Sicherheit

Sichere Infrastruktur

Unsere Dienste werden auf der Infrastruktur von Amazon Web Services (AWS) gehostet. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die Rechenzentren von Amazon verfügen über eine 24-Stunden-Sicherheitsbesetzung, biometrische Zugangskontrolle, Videoüberwachung und physische Schlösser. Alle Systeme, vernetzten Geräte und Leitungen werden ständig überwacht. Die AWS-Einrichtungen sind nach ISO 27001, SOC 1 und SOC 2/SSAE 16/ISAE 3402 (früher SAS 70 Typ II), PCI Level 1, FISMA Moderate und Sarbanes-Oxley (SOX) akkreditiert. Erfahren Sie mehr über AWS-Sicherheit.

Hosting in den USA oder in der EU – ganz nach Ihrer Wahl

Vereinigte Staaten – betreut durch Rechenzentren und Unterauftragsverarbeiter mit Sitz in den USA, wobei unsere Hauptdienste in Nord-Virginia gehostet werden; sowie die Europäische Union – betreut durch Rechenzentren und Unterauftragsverarbeiter, die sich ausschließlich in EU-Mitgliedstaaten befinden, wobei unsere Hauptdienste in Frankfurt am Main gehostet werden.

Stets verschlüsselt

Verschlüsselung während der Übertragung – Alle Daten, die an unsere Infrastruktur gesendet oder von dieser empfangen werden, werden während der Übertragung gemäß den branchenüblichen Best Practices mithilfe von Transport Layer Security (TLS 1.2 oder 1.3) verschlüsselt. Unsere SSL-Konfiguration erhält von Qualys SSL Labs die Sicherheitsbewertung A+.

Verschlüsselung im Ruhezustand – Alle unsere Benutzerdaten werden in unseren Datenbanken mit dem bewährten AES-256-Verschlüsselungsalgorithmus verschlüsselt.

Sichere Zahlungen

Unsere Plattform ist PCI-DSS-konform und gewährleistet einen sicheren Umgang mit Zahlungsdaten durch branchenführende Schutz- und Compliance-Maßnahmen. Wir befassen uns nicht mit der Verarbeitung oder Speicherung von Kreditkartennummern – Ihre Kartendaten werden direkt von Braintree (einem Unternehmen von PayPal), unserem Zahlungsdienstleister, erfasst und sicher gespeichert. Braintree ist als PCI Level 1-konform zertifiziert und als Visa® Global Compliant Provider sowie MasterCard® Compliant Provider (SDP) gelistet. Erfahren Sie mehr über die Sicherheit und Compliance von Braintree.

Überwachung der Anwendungssicherheit

• Wir nutzen eine Lösung zur Sicherheitsüberwachung, um Einblick in die Sicherheit unserer Anwendungen zu erhalten, Angriffe zu erkennen und im Falle einer Datenpanne schnell reagieren zu können.
• Wir setzen Technologien ein, um Ausnahmen und Protokolle zu überwachen und Anomalien in unseren Anwendungen zu erkennen.
• Wir erfassen und speichern umfassende Protokolle, um einen Prüfpfad der Aktivitäten unserer Anwendungen zu erstellen. Unsere Protokolle werden regelmäßig von unserem Sicherheitsteam überprüft, um Auffälligkeiten zu erkennen.
• Sicherheitsereignisse werden protokolliert, und bei kritischen Angriffen werden Benachrichtigungen versendet, um eine schnelle Behebung zu ermöglichen.

Sicherheit von Anwendungen

• Wir nutzen Amazon Web Application Firewall, um unsere Nutzer vor einer Vielzahl von Sicherheitslücken zu schützen. AWS WAF bietet Schutz vor den kritischsten Angriffskategorien wie SQL-Injektionen und Cross-Site-Scripting. Es blockiert Angriffe in Echtzeit und warnt uns, sobald Angreifer beginnen, unsere Anwendungen zu überlasten.
• Wir verwenden Sicherheits-Header, um unsere Nutzer vor Angriffen zu schützen. Unsere Dienste wurden von SecurityHeaders.io mit der Note A+ bewertet.

Störungsmanagement

Verdächtige Sicherheitsvorfälle, einschließlich logischer und physischer Sicherheitsverletzungen, werden gemäß unserer Richtlinie und unseren Verfahren zur Reaktion auf Vorfälle erfasst, nachverfolgt und behoben. Soweit dies nach geltendem Recht, einschließlich des EU-Gesetzes zur Cyber-Resilienz, erforderlich ist, melden wir den zuständigen Behörden (wie der ENISA) schwerwiegende Sicherheitsvorfälle innerhalb der vorgeschriebenen Fristen. Wenn Sie Fragen haben oder den Verdacht hegen, dass ein Vorfall aufgetreten sein könnte, wenden Sie sich bitte an security@teamretro.com.

Meldung von Ausfallzeiten

Unternehmenskunden können sich per E-Mail über etwaige Probleme benachrichtigen lassen. Dank unserer Hosting-Plattform sind Ausfallzeiten bei Änderungen an unseren Diensten in der Regel nicht erforderlich. Bei geplanten Ausfallzeiten werden wir unsere Kunden jedoch mindestens 24 Stunden im Voraus per E-Mail benachrichtigen.

Ihr Datenschutz ist gewährleistet

Ihre Daten bleiben Ihr Eigentum und sind nur den Personen zugänglich, denen Sie den Zugriff gewähren. TeamRetro (und das Team von GroupMap Technology) darf nur unter bestimmten Umständen auf Ihre Daten zugreifen, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder zur Bereitstellung von technischem Support erforderlich ist. Ausführliche Informationen finden Sie in der [Datenschutzerklärung] von TeamRetro(/privacy/).

Aufbewahrung und Löschung von Daten

Wir speichern die Daten unserer Nutzer für einen Zeitraum von 365 Tagen nach Ablauf ihrer Testphase oder ihres Abonnements. Danach werden alle Daten vollständig aus der Anwendung gelöscht. Nutzer können die Löschung ihrer Daten jederzeit beantragen, indem sie ihr Konto löschen oder sich an den TeamRetro-Support wenden. Weitere Informationen zu unseren Datenschutzeinstellungen finden Sie in unserer Datenschutzerklärung.

Geschäftskontinuität und Notfallwiederherstellung

Wir erstellen Backups aller unserer kritischen Ressourcen und führen regelmäßig Tests zur Wiederherstellung der Backups durch, um im Katastrophenfall eine schnelle Wiederherstellung zu gewährleisten. Alle 24 Stunden erstellen wir ein vollständiges Backup der Kundendaten. Die Backups werden sicher verschlüsselt und 30 Tage lang aufbewahrt; danach werden sie sicher vernichtet. Wir haben Pläne zur Geschäftskontinuität und zur Notfallwiederherstellung erstellt und überprüfen diese jährlich.

Sichere Programmierung

Unsere Entwickler sind verpflichtet, unsere offiziell dokumentierte Richtlinie zur Anwendungssicherheit einzuhalten und sich an bewährte Sicherheitsverfahren und -rahmenwerke (OWASP Top 10, SANS Top 25) zu halten. Wir wenden die folgenden bewährten Verfahren an, um ein Höchstmaß an Sicherheit in unserer Software zu gewährleisten:

• Entwickler nehmen an regelmäßigen Sicherheitsschulungen teil, um sich über gängige Schwachstellen und Bedrohungen zu informieren
• Wir überprüfen unseren Code auf Sicherheitslücken
• Wir aktualisieren unsere Abhängigkeiten regelmäßig und stellen sicher, dass keine davon bekannte Sicherheitslücken aufweist
• Wir nutzen statische Anwendungssicherheitstests (SAST), um grundlegende Sicherheitslücken in unserem Code zu erkennen
• Wir nutzen Dynamic Application Security Testing (DAST), um unsere Anwendungen zu überprüfen
• Durch den Einsatz von Datadog können wir Schwachstellen, die durch Sicherheitstests, Audits oder Schwachstellen-Offenlegungsprogramme aufgedeckt wurden, effizienter beheben. Außerdem werden wir benachrichtigt, wenn Anwendungskomponenten mit bekannten Schwachstellen in der Produktion verwendet werden (Abhängigkeiten).

Schwachstellen-Scans

TeamRetro wird monatlich sowie nach größeren Releases von intruder.io gescannt, um potenzielle Schwachstellen in der Infrastruktur, auf der Plattform und in den Anwendungen zu identifizieren. Alle identifizierten Schwachstellen werden gemäß unseren Richtlinien zur Anwendungssicherheit geprüft und behoben.

Penetrationstests

Wir lassen regelmäßig unabhängige Penetrationstests durchführen, um die Sicherheit der TeamRetro-Plattform zu überprüfen. Wir beheben alle kritischen Probleme innerhalb von 48 Stunden und Probleme mit hohem Schweregrad innerhalb von 7 Tagen.

Risikobewertungen

Es wird eine jährliche Risikobewertung durchgeführt, um Bedrohungen und Schwachstellen in den TeamRetro-Systemen zu ermitteln. Auf der Grundlage der Ergebnisse der Risikobewertung werden Strategien zur Risikominderung entwickelt.

Systemabsicherung

SERVER-CONTAINERISIERUNG – TeamRetro nutzt die Betriebssystem-Containerisierung über AWS Fargate, um sicherzustellen, dass der Zugriff auf TeamRetro-Daten und -Code ordnungsgemäß eingeschränkt ist. Alle TeamRetro-Dienste laufen auf dedizierten Rechenressourcen, die in einem eigenen virtuellen Netzwerk isoliert sind.

TEMPORÄRE DATEISYSTEME AUF DEN SERVERN – Die Server von TeamRetro arbeiten mit einem temporären Dateisystem, das mindestens einmal täglich oder bei jeder Bereitstellung einer neuen Version auf eine aktuelle Kopie des zuletzt bereitgestellten Codes zurückgesetzt wird.

SYSTEM-PATCHES – Die Installation von Patches auf Plattformebene (Betriebssystem, Systembibliotheken und Dienste) für die TeamRetro-Anwendungs- und Datenbankserver erfolgt fortlaufend.

ANWENDUNGSPATCHES – TeamRetro führt laufend Anwendungs-Patches (Anwendungsbibliotheken usw.) durch.

COMPUTER – Alle Geräte des Teams (wie z. B. Laptops und Desktop-Computer für die Entwicklung) verfügen über verschlüsselte Speicher und sind durch aktuelle Antivirensoftware geschützt.

Umfassende Protokollierung

Wir führen umfassende Protokolle über jede Transaktion im System, einschließlich spezifischer Protokolle zu Anmeldeversuchen. Unsere Protokolle werden regelmäßig von unserem Sicherheitsteam überprüft, um Versuche unbefugten Zugriffs zu erkennen.

Zugangsrechte unseres Teams

• Unsere strengen internen Verfahren verhindern, dass Mitarbeiter oder Administratoren Zugriff auf Benutzerdaten erhalten. Wir greifen nur unter bestimmten Umständen auf Ihre Daten zu, beispielsweise wenn dies gesetzlich vorgeschrieben ist oder zur Bereitstellung von technischem Support erforderlich ist. Ausführliche Informationen finden Sie in unserer Datenschutzerklärung.
• Unsere Mitarbeiter und Auftragnehmer unterzeichnen eine Geheimhaltungs- und Vertraulichkeitsvereinbarung, um die sensiblen Daten unserer Kunden zu schützen.
• Unsere Mitarbeiter und Auftragnehmer werden von einem führenden Dienstleister für Hintergrundüberprüfungen überprüft.
• Die Zugriffsrechte jedes einzelnen Mitarbeiters werden nach Bedarf festgelegt, regelmäßig überprüft und widerrufen, sobald sie nicht mehr erforderlich sind. Wir setzen für alle kritischen TeamRetro-Systeme eine Multi-Faktor-Authentifizierung durch.
• Für den Administratorzugang ist eine Zwei-Faktor-Authentifizierung erforderlich.

Verantwortungsvolle Offenlegung

Wir laden alle, die sich an die Grundsätze der verantwortungsvollen Offenlegung halten und unsere Richtlinien sowie Nutzungsbedingungen einhalten, dazu ein, an unserem Programm zur Offenlegung von Sicherheitslücken teilzunehmen. Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests ausschließlich mit Ihren eigenen Daten durch. Bitte geben Sie keine Informationen zu den Schwachstellen weiter, bis wir diese behoben haben. Die Vergütung erfolgt nach unserem Ermessen und hängt von der Schwere der gemeldeten Schwachstelle ab. Erfahren Sie mehr über das TeamRetro-Programm zur verantwortungsvollen Offenlegung.