Sicherheit und Compliance bei Easygenerator

Easygenerator verbindet Datenschutz mit hoch skalierbaren Systemen

ISO 27001

  • Easygenerator ist seit November 2022 nach ISO 27001 zertifiziert. ISO 27001 ist die führende Norm für organisatorische Sicherheit und Datensicherheit in der Technologiebranche.
  • Easygenerator verfügt über ein nach ISO 27001 zertifiziertes ISMS (Informationssicherheitsmanagementsystem), das sämtliche internen Richtlinien und Verfahren des Unternehmens enthält.
  • Easygenerator verfolgt einen risikobasierten Ansatz für Informationssicherheit mit jährlichen Risikobewertungen, Risikominderungen und nachfolgenden Management-Reviews.
  • Ein „Management Steering Committee“ bestehend aus Mitgliedern des Top-Managements übernimmt die Endverantwortung für alle Informationssicherheitsbelange.

DSGVO

  • Da viele Top-Kunden von Easygenerator ihren Hauptsitz in Europa haben, ist Easygenerator seit vielen Jahren vollständig DSGVO-konform.
  • All unsere Kundenvereinbarungen folgen den DSGVO-Plänen mit begleitenden Auftragsverarbeitungsvereinbarungen.
  • Sämtliche Unterauftragsverarbeiter von Easygenerator haben außerdem verbindliche DSGVO-konforme Auftragsverarbeitungsvereinbarungen mit uns, was eine vollständig gesicherte Datenübertragung zwischen ihnen und uns gewährleistet.
  • Easygenerator hat einen eigenen Datenschutzbeauftragten und einen Kanal [email protected], an den sich betroffene Personen in Bezug auf ihre DSGVO-relevanten Rechte für personenbezogene Daten wenden können

Infrastruktursicherheit

  • Unsere Anwendung wird von dem branchenführenden Infrastrukturdienstleister Amazon Web Services (AWS) gehostet.
  • Unser Rechenzentrum befindet sich in der EU-Zentralregion von AWS.
  • Virtuelle private Cloud, geschlossenes Netzwerk mit gesicherter Netzwerkumgebung
  • Wir verwenden eine Reihe modernster AWS-Sicherheitsdienstleistungen, einschließlich Security Hub, CloudWatch und CloudTrail
  • Wir nutzen AWS IAM und Vault, um die Cloud Governance und das Sicherheitsmanagement zu verwalten

Skalierung und Verfügbarkeit

  • Microservice-Architektur mit automatisierter Bereitstellung, horizontaler Skalierung und Failover.
  • Hohe Verfügbarkeit mit verschiedenen Verfügbarkeitszonen.
  • Globaler Inhaltsübertragungsmechanismus mit Dienstleistungen von Cloudflare.

Datenschutz

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Privacy by Design und by Default“)
  • Datenverschlüsselung im Ruhezustand (AES 256) und während der Übertragung (TLS 1.2)
  • Logische Trennung von Kundendaten mit mandantenfähiger Datenbank
  • Minimale Datenerfassung und -verarbeitung mit Datensparsamkeit
  • Keine Aufbewahrung personenbezogener Daten nach dem Ende der Dienstleistungen

Anwendungssicherheit

  • SaaS-Anwendung entwickelt auf der Grundlage der OWASP-Codierrichtlinien
  • Schutz des Quellcodes
  • Sicherer SDLC (Architektur-Prüfungen, Bedrohungsmodellierung, Quellcode-Analyse, Testpläne)
  • Beurteilung des Codes, der Logik und der Anwendungseingaben zur Identifizierung von Software-Schwachstellen und Bedrohungen.
  • Wöchentliche Aktualisierung der Leistungs- und Sicherheitspatches für die SaaS-Anwendung.
  • Regelmäßige Überprüfung auf technische Schwachstellen
  • Jährliche Penetrationstests durch renommierte Dritte.

Endpoint-Sicherheit

  • Host- und Endpoint-Sicherheit, einschließlich AV, EDR, EPP, FIM und HIDS.
  • Web-Application-Firewall
  • IDS/IPS/DDos/WAF-Sicherheitsdienste des branchenführenden CDN-Partners Cloudflare.
  • Datenübertragung nur über sicheren HTTPS-Kanal.

Identitäts- und Zugangskontrolle

  • Verwendung privilegierter Konten
  • Zwei-Faktor-Authentifizierung
  • Der Zugang ist rollenbasiert und wird nach striktem Need-to-Know-Prinzip gewährt.
  • Prinzip der geringsten Privilegien.
  • Regelmäßige Beurteilung der Zugangskontrolle

Protokollierung, Überwachung, SIEM, Bedrohungserkennung & Analyse

  • Zentralisierte Protokollierung, Berichterstattung und Protokollanalysen bieten Transparenz und Sicherheitseinblicke
  • SIEM-Lösung für die Infrastruktur, Anwendungsüberwachung
  • Warnsystem für anormale Aktivitäten aller Art

Geschäftskontinuität

  • Robuster Geschäftskontinuitätsplan (BCP)
  • Standortübergreifendes Disaster-Recovery.

Organisatorische Sicherheit

  • Interner Audit und Revision
  • Sicherheitsbewertung der Unterauftragsverarbeiter
  • Überprüfung der Auditberichte und Zertifizierungen der Unterauftragsverarbeiter
  • Auftragsverarbeitungsvereinbarungen (AVV) mit allen Unterauftragsverarbeitern
  • Der internationale Datentransfer stützt sich auf Standardvertragsklauseln.
  • ISMS im Einklang mit der Norm ISO 27001
  • Alle Geschäftsprozesse sind DSGVO-konform