Sicherheitsmaßnahmen

Stand: 14. Mai 2018

PCI Compliance

Joomag ist derzeit kein PCI-zertifiziertes Dienstleistungsunternehmen. Wir sind ein PCI Level 3 Merchant und haben den Self-Assessment Questionnaire A (SAQ-A) des Payment Card Industry Data Security Standard (PCI DSS) durchlaufen, wodurch wir Ihre Kreditkarteninformationen sicher durch einen Drittanbieter verarbeiten lassen dürfen.

Die Umgebung, die den Joomag Service hostet, hat mehrere Zertifizierungen für seine Rechenzentren, einschließlich ISO 27001 Compliance und SOC-Berichte. Weitere Informationen über deren Zertifizierung und Compliance sind auf der Website. des 100TB Data Centers zu finden.

Sicherheitsfunktionen für Account Nutzer & Administratoren

Zugriffs- und Audit-Protokolle

Es gibt detaillierte Zugriffsprotokolle sowohl für Inhaber als auch Administratoren der Accounts, die auf Anfrage zur Verfügung gestellt werden. Ein Protokoll wird jedes Mal angelegt, wenn sich ein Benutzer anmeldet; dabei registrieren wir den verwendeten Gerätetyp und die IP-Adresse der Verbindung.

Löschung von Kundendaten

Joomag bietet Account-Inhabern die Möglichkeit, ihre Daten jederzeit zu löschen. Innerhalb von 48 Stunden der vom Nutzer initiierten Löschung werden die Informationen aus den laufenden Verarbeitungssystemen durch Joomag gelöscht. Joomags Datenbank-Backups werden innerhalb von 7 Tagen gelöscht.

Datenverschlüsselung während der Übertragung und im Ruhezustand

Joomags Service unterstützt die neuesten empfohlenen sicheren Verschlüsselungs-Suiten und -Protokolle, um den gesamten Datenverkehr während der Übertragung zu verschlüsseln.

Wir halten die sich verändernde Kryptografie-Technologien im Auge und führen entsprechend umgehend Service-Updates zur Verbesserung unserer Dienste durch, damit sofort auf neu entdeckte kryptografische Schwachstellen reagiert werden kann und Best Practices gemäß ihrer Weiterentwicklung implementiert werden. Bei der Verschlüsselung der Datenübertragung kommt dies zur Anwendung, wobei gleichzeitig auf die Kompatibilität für ältere Clients geachtet wird.

Verfügbarkeit

Wir wissen, dass Sie sich auf die Funktionstüchtigkeit von Joomag verlassen. Daher setzen wir alles daran, dass Joomag Ihnen den vollumfänglichen Service bietet, auf den Sie zählen können. Der Großteil unserer Infrastruktur läuft auf Systemen, die fehlertolerant beim Versagen einzelner Dienste sind. Unser Operations-Team testet regelmäßig Disaster Recovery-Maßnahmen und stellt rund um die Uhr ein Team zur Verfügung, um unvorhergesehene Vorfälle schnell zu beheben. Unser Team berichtet und aktualisiert den Status aller Vorfälle auf unserer Statusseite.

Disaster Recovery

Die Datenbank vom Joomag Service wird redundant an mehreren Standorten in den Rechenzentren unseres Hosting-Providers gespeichert, um die Verfügbarkeit zu gewährleisten. Wir verfügen über erprobte Backup- und Wiederherstellungsverfahren, die eine Wiederherstellung nach einer größeren Krise ermöglichen. Die Datenbank vom Joomag Service wird nachts automatisch gesichert. Das SRE-Team wird bei einem Ausfall dieses Systems alarmiert.

Netzwerkschutz

Zusätzlich zur ausgefeilten Systemüberwachung und Protokollierung haben wir eine Zwei-Faktor-Authentifizierung für alle Serverzugriffe in unserer Produktionsumgebung implementiert. Firewalls werden gemäß den Best Practices der Branche konfiguriert und unnötige Ports werden blockiert.

Host Management

Wir führen automatisierte Scans nach Schwachstellen auf unseren Produktions-Hosts durch und beheben die, die ein Risiko für unsere Host-Umgebung darstellen. Die Host-Einstellungen sind automatisiert, und die Setup-Skripte werden getestet, um menschliche Fehler während der Einstellungen zu vermeiden.

Protokollierung

Joomag verwendet mehrere Protokollierungssysteme in seiner Produktionsumgebung, die Informationen über Sicherheit, Überwachung, Verfügbarkeit, Zugriff und andere Metriken bezüglich des Joomag Services enthält. Diese Protokolle werden über eine vom Sicherheitsteam betreute, automatisierte Überwachungssoftware auf Sicherheitsvorfälle analysiert.

Incident Management & Reaktion

Im Falle eines Sicherheitsverstoßes wird das Joomag-Team Sie umgehend über jeden unberechtigten Zugriff auf Ihre Daten informieren. Joomag hat Incident Management-Richtlinien und entsprechende Verfahren, wie bei einem solchen Vorfall gehandelt werden sollte.