Ihre Daten sind unsere Verantwortung

In unserem Security & Trust Center finden Sie die neuesten Informationen zur technischen Sicherheit und Datenschutz.

Die Sicherheit unseres digitalen Arbeitsplatzes

Zero Trust Architektur

Eine sichere Zugangsverwaltung ist ein wichtiger Eckpfeiler in jedem technologiegestützten Unternehmen. Mit einer SASE-Architektur validieren und authentifizieren wir die Datenübertragung auf kontextbasierte Weise (unter Berücksichtigung des Geräts des Benutzers, seines Zustands, seines Standorts usw.).

Sensibilisierung und Aufklärung

Der Faktor Mensch: Datensicherheit liegt auch in der Verantwortung der Nutzer. Wir unterstützen Menschen gezielt beim sicheren Einsatz und bei der Nutzung von Daten. Unsere Teams durchlaufen ein spezielles Sicherheits-Onboarding, bei dem wir ein Bewusstsein für die wichtigsten Gefahren innerhalb unseres Unternehmens schaffen.

Sichere Kommunikation und Zusammenarbeit

Um Daten während der täglichen Arbeit zu sichern, verlassen wir uns auf eine starke Grundlage. Alasco nutzt Google Workplace (Enterprise), Ende-zu-Ende-verschlüsselte Kommunikationskanäle und weitere spezielle Lösungen, um sicherzustellen, dass die Daten zu jedem Zeitpunkt sicher sind.

Die Sicherheit unserer Infrastruktur und Anwendungen

Cloud Security Posture Management

Um die Sicherheit unserer AWS-Umgebung kontinuierlich zu verbessern, setzen unsere Teams spezielle Sicherheitstools ein, die kontinuierliche Sicherheitsprüfungen durchführen. Dabei handelt es sich um die Lösungen Cloud Security Posture Management (CSPM) und Cloud Infrastructure & Entitlement Management (CIEM).

System- und Laufzeit-Sicherheit

Neben der fast vollständigen Nutzung von serverlosen Konzepten wie AWS Fargate setzen wir auf gezielte Sicherheitsvorkehrungen in jeder von uns verwalteten Laufzeit von Programmen. Dazu gehören Lösungen für Endpoint Detection & Response (EDR) und Vulnerability Management (VM), um potentielle Sicherheitsrisiken frühzeitig zu identifizieren.

Edge-Sicherheit

Die Infrastruktur von Alasco wird durch das Edge-Netzwerk von Cloudflare und die damit verbundenen Funktionen für Web Application and API Protection (WAAP) geschützt. Diese zusätzliche Sicherheitsebene schützt vor 0day-Exploits, volumetrischen Angriffen und mehr.

Angriffsflächen­management

Sich in die Position von Angreifern zu versetzen, ist eine wichtige (und sehr wirksame) strategische Waffe gegen Angriffe. Bei Alasco steht unsere externe Angriffsfläche unter ständiger Kontrolle, um Eintrittspunkte für Angriffe von außen zu minimieren.

Steigern wir den Wert Ihrer Assets
Der ROI von morgen ist grün. Steigern Sie den Wert Ihrer Assets mit Alasco.

Die Sicherheit von Kundendaten

EU-Datenhosting

Das EU-basierte Datenhosting von Alasco ist eine der wichtigsten Entscheidungen, die schon früh getroffen wurden. AWS ist ein expliziter Bestandteil unseres Sicherheitsmodells und bietet Alasco modernste Technologie, Sicherheits­vorkehrungen und die Einhaltung von Branchenstandards.

Mehrmandanten­fähigkeit

Bei Alasco kommen strenge Grundsätze der Datentrennung zur Anwendung. Dies bedeutet, dass die Daten unserer Kunden auf der Speicherebene klar voneinander getrennt sind und strenge Zugriffsregelungen gelten. Selbst intern haben nur autorisierte Personen innerhalb von Alasco Zugang zu diesen Daten.

Datenverschlüsselung

Die Verschlüsselung ist ein wichtiger Bestandteil der Datensicherheitsstrategie von Alasco. An jedem Punkt, an dem Daten zwischen unseren Systemen verarbeitet werden, setzen wir auf Transport Layer Security (TLS) für die Transitverschlüsselung. Dies verhindert das Abhören von Daten. Für Daten, die "im Ruhezustand" gespeichert werden, nutzen wir die nativen AWS-Funktionen, um unsere Datenspeicher standardmäßig zu verschlüsseln (S3, RDS, EBS).

Bereichs­übergreifende Sicherheit­sinitiativen

Bug Bounty Program

Alasco steht in engem Austausch mit der Cybersicherheit-Community. Wir schätzen deren Hilfe bei der Identifizierung von Schwachstellen in unseren Produkten sehr. Mit unserem Bug Bounty Programm schaffen wir Anreize für Externe, uns dabei zu unterstützen, unser Angebot noch sicherer zu machen. 

Erfahren Sie mehr über unser Bug Bounty Programm unter

Beeinträchtigungen und Verstöße

Der Umgang mit Sicherheitsrisiken folgt einem klaren Prozess: Aktionen, Eskalationen, Schadensbegrenzungen, Lösungen und Benachrichtigungen für alle potenziellen Vorfälle sind festgelegt, die sich auf die Sicherheit unserer Plattform oder unserer Daten auswirken.

Die kontinuierliche Modellierung von Bedrohungen

Unser Sicherheitsteam führt regelmäßige Workshops durch, in denen aus einem risikozentrischen Blickwinkel heraus Risikoszenarien modelliert werden. Sicherheitslücken und Verbesserungspotenziale werden so schnell identifiziert und behoben.

FAQ

Produkt­sicherheit

Wie gewährleistet Alasco die Anmeldesicherheit und die sichere Verwaltung des Benutzerzugangs?

Die Authentifizierung auf unserer Plattform basiert auf der Auth0-Technologie (ein Okta-Unternehmen). Wir unterstützen die Integration von externen Identitätsanbietern, wenn Sie Alasco mit Ihrer unternehmensinternen Arbeitsplatz-IDP verbinden möchten.

Unterstützt die Plattformauthentifizierung von Alasco MFA?

Ja.

Können Benutzeraktivitäten oder Prüfprotokolle exportiert werden?

Diese können wir auf Anfrage zur Verfügung stellen.

FAQ

Datensicherheit

Wo verarbeitet oder speichert Alasco Kundendaten?

Unsere Anwendung wird auf AWS in der EU gehostet und unterliegt den EU-GDPR-Bestimmungen und ist mit diesen konform.

Verschlüsselt Alasco meine Daten während der Übermittlung und im Ruhezustand?

Für die Datenübermittlung nutzen wir den Verschlüsselungs-Standard TLS für eingehenden HTTP-Verkehr und Verbindungen zwischen internen Diensten.

Für unsere Anwendung nutzen wir mehrere AWS-eigene Speichermechanismen (RDS, S3, SNS, SQS). Für die Alasco Kundendaten im Ruhezustand kommen AWS-eigene Verschlüsselungsmechanismen zum Einsatz. RDS zum Beispiel verschlüsselt Daten mit kryptografischen Schlüsseln, die in AWS KMS gespeichert sind. Der Verschlüsselungsalgorithmus AES-256 wird zur Verschlüsselung von RDS-Speicher, Backups, Read Replicas, Snapshots o. Ä. verwendet.

Wer hat Zugang zu den Daten, die Alasco verwaltet?

Unsere allgemeinen Sicherheitsprinzipien beruhen auf den Zero-Trust und Need-to-know Grundsätzen. Daher erhalten nur ausgewählte Kundenbetreuer:innen Zugang zu Kundendaten. Darüber hinaus hat unsere Technologieabteilung, die die Plattform betreibt, Zugang zu der zugrunde liegenden Infrastruktur und den Datenbanken.

FAQ

Governance, Risiko, Compliance

Verfügt Alasco über ein Informations­sicherheitsprogramm?

Ja. Unser Sicherheitsteam ist für das Sicherheitsprogramm von Alasco verantwortlich, das beispielsweise jährliche Zielvorgaben, Designprinzipien oder Architekturentscheidungen beinhaltet. Die Sicherheit der Daten unserer Kunden hat für uns oberste Priorität, und wir investieren weiterhin in die besten Tools, um dieses Versprechen zu erfüllen.

Entspricht das Sicherheitsprogramm von Alasco den Industriestandards?

Ja. Insbesondere halten wir uns so weit wie möglich an die folgenden Standards:
SOC2 Type II
ISO 27001
CIS AWS 1.4.0
NIST 800-171 Rev2
AWS Well Architected
Bescheinigungen und Benchmarks für ausgewählte Bereiche können auf Anfrage zur Verfügung gestellt werden.

Verfügt Alasco über Compliance Bescheinigungen von Dritten?

Bei der Auswahl unserer Dienstleister achten wir auf Sicherheit und Compliance. Daher entsprechen die wichtigsten Parteien in unserem Anbieter-Ökosystem zu 100 % den Sicherheitsstandards der Branche wie SOC2 Typ II oder ISO 27001. Alasco bewertet seine Lieferanten regelmäßig nach diesen Anforderungen.

Alasco selbst hat sich bisher noch keinem Audit mit zertifizierter Bescheinigung unterzogen. Unser Sicherheitsrahmenwerk geht weit über die Anforderungen der Industriestandards hinaus, aber aufgrund des Feedbacks unserer Kunden hat sich die Investition in den zeitaufwändigen Prozess der jährlichen Audits und der Aufrechterhaltung der Konformität bis heute nicht als praktisch notwendig erwiesen.

Unterzieht sich Alasco regelmäßig Penetration Tests durch ein Drittunternehmen?

Ja. Wir führen regelmäßig verschiedene Arten von Tests durch.

Vor allem aber betreiben wir ein hochmodernes, rund um die Uhr verfügbares Programm zur Erkennung von Schwachstellen, um potenzielle Risiken so früh wie möglich zu erkennen. Darüber hinaus führen wir mehrmals im Jahr Penetration Tests und Inside-Out-Sicherheitsaudits durch.