Trust Center

Alles, was Du über die Sicherheit, den Datenschutz und die Compliance unserer Softwareprodukte wissen musst.
Trust Center

Bei InVision AG (InVision) nehmen wir Sicherheit äußerst ernst. Wir sind uns bewusst, dass unsere Plattform im Auftrag unserer Kunden sensible Informationen speichert und verarbeitet, einschließlich Mitarbeiternamen, Anmeldedaten, Arbeitszeiten und mehr. Im Jahr 2011 brachten wir injixo auf den Markt, die weltweit erste cloudbasierte Workforce-Management-Anwendung. Schon früh war uns bewusst, dass wir gegenüber den Daten unserer Kunden eine Sorgfaltspflicht haben.

Unser Hauptsitz befindet sich in Deutschland, einem Land, das Vorreiter im Bereich Datensicherheit und bei der Datenschutzgesetzgebung ist. Lange vor der Verabschiedung der DSGVO erfüllten deutsche Unternehmen bereits höchste Anforderungen an die IT-Sicherheit und übernehmen darin bis heute eine führende Rolle.

InVision kombiniert unternehmensgeeignete Sicherheitsvorkehrungen mit Geschäftsprozessen, welche darauf ausgelegt sind, dass unsere Anwendungen, Systeme und Netzwerke Deine Daten zu jeder Zeit schützen. Bis zum heutigen Tag gab es bei InVision keine Sicherheitsverletzungen und wir tun alles, um diesen Rekord aufrechtzuerhalten. Deshalb vertrauen uns Blue-Chip-Organisationen in sicherheitsrelevanten Branchen wie Banken, Versicherungen und Regierungen jeden Tag aufs Neue die Daten ihrer Mitarbeiter an.

Auf dieser Seite stellen wir Details zu unseren Sicherheitsvorkehrungen bereit.

Compliance

InVision entspricht der Datensicherheits- und Datenschutzgesetzgebung in allen Ländern, in denen wir tätig sind und in denen unsere Produkte zum Einsatz kommen. Wir sind stolz darauf, die Best-Practices unserer Branche und führende internationale Standards wie die ISO 27001 einzuhalten.

ISO/IEC 27001

InVision ist ISO/IEC 27001:2013-zertifiziert. Die Einhaltung dieser Norm wird jährlich von unabhängigen Gutachtern überprüft.

Unser Informationssicherheitsmanagementsystem (ISMS) umfasst die Bereitstellung, den Betrieb, die Wartung und das Management der injixo-Plattform. Es legt die Verpflichtungen fest, die wir unseren Mitarbeitern und Drittanbietern auferlegen, die Informationen in unseren Entwicklungs- und Staging-Umgebungen erstellen, pflegen, speichern, konsumieren, diese verarbeiten oder übertragen. Dies gilt auch für die Produktionsumgebung, auf die Kunden zugreifen.

Unser ISO 27001-Zertifikat ist hier verfügbar.

DSGVO

InVision hält die Datenschutz-Grundverordnung (DSGVO) der EU und Großbritanniens ein. Einzelheiten zu unserer DSGVO-Konformität werden in unserem Auftragsverarbeitungsvertrag erläutert:

Englisch | Deutsch | Französisch

Datenschutzbeauftragter

InVision beschäftigt einen dedizierten Datenschutzbeauftragten, den Du unter privacy@invision.de kontaktieren kannst.

Rechte des Einzelnen

InVision unterstützt Kunden dabei, die Rechte des Einzelnen zu wahren, wie das Recht auf Löschung personenbezogener Informationen, Zugriffsrechte und das Recht auf Datenübertragbarkeit. Wir ermöglichen es unseren Kunden, Mitarbeiterdaten nach Bedarf zu löschen.

Amazon Web Services

InVision hostet alle Kundendaten in Amazon Web Services (AWS) Rechenzentren, die nach ISO 27001, PCI DSS Service Provider Level 1 und/oder SOC 2 zertifiziert sind. Weitere Informationen zur Einhaltung der Sicherheitsstandards von AWS findest Du hier.

Unterauftragsverarbeiter

Durch die Verwendung der injixo-Plattform von InVision werden Deine Daten gegebenenfalls auch von Dritten weiterverarbeitet. Unsere Datenschutzrichtlinie enthält eine Liste der von InVision beauftragten Drittanbieter:

Englisch | Deutsch | Französisch | Italienisch | Spanisch

Vertragliche Verpflichtungen

Allgemeine Geschäftsbedingungen

Die Pflichten, Rechte und Verpflichtungen von InVision und ihren Kunden in Bezug auf die injixo-Plattform werden durch InVisions Allgemeine Geschäftsbedingungen (AGB) geregelt. Die AGBs findest Du hier:

Englisch | Deutsch | Französisch | Italienisch | Spanisch

Auftragsverarbeitungsvertrag

Die Bedingungen, unter denen InVision Kundendaten verarbeitet, sind in unserem Auftragsverarbeitungsvertrag (AVV) dargelegt, welche unter anderem die Kategorien der verarbeiteten Daten, deren Aufbewahrung und Löschung festlegt. Den AVV findest Du hier:

Englisch | Deutsch | Französisch

Technische und organisatorische Maßnahmen (TOM)

InVision veröffentlicht eine Reihe von technischen und organisatorischen Maßnahmen (TOM), die festschreiben, welche Schritte wir unternehmen, um die Sicherheit der Daten unserer Kunden zu schützen. Die TOM finden sich im Anhang 2 des InVision-Auftragsverarbeitungsvertrags:

Englisch | Deutsch | Französisch

Cyber-Versicherung

Unsere Haftpflichtversicherung umfasst die Deckung von Schadensansprüchen in Bezug auf Internetkriminalität. Die Versicherungsurkunde ist auf Anfrage erhältlich.

Produktsicherheit

Bei InVision ist Sicherheit keine Nebensache. Sie ist ein integraler Bestandteil der gesamten Produktentwicklung, vom Design über die Implementierung bis hin zur Bereitstellung. Wir haben einen sicheren Produktentwicklungslebenszyklus (Secure Product Development Lifecycle, SPDL) entwickelt, der Sicherheitslücken sowohl proaktiv als auch reaktiv aufdeckt und behebt.

Sicherer Produktentwicklungslebenszyklus

InVisions sicherer Produktentwicklungslebenszyklus (SPDL) basiert auf bewährten Best Practices und setzt auf eine Reihe robuster Prüfungen der Softwarekomponenten, des Codes, der Bibliotheken und der Services, die bei InVision verwendet werden.

Zu den SPDL-Prüfungen gehören:

  • Ein mehrstufiger Freigabeprozess für Änderungen an der Produktionsumgebung
  • Statische Anwendungssicherheitstests (SAST)
  • Software Composition Analysis (SCA)
  • Automatisierte und manuelle Dynamische Anwendungssicherheitstests (DAST)
  • Erfassen von Drittanbieter-Abhängigkeiten

Penetrationstests

Neben unseren regelmäßigen internen Tests beauftragen wir jedes Jahr eine unabhängige Drittpartei, die Penetrationstests durchführt. Diese gründlichen Tests untersuchen unsere Systeme und Anwendungen auf Fehler und Schwachstellen und simulieren das Verhalten eines Angreifers. Die Ergebnisse der Penetrationstests sind auf Anfrage nach Ausfüllen dieses Formulars verfügbar.

Von Grund auf sicher

Die injixo-Plattform von InVision umfasst mehrere Funktionen, welche die Datensicherheit und den Datenschutz sicherstellen.

Authentifizierungssicherheit

Die Optionen umfassen die Anmeldung mit einem Benutzernamen und Passwort oder Single-Sign-On (SSO).

IP-Filterung

Jedes injixo-Konto kann den Zugriff auf Benutzer in spezifischen IP-Adressbereichen beschränken. Dieses Feature macht injixo noch sicherer, weil sich nur Benutzer mit festgelegten IP-Adressen bei injixo anmelden können. Bitte beachte, dass dies eine kostenpflichtige Option ist, die optional für alle unsere Kunden verfügbar ist.

Passwortrichtlinie

Passwörter müssen eine Mindestlänge haben und müssen mindestens drei der vier verfügbaren Zeichentypen verwenden: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Zwei-Faktor-Authentifizierung (2FA)

InVision bietet 2FA für alle Benutzer an.

Passwortspeicherung

Passwörter werden durch starke Verschlüsselungsalgorithmen und Techniken wie das Versehen mit Salts vor Angriffen geschützt.

Rollenbasierte Zugriffskontrolle und Berechtigungen

Administratoren können für jeden Benutzer spezifische Berechtigungen und Datenzugriffsrechte vergeben.

Tenant-Isolierung

InVision stellt sicher, dass die Daten jedes Kunden getrennt von den Daten anderer Kunden gespeichert und verarbeitet werden. Dies wird durch eine logische Kundenabgrenzung in einer Multi-Tenant-Umgebung sichergestellt. Jedem Kunden wird eine eindeutige Kennung zugewiesen.

Sicherheit der Infrastruktur

Die injixo-Plattform läuft als Software-as-a-Service in der Cloud. Da injixo sensible Kundendaten hostet, halten wir uns an sehr hohe Cloud-Sicherheitsstandards. Wir stellen sicher, dass diese Standards jederzeit eingehalten werden, um die Sicherheit Deiner Daten zu gewährleisten.

Perimetersicherheit

Die physischen Sicherheitsmaßnahmen an InVisions Standorten sind in Anhang 2, Absatz I.2 unseres Auftragsverarbeitungsvertrags beschrieben:

Englisch | Deutsch | Französisch

InVision nutzt die Rechenzentren von Amazon Web Services (AWS). Die AWS-Infrastrukturdienstleistungen umfassen eine Notstrom- und Brandschutzvorrichtung. Weitere Informationen über die AWS-Einrichtungen findest Du hier. Zu den Standortsicherheitsmaßnahmen von AWS gehören Sicherheitspersonal, Zäune, Überwachungskameras, Einbruchserkennungstechnologie und andere Sicherheitsmaßnahmen. Weitere Informationen zur Standortsicherheit von AWS findest Du hier.

Datenverschlüsselung

Verschlüsselung im Ruhezustand

Alle Kundendaten werden im Ruhezustand verschlüsselt. Dies gilt für Live-Daten und Backups. Verschlüsselungsschlüssel werden sicher im AWS-Key Management Service (KMS) gespeichert.

Verschlüsselung während der Übertragung

Alle Daten, die über unsichere Netzwerke übertragen werden, werden während der Übertragung mit Transport Layer Security (TLS) verschlüsselt und verwenden starke Verschlüsselungssuiten. InVision verwendet zusätzlich Methoden wie HTTP Strict Transport Security (HSTS), um auch die Integrität verschlüsselter Kanäle zu gewährleisten. Unsere Kunden können Tools wie SSL Labs und Security Header von Qualys verwenden, um die TLS-Chiffren und Algorithmen zu überprüfen, die von InVision verwendet werden.

Geschäftskontinuität

InVision hat eine Richtlinie zum Business-Continuity-Management (BCM), die unsere Notfallwiederherstellungsmaßnahmen regelt. Das Ziel ist es sicherzustellen, dass Deine Daten auch nach einem schweren Ausfall immer verfügbar sind. Unser Verfügbarkeitsziel ist in unseren Allgemeinen Geschäftsbedingungen (AGB) beschrieben. Wir haben dieses Ziel seit der Einführung unserer injixo-Plattform im Jahr 2011 deutlich übertroffen. Die AGBs findest Du hier:

Englisch | Deutsch | Französisch | Italienisch | Spanisch

InVision pflegt eine Systemstatus-Webseite, die öffentlich zugänglich ist. Sie enthält Details zur Systemverfügbarkeit, zu geplanten Wartungsarbeiten, zu relevanten Sicherheitsereignissen und eine Servicevorfallhistorie. Du findest sie hier.

Sicherheitsrichtlinien

InVision hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die unseren gesamten Betrieb unterstützen. Diese entwickeln wir stetig weiter.

Hier findest Du einige Beispiele unserer Richtlinien:

Sicherheitsbewusstsein und -schulung

Bei InVision halten wir uns alle and die Sicherheits- und Datenschutzrichtlinien. Alle Mitarbeitenden müssen jährlich Datenschutz- und Informationssicherheitsschulungen absolvieren. Die Schulungen müssen zu 100% abgeschlossen werden und die Ergebnisse werden protokolliert. Natürlich werden die Datenschutzbestimmungen bei der Protokollierung eingehalten.

Sicherheitsvorfall-Reaktionsplan

InVisions Sicherheitsvorfall-Reaktionsplan (Security Incident Response Plan, SIRP) ist ein wesentliches Element unserer Sicherheitsrichtlinien. Dank des SIRP können wir auf sicherheitsrelevante Vorfälle effektiv, konsistent und zeitnah reagieren. Alle potenziellen Gefährdungen für Kundendaten werden mit höchster Dringlichkeit behandelt. Der SIRP wird ausgelöst, wenn Kundendaten kompromittiert wurden oder wenn sie potenziell kompromittiert werden könnten. Unsere Sicherheitsspezialisten sind in der Untersuchung von Sicherheitsvorfällen geübt und wenden branchenübliche Best Practices an, um die Einhaltung aller rechtlichen Verpflichtungen sicherzustellen. Zum Beispiel benachrichtigt InVision den Kunden (der als Datenverantwortlicher fungiert) im Falle eines Datenlecks sofort gemäß unseren DSGVO-Verpflichtungen.

Die Richtlinien

Die Richtliniensammlung umfasst Richtlinien zur Informationssicherheit, zum Thema Bring Your Own Device, zur Arbeit mit mobilen Geräten und zur Telearbeit, zu HR, zum Sicherheitstraining und -bewusstsein, zum Asset-Management, zur Zugangskontrolle, zur physischen Sicherheit, zum Änderungsmanagement, zur sicheren Produktentwicklung, zu den Lieferantenbeziehungen, zum Incident-Management, zur Geschäftskontinuität, zur Compliance und vieles mehr. Die Mehrzahl bezieht sich auf relevante Klauseln der Branchenstandards-Dokumentation, z B. der ISO/IEC 27001.

Beispiele:

  • Richtlinie zur Arbeit mit mobilen Geräten und zur Telearbeit Diese Richtlinie ist darauf ausgelegt, unbefugten Zugriff auf mobile Geräte sowohl innerhalb als auch außerhalb der Räumlichkeiten von InVision zu unterbinden. Sie legt sechs Regeln fest, die von Mitarbeitern befolgt werden müssen, wenn sie mobile Geräte außerhalb der Büros nutzen, z. B. Geräte nicht unbeaufsichtigt lassen und idealerweise einschließen, das Betriebssystem auf dem neuesten Stand halten, Verschlüsselung nutzen, die Nutzung von Passwörtern und mehr. Sie legt fünf Regeln für die Telearbeit fest, einschließlich der Verhinderung unbefugten Zugriffs, der Konfiguration des lokalen Netzwerks (LAN), dem Schutz des geistigen Eigentums des Unternehmens und einer Liste von erlaubten und verbotenen Aktivitäten, die von Mitarbeitern in Telearbeit durchgeführt werden dürfen.
  • Richtlinie zur erlaubten Nutzung von Informationsträgern Diese Richtlinie enthält klare Regeln für die Nutzung von Informationssystemen und anderen Informationsgütern, z. B. Computern und Smartphones, die InVision gehören. Sie legt die erlaubte Nutzung fest, z. B. dürfen die Informationsträger nur vom Mitarbeiter genutzt werden, illegale Dateien und nicht lizenzierte Software dürfen nicht installiert werden und Unternehmensdaten dürfen nicht übertragen werden. Informations-Asset-Verantwortliche werden in einem Inventar erfasst und überlassene Informationsträger müssen bei Beendigung des Arbeitsverhältnisses zurückgegeben werden. Malware-Schutz ist obligatorisch und es gibt strenge Auflagen für Benutzerkonten, Passwörter, Internetnutzung, E-Mail und andere Messaging-Dienste. Alle Daten, die über Informationssysteme erstellt, gespeichert, gesendet oder empfangen werden, sind Eigentum von InVision, und das Unternehmen behält sich das Recht vor, die Systeme zu überwachen, um die Einhaltung der Richtlinie sicherzustellen.
  • Zugriffskontrollrichtlinie Diese ist darauf ausgelegt, die Regeln für den Zugriff auf Systeme, Arbeitsmittel, Büroräume und Informationen auf Basis von Geschäfts- und Sicherheitsanforderungen zu definieren. Prinzipiell ist der Zugriff auf Systeme verboten, es sei denn, er wurde ausdrücklich für einzelne Benutzer oder Benutzergruppen gewährt. Die Richtlinie umfasst das Anmeldeverfahren für jedes System und bietet Zugriffsprofile für verschiedene Funktionen innerhalb der Organisation, z. B. Engineering, Platform Engineering, Finance, HR, Marketing, Support und Recruiting. Zugriffsrechte werden zweimal im Jahr überprüft und es gibt einen definierten Prozess zur Umsetzung der Zugriffskontrollrichtlinie.
  • Backup-Richtlinie Diese Richtlinie ist ein wesentlicher Bestandteil der Business-Continuity-Richtlinie (BCP) und soll sicherstellen, dass Sicherungskopien in definierten Intervallen erstellt und regelmäßig getestet werden. Sicherungskopien müssen gemäß der BCP erstellt werden. Das Platform Engineering-Team ist verantwortlich für die Sicherung aller Informationen, Software- und System-Images. Backups müssen gemäß der Richtlinie an mehreren Standorten gespeichert werden. Logs dazu werden vorgehalten. Wiederherstellungstests werden in regelmäßigen Abständen durchgeführt.
  • Incident-Management-Richtlinie Das Ziel dieser Richtlinie ist es, sicherheitsrelevante Ereignisse und Schwachstellen frühzeitig zu erkennen und dann schnelle Korrekturmaßnahmen einzuleiten. Sie legt fest, was ein Informationssicherheitsereignis, einen Informationssicherheitsvorfall und eine Sicherheitsschwäche ausmacht. Sie legt die Verantwortlichkeiten für die Meldung von Ereignissen, Vorfällen und Schwachstellen sowie die Kriterien fest, die zur Einordnung verwendet werden. Die Richtlinie beschreibt auch, wie mit schwerwiegenden oder harmlosen Ereignissen umgegangen, wie darüber berichtet und was daraus gelernt werden soll.

Erfahre mehr

Bestehende Kunden

Wenn Du bereits Kunde von injixo bist, beantworten wir gerne alle Deine Fragen zum Thema Sicherheit. Das Sicherheitsteam von InVision steht bereit, um alle Fragen zu beantworten, die Deine IT-, InfoSec-, Datenschutz- und Compliance-Teams zu unseren Produkten haben könnten. Dein Customer Success Manager organisiert dies gern für Dich.

Sicherheitsvorfälle

Um einen vermuteten Sicherheitsvorfall in Bezug auf die injixo-Plattform zu melden, erstelle bitte auf dem üblichen Weg ein Support-Ticket mit hoher Priorität. Bitte gib so viele Details wie möglich an, damit unser Team das Problem ohne Verzögerung finden und beheben kann.

Neue Kunden

Wenn Du gerade dabei bist, ein injixo-Kunde zu werden und bereits Kontakt mit einem Mitglied unseres Vertriebsteams hast, wende Dich bitte mit allen Fragen, die Du zur Sicherheit hast, direkt an den Vertrieb. Unser Team wird Dir gerne weiterhelfen und Dich bei Bedarf an den richtigen Experten in unserem Team vermitteln. Wenn Du noch nicht im Gespräch mit unserem Vertriebsteam bist, kannst Du sie kontaktieren, indem Du dieses Formular ausfüllst.