Dieses Security Center stellt Ressourcen zur Verfügung, die das kontinuierliche Engagement von evenito für Informationssicherheit dokumentieren. Wir überwachen, bewerten und überarbeiten unsere Software und unsere internen Massnahmen regelmässig im Sinne der sich laufend weiterentwickelnden Vorschriften und gesetzlichen Bestimmungen.
ISO 27001:2013 Zertifikat
evenito ist ISO 27001:2013 zertifiziert. Zertifikat hier herunterladen.
Infrastruktur
Bei evenito bauen wir auf eine branchenführende Infrastruktur und hosten unsere Software auf der Google Cloud Platform. Als unser Cloud-Anbieter hat Google folgende Vorteile und Nachteile.
Cloud Konformität
Unabhängige Überprüfung von Sicherheit, Datenschutz und Compliance. ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, VPAT (WCAG, U.S. Section 508, EN 301 549) und FedRAMP Zertifizierungen sind verfügbar. Die Übereinstimmung mit HIPAA, GDPR, CCPA und FINMA ist gewährleistet. (Quelle)
Datencenter Sicherheit
Mehrschichtige Sicherheit mit massgeschneiderten elektronischen Zugangskarten, Alarmanlagen, Zugangssperren für Fahrzeuge, Umzäunung, Metalldetektoren, biometrischen Merkmalen und Laserstrahl-Einbruchserkennung. Die Datenzentren werden 24/7 überwacht.Alle Rechenzentren befinden sich in der Schweiz. evenito hat eine vertragliche Vereinbarung mit Google Ireland Ltd und unterstützt die 100%ige Datenresidenz in der Schweiz. (Quelle)
Server Sicherheit
Google Cloud regulatorische Compliance mit FINMA Rundschreiben 2018/3 Outsourcing, KWG §25b & MaRisk BAIT 9, Art. 274 EC Del Reg 2015/35, §38 VAG & BaFin Orientierung. (Sicherheit)
Netzwerk Sicherheit
Alle Produktionsnetzwerksysteme und -geräte werden von evenito ständig überwacht und verwaltet. Der Zugang ist eingeschränkt und eine Zwei-Faktor-Authentifizierung ist erforderlich.
Sicherheit der Anwendung
Die Software wird nach den Grundsätzen der sicheren Softwareentwicklung entwickelt.
Außerdem unterstützt evenito
• Authentifizierung über die Google-Identitätsplattform
• Adaptive Web Application Firewall zur Abwehr von DDoS- und Web-Angriffen in großem Umfang
• Rollenbasierte Zugriffskontrolle mit klar definierten Berechtigungsstufen
Scannen auf Schwachstellen
Durch ständiges Scannen des Netzwerks erhalten wir einen tiefen Einblick, um nicht konforme oder potenziell gefährdete Systeme schnell zu identifizieren.
Darüber hinaus führen wir bei evenito:
• Statische Code-Analyse durch Scannen der Quellcode-Repositories sowohl für unsere Plattform als auch für mobile Anwendungen
• Tägliche Überprüfung von SSL-Zertifikaten • Wöchentliches Scannen der Konfiguration, Überwachung der Aktivitäten und Überprüfung anhand von Best Practices
Penetrationtests
Zusätzlich zu unseren umfangreichen internen Scans und Tests unterzieht sich evenito jedes Jahr einem Penetrationstest durch einen Drittanbieter für die gesamte Produktionsanwendung.
Software Entwicklung
Logische Trennung der Test- und Staging-Umgebungen von der Produktionsumgebung. Darüber hinaus weist evenito verschiedene Rollen in der Entwicklungsphase zu und reduziert die Anfälligkeit für Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injection (SQLi) durch inhärente Kontrollen.
TOMs
evenito hat sich auf technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit geeinigt (sog. "TOMs"). Sie können hier heruntergeladen werden.
Bewusstsein für Sicherheit
Sicherheitsrichtlinien zu Sicherheitsthemen werden allen Mitarbeitenden und Auftragnehmenden zur Verfügung gestellt. Die Mitarbeitenden nehmen bei ihrer Einstellung und danach regelmäßig an Schulungen zum Thema Sicherheit teil. Weitere Aktualisierungen des Sicherheitsbewusstseins werden bei internen Veranstaltungen und Treffen angeboten. Darüber hinaus gibt es ein spezielles Sicherheitsteam und Spezialisten für interne Revision und Compliance.
Management von Sicherheitsvorfällen
Prozesse für das Management von Sicherheitsvorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigen können, sind vorhanden und dokumentiert.
Risikomanagement für Lieferanten
Die Einhaltung der Sicherheitsvorschriften ist Teil der Zusammenarbeit mit evenito. Unser ISMS-Team führt ein Prüfverfahren für alle vorgeschlagenen Engagements von Drittanbietern durch.
Überwachung Management
Im Mittelpunkt des Überwachungsprogramms stehen Informationen, die aus dem internen Netzwerkverkehr, den Aktionen der Mitarbeitenden an den Systemen und dem Wissen von aussen über Schwachstellen gewonnen werden. Die Protokolle von Benutzern, Administratoren und Systembetreibern werden regelmäßig überprüft. Es werden Methoden zur Verhinderung, Erkennung und Beseitigung von Schadsoftware eingesetzt.
Datenschutz
Alle Anforderungen des DSGVO werden umgesetzt. Wir arbeiten in dieser Angelegenheit auch mit einem Datenschutzbeauftragten (DSB) zusammen. Alle hochgeladenen Kundendaten werden ausschliesslich für den vereinbarten Zweck verarbeitet und werden vom Dienstleister nicht für andere Zwecke verwendet.
DSGVO
Die evenito AG ist seit Dezember 2020 DSGVO-konform und seit März 2022 offiziell nach ISO 27001 zertifiziert. Wir arbeiten mit einem Datenschutzbeauftragten (DSB) und einem Chief Information Security Officer (CISO).
Unser externer DPO / CISO Partner ist Keyed.
Nils Möllers
Keyed GmbH
Siemensstraße 12
48341 Altenberge, Westfalen
info@keyed.de
+49 (0) 2505 - 639797
www.keyed.de
Datenspeicherung
Die Daten werden gemäss unserer Richtlinie zur Aufbewahrung von Informationen aufbewahrt. Die Daten werden bis zu 90 Tage lang gesichert. Die Nutzer können alle Daten löschen, allerdings dauert es 90 Tage, bis alle Backups vollständig gelöscht sind.
Datensicherheit
Die Daten werden in Echtzeit synchronisiert. Die Backups werden an zwei physischen Standorten gespeichert. Darüber hinaus werden physische Sicherungen aller Daten auf dem Produktionssystem erstellt. Die physischen Sicherungen sind verschlüsselt (data at rest). Die Backups werden alle sechs Monate (zweimal im Jahr) getestet, indem eine vollständige Wiederherstellung auf einem vom Testnetz getrennten System versucht wird (um eine Gefährdung der Produktionsdaten zu vermeiden).
Verschlüsselte Daten
Daten "im Transit" zwischen den Einrichtungen und "im Ruhezustand" werden standardmäßig verschlüsselt. Es wird sichergestellt, dass nur autorisierte Rollen auf sie zugreifen können. Zum Beispiel Dienste mit geprüftem Zugriff auf die Verschlüsselungsschlüssel. evenito unterstützt starke Verschlüsselungsprotokolle wie TLS/HTTPS zur Sicherung der Verbindungen.
Verschlüsselungsstandard: 256-Bit Advanced Encryption Standard (AES-256) Schlüssel im Galois Counter Mode (GCM), aufgefüllt mit Cloud KMS-internen Metadaten.
F: Sind die verschiedenen Mandanten/Kunden sicher voneinander getrennt und ist sichergestellt, dass es keinen Datenaustausch zwischen Dateien verschiedener Mandanten gibt?
A: Die Mandanten sind logisch getrennt. Ausserdem sind Test, Staging und Produktion physisch getrennt.
F: Werden regelmäßige (mindestens jährliche), unabhängige Sicherheitsaudits beim Anbieter in Bezug auf die Informationssicherheit durchgeführt (Sicherheitsaudit, Penetrationstest o.ä.)
A: Zusätzlich zu unseren umfangreichen internen Scans und Tests führt evenito jedes Jahr einen Penetrationstest durch Dritte für die Produktionsanwendung durch.
F: Gibt es beim Anbieter einen definierten Prozess für den Umgang mit Notfällen (Geschäftskontinuität, Dienstkontinuität) und wird dieser Prozess regelmäßig (mindestens jährlich) vom Anbieter oder von unabhängigen Dritten getestet?
A: Ja. Wir haben ein Notfallmanagement ("Incident Policy") und ein Notfallhandbuch. Weitere Informationen findet man auch in unserer ISMS-Richtlinie.
F: Wird das Personal regelmäßig in Bezug auf die Informationssicherheit geschult und/oder sensibilisiert?
A: Regelmäßige Schulungen zur Informationssicherheit werden von unserem CISO und einer internen Sensibilisierungssoftware durchgeführt.
F: Werden Drittunternehmen, Unterauftragnehmer usw. für die Erbringung von Dienstleistungen, die Entwicklung, den Betrieb oder die Unterstützung eingesetzt?
A: Ja, alle Unterauftragnehmer sind in der Datenverarbeitungsvereinbarung aufgeführt. Ein Lieferant, IT- oder Dienstleistungsanbieter wird erst nach einer internen Sicherheitsbewertung in Betracht gezogen.
F: Where are the data and IT systems of the cloud application located?
A: All data is securely located in Switzerland. This also complies with the requirements of the GDPR
F: Wie oft wird eine neue Version zur Verfügung gestellt?
A: Ca. alle 1-2 Wochen. Die Kunden werden per E-Mail und über die Wissensdatenbank informiert.
F: Existiert ein Informationssicherheitsmanagementsystem (ISMS) und wird es gründlich praktiziert?
A: Ja, das ISMS wurde im Januar 2021 eingeführt. evenito ist seit März 2022 nach ISO 27001:2013 zertifiziert.
F: Wird Single Sign On (SSO) unterstützt?
A: Ja, wir unterstützen SSO über SAML v2.
Auf Anfrage können wir zusätzliche Ressourcen zur Verfügung stellen.