Sicherheit & Datenschutz

Übersicht über unsere Sicherheitsstrategie und -maßnahmen

tixxt hält sich streng an die Vorgaben der DSGVO und der GDPR auf EU-Ebene. Auf dieser Seite finden Sie Details zu unserem Verständnis von Sicherheit und Datenschutz.
Sicherheit ist mehr als nur eine Firewall. Die Stärke misst sich am schwächsten Glied. Sicherheit und Datenschutz bei tixxt bauen deshalb auf diese vier Säulen, die verschiedene Absicherungsmaßnahmen umfassen:

Anwendungssicherheit

Betriebssicherheit

Organisationssicherheit

Qualitätssicherung

Anwendungssicherheit

Absicherung der Anwendung tixxt und Mobile Apps

Login-Pflicht für jeden Pixel

Jeglicher Inhalt benötigt einen gültigen Login. Das gilt auch für Bilder, Dateien, Hilfs-Elemente und Deep-Links.

Säuberung der Nutzereingaben

Jegliche Nutzerangaben werden gefiltert, d.h. Programm- und Schadcode wird entfernt.

Granulare Berechtigungen

Es bestehen weitreichende Optionen zur Konfiguration von Zugangsrechten.

Vielschichtige Zugangskontrolle

Der Zugang wird nach IPs, Geräten, Netzwerken, Regionen und vielem mehr beschränkt.

Intelligentes Löschmanagement

Gelöschtes kann unter Einhaltung der Löschregularien und Protokolle gerettet werden.

d

Protokollierung jeglicher Zugriffe

Zugriffe werden vollständig protokolliert. Dabei kommen auch Sichtungsmethoden gegen Auffälligkeiten zum Einsatz.

Starke Zugangssicherung

Die Passwortstärke wird vorausgesetzt und kontrolliert. Zusätzlich kommt eine Passwortrotation und eine Multi-Faktor-Authentifizierung zum Einsatz.

Datensicherheit in Mobile Apps

Daten-Sandboxing sichert die Daten innerhalb der Mobile Apps – selbst auf Fremdgeräten.

Betriebssicherheit

Absicherung von Infrastruktur, Server, Backups und Übertragung

Servercluster in Deutschland

tixxt wird auf einem vollredundanten Schwesterrechenzentrum der DATEV in Nürnberg betrieben – auf eigenen Racks mit eigener Absicherung.

Private Cloud oder On-Premise

Beide Optionen umfassen eine eigene Infrastruktur inklusive Datentrennung und individueller Verschlüsselung.

Absicherung gegen Außenzugriff

Die Datenbanken und Dateien sind durch eine Firewall gegenüber dem Internet abgeschottet. Nur das Gateway ist erreichbar.

Modernste Verschlüsselung

Die Hauptkeys rotieren automatisch alle 30 bis 90 Tage. Zusätzlich kommt PFS zum Einsatz. Es gibt dabei keine Fallbacks auf ältere Methoden.

Schnelles Patching

Die Server und jegliche Komponenten werden schnellstens gepatched. Hier haben wir eine sehr positive Patch-Historie, z.B. bei Heartbleed und anderen Lücken wurde sofort reagiert.

Automatische Backups

Es werden Backups an einem weiteren Standort in Deutschland, auf Wunsch auch an mehreren Standorten, durchgeführt.

Skalierung inklusive

Verschiedene Server-Rollen werden nach Bedarf für Leistungsspitzen hochgefahren.

Übertragung zu Mobile Apps

Es findet keine Übermittlung von personenbezogenen Daten an Apple oder Google statt – auch nicht bei Benachrichtigungen.

Organisationssicherheit

Absicherung der Programmierung & der Büros

Security- und Datenschutztrainings

Alle Mitarbeiter werden regelmäßig und wiederholt zu Sicherheit und Datenschutz geschult, Trainings werden dokumentiert.

Strikte Coding-Guidelines

Jeglicher Programmcode muss mit Guidelines für Sicherheit, Wartbarkeit und Skalierbarkeit konform sein.

Vier-Augen-Prinzip für Neucode

Jeglicher neuer Programmcode wird mit vier Augen geprüft (Merge Requests).

U

Regelmäßige Code-Reviews

Code wird auf Alter und Funktion geprüft und bei Nicht-Einhaltung von Standards neu geschrieben.

Strenges Zugangsmanagement

Der Zugang zum Rechenzentrum und somit zu den datenverarbeitenden Systemen ist beschränkt und wird mit Personenbezug dokumentiert.

Sichere Benutzerzugänge

Kundendaten werden mit Multi-Faktor und Passwort-Mindeststärke sowie optional mit Rotation geschützt.

Geschützte Arbeitsplatzrechner

Die Arbeitsrechner sind mit weitreichenden Schutzmechanismen abgesichert.

Automatisierte Tests

Probleme und Bugs mit Servern oder Programmcode werden so automatisch gemeldet.

Qualitätssicherung der Sicherheit

Absicherung der Absicherungsmaßnahmen
U

Externe Sicherheitsaudits

Externe Audits von Anwendung und Server werden ein- bis zweijährlich von externen Anbietern durchgeführt.

Externe Datenschutzaudits

Externe Audits von Technik und Organisation werden ein- bis zweijährlich von externen Prüfern durchgeführt.

Jährliche Refreshs der Trainings

Mitarbeiter-Trainings werden anhand der Auditergebnisse und Sicherheitskonzept-Aktualisierungen überarbeitet.

Jährlicher Refresh der Sicherheit

Das Sicherheitskonzept wird jährlich geprüft und mit Bezug auf aktuelle oder veränderte Risiken ausgeweitet.

Gelebte Datenschutz-Kultur

Von Azubi bis CEO werden Prinzipien wie Sparsamkeit, Übertragungs- und Zugangskontrolle gelebt.

Vier-Augen-Prinzip bei Live-Daten

Die manuelle Bearbeitung von Live-Datenbanken und personenbezogenen Daten findet immer unter vier Augen statt.

Dienstleister-Prüfungen

Dienstleister werden auf Einhaltung aktueller Standards (Rechenzentrum, Gebäude) überprüft.

Keine Datenspeicherung im Büro

Kundendaten werden lediglich auf den jeweiligen Servern gespeichert und verarbeitet.

Weitere Informationen

Weitere Informationen zu tixxt Sicherheit und Funktionen erhalten Sie unverbindlich in unserem Info-Paket.

  • Anwendungsmöglichkeiten
  • Übersicht über die Funktionen
  • Screenshots mit Erklärungen
  • Hintergründe zum hervorragenden Bedienerlebnis
  • Bereitstellungsmöglichkeiten
  • Mögliche nächste Schritte

Info-Paket jetzt herunterladen

Nach dem Ausfüllen des Formulars erhalten Sie den Download-Link als E-Mail. Pflichtangaben sind mit (*) markiert
  • Ihre Daten sind bei uns sicher: Datenschutzhinweis