Sicherheit & Compliance bei Workerbase
Wir erfüllen die höchsten Sicherheits- und Datenschutzstandards
Workerbase wird regelmäßig von unabhängigen externen Prüfern auf die Einhaltung der DSGVO- und CCPA-Datenschutzvorschriften geprüft. Unsere Einhaltung der DSGVO und CCPA zeigt unser Engagement für den Schutz personenbezogener Daten und die Umsetzung eines einwilligungsbasierten Ansatzes zur Verarbeitung personenbezogener Daten.
Unsere Verschlüsselungsprotokolle sind auf höchstem Sicherheitsniveau
In einer Multi-Cloud-Umgebung stellt Workerbase sicher, dass alle Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt sind, unter Verwendung erstklassiger Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256. Wir verwenden Transport Layer Security (TLS) zur Verschlüsselung der Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, gemäß den besten Branchenpraktiken. Alle gespeicherten Daten profitieren von robusten Verschlüsselungsalgorithmen und werden mit fortschrittlichen Secret-Management-Diensten gesichert.
Workerbase bietet umfassende Verschlüsselung in jeder Phase -- ob Daten im Ruhezustand, bei der Übertragung oder in der Cloud gespeichert sind, um maximale Sicherheit, Datenschutz und Integrität zu gewährleisten. Zusätzlich sind auch Metadaten-Kommunikationen zwischen Ihrem System und Workerbase vollständig verschlüsselt.
Unser einwilligungsbasiertes Modell gibt Menschen die Kontrolle über ihre persönlichen Daten
Gemäß der Datenschutz-Grundverordnung (DSGVO), die 2018 in Europa eingeführt wurde, sind Einzelpersonen Eigentümer ihrer personenbezogenen Daten, einschließlich geschützter Gesundheitsdaten, und jede Einwilligung zur Verarbeitung oder Weitergabe dieser Daten muss "frei gegeben, spezifisch und informiert" sein. Wir unterstützen dieses Prinzip vollständig.
Wenn ein Nutzer Workerbase-Dienste nutzt, erbittet er effektiv die Erlaubnis einer Person, auf deren Daten zuzugreifen. Dieser Prozess ermächtigt Menschen, ihre Rechte auf Einwilligung und Eigentum an ihren Daten auszuüben.
Unsere Sicherheitsmaßnahmen entwickeln sich ständig weiter, um mit der sich ändernden Bedrohungslage Schritt zu halten
Unser Engagement für Sicherheit und Datenschutz ist fortlaufend und umfasst einen ständigen Kreislauf aus Forschung, Überarbeitung, Implementierung, Testen, Korrektur, Skalierung, Schutz und Berechtigungsvergabe. Wir sind bestrebt, die Erwartungen von Regulierungsbehörden, Investoren, Partnern und Nutzern konsequent zu erfüllen und zu übertreffen. Unser Team lebt und atmet täglich Sicherheitsprozesse und macht sie zu einem grundlegenden Teil unserer Kultur. Schließlich ist Sicherheit einer der Kerndienste, die wir anbieten.
Datenspeicherung und -löschung ist standardisiert und liegt im Ermessen unserer Nutzer
Alle berechtigten Nutzerdaten, die Workerbase vorhält, stehen unseren Kunden für einen Zeitraum von 30 Tagen nach Ablauf oder Kündigung des Master Service Agreement zum elektronischen Abruf zur Verfügung. Alle Daten werden danach vollständig von den Workerbase-Servern entfernt. Jeder Nutzer kann die Löschung seiner personenbezogenen Daten beantragen, indem er den Workerbase-Support kontaktiert.
Wir errichten starke Abwehrmechanismen an Eintrittspunkten
Workerbase hat Apps und Backend-Infrastruktur, die die primären Zugangspunkte für Nutzerdaten sind, so konzipiert, dass sie Client-Anfragen nur über robuste TLS-Protokolle akzeptieren. Darüber hinaus erfolgen alle Datenübertragungen zwischen von Workerbase verwalteter Infrastruktur und Datenplattformen über verschlüsselte Tunnel.
Wir treffen alle notwendigen Infrastruktur-Vorkehrungen
Alle unsere Dienste laufen in Cloud-Umgebungen. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmäßig unabhängigen Überprüfungen der Sicherheits-, Datenschutz- und Compliance-Kontrollen gegen folgende Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele weitere.
Sicherer Code: transparente Entwicklung mit Sicherheit im Fokus
Der Schutz von Kundendaten vor modernen Bedrohungen bedeutet, dass Produkte, die über unsere Dienste entwickelt werden, mit Sicherheit im Fokus entwickelt werden müssen. Folgende Praktiken gewährleisten das höchste Sicherheitsniveau in unserer Software:
Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Integration von Sicherheit in den Entwicklungszyklus konzentriert. Entwicklung und kontinuierliche Pflege einer sicherheitsorientierten Unternehmenskultur. Wir bewerten die Sicherheit unseres Codes anhand branchenweit anerkannter Sicherheits-Frameworks wie ATT&CK, OWASP Top 10 und SANS Top 25. Entwickler nehmen an regelmäßigen Sicherheitsschulungen teil. Wir überprüfen unseren Code auf Sicherheitsschwachstellen. Wir aktualisieren regelmäßig unsere Backend-Infrastruktur und Software. Wir verwenden statische (SAST) und dynamische (DAST) Anwendungssicherheitstests. Wir führen regelmäßig externe Penetrationstests in unseren Produktionsumgebungen durch.
Unsere Lösungen zur Anwendungssicherheitsüberwachung ermöglichen es uns: Angriffe zu identifizieren und schnell auf Datenverletzungen zu reagieren, Ausnahmen und Protokolle zu überwachen und Anomalien zu erkennen, sowie Protokolle zu sammeln und zu speichern, um einen Audit-Trail bereitzustellen.
Wir setzen auch ein Laufzeitschutzsystem ein, das Web-Angriffe und Geschäftslogik-Angriffe in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header zum Schutz unserer Nutzer vor Angriffen.
Wir praktizieren strenge Sicherheitsüberwachung und -schutz auf Netzwerkebene
Wir betreiben ein eigenes internes Security Operations Center. Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen und Next-Generation-Firewalls überwachen und schützen, einschließlich IP-Adressfilterung, um vor unbefugtem Zugriff zu schützen. Wir setzen eine Intrusion-Detection- und/oder Prevention-Lösung (IDS/IPS) ein, die potenziell schädliche Pakete überwacht und blockiert, sowie DDoS-Abwehrdienste, die von einer branchenführenden Lösung unterstützt werden.
Wir verfügen über ein branchenführendes Sicherheitsteam
Unser Sicherheitsteam besteht aus Sicherheitsexperten, die sich der ständigen Verbesserung der Sicherheit unserer Organisation widmen. Unser Team ist geschult und zertifiziert in den Bereichen Sicherheitsbedrohungserkennung und Incident Response, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Sicherheitsmanagement-Compliance und neueste Sicherheits-Best-Practices.
Wir fördern verantwortungsvolle Offenlegung
Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu benachrichtigen, indem Sie infosec@workerbase.com kontaktieren. Bitte fügen Sie Ihrer E-Mail einen Proof of Concept bei. Wir werden so schnell wie möglich auf Ihre Einreichung reagieren und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung befolgen:
Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte fügen Sie Ihrer E-Mail einen Proof of Concept bei. Geben Sie keine Informationen über die Schwachstellen preis, bis eine eindeutige Genehmigung erteilt wurde.
Bitte beachten Sie, dass unser Bug-Bounty-Programm derzeit geschlossen ist und wir keine neuen Sicherheitsforscher suchen.
Allgemeine Informationssicherheitsrichtlinie
Schutz der Informations- und IT-Vermögenswerte des Unternehmens (einschließlich, aber nicht beschränkt auf alle Computer, mobile Geräte, Netzwerkausrüstung, Software und sensible Daten) gegen alle internen, externen, vorsätzlichen oder zufälligen Bedrohungen und Minderung der Risiken im Zusammenhang mit Diebstahl, Verlust, Missbrauch, Beschädigung oder Missbrauch dieser Systeme.
Sicherstellen, dass Informationen gegen jeden unbefugten Zugriff geschützt sind. Benutzer sollen nur Zugang zu Ressourcen haben, für die sie ausdrücklich autorisiert wurden. Die Zuweisung von Berechtigungen wird streng kontrolliert und regelmäßig überprüft.
Schutz der Vertraulichkeit von Informationen. Vertraulichkeit von Informationen bedeutet den Schutz von Informationen vor der Offenlegung an unbefugte Parteien.
Sicherstellung der Integrität von Informationen. Integrität von Informationen bezieht sich auf den Schutz von Informationen vor der Änderung durch unbefugte Parteien.
Aufrechterhaltung der Verfügbarkeit von Informationen für Geschäftsprozesse. Verfügbarkeit von Informationen bezieht sich auf die Sicherstellung, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen können.
Förderung der kontinuierlichen Verbesserung von Sicherheitsmaßnahmen. Kontinuierliche Verbesserung im Kontext der Informationssicherheit bezieht sich auf die fortlaufenden Bemühungen zur Verbesserung und Stärkung von Sicherheitskontrollen und -prozessen.
Einhaltung und, wo immer möglich, Übertreffen nationaler gesetzlicher und regulatorischer Anforderungen, Standards und Best Practices.
Entwicklung, Pflege und Test von Business-Continuity-Plänen, um sicherzustellen, dass wir trotz aller Hindernisse auf Kurs bleiben.
Sensibilisierung für Informationssicherheit durch Bereitstellung von Sicherheitsschulungen für alle Mitarbeiter. Sicherheitsbewusstsein und gezielte Schulungen sollen konsequent durchgeführt werden, Sicherheitsverantwortlichkeiten in Stellenbeschreibungen widergespiegelt werden und die Einhaltung von Sicherheitsanforderungen soll als Teil unserer Kultur erwartet und akzeptiert werden.
Sicherstellen, dass keine Maßnahmen gegen Mitarbeiter ergriffen werden, die ein Informationssicherheitsbedenken melden, es sei denn, eine solche Offenlegung weist zweifelsfrei auf eine rechtswidrige Handlung, grobe Fahrlässigkeit oder eine wiederholte vorsätzliche Missachtung von Vorschriften oder Verfahren hin.
Alle tatsächlichen oder vermuteten Informationssicherheitsverletzungen an infosec@workerbase.com melden.