Das Klaxoon Trust Center

1.2 Datenschutz

1.2.1 Zugriff auf Klaxoon – Anmelde- und Passwortrichtlinien

Die Nutzer von Klaxoon aktivieren Ihre Konten über einen Aktivierungslink, den sie per E-Mail erhalten.

Sie schützen den Zugriff auf Ihre Daten, indem sie bei der ersten Verbindung mit Klaxoon ein Passwort festlegen.

Die Standard-Passwortrichtlinie von Klaxoon entspricht den NIST-Empfehlungen: der Nutzer muss eine sichere Passphrase oder ein sicheres Passwort mit Hilfe des Tools zur Messung der Passwortstärke erstellen, das in der Schnittstelle zur Passworterstellung bereitgestellt wird. die Erkennung der Stärke basiert auf Länge, Wörterbüchern, Mustererkennung oder sogar auf der Verwendung von persönlichen Informationen.

1.2.2 Delegierung der Authentifizierung / SSO

Um die Authentifizierungsstandards unserer Kunden zu erleichtern und einzuhalten, unterstützen wir die SSO-Integration:

• Corporate Identity Federation (private SSO): spezifische SSO-Integration mit jedem SAMLv2-kompatiblen Identitätsanbieter
• Online-Identitätsverbund (öffentliche SSOs): Mehrere Online-Authentifizierungsmodi sind verfügbar, um den Zugriff auf Klaxoon zu erleichtern.
  

1.2.3 Sicherheitsorganisation und -verwaltung

Basierend auf den ISO-Normen hat Klaxoon eine offizielle Sicherheitsorganisation und -verwaltung eingerichtet, in der die oberste Führungsebene, Sicherheitsbeauftragte und technische Experten in den täglichen Betrieb eingebunden sind.

1.2.4 Sicherheit der Humanressourcen

Wir stellen sicher, dass alle neu eingestellten Mitarbeiter vertraglich zur Geheimhaltung von Informationen verpflichtet sind, zu denen sie in Ausübung Ihrer Tätigkeit Zugang erhalten. Sie unterzeichnen bei Ihrer Einstellung eine Geheimhaltungsvereinbarung.

Gemäß den geltenden Gesetzen werden alle neu eingestellten Mitarbeiter überprüft. F&E- und Verwaltungspersonal durchläuft ein spezielles Screening, bevor sie Zugriff auf die Systeme und geschützten F&E-Büros erhalten.

Die Verträge der bei Klaxoon Beschäftigten enthalten eine IT-Charta, in der Ihre Verpflichtungen in Bezug auf den Datenschutz aufgeführt sind.

Es gibt ein fortlaufendes Programm zur Sensibilisierung der Mitarbeiter für Datensicherheit und Datenschutz.

1.2.5 Security by Design

Da Sicherheit bei Klaxoon oberste Priorität hat, wenden wir bei der Entwicklung Best Practices an, die zu unserem Security by Design-Ansatz und dem Prinzip der Defense in Depth beitragen

Für seinen sicheren SDLC, Klaxoon F&E-Team eine Methodik, die auf SCRUM basiert und die Sicherheit in die verschiedenen Phasen des Entwicklungszyklus integriert.

Die Sicherheit ist das Herzstück der Anwendung. So setzt Klaxoon die vom OWASP SDL (Secure Development Lifecycle) und dem ASVS (Application Security Verification Standard) empfohlenen Best Practices bereits in der Entwurfsphase um.

Besonderes Augenmerk wird auf die Ranglisten der wichtigsten Anwendungsrisiken gelegt, wie die OWASP Top 10 Projekte oder die CWE Top 25. Sicherheitstests und Meilensteine sind in den SDLC integriert und werden von internen Sicherheitsspezialisten durchgeführt.

1.2.6 Datenverschlüsselung

Deine Daten werden bei der Übertragung und im Ruhezustand mit den robustesten und zuverlässigsten Verschlüsselungstechniken und Zyphern verschlüsselt.
Bei der Übertragung: Alle Datenübertragungen werden über HTTPS durchgeführt. die Sitzung wird über TLS 1.2 oder höher verschlüsselt. Es werden nur starke Chiffren unterstützt. Siehe den vollständigen SSL-Testbericht auf Qualys SSL Labs (Rating A+).
Die Serverzertifikate werden von einer anerkannten Zertifizierungsstelle gegengezeichnet.

Im Ruhezustand: Die von den Nutzern erzeugten Daten werden im Ruhezustand mit einer Volumenverschlüsselung verschlüsselt, die dem FIPS 140 Standard entspricht. Verschlüsselungsstufe: AES-256.

Die Passwörter der Nutzer von Klaxoon werden mit Hilfe des Algorithmus Bcrypt gehasht.

1.2.7 Zahlungsschutz

Alle Zahlungen werden von unserem PCI-DSS-zertifizierten Partner abgewickelt. Klaxoon speichert zu keinem Zeitpunkt Zahlungsdaten.

1.2.8 Sicherheitsprüfungen

Die Plattform von Klaxoon wird im Rahmen des S-SDLC regelmäßig internen Penetrationstests unterzogen.

Externe Penetrationstests werden mindestens einmal jährlich von unabhängigen Dritten durchgeführt, die von der französischen Nationalen Agentur für die Sicherheit von Informationssystemen (ANSSI) zertifiziert sind. Wir stellen sicher, dass der Prüfer die neuesten Methoden anwendet (wie PTES, NIST).

1.2.9 Management von Zwischenfällen

Die erste Ebene des technischen Supports ist der Einstiegspunkt für jeden Sicherheitsvorfall, egal ob er vom Kunden, intern oder von einer externen Quelle wie der ANSSI entdeckt wird. Der Zwischenfall wird in unserem internen Tool für Zwischenfall-Management verfolgt und von unseren Sicherheits- und Betriebsteams bearbeitet. Für die Meldung von Sicherheitsvorfällen wird eine eigene E-Mail-Adresse eingerichtet.

Die Stufen 2 und 3 werden je nach Schwere des Zwischenfalls ausgelöst. Auf jeder Stufe überwachen der CISO von Klaxoon und sein Team die Analyse, die Korrektur und die Kommunikation mit dem Kunden und/oder den Behörden.

1.3 Infrastruktur

1.3.1 Sichere Infrastruktur

Die Infrastruktur von Klaxoon nutzt die fortschrittlichsten Sicherheitsmaßnahmen, die von unseren Cloud-Anbietern vorgeschlagen werden, darunter regelbasiertes Firewalling, Load-Balancing, DDoS-Schutz und Intrusion Management.

Die Verwaltung der KlaxoonInfrastruktur wird von einem speziellen Team verwaltet, das Sicherheitskontrollen auf der Grundlage der ISO 27001-Normen durchführt. Der Zugriff auf die Verwaltung erfolgt über gesicherte Tunnel und wenn möglich mit MFA.

Die Rechenzentren, in denen der Dienst gehostet wird, erfüllen die Tier III-Anforderungen, der physische Zugang wird kontrolliert und überwacht. Unsere Cloud-Anbieter verfügen über mehrere Zertifizierungen, unter anderem ISO 27001 und SOC.

1.3.2 Nachverfolgbarkeit

Alle administrativen Ereignisse (Betriebssystemprotokolle) werden überwacht und protokolliert.

Alle Zugriffsereignisse, die durch Nutzeraktionen erzeugt werden (Webzugriffsprotokolle), werden ebenfalls überwacht und protokolliert.

Die Protokolle werden zentralisiert, um die Analyse und Korrelation zu erleichtern, und 12 Monate lang verschlüsselt auf speziellen, sicheren Servern archiviert.

1.3.3 Schwachstellenmanagement

Automatische Schwachstellen-Scans (Bibliotheken, Middleware, Betriebssystem) laufen auf der Infrastruktur von Klaxoon. Es gibt eine Richtlinie für das Schwachstellenmanagement, die auf anerkannten Standards wie CVSS basiert, um ein rechtzeitiges Patchen zu gewährleisten.

1.3.4 Anti-Malware/Anti-Virus

Die Plattform von Klaxoon wird rund um die Uhr gescannt, und jede hochgeladene Datei wird in Echtzeit überprüft. Die Malware-Datenbank wird täglich aktualisiert.

1.4 Standard- und optionale Sicherheitsmerkmale

1.4.1 Authentifizierung & SSO

Standardmäßig wird der Zugang zur Anwendung entweder durch die Angabe eines persönlichen und individuellen Benutzernamens und Passworts oder durch die verfügbaren Online-SSO-Authentifizierungsmodi gewährt.

Eine private SSO-Integration kann vorgeschlagen werden (SAML). Dieser Authentifizierungsmodus kann für identifizierte Nutzer obligatorisch sein, so dass keine anderen Authentifizierungsmechanismen möglich sind.

Einmal eingeloggt, sind die Daten von Klaxoon nur für den Eigentümer/Ersteller und die Personen zugänglich, für die sie freigegeben wurden (z. B. auf einem Network haben alle Abonnenten Zugriff auf die Daten auf diesem Network).

Je nach abonniertem Angebot können für Firmenkunden auch erweiterte Filtereinstellungen vorgeschlagen werden (bitte kontaktiere uns für weitere Informationen).

1.4.2 Zugang zu Daten

Die Anwendung ermöglicht es den Gastgebern von Klaxoon, Teilnehmende zu den von ihnen erstellten Aktivitäten einzuladen. Jeder Aktivität kann standardmäßig über eine eindeutige URL beigetreten werden. Es gibt verschiedene Mechanismen, um den Zugang zu Klaxoon Aktivitäten und zugehörigen Daten zu beschränken:

• Aktivitätssperre: Gastgeber können die Option deaktivieren, einer Aktivität über eine URL oder einen Sitzungscode beizutreten. So können sie die Teilnehmenden über die Schnittstelle von Klaxoon verwalten. Eine solche Sperrung kann jederzeit während der Laufzeit einer Aktivität vorgenommen werden.
• Verwaltung der Zugriffsrechte in Board: Feinabstimmung der Interaktionsmöglichkeiten der Teilnehmenden in Boards.
• Klaxoon „Networks“: eine Reihe von Klaxoon Aktivitäten, Die in einem begrenzten Bereich zusammengefasst sind und zu denen Der Ersteller Des Networks über Einladungen Zugang gewährt. Die Einladungen werden per E-Mail verschickt, sie sind persönlich, nicht übertragbar und nur einmal gültig.
  

Je nach abonniertem Angebot sind einige zusätzliche Beschränkungsmaßnahmen verfügbar (bitte kontaktiere uns für weitere Informationen über die Anspruchsberechtigung).

• Zugriffsbeschränkung für Mitglieder einer ganzen Organisation: verhindert, dass externe Nutzer auf die Aktivitäten Deiner Organisation zugreifen.
• Beschränkung von Datei-Uploads und -Downloads: nimmt angemeldeten Nutzern die Möglichkeit, während der Aktivitäten Dateien hochzuladen sowie Inhalte von Klaxoon herunterzuladen.
• Network/IP-Beschränkungen: schränkt den Zugriff auf Klaxoon bei Verwendung von Filtern auf Network- und IP-Ebene ein.

1.5 Koordinierte Richtlinie zur Offenlegung von Schwachstellen

Klaxoon hat eine verantwortungsvolle Coordinated Vulnerability Disclosure Policy (CVD) für Sicherheitsforscher, die potenzielle Sicherheitsprobleme an das Sicherheitsteam von Klaxoon melden möchten.
‍

Die Richtlinie ist hier verfügbar.

2.1 Verfügbarkeit und Skalierbarkeit

Die Dienste von Klaxoon werden rund um die Uhr bereitgestellt und überwacht. In den letzten 12 Monaten lag die gemessene Verfügbarkeit des Dienstes bei über 99,5 %.

Die Infrastruktur bietet automatische horizontale Skalierbarkeit und hohe Ausfallsicherheit: Kritische Softwarekomponenten sind auf separaten Servern redundant ausgelegt.

Wenn verfügbar, wird jede Bereitstellung in mehreren „Availability Zones“ durchgeführt.

2.2 Datensicherung

Vollständige Backups werden mindestens einmal pro Tag verschlüsselt an einem entfernten Ort gespeichert. Transaktionen werden kontinuierlich gespeichert.

Tests zur Wiederherstellung von Backups werden regelmäßig durchgeführt. Die Backups werden 4 Wochen lang aufbewahrt.

2.3 Wiederherstellung im Katastrophenfall

Im Falle einer Katastrophe, die sich auf die nominellen Infrastrukturen auswirkt, die den Dienst hosten, bietet der Disaster Recovery Plan von Klaxoon die Möglichkeit, Wiederherstellungsstandorte zu aktivieren.

Die Disaster Recovery SLAs lauten wie folgt:

• Wiederherstellungszeit des Dienstes (RTO): 72 Stunden
• Maximal zulässiger Datenverlust (RPO): 24 Stunden.

4.1 Einhaltung der Vorschriften für personenbezogene Daten

Die Verwaltung personenbezogener Daten erfolgt im Einklang mit den geltenden Datenschutzgesetzen wie der Europäischen Datenschutzgrundverordnung (DSGVO) oder dem California Consumer Privacy Act (CCPA).
Weitere Informationen darüber, wie wir personenbezogene Daten verarbeiten, findest Du in unserer Datenschutzrichtlinie und unserem Zusatz zur Datenverarbeitung.
Personenbezogene Daten werden auf einer ISO 27018-zertifizierten Infrastruktur gehostet. Die Nutzer werden bei ihrer ersten Verbindung über ihre Rechte informiert, indem sie die Nutzungsbedingungen für Endnutzer lesen.

4.2 Vorschriften, Zertifizierungen und Normen

4.2.1 Zertifizierter Cloud-Betrieb und Hosting

Klaxoon entspricht den SOC2 Type2 Standards (Service Organization Control 2, Type 2 Konformität). Jährlich wird ein Audit durchgeführt, bei dem die Eignung der Gestaltung und die operative Wirksamkeit der Klaxoon-Kontrollen geprüft werden. Der Type2-Bericht bescheinigt die hervorragende Qualität der Kontrollen in den Bereichen Sicherheit, Verfügbarkeit und Vertraulichkeit.

Die Verwaltung der Infrastruktur von Klaxoon erfolgt durch ein spezielles, nach ISO 27001 zertifiziertes Betriebsteam.

Klaxoon Cloud-Hosting-Anbieter verfügen über mehrere Zertifizierungen, darunter ISO 27001, ISO 27017 & 27018, ISO 9001, HDS / HDA, PCI DSS, SOC 1 & 2 und andere.

4.2.2 Sicherheitsdesign und Teststandards

Bereits in der Entwurfsphase implementiert die Klaxoon App Sicherheitsstandards und bewährte Verfahren auf der Grundlage des OWASP SDL sowie der ANSSI- und NIST-Standards.

Die Penetrationstests von Klaxoon werden von einem unabhängigen, von der ANSSI zertifizierten Prüfer durchgeführt.

‍