Sicherheit bei Qualtir

Zertifizierungen & Compliance

Alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden, sind mit TLS 1.2 oder höher verschlüsselt. Daten im Ruhezustand werden mit AES-256 verschlüsselt.

• Im Transit: TLS 1.2+ Verschlüsselung für alle Daten zwischen Clients und Servern
• Im Ruhezustand: AES-256 Verschlüsselung für alle gespeicherten Daten
• Schlüsselverwaltung: Verschlüsselungsschlüssel werden über Google Cloud Key Management Service verwaltet
• Datenbankverschlüsselung: Alle Datenbanken sind auf Speicherebene verschlüsselt

Wir folgen dem Prinzip der geringsten Privilegien. Der Zugriff auf Kundendaten ist streng kontrolliert und auf Mitarbeiter beschränkt, die ihn für ihre Arbeit benötigen.

• Rollenbasierte Zugriffssteuerung (RBAC) in allen internen Systemen
• Multi-Faktor-Authentifizierung (MFA) erforderlich für alle Mitarbeiterkonten
• Zugriffsprotokolle werden geführt und regelmäßig überprüft
• Privilegierter Zugriff ist zeitlich begrenzt und bedarf zusätzlicher Genehmigung
• Mitarbeiterzugang wird bei Ausscheiden sofort widerrufen

Unsere gesamte Infrastruktur wird auf Google Cloud Platform (GCP) gehostet. GCP-Rechenzentren sind physisch gesichert, mit mehreren Schutzschichten einschließlich biometrischen Zugangs und 24/7-Überwachung.

• Daten in GCP-Rechenzentren in EU- und US-Regionen gehostet
• Netzwerk-Firewalls und DDoS-Schutz
• Automatisiertes Vulnerability Scanning der Infrastruktur
• Private VPC-Netzwerke zur Isolierung von Produktionsumgebungen
• Regelmäßige Penetrationstests durch Drittanbieter-Sicherheitsunternehmen

Wir überwachen unsere Systeme kontinuierlich auf ungewöhnliche Aktivitäten und Sicherheitsbedrohungen. Alle wichtigen Aktionen in unserer Plattform werden protokolliert.

• 24/7 automatisierte Überwachung mit Echtzeit-Benachrichtigungen
• Security Information and Event Management (SIEM) Integration
• Jährliche Sicherheitsaudits und Penetrationstests durch Drittanbieter
• Regelmäßige interne Audits gemäß ISO 27001
• Umfassende Audit-Protokolle für mindestens 12 Monate aufbewahrt

Wir haben einen dokumentierten Incident-Response-Plan, der regelmäßig getestet und aktualisiert wird. Bei einem Sicherheitsvorfall sind wir verpflichtet, schnell zu handeln und betroffene Kunden zu benachrichtigen.

• Definierte Eskalationspfade und Bereitschaftsteam
• Ziel-Eindämmung innerhalb von 1 Stunde nach bestätigtem Vorfall
• Kundenbenachrichtigung innerhalb von 72 Stunden nach bestätigtem Verstoß (gemäß DSGVO)
• Nachträgliche Überprüfung und Behebung zur Vorbeugung von Wiederholungen

Wir speichern Ihre Daten nur so lange, wie es für die Bereitstellung unserer Dienste und die Erfüllung unserer gesetzlichen Verpflichtungen erforderlich ist.

• Kontodaten werden innerhalb von 90 Tagen nach Kontoschließung gelöscht
• Backups werden 30 Tage aufbewahrt und dann dauerhaft vernichtet
• Sichere Löschverfahren gelten für alle Speichermedien
• Datenlöschanfragen werden innerhalb von 30 Tagen bearbeitet

Unsere Google Workspace-Erweiterungen sind mit einem Minimal-Berechtigungs-Ansatz gestaltet.

• Einhaltung der Google API Services User Data Policy und der Limited Use-Anforderungen
• Keine dauerhafte Speicherung von Google Doc-, Sheet- oder Drive-Inhalten auf unseren Servern
• OAuth 2.0 für alle Google-Kontoautorisierungen verwendet
• Benutzer können den Zugriff jederzeit über die Google-Kontoeinstellungen widerrufen
• Erweiterungen durchlaufen den Sicherheitsprüfungsprozess von Google vor der Veröffentlichung

8. Verantwortungsvolle Offenlegung

Wir begrüßen die verantwortungsvolle Offenlegung von Sicherheitslücken. Wenn Sie ein potenzielles Sicherheitsproblem entdecken, kontaktieren Sie uns bitte unter contact@qualtir.com. Wir verpflichten uns, Ihren Bericht innerhalb von 48 Stunden zu bestätigen.

Fragen zur Sicherheit

Wenn Sie Fragen oder Bedenken dazu haben, wie wir Ihre Daten schützen, helfen wir Ihnen gerne weiter.