🚨 NIS2 ist nun in Kraft getreten. Sicherheitsbewusstsein ist in der EU nun gesetzlich vorgeschrieben.

Einhaltung prüfen
Starten Sie Ihre kostenlose Testphase
Zurück zur Startseite

Sicherheitsrichtlinie

1. Einleitung

Diese Sicherheitsrichtlinie beschreibt die Maßnahmen, Verfahren und Richtlinien, die Guardey befolgt, um die Sicherheit von Daten und Systemen zu gewährleisten. Diese Richtlinie gilt für alle Mitarbeiter, Auftragnehmer und Dritte, die Zugriff auf die Systeme und Daten von Guardey haben.

2. Ziele

Guardey zielt darauf ab:
• Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen.
• Unbefugten Zugriff und Bedrohungen zu verhindern.
• Relevante Gesetze, Vorschriften und Industriestandards einzuhalten.

3. Sicherheitsprinzipien

Least Privilege: Zugriff wird nur auf die notwendigen Daten und Systeme gewährt.
Verantwortlichkeit: Jeder innerhalb von Guardey ist für die Einhaltung der Sicherheitsmaßnahmen verantwortlich.

4. Zugriffsmanagement

Identifikation und Authentifizierung: Alle Benutzer müssen sich über Multi-Faktor-Authentifizierung (2FA) per E-Mail authentifizieren. Single Sign-On (SSO) über Microsoft wird ebenfalls genutzt, um den Zugriff zu optimieren und abzusichern.
Autorisierung: Guardey verwendet ein rollenbasiertes Zugriffssteuerungsmodell (RBAC), das Organisationseinheiten, Benutzerkonten und Benutzergruppen regelt.
Kontoverwaltung: Die Erstellung, Pflege und Löschung von Konten folgen streng definierten Verfahren.

5. Datensicherheit

Verschlüsselung: Alle Daten während der Übertragung sind mit TLS geschützt.
Datenklassifizierung: Daten werden basierend auf ihrer Sensibilität klassifiziert und entsprechend behandelt.
Backups: Tägliche Backups der Datenbank werden erstellt und verschlüsselt in mehreren Regionen innerhalb unseres Hostings gespeichert. Im Falle eines Verlusts von Produktionsdaten können diese Backups zur Wiederherstellung der Daten verwendet werden.

6. Netzwerksicherheit

Firewall: Guardey nutzt die Cloudflare Web Application Firewall (WAF), um Anwendungen vor Angriffen zu schützen.
Netzwerksegmentierung: Eine dedizierte Produktionsumgebung wird aufrechterhalten, wodurch sichergestellt wird, dass Kundendaten niemals in Nicht-Produktionssystemen gespeichert oder verarbeitet werden.
Intrusion Detection: Kontinuierliche Überwachung und Protokollierung der Netzwerkinfrastruktur zur Erkennung und Verhinderung unbefugter Zugriffe.

7. Application Security

Entwicklungsrichtlinien: Entwickler befolgen Sicherheitsrichtlinien und Best Practices für sichere Programmierung.
• Sichere Anwendungsentwicklung: Alle unsere Codeänderungen werden von einem zweiten Entwickler und mittels CI auf Qualität, Fehler und Schwachstellen überprüft.
Anschließend werden die Änderungen in einer Pre-Production-Umgebung erneut überprüft. Wenn alles ordnungsgemäß funktioniert, kann einer unserer Administratoren die Änderung genehmigen, woraufhin ein automatischer Rollout der Änderung in der Produktionsumgebung erfolgt.
• Schwachstellenmanagement: Regelmäßige Scans und Updates zur Identifizierung und Behebung von Schwachstellen.
• Sicherheitstests: Regelmäßige Penetrationstests und Code-Reviews.

8. Physische Sicherheit

• Rechenzentren: Die Daten von Guardey werden in sicheren Rechenzentren in den Niederlanden (EU) gehostet, um den EU-Datenschutz- und -Privatsphäre-Vorschriften zu entsprechen. Diese Rechenzentren nutzen physische Zugangsbeschränkungen, Überwachungssysteme und Umweltschutzmaßnahmen.
• Zugang zu physischen Standorten: Nur autorisiertes Personal hat Zugang zu sensiblen Bereichen.

9. Incident Response

• Incident Response Plan: Detaillierte Verfahren zur Meldung und Bearbeitung von Sicherheitsvorfällen.
• Kommunikation: Definierte interne und externe Kommunikationsprotokolle während Vorfällen.
• Forensik: Untersuchung und Analyse von Vorfällen zur Ermittlung von Ursachen und Auswirkungen.

10. Protokollierung und Überwachung

• Überwachungstools: Guardey setzt verschiedene Überwachungstools ein, um Änderungen an seiner Infrastruktur zu überwachen und zu verwalten.
• Protokollierung: Alle Änderungen und Aktionen innerhalb der Guardey-Umgebung werden akribisch protokolliert. Alarme werden basierend auf der Schwere oder dem potenziellen Einfluss von Änderungen generiert.

11. Datenlöschung

• Datenlöschung: Kunden sind für ihre Daten verantwortlich und können Guardey anweisen, alle ihre Daten gemäß den geltenden Gesetzen zu löschen, es sei denn, Vorschriften schreiben eine Aufbewahrung vor.

12. Compliance und Zertifizierung

• Qualys SSL Labs: Guardey verfügt über eine A-Bewertung.
• Regulatorische Compliance: Guardey stellt sicher, dass alle Sicherheitsmaßnahmen den relevanten Gesetzen und Vorschriften, wie der DSGVO, entsprechen.

13. Richtlinienmanagement

• Überprüfung und Aktualisierungen: Diese Richtlinie wird regelmäßig überprüft und aktualisiert, um sicherzustellen, dass sie mit sich ändernden Bedrohungen und Technologien im Einklang bleibt.
• Überwachung und Durchsetzung: Guardey überwacht und setzt die Einhaltung dieser Richtlinie bei allen beteiligten Parteien durch.

14. Security Training

Bei Guardey praktizieren wir, was wir predigen. Als Unternehmen, das Security Awareness Training durch wöchentliche Nano-Learning-Sessions anbietet, stellen wir sicher, dass alle unsere Mitarbeiter ebenfalls intensiv mit unserem eigenen Produkt geschult werden. Dies hält unser Team nicht nur über die neuesten Sicherheitspraktiken auf dem Laufenden, sondern demonstriert auch unser internes Engagement für Sicherheit. Unsere Mitarbeiter nehmen an diesen ansprechenden und informativen Trainingseinheiten teil, wodurch Security Awareness stets präsent ist.

Sind Sie bereit, loszulegen?

Schließen Sie sich den über 500 Unternehmen an, die ihre Teams bereits mit Guardey schützen

Starten Sie Ihre kostenlose 14-tägige Testphase
14 Tage kostenlos · Keine Kreditkarte · Voller Zugriff · Einrichtung in 5 Minuten
Oder vereinbaren Sie eine individuelle Vorführung