Sicherheitsrichtlinien2019-03-26T14:08:02+00:00

SICHERHEIT UND ZUVERLÄSSIGKEIT MIT MEISTERPLAN

Sicherheitsrichtlinien

Zuletzt aktualisiert: 26. März 2019

Die Sicherheit Ihrer Daten liegt uns genauso am Herzen wie Ihnen. Die Wahrung der Vertraulichkeit, der Verfügbarkeit und des Schutzes Ihrer Daten hat für uns oberste Priorität.

Alle in Meisterplan hinterlegten Kundendaten werden durch strenge Infrastruktur- und Verwaltungsabläufe geschützt. Um das höchste, von Ihrem Unternehmen verlangte Niveau an physischer Sicherheit und Datenschutz zu gewährleisten, unterhält Meisterplan (meisterplan.com- und meisterplan.net-Infrastrukturen) eine robuste und umfangreiche mehrstufige Sicherheitsumgebung.

1. Physische Sicherheit

Die Meisterplan-Anwendung wird auf AWS EC2-Servern in SOC1-3 getestet und nach ISO27001 zertifizierten Rechenzentren in Oregon, USA, und Frankfurt, Deutschland, gehostet. Die Compliance-Details der AWS-Rechenzentren entnehmen Sie bitte der Seite https://aws.amazon.com/de/compliance/.

Eine robuste Firewall stellt eine starke Barriere für die Netzwerksicherheit gegen Bedrohungen aus dem Internet dar. Außerdem greifen wir auf AWS S3-Dienste zurück, um Backup-Dateien zu speichern und zu pflegen.

Meisterplan ist vor Distributed Denial of Service (DDoS)-Angriffen geschützt: AWS Shield schützt vor den meist verbreiteten DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Webseiten oder Anwendungen richten.

2. Datenverschlüsselung

Für die Verschlüsselung der zwischen Ihrem Gerät und unseren Servern übertragenen Daten stützt sich Meisterplan auf die bewährte TLS-Technologie. TLS-Technologie (Transport Layer Security) schützt Ihre Daten folgendermaßen: Zuerst wird durch vertrauenswürdige Dritte Vertrauen in unsere Server aufgebaut, danach wird ein sicherer Kanal geschaffen, durch den Ihre Daten vor kriminellen Akteuren geschützt in unseren Service gelangen. Darüber hinaus bietet TDE (Transparent Data Encryption) Verschlüsselung auf Dateiebene.

Zusätzlich sind Ihre Daten AES 256 verschlüsselt auf AWS EBS Volumes, auch als Data-at-Rest Verschlüsselungslösung bekannt.

3. Anwenderauthentifizierung

Jeder Anwender in Ihrer Meisterplan-Umgebung hat einen eindeutigen Anwendernamen. Wir bieten formularbasierte Authentifizierung (Anwendername und Passwort), Authentifizierung über Google Sign-In oder Microsoft Work Account sowie Single Sign-On (SSO) über SAML 2.0. Bei einer Authentifizierung über Google Sign-In oder Microsoft Work Account muss der Anwendername mit der primären E-Mail-Adresse des Google oder Microsoft-Kontos übereinstimmen. Meisterplan erstellt ein Sitzungscookie, mit dem nur die verschlüsselten Authentifizierungsdaten für die Dauer einer bestimmten Sitzung aufgezeichnet werden.
Meisterplan verwendet keine Cookies, um andere vertrauliche Anwender- und Sitzungsdaten zu speichern, sondern implementiert stattdessen modernere Sicherheitsmethoden, die dynamische Daten und verschlüsselte Sitzungs-IDs nutzen. Das Sitzungscookie enthält nicht das Passwort des Anwenders. Alle Anmeldeversuche am Konto werden protokolliert und das Konto nach einer bestimmten Anzahl gescheiterter Anmeldeversuche automatisch gesperrt, um mit roher Gewalt vorgehende Angriffe abzuwehren.

4. Betriebsmanagement

Die von uns implementierten Richtlinien und Verfahren zielen darauf ab, Ihre Daten zu schützen und an mehreren physischen Standorten zu sichern. Auf die Produktionssysteme und –daten von Meisterplan haben nur autorisierte Mitglieder des Technical-Operations-Teams von Meisterplan Zugriff. Wir werten neue Sicherheitsbedrohungen fortwährend aus und implementieren aktualisierte Gegenmaßnahmen, die darauf abzielen, unberechtigten Zugriff oder ungeplante Ausfallzeiten zu verhindern. Status und Verfügbarkeit der SaaS-Dienste sind unter status.meisterplan.com jederzeit einsehbar.

5. Audit und Gewährleistung

Jeglicher administrative Zugriff auf geschützte Daten wird vierteljährlich durch interne Prüfer überprüft, um zu bestätigen, dass wir diesen Zugriff nur im Rahmen des Kundenservices ausüben. Meisterplan unterhält vertragliche Vereinbarungen mit externen Sicherheitsexperten, um einmal im Jahr Netzwerk- und Anwendungspenetrationstests durchzuführen und in Eigenregie neue Bedrohungsvektoren und Sicherheitslücken zu entdecken.

6. Meisterplan-Partner und Lieferanten

Meisterplan erwartet von all seinen Partnern und Lieferanten die Einhaltung höchster Sicherheitsstandards. Unternehmen, die eine Partnerschaft mit Meisterplan eingehen möchten, werden in einem gründlichen Auswahlverfahren dahingehend geprüft.

7. Offenlegung

Sollten Kundendaten betreffende, sicherheitsrelevante Ereignisse eintreten, vertritt Meisterplan eine Politik der vollständigen Offenlegung. In dem unwahrscheinlichen Fall eines sicherheitsrelevanten Ereignisses, das möglicherweise Ihre Daten betrifft, wird Ihr Kontoadministrator benachrichtigt.

8. Datenschutz (insbesondere §32 DSGVO)

Meisterplan implementiert und unterhält verschiedene technische und organisatorische Maßnahmen, um für einen angemessenen Schutz Ihrer Daten zu sorgen. Diese Maßnahmen stehen im Einklang mit und erfüllen die hohen Anforderungen des Bundesdatenschutzgesetzes sowie der Datenschutz-Grundverordnung (EU 2016/679). Diese berücksichtigen insbesondere die Schutzziele gemäß Art. 28 Abs. 3 Satz 2 lit c und Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen.

Die Details zu den implementierten technischen und organisatorischen Maßnahmen finden Sie hier. https://meisterplan.com/de/geschaeftsbedingungen/

9. Penetrationstests und Sicherheitsübersichtsbericht

Penetrationstests der Meisterplan-Internetanwendung wurden und werden regelmäßig von externen Sicherheitsexperten durchgeführt. Nachfolgend finden Sie den neuesten Bericht:
https://meisterplan.com/wp-content/uploads/2018/04/Penetration-Test-2018.pdf

10. Selbstverpflichtung

Sollten Sie bei Meisterplan auf ein Sicherheitsproblem stoßen, zögern Sie bitte nicht, uns unter security@meisterplan.com zu kontaktieren und einen sicherheitsrelevanten Vorfall zu melden. Selbiges gilt auch, wenn Sie vermuten oder fürchten, dass Ihre Meisterplan-Identität kompromittiert oder gestohlen wurde.

Eine PDF-Version dieser Sicherheitsrichtlinien können Sie herunterladen, indem Sie hier klicken.