Loading...

Sicherheit & Datenschutz

Als Cloud-Service hat die Sicherheit Ihrer Daten für uns oberste Priorität. Nachfolgend können Sie die wichtigsten Maßnahmen nachlesen, die wir zum Schutz Ihrer Daten ergreifen. Zusätzlich wenden wir ein breites Spektrum weiterer Schutzmaßnahmen an, die entweder (i) sehr komplex und daher an dieser Stelle zu kompliziert zu erklären sind oder (ii) die besser nicht an öffentlicher Stelle geteilt werden sollten. Falls Sie Fragen dazu haben, nehmen Sie bitte jederzeit Kontakt zu uns auf.

Hosting

Unsere Software wird auf Servern gehostet, die von Amazon Web Services (AWS) in ihren europäischen Rechenzentren bereitgestellt werden. Amazon Web Services ist ein führender "Platform as a Service" Anbieter, der es Kunden (einschließlich Siemens, Novartis, Nasdaq, Vodafone und anderen) ermöglicht, Anwendungen zu entwickeln, zu verwenden und zu verwalten, ohne die damit verbundene Infrastruktur aufbauen und warten zu müssen. AWS bietet eine erstklassige Sicherheitsinfrastruktur, kümmert sich um Backups, Protokollierung, Überwachung und andere infrastrukturbezogene Dienste.

Amazon Web Services führt fortlaufend Audits durch und erfüllt unter anderem die folgenden Standards:

  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 2
  • SOC 3

Andere Dienstleister, die von Leapsome zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.

  • Google, Inc.
  • MongoDB, Inc.
  • Zendesk, Inc.
  • Twilio, Inc.
  • Rocket Science Group, LLC (Mailchimp)

Eine Übermittlung von Daten an einen Staat, der weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums ist, erfolgt einzig und allein im Einklang mit der Allgemeinen Datenschutzgrundverordnung (DSGVO) und nur wenn die spezifischen Anforderungen des Artikels 44 ff. der DSGVO erfüllt sind. Insbesondere erfordert eine solche Übertragung eine klar geregelte, vertragliche Vereinbarung zwischen Leapsome und dem entsprechenden Dienstleister, die mindestens das gleiche Datenschutzniveau garantiert. Dies kann entweder im Rahmen einer gültigen Privacy Shield Zertifizierung oder gemäß den von der Europäischen Kommission festgelegten Standardvertragsklauseln geschehen.

Passwörter

Ihre Passwörter werden immer verschlüsselt (Hashfunktion, mit Salt) und niemals in Klartext gespeichert. Wenn ein Benutzer versucht sich anzumelden, wird sein Kennwort auf dieselbe Weise verschlüsselt, und die Plattform vergleicht die verschlüsselten Versionen, um zu überprüfen, ob sie übereinstimmen. Dies bedeutet auch, dass wir kein Passwörter wiederherstellen können (da wir nur die verschlüsselten Versionen haben). Falls Sie Ihr Passwort verlieren, müssen Sie es zurücksetzen. Für zusätzliche Sicherheit geben wir bei der Registrierung eine Mindestlänge des Passworts vor.

Wenn Sie im Unternehmen die GSuite zur internen Kommunikation verwenden, können Sie sich durch eine verschlüsselte Verbindung über Google anmelden. In diesem Fall werden Ihre Passwörter nicht auf unseren Servern gespeichert. Stattdessen werden die Nutzer auf eine Seite umgeleitet, auf der sie Leapsome als vertrauenswürdigen Dienst authentifizieren, und es wird ein Token generiert, mit dem Leapsome die Nutzer identifizieren kann. Sie können diese Einstellungen jederzeit über die Google-Kontoeinstellungen widerrufen.

Cookies und Token

Unsere Plattform verwendet Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Token enthalten niemals Ihr tatsächliches Passwort oder andere vertrauliche Informationen. Alles, was gespeichert wird, ist ein zufällig erstelltes Token, mit dem Sie auf die grundlegenden Funktionen zugreifen können. Um auf kritische Funktionen zuzugreifen - beispielsweise beim Ändern Ihres Passworts -, müssen Sie das Passwort erneut eingeben.

Datenverschlüsselung

Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Servern erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet.

Zusätzlich verwenden wir Encryption at Rest, um sämtliche Daten in unserer Datenbank mit dem Industriestandard-Algorithmus AES-256 zu verschlüsseln. Dies bedeutet, dass Ihre Daten vor und nach dem Zugriff auf die Datenbank verschlüsselt werden und niemals im Klartext vorliegen.

Sichere Frameworks

Neben einer sicheren Hosting-Umgebung bauen wir auf etablierten Softwarebibliotheken auf, um sicherzustellen, dass Ihre Daten geschützt sind und die Benutzer der Plattform keinen Schwachstellen ausgesetzt sind.

Unser Frontend-Framework Angular (hauptsächlich von Google verwaltet) schützt in Kombination mit der Verwendung von Unique User-Token die Benutzer vor üblichen Bedrohungen wie beispielsweise Cross-Site-Scripting (CSS/XSS) und Cross-Site-Request-Forgery (CSRF/XSRF).

Wir verwenden MongoDB als Datenspeicher, was bedeutet, dass unsere Anwendung nicht für SQL-Injektionen anfällig ist. Die Verwendung einer etablierten Middleware und von Input Sanitization für alle Eingaben sorgen für zusätzlichen Schutz.

Wie bereits erwähnt, läuft unsere Anwendung auf AWS Servern. Microsoft hält die Serversoftware jederzeit auf dem neuesten Stand und behebt auftretende Sicherheitslücken sofort.

Zugriff von innen verhindern

Auch ein authentifizierter (angemeldeter) Benutzer kann versuchen, Schwachstellen auszunutzen - jemand könnte sich beispielsweise für ein Demo-Konto registrieren und versuchen, auf Informationen anderer Kunden zuzugreifen.

Während die oben aufgeführten Software-Frameworks das System bereits vor dieser Bedrohung schützen, überprüft der Anwendungscode zusätzlich jede Anforderung und überprüft, ob die Unternehmens-ID des Datenbankobjekts mit der Firmen-ID des Benutzers übereinstimmt. Jedes Datenbankobjekt ist mit einer Unternehmens-ID versehen und mögliche Versuche, diese zu verletzen, lösen sofortige Benachrichtigungen an unsere Administratoren aus.

Wir wenden außerdem ein striktes rollenbasiertes Modell auf alle Anforderungen und Ansichten der Plattform an. Dadurch wird verhindert, dass Mitarbeiter auf Funktionen zugreifen (z.B. Ändern von Benutzerdaten, Bearbeiten von Rechnungsinformationen usw.), die nur Administratoren vorbehalten sein sollten.

Zugriffsbeschränkungen für Code und Datenbank

Unsere Anwendung und Datenbank werden in einem streng überwachten Rechenzentrum gehostet, in dem professionell ausgebildetes Personal für die physische Sicherheit der Server sorgt.

Auch der Fernzugriff ist streng begrenzt. In unserem Team muss jeder Einsatz von neuem Code von einem der beiden Zugriffsberechtigten genehmigt werden. Die gleiche Zugriffsbeschränkung gilt für unsere Datenbanken und den internen Administrationsbereich. Der Zugriff auf die Datenbanken, auf unsere zentrale Code-Repository und auf unsere Hosting-Umgebung ist außerdem durch eine 2-Faktor-Authentifizierung geschützt. Wir aktualisieren regelmäßig alle Kennwörter und Sicherheitstoken.

In unseren internen Administrationsdaten zeigen wir nur aggregierte Statistiken und Daten auf Unternehmensebene (z.B. Rechnungsinformationen) an, nicht jedoch den Inhalt des tatsächlichen Feedbacks, der Reviews usw. Wir sehen keine Rohdaten von Kunden ein, es sei denn, wir haben die Erlaubnis dazu um einen Fehler zu beheben. Die meisten Fehler können jedoch behoben werden, indem Serverprotokolle analysiert und das Problem mit Dummy Daten reproduziert wird.

Auftragsdatenverarbeitungsvertrag (ADV-Vertrag)

Sobald Sie mit der Nutzung von Leapsome beginnen, unterzeichnen beide Parteien eine ADV-Vertrag. Dieser legt fest, wie wir Ihre Daten behandeln dürfen, welche Sicherheitsmaßnahmen vertraglich zugesichert sind und welche Rechte Sie haben. Der Vertrag ist erforderlich, um DSGVO-konform zu sein.

Interne Sicherheitsrichtlinien

Unser Team ist extrem sicherheitsbewusst. Um nicht zum Opfer von Betrügern von außen zu werden, veranstalten wir regelmäßig interne Sicherheitsschulungen, nutzen nur aktuelle und moderne Browser, verwenden Kennwortmanager und unterschiedliche Kennwörter für sämtliche Websites, aktualisieren regelmäßig unsere Passwöter und verschlüsseln die Festplatten unserer technischen Geräte.

Verfügbarkeit und Notfallwiederherstellung

Unsere Anwendung und Datenbanken werden auf verschiedene Server verteilt und repliziert. Falls einer dieser Server ausfällt, übernimmt eine andere Instanz die Aufgabe, die Anwendung bereitzustellen. In der Regel passiert das, ohne dass der Endbenutzer dies tatsächlich bemerkt.

Die Datenbanken werden stündlich gesichert und können wiederhergestellt werden, falls die Software oder der Server einmal ausfallen sollten. Die Backups werden in verschiedenen europäischen Datenzentren zur zusätzlichen Sicherheit gespeichert. Bitte beachten Sie, dass wir einzelne Kundenkonten nicht wiederherstellen können. Wenn Sie etwas in Ihrem Konto löschen, wird es tatsächlich gelöscht.

Überwachung

Wir überwachen die Leistung unserer Anwendung und Datenbanken mit den integrierten Überwachungstools von AWS und NewRelic. Interne Fehler oder potenzielle Fehler unserer verschiedenen Integrationen werden protokolliert und lösen Benachrichtigungen an unser Entwicklungsteam aus. So können wir das Problem normalerweise innerhalb weniger Minuten identifizieren und die Situation schnell beheben.

Nutzeranfragen und Fehlerberichte

Trotz all dieser Vorkehrungen mag es vorkommen, dass Benutzer manchmal eine Macke bemerken oder über einen Fehler in der Software stolpern. In einem solchen Fall empfehlen wir Ihnen, sich über unser Support-Formular (erreichbar über die Schaltfläche in der rechten unteren Ecke des Bildschirms) oder per E-Mail an support@leapsome.com mit uns in Verbindung zu setzen. Wir schätzen diese Hinweise und Rückmeldungen sehr. Falls möglich fügen Sie bitte einen Screenshot und eine genaue Beschreibung der Situation bei. Kritische Probleme bekommen unsere sofortige Aufmerksamkeit und werden in der Regel innerhalb von 2 Stunden behoben. Nicht-kritische Anfragen bemühen wir uns innerhalb von 24 Stunden zu bearbeiten.

Haben Sie eine Sicherheitsbedrohung gefunden?

Wenn Sie der Meinung sind, dass Sie eine Sicherheitsbedrohung in unserem System gefunden haben, kontaktieren Sie uns bitte unverzüglich unter support@leapsome.com oder telefonisch unter +49 160 9798 2209. Ihre Informationen werden vertraulich behandelt und wir werden Ihre Anfrage umgehend bearbeiten.

Transparenz-Richtlinie

Wenn jemals etwas Ernstes passieren sollte und Ihre Daten davon betroffen sind, werden wir Sie umfassend informieren, damit Sie die entsprechenden Vorsichtsmaßnahmen treffen und den Schaden minimieren können. Unsere bisherigen Erfahrungen bei Unternehmen wie Funding Circle haben uns gezeigt, dass Transparenz essenziell ist, um Vertrauen zu gewinnen und zu bewahren, falls die Sicherheit jemals gefährdet sein sollte.


Die besten Arbeitgeber nutzen Leapsome
Modular + Mehrsprachig

Eine einzige Plattform für alle Bedürfnisse

360° Performance Reviews

Sparen Sie Zeit mit automatisierten 360s und Mitarbeitergesprächen

SMARTe Ziele & OKRs

Agile Arbeit und moderne Zielgestaltung mit Objectives & Key Results

Mitarbeiter-Befragungen

Anonyme Pulsumfragen, um ihre Mitarbeiter besser zu verstehen

Instant Feedback

Ermöglichen Sie kontinuierliches Feedback und positive Wertschätzung

1:1 Meetings

Schaffen Sie nachhaltige Strukturen für Manager und Mitarbeiter

Integrationen

Integrieren Sie Leapsome mit Ihren Lieblingstools: Personio, Slack, Gmail + mehr