Security and Compliance

In unserer Cloud-Umgebung verschlüsseln wir alle Daten sowohl im Ruhezustand als auch während der Übertragung mit den besten Sicherheitsalgorithmen wie u.a. RSA2048 und AES256. Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung mit den besten Praktiken der Branche verschlüsselt, wobei Transport Layer Security (TLS) verwendet wird. Im Ruhezustand werden alle Daten mit bewährten Verschlüsselungsalgorithmen verschlüsselt und mit geheimen Verwaltungsdiensten gespeichert.

Durch die Ende-zu-Ende-Verschlüsselung in jeder Phase - im Ruhezustand, bei der Übertragung oder im Cloud-Speicher - gewährleisten die FINEXITY-Dienste, dass Ihre Daten stets sicher und geschützt sind. Selbstverständlich ist auch die Metadaten-Kommunikation zwischen Ihrem System und FINEXITY verschlüsselt und somit absolut sicher.

Gemäß der europäischen Datenschutzgrundverordnung von 2018 sind personenbezogene Daten, insb. im Hinblick auf Gesundheit und Vermögen, Eigentum der Person, für die sie bestimmt sind, und die Zustimmung zur Verarbeitung und Weitergabe dieser Daten muss „frei, spezifisch und in Kenntnis der Sachlage erteilt werden.“ Dem können wir uns nur anschließen.

Unsere Arbeit an Sicherheit und Datenschutz hat kein Ende, sondern ist ein ständiger Kreislauf aus Forschung, Überarbeitung, Implementierung, Tests, Korrekturen, Skalierung, Sperrung und Genehmigung. Wir arbeiten ständig daran, die Anforderungen von Aufsichtsbehörden, Investoren, Partnern und Nutzern zu erfüllen und zu übertreffen, und wir alle leben die Sicherheitsprozesse täglich. Sicherheit und Datenschutz sind ein integraler Bestandteil unserer Unternehmenskultur. Schließlich ist Sicherheit einer der elementarsten Bestandteile unserer Dienstleistungen.

Alle autorisierten Nutzerdaten bei FINEXITY stehen unseren Kunden bis zur selbständigen Account-Löschung zum Download zur Verfügung. Im Falle von zeitlich befristeten Verträgen stehen sämtliche Nutzerdaten für einen Zeitraum von 30 Tagen nach Ablauf oder Beendigung des Master Service Agreements zum elektronischen Abruf zur Verfügung. Danach werden alle Daten vollständig von den FINEXITY-Servern entfernt. Lesen Sie mehr über unsere Datenschutzeinstellungen.

Die von FINEXITY entwickelten Anwendungen und die Backend-Infrastruktur, die Haupteingangspunkte für Benutzerdaten, lassen nur Client-Anfragen über starke TLS-Protokolle zu. Die gesamte Kommunikation zwischen der von FINEXITY gewarteten Infrastruktur und den Datenplattformen wird über verschlüsselte Tunnel übertragen.

Alle unsere Dienste laufen in Cloud-Umgebungen. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmäßig einer unabhängigen Überprüfung der Sicherheits-, Datenschutz- und Compliance-Kontrollen anhand der folgenden Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele andere.

Der Schutz von Kundendaten vor modernen Bedrohungen bedeutet, dass Produkte, die mit unseren Dienstleistungen entwickelt werden, mit Blick auf die Sicherheit entwickelt werden müssen. Die folgenden Praktiken gewährleisten ein Höchstmaß an Sicherheit in unserer Software:

• Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Integration von Sicherheit in den Entwicklungszyklus konzentriert
• Entwicklung und kontinuierliche Pflege einer Unternehmenskultur, die sich der Sicherheit verschrieben hat
• Entwickler nehmen regelmäßig an Sicherheitsschulungen teil, um sich über häufige Schwachstellen, Bedrohungen und bewährte Verfahren für die sichere Programmierung zu informieren
• Wir überprüfen unseren Code auf Sicherheitsschwachstellen
• Wir aktualisieren regelmäßig unsere Backend-Infrastruktur und Software und stellen sicher, dass keine bekannten Sicherheitslücken vorhanden sind
• Wir verwenden statische Anwendungstests (SAST) und dynamische Anwendungstests (DAST), um grundlegende Sicherheitsschwachstellen in unserer Codebasis zu erkennen

Unsere Lösungen für die Überwachung und den Schutz der Anwendungssicherheit geben uns die Möglichkeit,

• Angriffe zu erkennen und schnell auf eine Datenverletzung zu reagieren
• Ausnahmen und Protokolle zu überwachen und Anomalien in unseren Anwendungen zu erkennen, Protokolle zu sammeln und zu speichern, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen
• Außerdem setzen wir ein Laufzeitschutzsystem ein, das Webangriffe und Angriffe auf die Geschäftslogik in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header, um unsere Benutzer vor Angriffen zu schützen.

Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen Firewalls und Firewalls der nächsten Generation, einschließlich IP-Adressfilterung, überwachen und schützen, um unbefugte Zugriffe zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Eindringlingen (IDS/IPS) ein, die potenziell böswillige Pakete überwacht und blockiert, sowie DDoS-Abwehrdienste (Distributed Denial of Service), die von einer branchenführenden Lösung unterstützt werden.

Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu alarmieren, indem Sie sich an security@finexity.com wenden und Ihrer E-Mail einen Konzeptnachweis beifügen. Wir werden so schnell wie möglich auf Ihre Meldung reagieren und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung befolgen:

Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte fügen Sie Ihrer E-Mail einen Konzeptnachweis bei. Geben Sie keine Informationen über die Schwachstellen bekannt, bevor Sie nicht eine klare Genehmigung erhalten haben.