Zum Hauptinhalt springen
Vertrauen und Sicherheit

Sicherheit und Compliance

Unser umfassender Ansatz zum Schutz deiner Daten, im Detail.

DSGVO, Compliance und Zertifizierung

Sobald du Daten aus der Europäischen Union über einen Dienstleister wie Hook0 verarbeitest, brauchst du mit jedem Anbieter einen vertraglichen Rahmen. So weiß die EU, dass du nur mit Unternehmen arbeitest, deren Praktiken auf die Konformität mit der Datenschutz-Grundverordnung (DSGVO) ausgelegt sind.

Auftragsverarbeitungsvertrag (DPA)

Ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA), auch Data Processing Addendum genannt, ist ein Vertrag zwischen Verantwortlichen und Auftragsverarbeitern oder zwischen Auftragsverarbeitern und weiteren Unterauftragsverarbeitern. Mehr erfahren (auf Englisch).

Unterauftragsverarbeiter

Im Sinne der DSGVO ist ein Unterauftragsverarbeiter jedes Unternehmen oder jeder Dienstleister, durch den Kundendaten als Nebeneffekt der Nutzung von Hook0 fließen können. Mehr erfahren (auf Englisch).

PCI DSS

Zahlungs- und Kreditkartendaten werden über Stripe abgewickelt. Stripe wird von einem unabhängigen PCI Qualified Security Assessor auditiert und ist als PCI Level 1 Service Provider zertifiziert, der strengsten Stufe der Branche. Hook0 erhält im Normalbetrieb keine Kreditkartendaten und ist damit in den meisten Konstellationen mit den Payment Card Industry Data Security Standards (PCI DSS) konform.

Meldung von Sicherheitslücken

Um eine Sicherheitslücke oder andere Sicherheitsbedenken zu einem Hook0-Produkt zu melden, schreib an [email protected].

Lege einen Proof of Concept bei, eine Liste der verwendeten Tools (mit Versionen) und die vollständige Ausgabe dieser Tools. Jede Meldung wird sehr ernst genommen. Sobald eine Meldung eingeht, wird die Sicherheitslücke zügig geprüft, bevor die nötigen Schritte zur Behebung folgen. Nach Bestätigung gehen regelmäßige Status-Updates raus, während die Behebung läuft.

Um sensible Informationen verschlüsselt zu übermitteln, ist der PGP-Schlüssel auf Keybase verfügbar.

Für kritische Sicherheitslücken in der Hook0-API (https://app.hook0.com/api/v1/) gibt es ein offenes Bug-Bounty-Programm.

Infrastruktur- und Netzwerksicherheit

Physische Zugangskontrolle

Hook0 läuft auf der Clever-Cloud-Plattform in Frankreich. Die Rechenzentren von Clever Cloud setzen auf ein mehrschichtiges Sicherheitsmodell mit umfassenden Schutzmaßnahmen, etwa:

  • Speziell angefertigte elektronische Zugangskarten
  • Alarmanlagen und Perimeterzäune
  • Fahrzeugschranken und Metalldetektoren
  • Biometrische Authentifizierung

Mitarbeitende von Hook0 haben keinen physischen Zugang zu Rechenzentren, Servern, Netzwerkequipment oder Speichersystemen von Clever Cloud.

Logische Zugangskontrolle

Hook0 ist der eingetragene Administrator seiner Infrastruktur bei Clever Cloud. Nur namentlich autorisierte Mitglieder des Hook0-Ops-Teams konfigurieren die Infrastruktur bei Bedarf, hinter einem per Zwei-Faktor-Authentifizierung gesicherten VPN. Für einzelne Server sind spezifische private Schlüssel erforderlich, die an einem sicheren und verschlüsselten Ort liegen.

Unabhängige Audits

Clever Cloud durchläuft regelmäßig diverse unabhängige Audits Dritter und kann die Prüfung der Compliance-Kontrollen für Rechenzentren, Infrastruktur und Betrieb belegen. Dazu zählen unter anderem die SOC-2-Zertifizierung nach SSAE 16 und die ISO-27001-Zertifizierung.

Geschäftskontinuität und Disaster Recovery

Hohe Verfügbarkeit

Jeder Baustein des Hook0-Dienstes läuft auf sauber dimensionierten, redundanten Servern (mehrere Load Balancer, Webserver, Replikat-Datenbanken), um Ausfälle abzufangen. Im Rahmen der regulären Wartung werden Server aus dem Betrieb genommen, ohne die Verfügbarkeit zu beeinträchtigen.

Geschäftskontinuität

Hook0 hält stündliche, verschlüsselte Backups in mehreren Regionen bei Clever Cloud vor. Auch wenn dieser Fall nie erwartet wird, werden bei Verlust von Produktionsdaten (Verlust der primären Datenspeicher) die Organisationsdaten aus diesen Backups wiederhergestellt.

Disaster Recovery

Bei einem regionsweiten Ausfall baut Hook0 eine gleichwertige Umgebung in einer anderen Clever-Cloud-Region auf. Das Hook0-Ops-Team verfügt über ausgiebige Erfahrung mit vollständigen Regionsmigrationen.

Unternehmenssicherheit

Schutz vor Schadsoftware

Bei Hook0 fangen gute Sicherheitspraktiken im eigenen Team an. Wir gehen ausdrücklich über das Übliche hinaus, um uns gegen interne Bedrohungen und lokale Sicherheitslücken zu schützen.

Risikomanagement

Hook0 folgt den Risikomanagement-Verfahren aus NIST SP 800-30 mit neun Schritten der Risikobewertung und sieben Schritten der Risikominimierung.

Alle Produktänderungen durchlaufen Code-Review, CI und Build-Pipeline, bevor sie die Produktionsserver erreichen. Nur namentlich benannte Mitarbeitende des Hook0-Ops-Teams haben SSH-Zugang zu den Produktionsservern.

Hook0 führt über den gesamten Produktlebenszyklus Risikobewertungen nach den Standards der HIPAA Security Rule, 45 CFR 164.308 durch.

Sicherheitsrichtlinien und Schulungen

Hook0 pflegt ein internes Wiki der Sicherheitsrichtlinien, das laufend aktualisiert und jährlich auf Lücken überprüft wird. Alle neuen Mitarbeitenden erhalten ein Onboarding und eine Systemeinweisung mit Review der Sicherheitsrichtlinien.

Offenlegungsrichtlinie

Hook0 folgt dem vom SANS empfohlenen Prozess zur Behandlung von Sicherheitsvorfällen, mit Identifikation, Eindämmung, Beseitigung, Wiederherstellung, Kommunikation und Dokumentation der Sicherheitsereignisse.

Hook0 veröffentlicht den operativen Status und Vorfälle live auf der Status-Seite. Bekannte Vorfälle werden dort sowie im Twitter-Feed kommuniziert.