Schnelle Links
Sind Entwicklungs-, Test- und Produktionsumgebungen voneinander getrennt?
Ja. Entwicklungs-, Test-, Staging- und Produktionsumgebungen sind voneinander getrennt.
Werden Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt?
Ja. Der Zugang zu unseren Websites, Anwendungen und APIs ist immer mit HTTPS gesichert. Unsere Datenbanken, Backups, Logs, Caches und andere Speicher, in denen wir Kundendaten aufbewahren, sind im Ruhezustand verschlüsselt. Wo anwendbar, wird auch die interne Anwendungskommunikation verschlüsselt.
Technische Details
Im Ruhezustand wird AES-256-Verschlüsselung verwendet
Die Datenübertragung nach außen und innen ist immer HTTPS-verschlüsselt mit TLS 1.2 oder höher (RSA mit AES128-GCM-SHA256)
Die interne Anwendungsübertragung innerhalb unseres Produktionsnetzwerks ist AES-256-verschlüsselt
Benötigt ihr Zugang zum internen Netzwerk des Kunden?
Nein.
Habt ihr ein Intrusion Detection System (IDS), ein Intrusion Prevention System (IPS), eine Web Application Firewall (WAF) oder einen DDoS-Schutz im Einsatz?
Ja, wir setzen all diese Systeme ein – zusammen mit vielen weiteren technischen Sicherheitsmaßnahmen.
Welche physischen Sicherheitsmaßnahmen gibt es in euren Büros?
Elektronische Schlüssel, die nur autorisiertem Personal zugewiesen werden, sowie Alarmanlagen.
Wie identifiziert ihr Schwachstellen und behebt die damit verbundenen Risiken?
Kontinuierliche Penetrationstests, automatisierte Netzwerk- und Schwachstellenscans, Abhängigkeitsscans, Container-Scans, Infrastrukturüberwachung und manuelle Beobachtungen. Technische Schwachstellen werden gemäß der Richtlinie zum Schwachstellenmanagement behandelt. Andere Risiken werden im Rahmen des Risikomanagementprozesses adressiert.
Welche Maßnahmen zum Schutz vor Schadsoftware gibt es?
Automatisierte Netzwerk- und Schwachstellenscans, Abhängigkeitsscans, Container-Scans, Infrastrukturüberwachung. Auf allen Endgeräten ist eine Malware-Schutzlösung (EDR) im Einsatz.
Verwendet ihr Open-Source-Software als Teil eurer Dienste?
Ja, wir verwenden eine Vielzahl von Open-Source-Komponenten als Teil unserer Software – von Ruby on Rails bis Kubernetes. Wir haben eine Open-Source-Richtlinie, die u. a. die akzeptierten Lizenzen regelt.
Welche Sicherheitsmaßnahmen gibt es auf euren Endgeräten?
Die folgenden Maßnahmen werden über eine MDM-Lösung auf allen Unternehmensendgeräten durchgesetzt: automatische Sicherheitsupdates, Bildschirmsperre nach 10 Minuten Inaktivität, vollständige Festplattenverschlüsselung, Antivirenlösung (EDR).
Werden System- und Sicherheits-Patches regelmäßig auf Workstations und Servern eingespielt?
Ja, auf allen Betriebssystemen sind automatische Updates aktiviert, wo dies möglich ist, und werden über Managementlösungen durchgesetzt. Zusätzlich werden Newsletter verfolgt, um mögliche Zero-Day-Workarounds zu adressieren, solange auf offizielle Patches gewartet wird.
Welche Maßnahmen stellen die schnelle Wiederherstellung der Datenverfügbarkeit nach einem vorübergehenden Verlust oder einer Beschädigung sicher?
Die Produktionsinfrastruktur basiert auf fehlertoleranten Systemen, die sicherstellen, dass Kundendaten redundant über mehrere Rechenzentren (AWS Availability Zones) gespeichert werden. Backups werden regelmäßig erstellt und Wiederherstellungstests mindestens einmal jährlich durchgeführt.
Welche Verfügbarkeitsgarantie bietet ihr? Gibt es eine öffentliche Statusseite?
Leadfeeder erbringt die Leistungen gemäß unseren Allgemeinen Geschäftsbedingungen (AGB), Absatz 4.12. Unsere öffentliche Statusseite mit der Möglichkeit, Status-Updates zu abonnieren, ist hier verfügbar: https://status.leadfeeder.com
Gibt es ein Bug-Bounty-Programm oder werden regelmäßig Penetrationstests durchgeführt?
Ja, wir betreiben ein privates Bug-Bounty-Programm auf HackerOne, bei dem ethische Hacker kontinuierlich Penetrationstests gegen unsere definierten Assets durchführen. Der neueste Bericht ist hier verfügbar.
Überprüft ihr Anwendungen und Browser-Erweiterungen, die auf Endgeräten installiert werden?
Ja, wir haben einen Prozess zur Überprüfung sowohl von Anwendungen als auch von Browser-Erweiterungen.
--
Fragen, Kommentare, Feedback? Bitte lasse es uns wissen, indem du unser Support-Team über den Chat kontaktierst oder uns eine E-Mail an support@leadfeeder.com schickst.