Sicherheit & Datenschutz
Übersicht über unsere Sicherheitsstrategie und -maßnahmen
tixxt hält sich streng an die Vorgaben der DSGVO und der GDPR auf EU-Ebene. Auf dieser Seite finden Sie Details zu unserem Verständnis von Sicherheit und Datenschutz. Sicherheit ist mehr als nur eine Firewall. Die Stärke misst sich am schwächsten Glied. Sicherheit und Datenschutz bei tixxt bauen deshalb auf diese vier Säulen, die verschiedene Absicherungsmaßnahmen umfassen:
Anwendungssicherheit
Betriebssicherheit
Organisationssicherheit
Qualitätssicherung
Anwendungssicherheit
Absicherung der Anwendung tixxt und Mobile Apps
Login-Pflicht für jeden Pixel
Jeglicher Inhalt benötigt einen gültigen Login. Das gilt auch für Bilder, Dateien, Hilfs-Elemente und Deep-Links.
Säuberung der Nutzereingaben
Jegliche Nutzerangaben werden gefiltert, d.h. Programm- und Schadcode wird entfernt.
Granulare Berechtigungen
Es bestehen weitreichende Optionen zur Konfiguration von Zugangsrechten.
Vielschichtige Zugangskontrolle
Der Zugang wird nach IPs, Geräten, Netzwerken, Regionen und vielem mehr beschränkt.
Intelligentes Löschmanagement
Gelöschtes kann unter Einhaltung der Löschregularien und Protokolle gerettet werden.
Protokollierung jeglicher Zugriffe
Zugriffe werden vollständig protokolliert. Dabei kommen auch Sichtungsmethoden gegen Auffälligkeiten zum Einsatz.
Starke Zugangssicherung
Die Passwortstärke wird vorausgesetzt und kontrolliert. Zusätzlich kommt eine Passwortrotation und eine Multi-Faktor-Authentifizierung zum Einsatz.
Datensicherheit in Mobile Apps
Daten-Sandboxing sichert die Daten innerhalb der Mobile Apps – selbst auf Fremdgeräten.
Betriebssicherheit
Absicherung von Infrastruktur, Server, Backups und Übertragung
Servercluster in Deutschland
tixxt wird auf einem vollredundanten Schwesterrechenzentrum der DATEV in Nürnberg betrieben – auf eigenen Racks mit eigener Absicherung
Private Cloud oder On-Premise
Beide Optionen umfassen eine eigene Infrastruktur inklusive Datentrennung und individueller Verschlüsselung
Absicherung gegen Außenzugriff
Die Datenbanken und Dateien sind durch eine Firewall gegenüber dem Internet abgeschottet. Nur das Gateway ist erreichbar
Modernste Verschlüsselung
Die Hauptkeys rotieren automatisch alle 30 bis 90 Tage. Zusätzlich kommt PFS zum Einsatz. Es gibt dabei keine Fallbacks auf ältere Methoden
Schnelles Patching
Die Server und jegliche Komponenten werden schnellstens gepatched. Hier haben wir eine sehr positive Patch-Historie, z.B. bei Heartbleed und anderen Lücken wurde sofort reagiert
Automatische Backups
Es werden Backups an einem weiteren Standort in Deutschland, auf Wunsch auch an mehreren Standorten, durchgeführt
Skalierung inklusive
Verschiedene Server-Rollen werden nach Bedarf für Leistungsspitzen hochgefahren
Übertragung zu Mobile Apps
Es findet keine Übermittlung von personenbezogenen Daten an Apple oder Google statt – auch nicht bei Benachrichtigungen
Organisationssicherheit
Absicherung der Programmierung & der Büros
Security- und Datenschutztrainings
Alle Mitarbeiter werden regelmäßig und wiederholt zu Sicherheit und Datenschutz geschult, Trainings werden dokumentiert.
Strikte Coding-Guidelines
Jeglicher Programmcode muss mit Guidelines für Sicherheit, Wartbarkeit und Skalierbarkeit konform sein.
Vier-Augen-Prinzip für Neucode
Jeglicher neuer Programmcode wird mit vier Augen geprüft (Merge Requests).
Regelmäßige Code-Reviews
Code wird auf Alter und Funktion geprüft und bei Nicht-Einhaltung von Standards neu geschrieben.
Strenges Zugangsmanagement
Der Zugang zum Rechenzentrum und somit zu den datenverarbeitenden Systemen ist beschränkt und wird mit Personenbezug dokumentiert.
Sichere Benutzerzugänge
Kundendaten werden mit Multi-Faktor und Passwort-Mindeststärke sowie optional mit Rotation geschützt.
Geschützte Arbeitsplatzrechner
Die Arbeitsrechner sind mit weitreichenden Schutzmechanismen abgesichert.
Automatisierte Tests
Probleme und Bugs mit Servern oder Programmcode werden so automatisch gemeldet.
Qualitätssicherung der Sicherheit
Absicherung der Absicherungsmaßnahmen
Externe Sicherheitsaudits
Externe Audits von Anwendung und Server werden ein- bis zweijährlich von externen Anbietern durchgeführt
Jährlicher Refresh der Sicherheit
Das Sicherheitskonzept wird jährlich geprüft und mit Bezug auf aktuelle oder veränderte Risiken ausgeweitet
Dienstleister-Prüfungen
Dienstleister werden auf Einhaltung aktueller Standards (Rechenzentrum, Gebäude) überprüft
Externe Datenschutzaudits
Externe Audits von Technik und Organisation werden ein- bis zweijährlich von externen Prüfern durchgeführt
Gelebte Datenschutz-Kultur
Von Azubi bis CEO werden Prinzipien wie Sparsamkeit, Übertragungs- und Zugangskontrolle gelebt
Keine Datenspeicherung im Büro
Kundendaten werden lediglich auf den jeweiligen Servern gespeichert und verarbeitet
Jährliche Refreshs der Trainings
Mitarbeiter-Trainings werden anhand der Auditergebnisse und Sicherheitskonzept-Aktualisierungen überarbeitet
Vier-Augen-Prinzip bei Live-Daten
Die manuelle Bearbeitung von Live-Datenbanken und personenbezogenen Daten findet immer unter vier Augen statt
Servercluster in Deutschland
tixxt wird auf einem vollredundanten Schwesterrechenzentrum der DATEV in Nürnberg betrieben – auf eigenen Racks mit eigener Absicherung
Sind Sie neugierig auf die Herausforderungen und Erfolge anderer Organisationen?
Dann entdecken Sie gemeinsam mit einem unserer Experten, wie Ihre Organisation tixxt einsetzen kann.
