Security and Compliance
Datum des Inkrafttretens: 30. Juni 2024
Der Schutz persönlicher und vertraulicher Kundeninformationen hat für uns oberste Priorität. Im Interesse unserer Kunden, unserer Geschäftsethik und unserer Werte gehen wir keine Kompromisse ein, wenn es um die Datensicherheit geht. Als Teil dieser Verpflichtung arbeiten wir mit einem Höchstmaß an Transparenz. Die folgende Übersicht bietet einen Überblick über unsere sich ständig weiterentwickelnden Sicherheitsmaßnahmen.
Wir halten uns an die höchsten Sicherheits- und Datenschutzstandards
Datenschutzgrundverordnung (DSGVO) - FINEXITY wird monatlich von einem externen Prüfer der Deutschen Gesellschaft für Datenschutz auf die Einhaltung der DSGVO-Vorschriften beraten. Wir setzen uns aktiv für den Schutz persönlicher Daten ein und gewährleisten ein zustimmungsbasiertes Verfahren für deren Verarbeitung, das über die Anforderungen der DSGVO hinausgeht. Durch die voraussichtliche Zertifizierung nach ISO 27001 in 2024 erhöhen wir zudem die technische Sicherheit und gewähren eine lückenlose, rechtssichere Nutzung der IT in unserer Organisation. Bereits jetzt gelten die Maßgaben der ISO-Richtlinie als oberste Maxime unseres unternehmerischen Handelns. Gemeinsam mit einem externen Auditor besprechen wir auf wöchentlicher Basis, wie wir FINEXITY noch besser vor den Gefahren in der Informationssicherheit schützen können.
Unsere Verschlüsselungsprotokolle entsprechen den nationalen Sicherheitsbestimmungen
In unserer Cloud-Umgebung verschlüsseln wir alle Daten sowohl im Ruhezustand als auch während der Übertragung mit den besten Sicherheitsalgorithmen wie u.a. RSA2048 und AES256. Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung mit den besten Praktiken der Branche verschlüsselt, wobei Transport Layer Security (TLS) verwendet wird. Im Ruhezustand werden alle Daten mit bewährten Verschlüsselungsalgorithmen verschlüsselt und mit geheimen Verwaltungsdiensten gespeichert.
Durch die Ende-zu-Ende-Verschlüsselung in jeder Phase - im Ruhezustand, bei der Übertragung oder im Cloud-Speicher - gewährleisten die FINEXITY-Dienste, dass Ihre Daten stets sicher und geschützt sind. Selbstverständlich ist auch die Metadaten-Kommunikation zwischen Ihrem System und FINEXITY verschlüsselt und somit absolut sicher.
Unser zustimmungsbasiertes Verfahren gibt Ihnen die Kontrolle über Ihre persönlichen und geschützten Vermögensdaten
Gemäß der europäischen Datenschutzgrundverordnung von 2018 sind personenbezogene Daten, insb. im Hinblick auf Gesundheit und Vermögen, Eigentum der Person, für die sie bestimmt sind, und die Zustimmung zur Verarbeitung und Weitergabe dieser Daten muss „frei, spezifisch und in Kenntnis der Sachlage erteilt werden.“ Dem können wir uns nur anschließen.
Wir entwickeln unsere Sicherheitsmaßnahmen ständig weiter, um mit der sich verändernden Bedrohungslandschaft Schritt halten zu können
Unsere Arbeit an Sicherheit und Datenschutz hat kein Ende, sondern ist ein ständiger Kreislauf aus Forschung, Überarbeitung, Implementierung, Tests, Korrekturen, Skalierung, Sperrung und Genehmigung. Wir arbeiten ständig daran, die Anforderungen von Aufsichtsbehörden, Investoren, Partnern und Nutzern zu erfüllen und zu übertreffen, und wir alle leben die Sicherheitsprozesse täglich. Sicherheit und Datenschutz sind ein integraler Bestandteil unserer Unternehmenskultur. Schließlich ist Sicherheit einer der elementarsten Bestandteile unserer Dienstleistungen.
Die Speicherung und Löschung von Daten ist standardisiert und liegt im Ermessen unserer Nutzer
Alle autorisierten Nutzerdaten bei FINEXITY stehen unseren Kunden bis zur selbständigen Account-Löschung zum Download zur Verfügung. Im Falle von zeitlich befristeten Verträgen stehen sämtliche Nutzerdaten für einen Zeitraum von 30 Tagen nach Ablauf oder Beendigung des Master Service Agreements zum elektronischen Abruf zur Verfügung. Danach werden alle Daten vollständig von den FINEXITY-Servern entfernt. Lesen Sie mehr über unsere Datenschutzeinstellungen.
Wir etablieren starke Abwehrmechanismen an den Eintrittspunkten
Die von FINEXITY entwickelten Anwendungen und die Backend-Infrastruktur, die Haupteingangspunkte für Benutzerdaten, lassen nur Client-Anfragen über starke TLS-Protokolle zu. Die gesamte Kommunikation zwischen der von FINEXITY gewarteten Infrastruktur und den Datenplattformen wird über verschlüsselte Tunnel übertragen.
Wir treffen alle notwendigen Infrastrukturvorkehrungen
Alle unsere Dienste laufen in Cloud-Umgebungen. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmäßig einer unabhängigen Überprüfung der Sicherheits-, Datenschutz- und Compliance-Kontrollen anhand der folgenden Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele andere.
Sicherer Code: transparente Entwicklung mit Blick auf die Sicherheit
Der Schutz von Kundendaten vor modernen Bedrohungen bedeutet, dass Produkte, die mit unseren Dienstleistungen entwickelt werden, mit Blick auf die Sicherheit entwickelt werden müssen. Die folgenden Praktiken gewährleisten ein Höchstmaß an Sicherheit in unserer Software:
- Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Integration von Sicherheit in den Entwicklungszyklus konzentriert
- Entwicklung und kontinuierliche Pflege einer Unternehmenskultur, die sich der Sicherheit verschrieben hat
- Entwickler nehmen regelmäßig an Sicherheitsschulungen teil, um sich über häufige Schwachstellen, Bedrohungen und bewährte Verfahren für die sichere Programmierung zu informieren
- Wir überprüfen unseren Code auf Sicherheitsschwachstellen
- Wir aktualisieren regelmäßig unsere Backend-Infrastruktur und Software und stellen sicher, dass keine bekannten Sicherheitslücken vorhanden sind
- Wir verwenden statische Anwendungstests (SAST) und dynamische Anwendungstests (DAST), um grundlegende Sicherheitsschwachstellen in unserer Codebasis zu erkennen
Unsere Lösungen für die Überwachung und den Schutz der Anwendungssicherheit geben uns die Möglichkeit,
- Angriffe zu erkennen und schnell auf eine Datenverletzung zu reagieren
- Ausnahmen und Protokolle zu überwachen und Anomalien in unseren Anwendungen zu erkennen, Protokolle zu sammeln und zu speichern, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen
- Außerdem setzen wir ein Laufzeitschutzsystem ein, das Webangriffe und Angriffe auf die Geschäftslogik in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header, um unsere Benutzer vor Angriffen zu schützen.
Wir praktizieren strenge Sicherheitsüberwachung und Schutz auf Netzwerkebene
Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen Firewalls und Firewalls der nächsten Generation, einschließlich IP-Adressfilterung, überwachen und schützen, um unbefugte Zugriffe zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Eindringlingen (IDS/IPS) ein, die potenziell böswillige Pakete überwacht und blockiert, sowie DDoS-Abwehrdienste (Distributed Denial of Service), die von einer branchenführenden Lösung unterstützt werden.
Wir fördern die verantwortungsvolle Offenlegung
Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu alarmieren, indem Sie sich an [email protected] wenden und Ihrer E-Mail einen Konzeptnachweis beifügen. Wir werden so schnell wie möglich auf Ihre Meldung reagieren und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung befolgen:
Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch. Bitte fügen Sie Ihrer E-Mail einen Konzeptnachweis bei. Geben Sie keine Informationen über die Schwachstellen bekannt, bevor Sie nicht eine klare Genehmigung erhalten haben.