Sicherheit & Compliance bei Workerbase

Wir erfüllen die höchsten Sicherheits- und Datenschutzstandards

Workerbase wird regelmäßig von unabhängigen externen Prüfern auf die Einhaltung der Datenschutzbestimmungen GDPR und CCPA geprüft.
Die Einhaltung von GDPR und CCPA zeigt unser Engagement für den Schutz personenbezogener Daten und die Umsetzung eines zustimmungsbasierten Ansatzes bei der Verarbeitung personenbezogener Daten.

Unsere Verschlüsselungsprotokolle entsprechen den Anforderungen nationaler Sicherheitsstandards

Durch die Nutzung einer Multi-Cloud-Umgebung stellt Workerbase sicher, dass alle Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden. Dabei werden erstklassige Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256 verwendet. Wir verwenden Transport Layer Security (TLS) zur Verschlüsselung von Daten, die an unsere oder von unserer Infrastruktur gesendet werden, und halten uns dabei an die besten Praktiken der Branche. Alle gespeicherten Daten profitieren von robusten Verschlüsselungsalgorithmen und sind mit fortschrittliche Verschlüsselungsdiensten gesichert. Sie können unseren SSLLabs-Bericht hier einsehen. Workerbase bietet eine umfassende Verschlüsselung in jeder Phase – egal, ob die Daten im Ruhezustand, bei der Übertragung oder in der Cloud gespeichert sind – und gewährleistet so ein Höchstmaß an Sicherheit, Datenschutz und Integrität. Darüber hinaus wird sogar die Kommunikation von Metadaten zwischen Ihrem System und Workerbase vollständig verschlüsselt, um einen umfassenden Schutz zu gewährleisten.

Unser zustimmungsbasiertes Modell gibt Personen die Kontrolle über ihre persönlichen und geschützten Gesundheitsdaten

Gemäß der Allgemeinen Datenschutzgrundverordnung (DSGVO), die 2018 in Europa eingeführt wurde, sind Einzelpersonen Eigentümer ihrer persönlichen Daten, einschließlich geschützter Gesundheitsdaten, und jede Zustimmung zur Verarbeitung oder Weitergabe dieser Daten muss „frei, spezifisch und in Kenntnis der Sachlage“ erteilt werden. Wir unterstützen diesen Grundsatz voll und ganz. Wenn ein Nutzer die Dienste von Workerbase in Anspruch nimmt, bittet er faktisch eine Person um die Erlaubnis, auf ihre Daten zuzugreifen. Dieser Prozess gibt den Personen die Möglichkeit, ihr Recht auf Zustimmung und Eigentum an ihren Daten auszuüben.

Unsere Sicherheitsmaßnahmen werden ständig weiterentwickelt, um mit der sich verändernden Bedrohungslandschaft Schritt zu halten.

Unser Engagement für Sicherheit und Datenschutz ist ein ständiger Kreislauf aus Forschung, Überarbeitung, Implementierung, Testen, Korrektur, Skalierung, Sicherung und Erteilung von Genehmigungen. Wir sind bestrebt, die Erwartungen von Aufsichtsbehörden, Investoren, Partnern und Nutzern zu erfüllen und zu übertreffen. Unser Team lebt die Sicherheitsprozesse jeden Tag und macht sie zu einem grundlegenden Bestandteil unserer Kultur. Schließlich ist die Sicherheit eine der wichtigsten Dienstleistungen, die wir anbieten.

Die Speicherung und Löschung von Daten ist standardisiert und liegt im Ermessen unserer Nutzer.

Alle genehmigten Benutzerdaten von Workerbase stehen unseren Kunden für einen Zeitraum von 30 Tagen nach Ablauf oder Beendigung des Master Service Agreements zum elektronischen Abruf zur Verfügung. Danach werden alle Daten vollständig von den Servern von Workerbase entfernt. Jeder Nutzer kann die Löschung seiner persönlichen Daten beantragen, indem er sich an den Workerbase-Support wendet. Lesen Sie mehr über unsere Datenschutzbestimmungen.

Wir errichten starke Abwehrmechanismen an Eintrittspunkten

Workerbase hat Anwendungen und Backend-Infrastrukturen, die die primären Gateways für Benutzerdaten sind, so konzipiert, dass sie Client-Anfragen nur über robuste TLS-Protokolle akzeptieren. Außerdem erfolgen alle Datenübertragungen zwischen der von Workerbase verwalteten Infrastruktur und den Datenplattformen über verschlüsselte Kanäle.

Wir treffen alle notwendigen Vorkehrungen für die Infrastruktur.

Alle unsere Dienste laufen in Cloud-Umgebungen. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter werden regelmäßig einer unabhängigen Prüfung der Sicherheit, des Datenschutzes und der Compliance-Kontrollen gemäß den folgenden Standards unterzogen: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP, und viele weitere.

Sicherer Code: transparente Entwicklung mit Blick auf die Sicherheit

Der Schutz von Kundendaten vor modernen Bedrohungen bedeutet, dass die von uns entwickelten Produkte unter Berücksichtigung der Sicherheit entwickelt werden müssen. Die folgenden Praktiken gewährleisten ein Höchstmaß an Sicherheit in unserer Software:

  • Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Integration von Sicherheit in den Entwicklungszyklus konzentriert
  • Entwicklung und kontinuierliche Pflege einer Unternehmenskultur, die der Sicherheit gewidmet ist
  • Wir bewerten die Sicherheit unseres Codes anhand branchenbekannter Sicherheits-Frameworks wie ATTCK, OWASP Top 10 und SANS Top 25
  • Entwickler nehmen regelmäßig an Sicherheitsschulungen teil, um sich über häufige Schwachstellen, Bedrohungen und bewährte Verfahren zur sicheren Programmierung zu informieren.
  • Wir überprüfen unseren Code auf Sicherheitsschwachstellen
  • Wir aktualisieren regelmäßig unsere Backend-Infrastruktur und Software und stellen sicher, dass keine bekannten Sicherheitslücken vorhanden sind.
  • Wir verwenden statische Anwendungstests (SAST) und dynamische Anwendungstests (DAST), um grundlegende Sicherheitsschwachstellen in unsererem Code zu erkennen.
  • Wir führen regelmäßig externe Penetrationstests in unseren Produktionsumgebungen durch.

  Unsere Lösungen zur Überwachung und dem Schutz der Anwendungssicherheit ermöglichen es uns, den Überblick zu behalten, um:

  • Angriffe zu identifizieren und schnell auf eine Datenverletzung zu reagieren
  • Ausnahmen und Protokolle zu überwachen und Anomalien in unseren Anwendungen zu erkennen
  • Protokolle zu erfassen und zu speichern, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen

  Außerdem setzen wir ein Laufzeitschutzsystem ein, das Webangriffe und Angriffe auf die Geschäftslogik in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header, um unsere Benutzer vor Angriffen zu schützen.

Wir praktizieren strenge Sicherheitsüberwachung und Schutz auf Netzwerkebene

Wir unterhalten unser eigenes Security Operations Center. Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen Firewalls der nächsten Generation, einschließlich IP-Adressfilterung, überwachen und schützen, um unbefugte Zugriffe zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Eindringlingen (IDS/IPS) ein, die potenziell bösartige Pakete überwacht und blockiert, sowie Dienste zur Bekämpfung von Distributed Denial of Service (DDoS), die von einer branchenführenden Lösung unterstützt werden.

Wir verfügen über ein branchenführendes Sicherheitsteam

Unser Sicherheitsteam besteht aus Sicherheitsexperten, die sich der ständigen Verbesserung der Sicherheit unserer Organisation widmen. Unser Team ist geschult und zertifiziert in den Bereichen Erkennung von Sicherheitsbedrohungen und Reaktion auf Zwischenfälle, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Einhaltung von Sicherheitsvorschriften und neuesten Best Practices im Bereich Sicherheit.

Wir fördern eine verantwortungsvolle Offenlegung.

Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu alarmieren, indem Sie sich an infosec@workerbase.com wenden. Bitte fügen Sie Ihrer E-Mail einen Konzeptnachweis bei. Wir werden so schnell wie möglich auf Ihre Einsendung reagieren und keine rechtlichen Schritte einleiten, wenn Sie sich an den verantwortungsvollen Offenlegungsprozess halten:

  • Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch.
  • Bitte fügen Sie Ihrer E-Mail einen Konzeptnachweis bei
  • Geben Sie keine Informationen über die Schwachstellen weiter, bevor Sie nicht eine klare Genehmigung erhalten haben.

Beachten Sie, dass unser Bug Bounty Programm derzeit geschlossen ist und wir keine neuen Sicherheitsforscher suchen.

Allgemeine Richtlinien zur Informationssicherheit

Schutz der Informations- und IT-Ressourcen des Unternehmens (einschließlich, aber nicht beschränkt auf alle Computer, mobilen Geräte, Netzwerkausrüstung, Software und vertrauliche Daten) vor allen internen, externen, vorsätzlichen oder versehentlichen Bedrohungen und Minderung der Risiken, die mit Diebstahl, Verlust, Missbrauch oder Beschädigung dieser Systeme verbunden sind;

Sicherstellung des Schutzes von Informationen vor unbefugtem Zugriff. Nutzer dürfen nur auf die Ressourcen zugreifen, für die sie eine spezielle Zugangsberechtigung erhalten haben. Die Vergabe von Privilegien wird streng kontrolliert und regelmäßig überprüft.

Schützen Sie die VERTRAULICHKEIT von Informationen. Wenn wir über die Vertraulichkeit von Informationen sprechen, geht es um den Schutz der Informationen vor der Weitergabe an Unbefugte und die

Gewährleistung der INTEGRITÄT der Informationen. Die Integrität von Informationen bezieht sich auf den Schutz von Informationen vor Änderungen durch Unbefugte;

Aufrechterhaltung der VERFÜGBARKEIT von Informationen für Geschäftsprozesse. Die Verfügbarkeit von Informationen bedeutet, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen können.

Erfüllen und übertreffen Sie, wo immer möglich, die nationalen gesetzlichen und behördlichen Anforderungen, Standards und Best Practices.

Entwickeln, pflegen und testen Sie Business-Continuity-Pläne, um sicherzustellen, dass wir trotz aller Hindernisse, auf die wir stoßen können, auf Kurs bleiben. Es geht darum, „Ruhe zu bewahren und weiterzumachen“.

Schärfen Sie das Bewusstsein für die Informationssicherheit, indem Sie allen Mitarbeitern Schulungen zur Informationssicherheit anbieten. Das Sicherheitsbewusstsein und gezielte Schulungen müssen konsequent durchgeführt werden, die Verantwortlichkeiten für die Sicherheit müssen sich in den Stellenbeschreibungen widerspiegeln, und die Einhaltung der Sicherheitsanforderungen muss als Teil unserer Kultur erwartet und akzeptiert werden;

Stellen Sie sicher, dass keine Maßnahmen gegen Mitarbeiter ergriffen werden, die Bedenken hinsichtlich der Informationssicherheit durch Meldung oder direkten Kontakt mit dem Information Security Management Leader offenlegen, es sei denn, diese Offenlegung deutet ohne jeden Zweifel auf eine illegale Handlung, grobe Fahrlässigkeit oder eine wiederholte vorsätzliche oder absichtliche Missachtung von Vorschriften oder Verfahren hin;

Melden Sie alle tatsächlichen oder vermuteten Verletzungen der Informationssicherheit an infosec@workerbase.com