Informationssicherheit

Maßnahmen und Verfahren zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen bei Atogu.

Sicherheitsdetails von Atogu

Bei Atogu widmen wir uns der Erhebung, Verarbeitung und dem Verkauf von Daten aus Unternehmensdatenbanken. Uns ist voll bewusst, wie wichtig es ist, Sicherheitsmaßnahmen auf hohem Niveau anzuwenden, um die Informationen zu schützen, die wir verwalten. Obwohl unser Team klein ist, arbeiten wir nach Standards, die mit denen deutlich größerer Organisationen vergleichbar sind.

Dieses Dokument beschreibt unsere Sicherheitspraktiken und -richtlinien. Wenn Sie im Detail erfahren möchten, welche Daten wir erheben, wie wir sie nutzen und wie sie verarbeitet werden, lesen Sie bitte unsere Datenschutzerklärung.

Allgemeine Praktiken

  • Der Zugriff auf unsere Server, den Quellcode und Tools von Drittanbietern ist durch Zwei-Faktor-Authentifizierung geschützt.
  • Wir verwenden starke, zufällig generierte Passwörter, die niemals wiederverwendet werden.
  • Mitarbeitende und externe Mitwirkende erhalten das minimal erforderliche Zugriffsrecht, um ihre Aufgaben zu erfüllen; dies umfasst nur selten direkten Zugriff auf Produktionssysteme oder vollständige Datensätze.
  • Wir nutzen automatische Tools zur Erkennung von Sicherheitslücken, um mögliche Risiken in unseren Abhängigkeiten zu identifizieren, und spielen Sicherheitsupdates so schnell wie möglich ein.
  • Wir kopieren keine Produktionsdaten auf externe Geräte (z. B. private Laptops).

Zugriffskontrolle und organisatorische Sicherheit

Personal Alle Mitarbeitenden und Auftragnehmenden unterzeichnen eine Vertraulichkeitsvereinbarung (NDA), bevor sie Zugriff auf sensible Informationen erhalten.

Penetrationstests Wir führen jährlich Sicherheits-Audits und Penetrationstests durch spezialisierte Dritte durch. Die Berichte beurteilen, ob unsere Maßnahmen den Best Practices der Branche entsprechen. Vollständige Kopien der Ergebnisse können schriftlich angefordert werden.

Authentifizierung und Zugriffsverwaltung

  • Jede Kundin und jeder Kunde verfügt über persönliche, nicht übertragbare Zugangsdaten für den Zugriff auf unsere Systeme.
  • Passwörter werden verschlüsselt gespeichert, unter Verwendung robuster Algorithmen (bcrypt oder vergleichbarer Verfahren).
  • Jede Interaktion mit unseren APIs und Administrationsoberflächen erfordert ein Authentifizierungstoken, das nach längeren Inaktivitätszeiträumen automatisch abläuft.

Verschlüsselung und sichere Datenübertragung

  • Der gesamte Datenaustausch mit unseren Systemen erfolgt über verschlüsselte Verbindungen mit TLS 1.2 oder höher.
  • In internen Repositories oder Datenbanken gespeicherte Daten werden im Ruhezustand mittels AES-256 verschlüsselt.
  • Verschlüsselungsschlüssel werden zufällig generiert, nicht wiederverwendet und gemäß Industriestandards verwaltet.

Aufbewahrung und Löschung von Daten

  • Zugriffs- und Aktivitätsprotokolle werden maximal 30 Tage aufbewahrt, sofern das Gesetz keinen längeren Zeitraum vorschreibt.
  • Kundinnen und Kunden können die Löschung ihrer Daten gemäß DSGVO und sonstigen anwendbaren Vorschriften verlangen.
  • Wir speichern keine Daten auf persönlichen Geräten oder nicht autorisierten Speichermedien.

Praktiken der Softwareentwicklung

  • Jede Codeänderung wird vor dem Deployment mindestens von einem weiteren Teammitglied geprüft.
  • Der Code wird vor der Übernahme in die Produktion in Staging-Umgebungen gemäß einem Qualitätskontrollprotokoll getestet.
  • Es werden regelmäßig Schwachstellenanalysen sowohl für interne Software als auch für externe Plattformen durchgeführt, die wir nutzen.

Hosting und Einhaltung von Vorschriften

  • Unsere Server werden bei Anbietern gehostet, die internationale Zertifizierungen wie ISO 27001, SOC 1, SOC 2 und PCI DSS Level 1 erfüllen.
  • Die primäre Datenspeicherung erfolgt in der Europäischen Union, wodurch die Einhaltung der DSGVO sichergestellt wird.

Häufig gestellte Fragen

Vermarkten Sie personenbezogene Daten? Wir verkaufen keine personenbezogenen Daten natürlicher Personen ohne Rechtsgrundlage. Unser Geschäft konzentriert sich auf Unternehmensdaten und berufliche Kontakte im Rahmen der geltenden Vorschriften.

Wie kann ich eine Sicherheitslücke melden? Sie können uns eine E-Mail an f.diazlaclaustra@datary.io senden; diese wird mit hoher Priorität bearbeitet.

Führen Sie Hintergrundprüfungen beim Personal durch? Ja. Alle Mitarbeitenden und Auftragnehmenden werden vorab überprüft und unterzeichnen Vertraulichkeitsvereinbarungen.

Welche Versicherungen haben Sie? Wir verfügen über Cyber-Haftpflicht-, Berufshaftpflicht- und Betriebshaftpflichtversicherungen, die potenzielle Vorfälle im Zusammenhang mit unserer Tätigkeit abdecken.

📌 Hinweis: Dieses Dokument wird regelmäßig aktualisiert, um Änderungen unserer Praktiken und rechtlichen Anforderungen zu berücksichtigen.