Flag
Login Sales kontaktieren

evenito Security Center

Dieses Security Center stellt Ressourcen zur Verfügung, die das kontinuierliche Engagement von evenito für Informationssicherheit dokumentieren. Wir überwachen, bewerten und überarbeiten unsere Software und unsere internen Massnahmen regelmässig im Sinne der sich laufend weiterentwickelnden Vorschriften und gesetzlichen Bestimmungen.

Dokumente

evenito AGBs

evenito Plattform Datenschutz

evenito Datenschutz

evenito Auftragsverarbeitungsvertrag

evenito Technische & Organisatorische Massnahmen

evenito Security Factsheet

evenito ISO 27001:2013 Zertifikat

Sicherheit

Technische Sicherheit
ISO 27001:2013 Zertifikat

evenito ist ISO 27001:2013 zertifiziert. Zertifikat hier herunterladen.

Infrastruktur

Bei evenito bauen wir auf eine branchenführende Infrastruktur und hosten unsere Software auf der Google Cloud Platform. Als unser Cloud-Anbieter hat Google folgende Vorteile und Zertifikate.

Cloud Konformität

Unabhängige Überprüfung von Sicherheit, Datenschutz und Compliance. ISO/IEC 27001/27017/27018/27701, SOC 1/2/3, PCI DSS, VPAT (WCAG, U.S. Section 508, EN 301 549) und FedRAMP Zertifizierungen sind verfügbar. Die Übereinstimmung mit HIPAA, GDPR, CCPA und FINMA ist gewährleistet. (Quelle)

Datencenter Sicherheit

Mehrschichtige Sicherheit mit massgeschneiderten elektronischen Zugangskarten, Alarmanlagen, Zugangssperren für Fahrzeuge, Umzäunung, Metalldetektoren, biometrischen Merkmalen und Laserstrahl-Einbruchserkennung. Die Datenzentren werden 24/7 überwacht.

Alle Rechenzentren befinden sich in der Schweiz. evenito hat eine vertragliche Vereinbarung mit Google Ireland Ltd und unterstützt die 100%ige Datenresidenz in der Schweiz.  (Quelle)

Server Sicherheit

Google Cloud regulatorische Compliance mit FINMA Rundschreiben 2018/3 Outsourcing, KWG §25b & MaRisk BAIT 9, Art. 274 EC Del Reg 2015/35, §38 VAG & BaFin Orientierung. (Sicherheit)

Netzwerk Sicherheit

Alle Produktionsnetzwerksysteme und -geräte werden von evenito ständig überwacht und verwaltet. Der Zugang ist eingeschränkt und eine Zwei-Faktor-Authentifizierung ist erforderlich.

Sicherheit der Anwendung

Die Software wird nach den Grundsätzen der sicheren Softwareentwicklung entwickelt.

Außerdem unterstützt evenito 

  • Authentifizierung über die Google-Identitätsplattform 
  • Adaptive Web Application Firewall zur Abwehr von DDoS- und Web-Angriffen in großem Umfang
  • Rollenbasierte Zugriffskontrolle mit klar definierten Berechtigungsstufen
Scannen auf Schwachstellen

Durch ständiges Scannen des Netzwerks erhalten wir einen tiefen Einblick, um nicht konforme oder potenziell gefährdete Systeme schnell zu identifizieren.

Darüber hinaus führen wir bei evenito:

  • Statische Code-Analyse durch 
  • Scannen der Quellcode-Repositories sowohl für unsere Plattform als auch für mobile Anwendungen
  • Tägliche Überprüfung von SSL-Zertifikaten 
  • Wöchentliches Scannen der Konfiguration, Überwachung der Aktivitäten und Überprüfung anhand von Best Practices
Penetrationstests

Zusätzlich zu unseren umfangreichen internen Scans und Tests unterzieht sich evenito jedes Jahr einem Penetrationstest durch einen Drittanbieter für die gesamte Produktionsanwendung.

Software Entwicklung

Logische Trennung der Test- und Staging-Umgebungen von der Produktionsumgebung. Darüber hinaus weist evenito verschiedene Rollen in der Entwicklungsphase zu und reduziert die Anfälligkeit für Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injection (SQLi) durch inhärente Kontrollen.

Organisatorische Sicherheit
TOMs

evenito hat sich auf technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit geeinigt (sog. "TOMs").

Sie können hier heruntergeladen werden

Bewusstsein für Sicherheit

Sicherheitsrichtlinien zu Sicherheitsthemen werden allen Mitarbeitenden und Auftragnehmenden zur Verfügung gestellt. Die Mitarbeitenden nehmen bei ihrer Einstellung und danach regelmäßig an Schulungen zum Thema Sicherheit teil. Weitere Aktualisierungen des Sicherheitsbewusstseins werden bei internen Veranstaltungen und Treffen angeboten. Darüber hinaus gibt es ein spezielles Sicherheitsteam und Spezialisten für interne Revision und Compliance.

Management von Sicherheitsvorfällen

Prozesse für das Management von Sicherheitsvorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen oder Daten beeinträchtigen können, sind vorhanden und dokumentiert.

Risikomanagement für Lieferanten

Die Einhaltung der Sicherheitsvorschriften ist Teil der Zusammenarbeit mit evenito. Unser ISMS-Team führt ein Prüfverfahren für alle vorgeschlagenen Engagements von Drittanbietern durch.

Überwachung Management

Im Mittelpunkt des Überwachungsprogramms stehen Informationen, die aus dem internen Netzwerkverkehr, den Aktionen der Mitarbeitenden an den Systemen und dem Wissen von aussen über Schwachstellen gewonnen werden. Die Protokolle von Benutzern, Administratoren und Systembetreibern werden regelmäßig überprüft. Es werden Methoden zur Verhinderung, Erkennung und Beseitigung von Schadsoftware eingesetzt.

Datenschutz

Compliance
Datenschutz

Alle Anforderungen des DSGVO werden umgesetzt. Wir arbeiten in dieser Angelegenheit auch mit einem Datenschutzbeauftragten (DSB) zusammen. Alle hochgeladenen Kundendaten werden ausschliesslich für den vereinbarten Zweck verarbeitet und werden vom Dienstleister nicht für andere Zwecke verwendet.

DSGVO

Die evenito AG ist seit Dezember 2020 DSGVO-konform und seit März 2022 offiziell nach ISO 27001 zertifiziert. Wir arbeiten mit einem Datenschutzbeauftragten (DSB) und einem Chief Information Security Officer (CISO). 

Unser externer DPO / CISO Partner ist Keyed.

Nils Möllers
Keyed GmbH
Siemensstraße 12
48341 Altenberge, Westfalen
info@keyed.de
+49 (0) 2505 - 639797
www.keyed.de

Datenspeicherung

Die Daten werden gemäss unserer Richtlinie zur Aufbewahrung von Informationen aufbewahrt. Die Daten werden bis zu 90 Tage lang gesichert. Die Nutzer können alle Daten löschen, allerdings dauert es 90 Tage, bis alle Backups vollständig gelöscht sind.

Datensicherheit

Die Daten werden in Echtzeit synchronisiert. Die Backups werden an zwei physischen Standorten gespeichert. Darüber hinaus werden physische Sicherungen aller Daten auf dem Produktionssystem erstellt. Die physischen Sicherungen sind verschlüsselt (data at rest). Die Backups werden alle sechs Monate (zweimal im Jahr) getestet, indem eine vollständige Wiederherstellung auf einem vom Testnetz getrennten System versucht wird (um eine Gefährdung der Produktionsdaten zu vermeiden).

Verschlüsselte Daten

Daten "im Transit" zwischen den Einrichtungen und "im Ruhezustand" werden standardmäßig verschlüsselt. Es wird sichergestellt, dass nur autorisierte Rollen auf sie zugreifen können. Zum Beispiel Dienste mit geprüftem Zugriff auf die Verschlüsselungsschlüssel. evenito unterstützt starke Verschlüsselungsprotokolle wie TLS/HTTPS zur Sicherung der Verbindungen.

Verschlüsselungsstandard: 256-Bit Advanced Encryption Standard (AES-256) Schlüssel im Galois Counter Mode (GCM), aufgefüllt mit Cloud KMS-internen Metadaten.

Häufig gestellte Fragen

Mandantentrennung

F: Sind die verschiedenen Mandanten/Kunden sicher voneinander getrennt und ist sichergestellt, dass es keinen Datenaustausch zwischen Dateien verschiedener Mandanten gibt?

A: Die Mandanten sind logisch getrennt. Ausserdem sind Test, Staging und Produktion physisch getrennt.

Sicherheitsprüfungen

F: Werden regelmäßige (mindestens jährliche), unabhängige Sicherheitsaudits beim Anbieter in Bezug auf die Informationssicherheit durchgeführt (Sicherheitsaudit, Penetrationstest o.ä.) 

A: Zusätzlich zu unseren umfangreichen internen Scans und Tests führt evenito jedes Jahr einen Penetrationstest durch Dritte für die Produktionsanwendung durch.

Kontinuität des Geschäftsbetriebs

F: Gibt es beim Anbieter einen definierten Prozess für den Umgang mit Notfällen (Geschäftskontinuität, Dienstkontinuität) und wird dieser Prozess regelmäßig (mindestens jährlich) vom Anbieter oder von unabhängigen Dritten getestet?

A: Ja. Wir haben ein Notfallmanagement ("Incident Policy") und ein Notfallhandbuch. Weitere Informationen findet man auch in unserer ISMS-Richtlinie.

Sensibilisierung der Mitarbeitenden

F: Wird das Personal regelmäßig in Bezug auf die Informationssicherheit geschult und/oder sensibilisiert?

A: Regelmäßige Schulungen zur Informationssicherheit werden von unserem CISO und einer internen Sensibilisierungssoftware durchgeführt.

Unterauftragnehmer

F: Werden Drittunternehmen, Unterauftragnehmer usw. für die Erbringung von Dienstleistungen, die Entwicklung, den Betrieb oder die Unterstützung eingesetzt?

A: Ja, alle Unterauftragnehmer sind in der Datenverarbeitungsvereinbarung aufgeführt. Ein Lieferant, IT- oder Dienstleistungsanbieter wird erst nach einer internen Sicherheitsbewertung in Betracht gezogen.

Standort der Daten

F: Wo befinden sich Daten und IT-Systeme der Cloud-Anwendung?

A: Alle Daten befinden sich sicher in der Schweiz. Dies entspricht auch den Anforderungen des DSGVO. Der Standort der Daten kann sich nach den Anforderungen des Kunden richten. 

Release Management

F: Wie oft wird eine neue Version zur Verfügung gestellt?

A: Ca. alle 1-2 Wochen. Die Kunden werden per E-Mail und über die Wissensdatenbank informiert.

ISMS

F: Existiert ein Informationssicherheitsmanagementsystem (ISMS) und wird es gründlich praktiziert?

A: Ja, das ISMS wurde im Januar 2021 eingeführt. evenito ist seit März 2022 nach ISO 27001:2013 zertifiziert.

SSO

F: Wird Single Sign On (SSO) unterstützt?

A: Ja, wir unterstützen SSO über SAML v2.

Hast du noch Fragen?

Auf Anfrage können wir zusätzliche
Ressourcen zur Verfügung stellen.

Kontaktiere uns