Kontakt

Trust Center

Willkommen im Trust Center

Wir bei A1 Digital verpflichten uns, die Vertraulichkeit, Integrität und Verfügbarkeit aller Daten unserer Partner und Kunden zu wahren. Diese Seite hilft Ihnen das Engagement von A1 Digital für Cybersicherheit, Datenschutz und Compliance zu verstehen. Hier finden Sie alle unsere Zertifizierungen, externen Berichte, Compliance-Dokumentation sowie Antworten auf häufig gestellte Fragen zu Sicherheit und Datenschutz. Es ist uns besonders wichtig, gegenüber unseren Kunden und Partnern so transparent wie möglich zu sein, um Ihr Vertrauen in unsere Fähigkeiten kontinuierlich zu stärken. Dieses Portal soll Ihnen alle Informationen bieten, die Sie benötigen, um Vertrauen in unsere Fähigkeit zum Schutz Ihrer Daten aufzubauen.

Zertifizierungen und Berichte

A1 ESG Identifier Std RGB

ESG Ratings

Die A1 Group lässt ihre nachhaltigen Aktivitäten jährlich von Ratingagenturen bewerten und ist in den wichtigsten Nachhaltigkeitsindizes gelistet. Die Ergebnisse bestätigen, dass die Gruppe auf dem richtigen Weg ist, eine Vorreiterrolle in Sachen Nachhaltigkeit im Bereich der Informations- und Kommunikationstechnologien einzunehmen.

Lesen Sie mehr

Inhaltsverzeichnis

- Grundsätze der Unternehmenssicherheit

- Sicherheits-/Datenschutzmaßnahmen in unserem Softwareentwicklungszyklus

- Sicherheits-/Datenschutz-Governance

- Datenschutz und rechtliche Maßnahmen

- Eine Sicherheitslücke melden

- Häufig gestellte Fragen

- Downloads


Grundsätze der Unternehmenssicherheit

  • Schulung der Mitarbeiter zu Sicherheit/Datenschutz: Wir befolgen einen jährlichen Schulungsplan für unser gesamtes Personal, der die Themen sichere Datennutzung, Passwortsicherheit, Sensibilisierung für Social Engineering, DSGVO und Compliance abdeckt. Der Schulungsplan umfasst auch Social-Engineering-Übungen wie Phishing-Tests.
  • Verschlüsselung während der Übertragung: Unsere Produkte nutzen hochmoderne Verschlüsselung, um die Übertragung Ihrer Daten über das Internet zu sichern.
  • Zugriffskontrolle: Wir verwenden Benutzerverwaltungsprozesse und -systeme, um die Grundsätze der geringsten Privilegien und des Need-to-Know-Prinzips sicherzustellen. Unsere Benutzerrechte und -rollen werden regelmäßig überprüft.
  • Internes SSO: Wir verwenden einen Single-Sign-On-Dienst, um die Authentifizierung für unsere Infrastruktur und internen Anwendungen zu optimieren.
  • Passwortsicherheit: Unsere Passwortrichtlinie entspricht den neuesten Verfahren und erfordert die Verwendung von MFA auf allen Systemen. Passwörter werden verschlüsselt in einem vom Unternehmen verwalteten Passwortmanager gespeichert.
  • Protokollierung: Wir haben die Protokollierung relevanter Sicherheitsereignisse in unserer Umgebung aktiviert.
  • Sicherheitsinformationen und Ereignismanagement: Relevante Sicherheitsprotokolle unserer Infrastruktur werden zentral gespeichert und vor unbefugtem Zugriff geschützt. Für mehrere potenzielle Sicherheitsbedrohungen werden automatisch Alarme erstellt.
  • Network Time Protocol: Unsere Systeme verwenden in unserer gesamten Infrastruktur dieselben standardmäßigen Zeitserver.
  • Überwachung: Unsere Systeme und Dienste unterliegen einer Verfügbarkeitsüberwachung. Alarme sind so konfiguriert, dass im Falle eines ungeplanten Ausfalls rechtzeitig eine Benachrichtigung erfolgt.
  • Infrastruktursicherheit: Wir nutzen Infrastruktur-als-Code-Techniken, um Ressourcen sicher in unserer Umgebung bereitzustellen.
  • Backup und Wiederherstellung: Wir führen regelmäßig Backups durch. Um die Qualität der Backups sicherzustellen, führen wir Wiederherstellungstests durch, um unsere Produkte im Falle eines Datenverlusts schnell wiederherstellen zu können.
  • Datenlöschung: Wir verfügen über Verfahren und technische Maßnahmen, um sicherzustellen, dass Ihre Daten nach Beendigung des Vertrags mit Ihnen oder auf Ihre Anfrage gelöscht werden.
  • Endpunktsicherheit: Unsere Endpunkte sind mit einer vollständigen Festplattenverschlüsselung, DNS-Filterung zum Schutz des Webverkehrs sowie einem Endpoint Detection & Response (EDR)-System zum Schutz vor Malware und anderen Angriffen ausgestattet.
  • E-Mail-Schutz: Wir verwenden ein E-Mail-Schutzsystem, das auch Links und Anhänge in unserem E-Mail-Fluss auf Sicherheitsbedrohungen überprüft.
  • Verhinderung von Datenverlust: Wechselmedien auf Endpunkten sind eingeschränkt. Endpunkte sind mit einem System zur Verhinderung von Datenverlust ausgestattet, um Datenexfiltration zu erkennen/verhindern.
  • Security Operations Center (SOC) Sicherheitsoperationszentrum
  • Multi-Client-Fähigkeiten: Die Architektur unserer Produkte stellt sicher, dass Kundendaten ausreichend voneinander getrennt sind.
  • Trennung von Umgebungen: Kundendaten werden niemals in Nicht-Produktionsumgebungen übertragen.
  • Firewall: Wir verwenden Firewalls, um den Datenverkehr in unserer Infrastruktur zu überwachen und zu kontrollieren.
  • Physische Sicherheit: Da wir keine eigenen Rechenzentren betreiben, verlassen wir uns für die physische Sicherheit unserer Infrastruktur auf unseren Cloud-Anbieter Exoscale: www.exoscale.com/compliance

Sicherheits-/Datenschutzmaßnahmen in unserem Softwareentwicklungszyklus

  • Richtlinie zur sicheren Entwicklung: Unsere Richtlinie für Entwickler legt Sicherheits- und Datenschutzkontrollen für den gesamten Entwicklungszyklus fest – vom Entwurf bis zur Bereitstellung.
  • Codeanalyse: Wir verwenden Tools, um Probleme in unserem Code und Abhängigkeiten von Drittanbietern zu identifizieren.
  • Sicherheitstests: Immer wenn wir ein neues Produkt auf den Markt bringen oder ein größeres Update veröffentlichen, stellen wir sicher, dass ein umfassender Penetrationstest durchgeführt wird, um mögliche Risiken durch Schwachstellen, unsichere Konfigurationen oder veraltete Verschlüsselung zu identifizieren.
  • Schulungen für Entwickler: Wir stellen sicher, dass unsere internen Entwickler regelmäßig in sicheren Softwareentwicklungstechniken und -technologien geschult werden.

Sicherheit/Datenschutz-Governance

Nachfolgend finden Sie einen Auszug aus unserem aktuellen Sicherheitspolitiken und -vorgaben:

  • Richtlinie zur akzeptablen Nutzung: Wird unseren Mitarbeitern nicht nur beigebracht, sondern auch von ihnen gelebt.
  • Richtlinie zur Zugriffskontrolle: Wie erhält jemand Zugriff auf welche Daten – es muss doch eine Anleitung geben, oder?
  • Verhaltenskodex: Benehmen Sie sich!
  • Richtlinie zur Datenverwaltung: Wie Daten klassifiziert werden.
  • Richtlinie zur Reaktion auf Vorfälle: Seien Sie auf einen sicherheitsrelevanten Vorfall vorbereitet und trainieren Sie regelmäßig.
  • Richtlinie zur Informationssicherheit: Rollen und Verantwortlichkeiten für unsere Mitarbeiter.
  • Richtlinie zur Betriebssicherheit: Im Falle eines Vorfalls benötigen Sie Daten – wie Sie unser Netzwerk protokollieren und überwachen.
  • Richtlinie zum Risikomanagement: Wir führen regelmäßig Risikobewertungen durch.
  • Richtlinie zur sicheren Entwicklung: Regeln, die bei der Erstellung sicherer Software zu beachten sind.
  • Richtlinie zur Verwaltung von Drittanbietern: Wir legen nicht nur unsere eigenen Sicherheitsstandards fest, sondern stellen auch sicher, dass unsere Lieferanten diese einhalten.
  • Richtlinie zum Schwachstellenmanagement: Wie wir technische Schwachstellen beseitigen.
  • Richtlinie zum BCM: Wir haben einen formellen Plan zur Geschäftskontinuität und Notfallwiederherstellung, der jährlich geübt, überprüft und genehmigt wird.

Datenschutz und rechtliche Maßnahmen

  • Cookies: Einzelheiten zu unserer Verwendung von Cookies finden Sie in unserer Datenschutzrichtlinie.
  • Verwendung von personenbezogenen Daten: Wir verwenden uns zur Verfügung gestellte oder in unsere Produkte hochgeladene personenbezogene Daten ausschließlich zu den in unserer Datenschutzrichtlinie und unseren Allgemeinen Geschäftsbedingungen definierten Zwecken.
  • Benachrichtigungen bei Datenschutzverletzungen: Gemäß unseren Anforderungen aus der DSGVO sowie ISO 27701/27018 benachrichtigen wir Sie so schnell wie möglich über Datenschutzverletzungen, die Ihre Daten betreffen.
  • Datenschutzbeauftragter: Kontaktinformationen finden Sie in unserer Datenschutzrichtlinie.
  • Folgenabschätzung für Datenübertragungen: Wir haben eine sehr begrenzte Anzahl von Lieferanten außerhalb der Europäischen Union und Nicht-EU-Ländern mit einem angemessenen Datenschutzniveau. Für diese wenigen Lieferanten haben wir eine gründliche Datenschutzrisikobewertung in Bezug auf die Datenübertragung durchgeführt und angemessene Maßnahmen zum Schutz Ihrer personenbezogenen Daten ergriffen (z. B. EU-Standardvertragsklauseln (SCC).

Eine Sicherheitslücke melden

Vielen Dank für die Zusammenarbeit mit uns! Wir schätzen die Beiträge ethischer Hacker, die uns helfen, unsere Sicherheit und Privatsphäre zu wahren.

Bitte kontaktieren Sie uns über responsible.disclosure@a1.group


Bitte beachten Sie folgende Bedingungen:

  • Sie können die Schwachstelle zu Demonstrationszwecken ausnutzen, dies sollte jedoch nicht zu Dienstausfällen (DoS) sowie zur Manipulation oder zum Verlust von Daten führen. Der Zweck der Demonstration sollte darin bestehen, den Angriffsvektor aufzuzeigen und keinen Schaden zu verursachen.
  • Geben Sie die gesammelten Informationen nicht an Dritte weiter.
  • Diese Bereiche/Felder sind nicht Teil des verantwortungsvollen Offenlegungsprozesses:
    • Physische Sicherheit
    • Social Engineering
    • Distributed Denial of Service (DDoS)-Angriffe
    • Spam & Phishing
    • Ausnutzen von Schwachstellen auf Systemen, die unseren Kunden gewidmet sind.
  • Bitte stellen Sie sicher, dass Sie genügend Informationen bereitstellen, damit wir das Problem reproduzieren können.

Eine kurze Beschreibung inklusive Problembeschreibung und URL/IP des betroffenen Systems sollte ausreichen.


Was wir tun werden:

  • Wir werden keine rechtlichen Schritte einleiten, die durch den Nachweis der Sicherheitslücke entstehen. Voraussetzung ist, dass Sie die oben genannten Bedingungen einhalten.
  • Wir werden Ihre Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Unsere Korrespondenz wird vertraulich behandelt.
  • Wir werden Sie über die Behebung der Sicherheitslücke auf dem Laufenden halten.

Kontaktdaten:

Unsere E-Mail-Adresse lautet responsible.disclosure@a1.group

PGP-Schlüssel: C451 95B3 EB90 8ADB CDD2 982C 8F52 2AE8 1AE8 85B2

Häufig gestellte Fragen

Ist A1 Digital ISO-zertifiziert?
A1 Digital ist seit 2017 ISO 27001 und 27018 zertifiziert. 2024 haben wir weitere ISO-Zertifizierungen erhalten und sind zusätzlich ISO 27701 und 27017 zertifiziert.

Welche Compliance-Frameworks hält A1 Digital ein?
Aktuell entspricht unser Compliance-Management-System dem IDW AssS 980 (09/2022). Es wird regelmäßig von einem externen Prüfer geprüft.

Verfügt A1 Digital über eine formelle Informationssicherheitsrichtlinie, die mindestens einmal jährlich überprüft und von einem leitenden Angestellten genehmigt wird?
Alle unsere Informationssicherheitsrichtlinien werden jährlich überprüft und vom Management genehmigt.

Erhalten die Mitarbeiter von A1 Digital Schulungen zum Datenschutz?
Wir haben ein Schulungsprogramm, das sicherstellt, dass jeder Mitarbeiter regelmäßig an Pflichtschulungen teilnimmt. Darüber hinaus erhalten Sicherheits- und Datenschutzmitarbeiter Schulungen zu bestimmten Themen.

Verfügt A1 Digital über einen Cyber ​​Security Incident Response-Plan und entsprechende Prozesse zur Meldung und Bearbeitung eines Vorfalls?
Alle unsere Mitarbeiter erhalten regelmäßige Schulungen zum Verhalten im Falle eines Vorfalls. Das Security Response Team folgt einem klar definierten Plan, der detaillierte Methoden und Verfahren zur Identifizierung, Eindämmung, Untersuchung, Meldung und Reaktion auf jeden Vorfall enthält.

Welche Sicherheitsmaßnahmen gibt es zum Schutz der Daten in einem Produkt von A1 Digital?
Alle Produkte von A1 Digital sind durch die auf dieser Seite dokumentierten Sicherheitsmaßnahmen geschützt. Unsere Produkte bieten darüber hinaus individuelle, anwendungsspezifische Sicherheitsmaßnahmen, wie z. B. Multi-Faktor-Authentifizierung, die Sie nach Belieben aktivieren können.

Ich habe weitere Fragen zu Sicherheit, Compliance oder Datenschutz. Wen kann ich kontaktieren?
security@a1.digital

Zertifikate und Berichte herunterladen

Download
ISO27017 2015
129 KB
Download
ISO27018 2019
159 KB
Download
ISO27701 2019
154 KB
Download
ISO27001 2022
128 KB
Download
IDW PS 980 A1 Digital
518 KB