Datensicherheit und Plattformverfügbarkeit stehen bei der Scompler Technologies GmbH an erster Stelle. Aus diesem Grund haben wir uns entschieden, unsere Dienste nach den höchsten Standards aufzubauen. Unsere Cloud-Services werden in AWS-Rechenzentren in Europa gehostet, die aufgrund ihrer robusten und sicheren Infrastruktur ausgewählt wurden. Diese Rechenzentren sind mit fortschrittlichen Sicherheitsfunktionen ausgestattet, um höchstmöglichen Schutz und Zuverlässigkeit zu bieten.
- Management von Zwischenfällen
- Kryptografische Kontrollen
- Datensicherung (Backup)
- Management von technischen Schwachstellen
- Sichere Entwicklungsverfahren
- Sichere Datenisolierung
- Sicherheitszertifikate (externe Zertifizierung)
- Datenschutz
- Standort des Rechenzentrums
Management von Zwischenfällen
Scompler definiert und pflegt Verfahren für das Management von Sicherheitsereignissen und Vorfällen. Dazu gehören die Erkennung, die Sammlung von Beweisen, die Bewertung, die Priorisierung, die Eskalation, die Sofortmaßnahmen, die Korrekturmaßnahmen und die gewonnenen Erfahrungen. Zu den potenziellen Verstößen, die im Rahmen des Vorfallsmanagements behandelt werden, gehören: Nichtverfügbarkeit von Diensten, Verlust vertraulicher Daten und der unbefugter Zugriff.
Status-Updates zum Vorfallsmanagement werden den betroffenen Kunden entweder über den Kundensupport und/oder über die Scompler-Statusseite (https://status.scompler.com/) zugestellt. Aufzeichnungen über Vorfälle und die daraufhin ergriffenen Maßnahmen werden aufbewahrt, um sie für „Lessons Learned“ zu nutzen.
Kryptografische Kontrollen
Scompler setzt kryptografische Maßnahmen zum Schutz der Kundendaten ein. Dazu gehört die Data-in-Transit-Verschlüsselung: Übertragene Kundendaten werden über das Protokoll TLS 1.3 verschlüsselt (Authentifizierung: RSA 2048, Verschlüsselung: AES-128-GCM, Hash-Funktion: SHA384). Wir setzen auch Data-at-rest-Verschlüsselung ein: Alle Kundendaten, die auf unserer Speicherinfrastruktur gespeichert sind, werden mit AES-256 verschlüsselt, einschließlich der Backups.
Datensicherung (Backup)
Die Kundendaten werden in zwei Intervallen gesichert, um umfassenden Datenschutz und Zuverlässigkeit zu gewährleisten. Die erste Sicherung erfolgt alle 24 Stunden (täglich) und wird für die letzten 30 Tage aufbewahrt. Zusätzlich wird alle 15 Tage eine zweite Art der Sicherung durchgeführt, die 365 Tage lang aufbewahrt wird. Beide Arten von Backups sind verschlüsselt und werden auf einer isolierten Speicherinfrastruktur gespeichert.
In regelmäßigen Abständen werden Tests zur Wiederherstellung der Backups durchgeführt, um die Integrität der Daten sowie die Effektivität und Schnelligkeit des Wiederherstellungsverfahrens zu überprüfen. Die Ergebnisse der Tests werden ausgewertet.
Management von technischen Schwachstellen
Die von Scompler angewandten Verfahren umfassen die Identifizierung, Bewertung und Umsetzung geeigneter Maßnahmen zur Behebung technischer Schwachstellen. Zu den Maßnahmen zur Identifizierung gehören die Überwachung von Systemen und Diensten, regelmäßige externe Penetrationstests, Threat Intelligence und der Kontakt zu speziellen Interessengruppen. Die identifizierten Schwachstellen werden anhand des damit verbundenen Risikos bewertet, woraus sich eine Priorisierung der Abhilfemaßnahmen ergibt. Die Maßnahmen werden dann im Rahmen unseres kontrollierten Änderungs- und Patch-Managements implementiert und eingesetzt.
Sichere Entwicklungsverfahren
Die Entwicklung erfolgt unter Einhaltung allgemeiner Best Practices und sicherer Kodierungsprinzipien, die speziell auf die verwendete Technologie ausgerichtet sind. Änderungen werden hinsichtlich der Ziele der Informationssicherheit bewertet und in isolierten, dedizierten Umgebungen getestet. Code-Reviews sind Teil des Test- und Bereitstellungsprozesses. Produktions- und Entwicklungsumgebungen sind voneinander abgetrennt.
Sichere Datenisolierung
In unserer SaaS-Anwendung verwenden wir ein Sicherheitskonzept auf Zeilenebene (Row-Level-Security, RLS), um die strikte Isolierung der Kundendaten zu gewährleisten. Mit dieser Methode werden Datenzugriffskontrollen durchgesetzt, die den Zugriff jedes Benutzers auf die Datenzeilen beschränken, die er anzeigen oder mit denen er interagieren darf. Sicherheitsrichtlinien auf Zeilenebene werden sorgfältig implementiert und verwaltet, um unbefugten Zugriff über die Grenzen der Kundendaten hinweg zu verhindern und einen hohen Standard für Datenschutz und -integrität zu gewährleisten.
Sicherheitszertifikate (externe Zertifizierung)
Die Scompler Technologies GmbH hat eine Zertifizierung des Trusted Information Security Assessment Exchange (TISAX) erhalten. Dieser Standard bietet der europäischen Automobilindustrie einen einheitlichen, standardisierten Ansatz für Informationssicherheitssysteme. Die Scope ID und Assessment ID für das ENX-Portal lauten SYPM0Z bzw. ALKKL7-1.
Scompler führt jährlich einen Penetrationstest durch einen zertifizierten Dienstleister durch. Dabei werden der unberechtigte Zugriff auf die Plattform und mögliche Sicherheitsaspekte bei der Nutzung der Plattform geprüft. Für jeden Penetrationstest wird ein Bericht erstellt.
Datenschutz
Die Scompler Technologies GmbH stellt die Einhaltung der GDPR sicher, indem sie mindestens einmal im Jahr Audits durch Dritte durchführt. Diese Audits werden von zertifizierten unabhängigen Dienstleistern durchgeführt, die die Datenschutzpraktiken und -prozesse gründlich bewerten. Nach jedem Audit wird ein detaillierter Bericht erstellt, in dem die Ergebnisse und Empfehlungen zur Aufrechterhaltung und Verbesserung der Datensicherheit und der Datenschutzstandards dargelegt werden.
Scompler verfügt über ein von der Herold Unternehmensberatung GmbH ausgestelltes Datenschutzzertifikat, das die Umsetzung wirksamer Prozesse zum Schutz personenbezogener Daten bestätigt und die aktuelle EU-Datenschutzgesetzgebung, das national geltende Datenschutzrecht und bewährte IT-Sicherheitspraktiken erfüllt. Das Zertifikat ist bis zum 31.10.2025 gültig.