Das Klaxoon Trust Center
Mit unserem Team von Sicherheits- und Compliance-Experten reagieren wir auf jede Anfrage zur Sicherheitsvalidierung oder zum Risikomanagement für Dritte und helfen bei der Navigation durch globale Datenvorschriften und Governance.
Sicherheit
1.2 Datenschutz
1.2.1 Zugriff auf Klaxoon – Anmelde- und Passwortrichtlinien
Die Nutzer von Klaxoon aktivieren Ihre Konten über einen Aktivierungslink, den sie per E-Mail erhalten.
Sie schützen den Zugriff auf Ihre Daten, indem sie bei der ersten Verbindung mit Klaxoon ein Passwort festlegen.
Die Standard-Passwortrichtlinie von Klaxoon entspricht den NIST-Empfehlungen: der Nutzer muss eine sichere Passphrase oder ein sicheres Passwort mit Hilfe des Tools zur Messung der Passwortstärke erstellen, das in der Schnittstelle zur Passworterstellung bereitgestellt wird. die Erkennung der Stärke basiert auf Länge, Wörterbüchern, Mustererkennung oder sogar auf der Verwendung von persönlichen Informationen.
1.2.2 Delegierung der Authentifizierung / SSO
Um die Authentifizierungsstandards unserer Kunden zu erleichtern und einzuhalten, unterstützen wir die SSO-Integration:
- Corporate Identity Federation (private SSO): spezifische SSO-Integration mit jedem SAMLv2- oder OIDC-kompatiblen Identitätsanbieter
- Online-Identitätsverbund (öffentliche SSOs): Mehrere Online-Authentifizierungsmodi sind verfügbar, um den Zugriff auf Klaxoon zu erleichtern.
1.2.3 Sicherheitsorganisation und -verwaltung
Basierend auf den ISO-Normen hat Klaxoon eine offizielle Sicherheitsorganisation und -verwaltung eingerichtet, in der die oberste Führungsebene, Sicherheitsbeauftragte und technische Experten in den täglichen Betrieb eingebunden sind.
1.2.4 Sicherheit der Humanressourcen
Wir stellen sicher, dass alle neu eingestellten Mitarbeiter vertraglich zur Geheimhaltung von Informationen verpflichtet sind, zu denen sie in Ausübung Ihrer Tätigkeit Zugang erhalten. Sie unterzeichnen bei Ihrer Einstellung eine Geheimhaltungsvereinbarung.
Gemäß den geltenden Gesetzen werden alle neu eingestellten Mitarbeiter überprüft. F&E- und Verwaltungspersonal durchläuft ein spezielles Screening, bevor sie Zugriff auf die Systeme und geschützten F&E-Büros erhalten.
Die Verträge der bei Klaxoon Beschäftigten enthalten eine IT-Charta, in der Ihre Verpflichtungen in Bezug auf den Datenschutz aufgeführt sind.
Es gibt ein fortlaufendes Programm zur Sensibilisierung der Mitarbeiter für Datensicherheit und Datenschutz.
1.2.5 Security by Design
Da Sicherheit bei Klaxoon oberste Priorität hat, wenden wir bei der Entwicklung Best Practices an, die zu unserem Security by Design-Ansatz und dem Prinzip der Defense in Depth beitragen
Für seinen sicheren SDLC, Klaxoon F&E-Team eine Methodik, die auf SCRUM basiert und die Sicherheit in die verschiedenen Phasen des Entwicklungszyklus integriert.
Die Sicherheit ist das Herzstück der Anwendung. So setzt Klaxoon die vom OWASP SDL (Secure Development Lifecycle) und dem ASVS (Application Security Verification Standard) empfohlenen Best Practices bereits in der Entwurfsphase um.
Besonderes Augenmerk wird auf die Ranglisten der wichtigsten Anwendungsrisiken gelegt, wie die OWASP Top 10 Projekte oder die CWE Top 25. Sicherheitstests und Meilensteine sind in den SDLC integriert und werden von internen Sicherheitsspezialisten durchgeführt.
1.2.6 Datenverschlüsselung
Deine Daten werden bei der Übertragung und im Ruhezustand mit den robustesten und zuverlässigsten Verschlüsselungstechniken und Zyphern verschlüsselt.
Bei der Übertragung: Alle Datenübertragungen werden über HTTPS durchgeführt. die Sitzung wird über TLS 1.2 oder höher verschlüsselt. Es werden nur starke Chiffren unterstützt. Siehe den vollständigen SSL-Testbericht auf Qualys SSL Labs (Rating A+).
Die Serverzertifikate werden von einer anerkannten Zertifizierungsstelle gegengezeichnet.
Im Ruhezustand: Die von den Nutzern erzeugten Daten werden im Ruhezustand mit einer Volumenverschlüsselung verschlüsselt, die dem FIPS 140 Standard entspricht. Verschlüsselungsstufe: AES-256.
Die Passwörter der Nutzer von Klaxoon werden mit Hilfe des Algorithmus Bcrypt gehasht.
1.2.7 Zahlungsschutz
Alle Zahlungen werden von unserem PCI-DSS-zertifizierten Partner abgewickelt. Klaxoon speichert zu keinem Zeitpunkt Zahlungsdaten.
1.2.8 Sicherheitsprüfungen
Die Plattform von Klaxoon wird im Rahmen des S-SDLC regelmäßig internen Penetrationstests unterzogen.
Externe Penetrationstests werden mindestens einmal jährlich von unabhängigen Dritten durchgeführt, die von der französischen Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI) zertifiziert sind. Wir stellen sicher, dass der Prüfer die neuesten Methoden anwendet (wie PTES, NIST).
1.2.9 Management von Zwischenfällen
Die erste Ebene des technischen Supports ist der Einstiegspunkt für jeden Sicherheitsvorfall, egal ob er vom Kunden, intern oder von einer externen Quelle wie der ANSSI entdeckt wird. Der Zwischenfall wird in unserem internen Tool für Zwischenfall-Management verfolgt und von unseren Sicherheits- und Betriebsteams bearbeitet. Für die Meldung von Sicherheitsvorfällen wird eine eigene E-Mail-Adresse eingerichtet.
Die Stufen 2 und 3 werden je nach Schwere des Zwischenfalls ausgelöst. Auf jeder Stufe überwachen der CISO von Klaxoon und sein Team die Analyse, die Korrektur und die Kommunikation mit dem Kunden und/oder den Behörden.
1.3 Infrastruktur
1.3.1 Sichere Infrastruktur
Die Infrastruktur von Klaxoon nutzt die fortschrittlichsten Sicherheitsmaßnahmen, die von unseren Cloud-Anbietern vorgeschlagen werden, darunter regelbasiertes Firewalling, Load-Balancing, DDoS-Schutz und Intrusion Management.
Die Verwaltung der KlaxoonInfrastruktur wird von einem speziellen Team verwaltet, das Sicherheitskontrollen auf der Grundlage der ISO 27001-Normen durchführt. Der Zugriff auf die Verwaltung erfolgt über gesicherte Tunnel und wenn möglich mit MFA.
Die Rechenzentren, in denen der Dienst gehostet wird, erfüllen die Tier III-Anforderungen, der physische Zugang wird kontrolliert und überwacht. Unsere Cloud-Anbieter verfügen über mehrere Zertifizierungen, unter anderem ISO 27001 und SOC.
1.3.2 Nachverfolgbarkeit
Alle administrativen Ereignisse (Betriebssystemprotokolle) werden überwacht und protokolliert.
Alle Zugriffsereignisse, die durch Nutzeraktionen erzeugt werden (Webzugriffsprotokolle), werden ebenfalls überwacht und protokolliert.
Die Protokolle werden zentralisiert, um die Analyse und Korrelation zu erleichtern, und 12 Monate lang verschlüsselt auf speziellen, sicheren Servern archiviert.
1.3.3 Schwachstellenmanagement
Automatische Schwachstellen-Scans (Bibliotheken, Middleware, Betriebssystem) laufen auf der Infrastruktur von Klaxoon. Es gibt eine Richtlinie für das Schwachstellenmanagement, die auf anerkannten Standards wie CVSS basiert, um ein rechtzeitiges Patchen zu gewährleisten.
1.3.4 Anti-Malware/Anti-Virus
Die Plattform von Klaxoon wird rund um die Uhr gescannt, und jede hochgeladene Datei wird in Echtzeit überprüft. Die Malware-Datenbank wird täglich aktualisiert.
1.4 Standard- und optionale Sicherheitsmerkmale
1.4.1 Authentifizierung & SSO
Standardmäßig wird der Zugang zur Anwendung entweder durch die Angabe eines persönlichen und individuellen Benutzernamens und Passworts oder durch die verfügbaren Online-SSO-Authentifizierungsmodi gewährt.
Eine private SSO-Integration kann vorgeschlagen werden (SAML). Dieser Authentifizierungsmodus kann für identifizierte Nutzer obligatorisch sein, so dass keine anderen Authentifizierungsmechanismen möglich sind.
Einmal eingeloggt, sind die Daten von Klaxoon nur für den Eigentümer/Ersteller und die Personen zugänglich, für die sie freigegeben wurden (z. B. auf einem Network haben alle Abonnenten Zugriff auf die Daten auf diesem Network).
Je nach abonniertem Angebot können für Firmenkunden auch erweiterte Filtereinstellungen vorgeschlagen werden (bitte kontaktiere uns für weitere Informationen).
1.4.2 Zugang zu Daten
Die Anwendung ermöglicht es den Gastgebern von Klaxoon, Teilnehmende zu den von ihnen erstellten Aktivitäten einzuladen. Jeder Aktivität kann standardmäßig über eine eindeutige URL beigetreten werden. Es gibt verschiedene Mechanismen, um den Zugang zu Klaxoon Aktivitäten und zugehörigen Daten zu beschränken:
- Aktivitätssperre: Gastgeber können die Option deaktivieren, einer Aktivität über eine URL oder einen Sitzungscode beizutreten. So können sie die Teilnehmenden über die Schnittstelle von Klaxoon verwalten. Eine solche Sperrung kann jederzeit während der Laufzeit einer Aktivität vorgenommen werden.
- Verwaltung der Zugriffsrechte in Board: Feinabstimmung der Interaktionsmöglichkeiten der Teilnehmenden in Boards.
- Klaxoon „Networks“: eine Reihe von Klaxoon Aktivitäten, Die in einem begrenzten Bereich zusammengefasst sind und zu denen Der Ersteller Des Networks über Einladungen Zugang gewährt. Die Einladungen werden per E-Mail verschickt, sie sind persönlich, nicht übertragbar und nur einmal gültig.
Je nach abonniertem Angebot sind einige zusätzliche Beschränkungsmaßnahmen verfügbar (bitte kontaktiere uns für weitere Informationen über die Anspruchsberechtigung).
- Zugriffsbeschränkung für Mitglieder einer ganzen Organisation: verhindert, dass externe Nutzer auf die Aktivitäten Deiner Organisation zugreifen.
- Beschränkung von Datei-Uploads und -Downloads: nimmt angemeldeten Nutzern die Möglichkeit, während der Aktivitäten Dateien hochzuladen sowie Inhalte von Klaxoon herunterzuladen.
- Network/IP-Beschränkungen: schränkt den Zugriff auf Klaxoon bei Verwendung von Filtern auf Network- und IP-Ebene ein.
1.5 Koordinierte Richtlinie zur Offenlegung von Schwachstellen
Klaxoon hat eine verantwortungsvolle Coordinated Vulnerability Disclosure Policy (CVD) für Sicherheitsforscher, die potenzielle Sicherheitsprobleme an das Sicherheitsteam von Klaxoon melden möchten.
Die Richtlinie ist hier verfügbar.
Qualität der Dienstleistung
2.1 Verfügbarkeit und Skalierbarkeit
Die Dienste von Klaxoon werden rund um die Uhr bereitgestellt und überwacht. In den letzten 12 Monaten lag die gemessene Verfügbarkeit des Dienstes bei über 99,5 %.
Die Infrastruktur bietet automatische horizontale Skalierbarkeit und hohe Ausfallsicherheit: Kritische Softwarekomponenten sind auf separaten Servern redundant ausgelegt.
Wenn verfügbar, wird jede Bereitstellung in mehreren „Availability Zones“ durchgeführt.
2.2 Datensicherung
Vollständige Backups werden mindestens einmal pro Tag verschlüsselt an einem entfernten Ort gespeichert. Transaktionen werden kontinuierlich gespeichert.
Tests zur Wiederherstellung von Backups werden regelmäßig durchgeführt. Die Backups werden 4 Wochen lang aufbewahrt.
2.3 Wiederherstellung im Katastrophenfall
Im Falle einer Katastrophe, die sich auf die nominellen Infrastrukturen auswirkt, die den Dienst hosten, bietet der Disaster Recovery Plan von Klaxoon die Möglichkeit, Wiederherstellungsstandorte zu aktivieren.
Die Disaster Recovery SLAs lauten wie folgt:
- Wiederherstellungszeit des Dienstes (RTO): 72 Stunden
- Maximal zulässiger Datenverlust (RPO): 24 Stunden.
Rechtsbegriffe
3.1 Bedingungen der Dienstleistung
Bedingungen der Dienstleistung3.2 Allgemeine Geschäftsbedingungen - eshop
Allgemeine Geschäftsbedingungen - eshop3.3 Bedingungen für die Nutzung
Bedingungen für die Nutzung3.4 Klaxoon AI-Addendum
Klaxoon AI-Addendum3.5 Rechtlicher Hinweis
Die Website (https://klaxoon.com) wird betrieben von Klaxooneiner SAS-Gesellschaft, die im Handelsregister von Rennes unter der Nummer 511 962 219 eingetragen ist, mit Sitz in 3 avenue Belle Fontaine 35510 Cesson-Sévigné, Frankreich, Umsatzsteuernummer FR18511962219.
Direktor der Veröffentlichung: Herr Hervé Simonin, CEO.
Telefonnummer : +33 (0)2 22 74 06 70
E-Mail-Adresse : legal@klaxoon.com
Diese Website (https://klaxoon.com) wird gehostet von Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103, contact@webflow.com und für einige Seiten von Amazon Web Services (AWS) mit der Adresse Clonshaugh Road, Clonshaugh, Dublin 17 Irland (+1 844-902-4700).
Einhaltung der Vorschriften
4.1 Einhaltung der Vorschriften für personenbezogene Daten
Die Verwaltung personenbezogener Daten erfolgt im Einklang mit den geltenden Datenschutzgesetzen wie der Europäischen Datenschutzgrundverordnung (DSGVO) oder dem California Consumer Privacy Act (CCPA).
Weitere Informationen darüber, wie wir personenbezogene Daten verarbeiten, findest Du in unserer Datenschutzrichtlinie und unserem Zusatz zur Datenverarbeitung.
Personenbezogene Daten werden auf einer ISO 27018-zertifizierten Infrastruktur gehostet. Die Nutzer werden bei ihrer ersten Verbindung über ihre Rechte informiert, indem sie die Nutzungsbedingungen für Endnutzer lesen.
4.2 Vorschriften, Zertifizierungen und Normen
4.2.1 Zertifizierter Cloud-Betrieb und Hosting
Klaxoon entspricht den SOC2 Type2 Standards (Service Organization Control 2, Type 2 Konformität). Jährlich wird ein Audit durchgeführt, bei dem die Eignung der Gestaltung und die operative Wirksamkeit der Klaxoon-Kontrollen geprüft werden. Der Type2-Bericht bescheinigt die hervorragende Qualität der Kontrollen in den Bereichen Sicherheit, Verfügbarkeit und Vertraulichkeit.
Die Verwaltung der Infrastruktur von Klaxoon erfolgt durch ein spezielles, nach ISO 27001 zertifiziertes Betriebsteam.
Klaxoon Cloud-Hosting-Anbieter verfügen über mehrere Zertifizierungen, darunter ISO 27001, ISO 27017 & 27018, ISO 9001, HDS / HDA, PCI DSS, SOC 1 & 2 und andere.
4.2.2 Sicherheitsdesign und Teststandards
Bereits in der Entwurfsphase implementiert die Klaxoon App Sicherheitsstandards und bewährte Verfahren auf der Grundlage des OWASP SDL sowie der ANSSI- und NIST-Standards.
Die Penetrationstests von Klaxoon werden von einem unabhängigen, von der ANSSI zertifizierten Prüfer durchgeführt.
Erklärung zur Barrierefreiheit
Bei Klaxoonwollen wir eine kollaborative Erfahrung bieten, bei der sich jeder leicht beteiligen kann, bei der Informationen klar und zugänglich sind, bei der Entscheidungen mit Ergebnissen getroffen werden und bei der wir als Team vorankommen, egal ob wir vor Ort oder aus der Ferne sind.
Dazu stellen wir sicher, dass unsere Anwendungen für alle Menschen zugänglich sind, auch für Nutzer, die mit Hilfsmitteln wie Spracherkennungssoftware und Bildschirmlesegeräten arbeiten.
Wie im Klaxoon Roadmap ist es das Ziel, schrittweise ein hohes durchschnittliches Konformitätsniveau in der Klaxoon Anwendung und der Website insgesamt zu erreichen.
5.1 Wie wir Barrierefreiheit unterstützen
Klaxoon ergreift die folgenden Maßnahmen, um die Zugänglichkeit auf unserer Klaxoon Anwendung und auf unserer Website zu verbessern:
- Nimm die Barrierefreiheit als Teil unseres Leitbildes auf;
- Ernenne einen Beauftragten für Barrierefreiheit und schule unsere Teams regelmäßig zum Thema Barrierefreiheit;
- Beziehe Menschen mit Behinderungen in unsere Design-Personas ein;
- Definiere einen eigenen Fahrplan für die Barrierefreiheit mit klaren Zielen und Verantwortlichkeiten;
- Lasse eine Prüfung durch einen Dritten durchführen.
5.2 Status der Konformität
Die Web Content Accessibility Guidelines (WCAG) definieren Anforderungen für Designer und Entwickler, um die Zugänglichkeit für Menschen mit Behinderungen zu verbessern. Sie definieren drei Stufen der Konformität: Stufe A, Stufe AA und Stufe AAA.
Klaxoon ist teilweise konform mit WCAG 2.1 Stufe AA und RGAA 4.1. Teilweise konform bedeutet, dass einige Teile des Inhalts nicht vollständig mit dem Standard für Barrierefreiheit übereinstimmen.
Der aktuelle Prüfungsumfang umfasst den Anmeldeprozess, die Homepage, das Profilmenü und einige gemeinsame Funktionalitäten, die bei Klaxoon Aktivitäten mit Schwerpunkt auf den Aktivitäten "Board" und "Adventure". Unsere durchschnittliche Konformität mit den Kriterien der WCAG 2.1 Stufe AA liegt in diesem Bereich derzeit bei 87 %.
5.3 Allgemeine Zugänglichkeitsprinzipien und -merkmale auf Klaxoon Anwendung
- Hochkontrastmodus:
- Der Schalter für Barrierefreiheit ist über das Anmeldeformular und im Profilbereich verfügbar;
- Unter Board: "Hochkontrast"-Modus, "Nacht"-Modus und einstellbare Zoomstufe zur weiteren Verbesserung der Lesbarkeit;
- Tastaturnavigation: Tabulator-Taste, Tastenkombinationen;
- Bildschirmleser: Alle Seiten sind mit Bildschirmleseprogrammen lesbar;
- "Zum Inhalt springen": Um den Modus "Zum Inhalt springen" zu aktivieren, musst du die TAB-Taste als erste Aktion drücken, wenn du die Seite erreichst;
- Überschrift: HTML-Seitentitel (H1, H2...), die auf allen Seiten einheitlich sind;
- Verwendung von ARIA: spezifische Attribute, die auf HTML-Seiten hinzugefügt werden, um das Lesen am Bildschirm zu verbessern.
5.4 Technische Spezifikationen, Kompatibilität mit Browsern und unterstützenden Technologien
Die Zugänglichkeit von Klaxoon stützt sich auf die folgenden Technologien, um mit der jeweiligen Kombination aus Webbrowser und unterstützenden Technologien oder Plug-ins zu funktionieren, die auf deinem Computer installiert sind:
- HTML
- WAI-ARIA
- CSS
- JavaScript
Diese Technologien werden für die Konformität mit den verwendeten Zugänglichkeitsstandards herangezogen.
Unterstützte Browser: Bitte prüfen Sie die aktualisierte Liste.
Getestete Bildschirmleser: VoiceOver (beste Erfahrung mit Apple Safari-Browser), NVDA
5.5 Beschränkungen und Alternativen
Trotz unserer besten Bemühungen, die Zugänglichkeit von Klaxoonzu gewährleisten, gibt es bestimmte Einschränkungen. Im Rahmen unserer Verpflichtung zur Barrierefreiheit bemühen wir uns ständig, die Zugänglichkeit zu verbessern und die verbleibenden Lücken zu schließen.
Bitte kontaktiere uns unter accessibility@klaxoon.com, wenn du ein Problem bemerkst, das deine Nutzung von Klaxoon einschränken oder mehr wissen möchtest.
5.6 Rückmeldung
Wenn du uns Feedback geben möchtest oder daran interessiert bist, unserem Team dabei zu helfen Klaxoon ein noch besser zugängliches Produkt zu entwickeln, kontaktiere uns bitte unter accessibility@klaxoon.com
Diese Erklärung wurde im März 2024 aktualisiert.