen Eskalationsprozesses informiert.

  • Clusterbetrieb und Lastverteilung

    Vermeidung von Single-Point-of-Failure und flexible Skalierbarkeit als Grundgedanke. Durch die redundante Auslegung der Systemkomponenten und Server, einer skalierbaren Serverarchitektur und dem Betrieb der Anwendung im Cluster wird die Gefahr von längerfristigen Ausfällen deutlich minimiert. Eine Verwendung von Firewalls und Loadbalancern für die Lastverteilung ermöglicht die optimale performante Nutzung von SABIO.

  • Datenbank-Failover

    Speicherung der Daten in einer Produktionsdatenbank und einer Backup-Datenbank. Eine Nutzung der Backup-Datenbank für den Fail Over ist innerhalb von weniger als einer Stunde möglich.

  • Redundante Netzanbindung

    Vollständig redundante Netzwerkverbindungen zum RZ-Backbone und zur IP-Außenanbindung.

  • Redundante Infrastruktur

    Redundante Server und redundante interne und externe Netzteile. Das Rechenzentrum verfügt über Backup-Stromversorgungen (Hauptversorgung, Trafo, Online-USV, Notstromgeneratoren auf Basis von Dieselmotoren im Außenbereich).

  • Datensicherung und Restore

    Tägliche Datensicherung und räumlich getrennte Aufbewahrung von Medien zur Datensicherung (Datentresore). Die Aufbewahrungsdauer der Backups ist vertraglich festgelegt. Verschlüsselte Aufbewahrung der Backups.

Netzwerkschutz

  • Security Scans
  • Es werden regelmäßig Security Scans der zum Internet geöffneten IP-Adressen durchgeführt. Bei der Identifikation von Schwachstellen werden umgehend Maßnahmen ergriffen, um diese zu schließen.

  • Zugriffsschutz
  • Das Netzwerk ist gegen unbefugte Zugriffe mittels einer Hardware-Firewall geschützt. Der SABIO Datenverkehr wird innerhalb des Netzwerks des Rechenzentrums durch die Verwendung von Subnetzen separiert. Das Netzwerk wird rund um die Uhr auf Angriffe überwacht.

  • Security Patches
  • Sicherheitsrelevante Updates werden im Rahmen des Patch Management Prozesses priorisiert eingespielt.

  • Zugriffskontrolle im Betrieb
  • Maßnahmen wie Secure VPN, mehrstufige Authentifizierung und rollenbasierter Zugriff stellen im Betrieb sicher, dass autorisiertes technisches Personal nur auf die ihrer Berechtigung unterliegenden Daten zugreifen kann. Für den sicheren Fernwartungszugriff wird als Protokoll SSH verwendet.

  • Logging und Auditing
  • Zugriffe werden in automatisch erzeugten Protokolldateien dokumentiert, temporär gespeichert und im Verdachtsfall ausgewertet. Zyklische automatische Löschung der Protokolldaten durch Rotation.

Sichere Anwendung und Benutzersicherheit

Bereits in der Entwicklung genießt Datenschutz höchste Priorität. SABIO bietet im Standard umfassende Sicherheitsfunktionen.

Sicherheitsfunktionen im SABIO Standard

  • SSL / TLS-Verschlüsselung
  • Die Kommunikation mit SABIO erfolgt über SSL/TLS Kommunikation (Secure Socket Layer/Transport Layer Security). Hierdurch ist sichergestellt, dass SABIO Kunden über eine sichere Verbindung auf ihre Daten zugreifen.

  • Benutzerauthentifizierung
  • Einzelne Benutzersitzungen werden eindeutig identifiziert und bei jeder Transaktion erneut verifiziert. Benutzerkonten haben eindeutige Benutzernamen und Kennwörter, die jedes Mal wenn sich ein Benutzer anmeldet eingegeben werden müssen. SABIO unterstützt die sichere Authentifizierung durch die Nutzung von Single-Sign-On (WebSSO) unter der Verwendung von SAML.

  • Datenverschlüsselung sensibler Daten
  • SABIO verlangt nur die Speicherung von Benutzerdaten, welche für die sichere Nutzung der Anwendung notwendig sind. Diese sensiblen Benutzerdaten werden in verschlüsselter Form auf Datenbankebene gespeichert. Die Verschlüsselung wird erst auf dem Webserver aufgelöst. Mitarbeiter von SABIO haben keinen Zugriff auf Kundenkennwörter.

  • Zugriffskontrolle bei der Nutzung von SABIO
  • Anwenderaktionen werden von dem System bzgl. Datensatz und Zeitstempel erfasst. SABIO führt Datenänderungen nur auf schriftliche Anfrage der Kunden durch.

  • Programmseitige Trennung von Kundendaten (Multi Tenancy)
  • Jeder Kunde erhält seinen eigenen Mandanten. Die Daten werden trennscharf über die Programmierung separiert. Hierdurch wird sichergestellt, dass jeder Kunde nur seine eigenen Daten sehen und bearbeiten kann.

  • Interne Tests und Bewertung durch professionelle Auditoren
  • System-Funktionalität und Design-Änderungen werden in der Entwicklung im Rahmen von Code Reviews und in einer isolierten Test-"Sandbox"-Umgebung auf Schwachstellen überprüft. Im Rahmen dieser Tests prüft SABIO Funktionalität, Skalierbarkeit und Security. Zusätzlich wird regelmäßig eine Bewertung der Vertraulichkeit des Systems durch professionelle externe Auditoren (Pentester) eingeholt.

Konfigurierbare Sicherheitsfunktionen

Zusätzlich zu den vorher aufgelisteten Sicherheitsfunktionen bietet SABIO die Möglichkeit, kundenspezifische Datenschutzanforderungen per Konfiguration umzusetzen.

  • Benutzerspezifischer Datenzugriff und Systemfunktionen
  • SABIO bietet ein konfigurierbares Rollen- und Rechtekonzept, welches den Funktionsumfang des Systems pro Anwender regelt. Ein konfigurierbares Ansichtenkonzept bestimmt pro Kunde die Sichtbarkeit der Kundendaten. Systemeinstellungen, die das Verhalten der Anwendung für alle Anwender eines Kunden steuern, können nur von ausgewählten Administratoren gesetzt werden.

  • Passwortsicherheit
  • SABIO bietet den Kunden die Möglichkeit Vorgaben zur Passwortsicherheit (u.a. Zeichenfolge/Formatvorgabe, Gültigkeit, Deaktivierung u.v.m.) im System zu konfigurieren.

  • Anonymisieren von Benutzerdaten
  • Sowohl das Reporting auf Benutzerebene wie auch die Darstellung von Benutzerdaten im System kann ausgeschaltet werden.

  • Zugriffeinschränkungen über IP-Adressen
  • Zugriffe können kundenindividuell auf IP-Adressen eingeschränkt werden.

Datenschutzorganisation

SABIO hat das Thema Datenschutz in der Organisation verankert und verfügt über dedizierte Personen, die für Datensicherheit verantwortlich sind.

  • Informationssicherheitsrichtlinie
  • Die Richtlinien für den Datenschutz bei SABIO legt ein Informationssicherheitsmanagementsystem (ISMS) verbindlich fest.

  • Organisation
  • Datenschutzbeauftragter und IT Sicherheitsbeauftragter sind für die Datenschutz- und Sicherheitsthemen sowie für die Beantwortung von sicherheitsbezogenen Fragen zuständig.

  • Datengeheimnis
  • Alle Mitarbeiter, die mit der Datenverarbeitung beschäftigt sind, wurden schriftlich auf das Datengeheimnis gemäß § 5 BDSG verpflichtet und entsprechend belehrt.

  • Datenschutztraining
  • In regelmäßige Schulungen werden die Mitarbeiter mit den Vorschriften des Datenschutzes vertraut gemacht und zum Thema Datenschutz getestet. Die Schulung des Themas Datenschutz erfolgt im Rahmen eines OnBoardings verpflichtend für jeden neuen Mitarbeiter.


AWS Zertifikate

  • ISO 27001
  • ISO 9001
  • PCI DSS LEVEL 1
  • SOC1/SSAE 16/ISAE 3402 (formerly SAS 70)
  • SOC 2
  • SOC 3
  • FISMA; DIACAP, and FedRAMP
  • DOD CSM Levels 1-5
  • ITAR
  • FIPS 140-2
  • MTCS Level 3

Für weiterführende Informationen wenden Sie sich bitte unter info@sabio.de an uns.



Stand: 12. Januar 2017