Skip to content

Sicherheitserklärung der Welliba Group

Stand: 15. Februar 2023i

 

Der Schutz von Kunden- und Nutzerdaten ist ein zentrales Anliegen, dem sich die Welliba Group verpflichtet hat.


Organisatorische Sicherheit

Informationssicherheitsprogramm
Wir verfügen über ein Informationssicherheitsprogramm, das unternehmensweit kommuniziert wird. Unser Informationssicherheitsprogramm entspricht den Kriterien des SOC 2 Frameworks. SOC 2 ist ein allgemein bekanntes Verfahren zur Prüfung der Informationssicherheit, das vom American Institute of Certified Public Accountants entwickelt wurde.  

Third-Party Audits
Unser Unternehmen unterzieht sich unabhängigen Prüfungen durch Dritte, um unsere Sicherheits- und Compliance-Kontrollen zu testen.

Penetrationstests durch externe Dritte
Mindestens einmal im Jahr unterziehen wir uns einem von externen Dritten durchgeführten Penetrationstest, um zu überprüfen, dass die Sicherheit unserer Dienste nicht beeinträchtigt ist.

Rollen und Verantwortlichkeiten
Die Rollen und Verantwortlichkeiten im Zusammenhang mit unserem Informationssicherheitsprogramm und dem Schutz der Daten unserer Kunden und Nutzer sind klar definiert und dokumentiert. Unsere Teammitglieder sind verpflichtet, alle Sicherheitsrichtlinien zu überprüfen und einzuhalten.

Training zum Sicherheitsbewusstsein
Unsere Teammitglieder müssen an einer Sicherheitsschulung für Mitarbeiter teilnehmen, die branchenübliche Praktiken und Themen zur Informationssicherheit, wie Phishing und Passwortverwaltung, abdeckt.

Verschwiegenheitspflicht
Alle Teammitglieder müssen vor ihrem ersten Arbeitstag eine branchenübliche Verschwiegenheitsvereinbarung unterzeichnen und sich zu deren Einhaltung verpflichten.


Cloud-Sicherheit

Sicherheit der Cloud-Infrastruktur
Alle unsere Dienste werden von Microsoft Azure gehostet. Azure verfügt über ein robustes, mehrfach zertifiziertes Sicherheitsprogramm. Weitere Informationen über die Sicherheitsverfahren unseres Cloud-Providers finden Sie unter Azure Security.

Sicherheit des Daten-Hostings
Alle unsere Daten werden in Datenbanken von Microsoft Azure gehostet. Alle diese Datenbanken befinden sich in den Niederlanden. Weitere Informationen entnehmen Sie bitte der oben verlinkten spezifischen Dokumentation des Anbieters.

Verschlüsselung im Ruhezustand
Alle Datenbanken werden im Ruhezustand verschlüsselt.

Verschlüsselung bei der Übertragung
Unsere Anwendungen verschlüsseln während der Übertragung nur mit TLS/SSL.

Sicherheitslücken-Scanning
Wir führen Schwachstellenscans durch und überwachen aktiv die Bedrohungen.

Protokollierung und Überwachung
Wir überwachen und protokollieren aktiv verschiedene Cloud-Dienste.

Geschäftskontinuität und Disaster Recovery
Wir nutzen die Backup-Dienste unseres Daten-Hosting-Providers, um das Risiko von Datenverlusten im Falle eines Hardware-Ausfalls zu verringern. Wir nutzen Monitoring-Dienste, die das Team alarmieren, wenn es zu Ausfällen kommt, die die Nutzer betreffen.

Incident Response
Wir haben ein Verfahren für den Umgang mit Informationssicherheitsvorfällen eingerichtet, das Eskalationsverfahren sowie schnelle Abhilfe- und Kommunikationsmaßnahmen umfasst.

 

Zugangssicherheit

Berechtigungen und Authentifizierung
Der Zugang zur Cloud-Infrastruktur und zu anderen sensiblen Tools ist auf autorisierte Mitarbeiter beschränkt, die ihn im Rahmen ihrer jeweiligen Rolle benötigen. 

Wo verfügbar, nutzen wir Single Sign-on (SSO), 2-Faktor-Authentifizierung (2FA) und strenge Passwortrichtlinien, um sicherzustellen, dass der Zugang zu Cloud-Diensten geschützt ist.

Zugangskontrolle mit geringsten Rechten
Bei der Identitäts- und Zugangsverwaltung folgen wir dem Prinzip der geringsten Rechte.

Vierteljährliche Zugangsüberprüfungen
Wir führen vierteljährliche Zugangsüberprüfungen für alle Teammitglieder durch, die Zugang zu sensiblen Systemen haben.

Passwort-Anforderungen
Alle Teammitglieder sind verpflichtet, zum Zugang ein Mindestmaß an Passwort-Anforderungen und -Komplexität einzuhalten.

Passwort-Manager
Alle vom Unternehmen zur Verfügung gestellten Laptops verfügen über einen Passwort-Manager, mit dem die Teammitglieder ihre Passwörter verwalten und die Passwortkomplexität aufrechterhalten können.

 

Lieferanten- und Risikomanagement

Jährliche Risikobewertungen
Wir unterziehen uns mindestens einmal jährlich einer Risikobewertung, um potenzielle Bedrohungen, einschließlich Betrugsverdacht, aufzudecken.  


Lieferanten-Risikomanagement
Wir ermitteln das Lieferantenrisiko und führen vor Autorisierung eines neuen Lieferanten die entsprechenden Überprüfungen durch.


Kontakt


Wenn Sie Fragen, Kommentare oder Bedenken haben oder ein mögliches Sicherheitsproblem melden möchten, wenden Sie sich bitte an security@welliba.com

 

iGender-Hinweis: Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen stets die männliche Form verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter und beinhalten keine Wertung.