Sicherheitsrichtlinie

Letzte Aktualisierung: 16. März 2025

Torenavixo verpflichtet sich, die Sicherheit Ihrer Daten und die Integrität unserer Plattform zu gewährleisten. Diese Sicherheitsrichtlinie beschreibt unsere Maßnahmen zum Schutz Ihrer Informationen und zur Aufrechterhaltung eines sicheren Dienstleistungsumfelds.

1. Informationssicherheit

1.1 Datenverschlüsselung

Wir setzen branchenübliche Verschlüsselungstechnologien ein, um Ihre Daten während der Übertragung und Speicherung zu schützen:

TLS-Verschlüsselung für alle Datenübertragungen zwischen Ihrem Gerät und unseren Servern
Verschlüsselung ruhender Daten in unseren Speichersystemen
Sichere Verschlüsselungsprotokolle für sensible Informationen
Regelmäßige Aktualisierung der Verschlüsselungsstandards entsprechend technologischer Entwicklungen

1.2 Zugriffskontrolle

Der Zugriff auf Benutzerdaten und Systemressourcen ist streng kontrolliert:

Rollenbasierte Zugriffskontrolle für Teammitglieder
Mehrstufige Authentifizierung für administrative Zugänge
Regelmäßige Überprüfung und Aktualisierung von Zugriffsberechtigungen
Protokollierung aller Zugriffe auf sensible Systeme
Sofortiger Entzug von Zugriffsrechten bei Beendigung von Arbeitsverhältnissen

1.3 Datenspeicherung

Ihre Daten werden in sicheren Einrichtungen gespeichert:

Nutzung zertifizierter Rechenzentren mit physischen Sicherheitsmaßnahmen
Redundante Speichersysteme zur Vermeidung von Datenverlusten
Geografisch verteilte Backup-Standorte
Regelmäßige Sicherheitsaudits der Speicherinfrastruktur

2. Kontosicherheit

2.1 Passwortrichtlinien

Wir setzen robuste Passwortanforderungen durch:

Mindestlänge von acht Zeichen
Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen empfohlen
Sichere Speicherung von Passwörtern mittels Hashing-Algorithmen
Regelmäßige Aufforderung zur Passwortänderung bei verdächtigen Aktivitäten

2.2 Mehrstufige Authentifizierung

Wir bieten optionale mehrstufige Authentifizierung an:

SMS-basierte Verifizierung
Authenticator-App-Unterstützung
E-Mail-Bestätigungscodes
Biometrische Authentifizierung auf kompatiblen Geräten

2.3 Sitzungsverwaltung

Wir implementieren sichere Sitzungsverwaltungspraktiken:

Automatische Abmeldung nach Inaktivität
Sichere Sitzungs-Token mit begrenzter Gültigkeitsdauer
Möglichkeit, aktive Sitzungen remote zu beenden
Benachrichtigungen über neue Anmeldungen von unbekannten Geräten

3. Netzwerksicherheit

3.1 Firewall-Schutz

Unsere Infrastruktur ist durch mehrschichtige Firewall-Systeme geschützt:

Netzwerk-Firewalls zur Abwehr externer Bedrohungen
Anwendungs-Firewalls zum Schutz vor webbasierten Angriffen
Kontinuierliche Überwachung und Aktualisierung von Firewall-Regeln
Intrusion Detection und Prevention Systeme

3.2 DDoS-Schutz

Wir setzen Maßnahmen zum Schutz vor Distributed Denial of Service-Angriffen ein:

Traffic-Analyse und Anomalieerkennung
Automatische Blockierung verdächtiger IP-Adressen
Lastverteilungssysteme zur Aufrechterhaltung der Verfügbarkeit
Partnerschaften mit spezialisierten DDoS-Schutzdiensten

3.3 Schwachstellenmanagement

Wir führen regelmäßige Sicherheitsbewertungen durch:

Automatisierte Schwachstellen-Scans
Penetrationstests durch externe Sicherheitsexperten
Priorisierte Behebung identifizierter Schwachstellen
Zeitnahe Anwendung von Sicherheitspatches

4. Anwendungssicherheit

4.1 Sichere Entwicklungspraktiken

Unsere Entwicklungsprozesse integrieren Sicherheit von Anfang an:

Code-Reviews mit Fokus auf Sicherheitsaspekte
Verwendung sicherer Coding-Standards
Regelmäßige Sicherheitsschulungen für Entwickler
Automatisierte Sicherheitstests im Entwicklungszyklus

4.2 Input-Validierung

Wir validieren und bereinigen alle Benutzereingaben:

Schutz vor SQL-Injection-Angriffen
Verhinderung von Cross-Site-Scripting
Filterung schädlicher Datei-Uploads
Validierung von API-Anfragen

4.3 Sicheres API-Design

Unsere APIs sind nach Sicherheitsbest-Practices gestaltet:

OAuth-Authentifizierung für Drittanbieter-Integrationen
Rate-Limiting zur Verhinderung von Missbrauch
API-Versionierung zur Aufrechterhaltung der Sicherheit
Verschlüsselte API-Kommunikation

5. Überwachung und Reaktion

5.1 Sicherheitsüberwachung

Wir überwachen unsere Systeme kontinuierlich auf Sicherheitsvorfälle:

Echtzeit-Protokollanalyse
Automatisierte Warnmeldungen bei verdächtigen Aktivitäten
Verhaltensanalyse zur Erkennung von Anomalien
Regelmäßige Sicherheitsberichte und Audits

5.2 Incident Response

Wir verfügen über etablierte Verfahren zur Reaktion auf Sicherheitsvorfälle:

Dediziertes Sicherheits-Reaktionsteam
Dokumentierte Eskalationsprozesse
Schnelle Eindämmung und Behebung von Vorfällen
Post-Incident-Analysen zur Verbesserung der Sicherheit

5.3 Benachrichtigung bei Datenschutzverletzungen

Im Falle einer Datenschutzverletzung verpflichten wir uns zu:

Unverzüglicher Untersuchung des Vorfalls
Benachrichtigung betroffener Benutzer innerhalb angemessener Fristen
Zusammenarbeit mit zuständigen Behörden
Transparente Kommunikation über Umfang und Auswirkungen
Implementierung zusätzlicher Schutzmaßnahmen zur Verhinderung zukünftiger Vorfälle

6. Mitarbeitersicherheit

6.1 Schulungen

Alle Mitarbeiter durchlaufen regelmäßige Sicherheitsschulungen:

Einführungsschulungen zu Sicherheitsrichtlinien
Jährliche Auffrischungskurse
Rollenspezifische Sicherheitsschulungen
Phishing-Simulationen und Awareness-Programme

6.2 Hintergrundüberprüfungen

Wir führen angemessene Überprüfungen durch:

Hintergrundprüfungen bei der Einstellung
Unterzeichnung von Vertraulichkeitsvereinbarungen
Regelmäßige Überprüfung von Zugriffsrechten
Exit-Prozeduren bei Beendigung des Arbeitsverhältnisses

6.3 Richtlinien für Remote-Arbeit

Für Mitarbeiter, die remote arbeiten, gelten besondere Sicherheitsanforderungen:

Nutzung von VPN für den Zugriff auf Unternehmensressourcen
Verschlüsselung von Arbeitsgeräten
Sichere Aufbewahrung von Zugangsdaten
Richtlinien für die Nutzung persönlicher Geräte

7. Drittanbieter-Sicherheit

7.1 Vendor-Management

Wir evaluieren und überwachen die Sicherheit unserer Dienstleister:

Sicherheitsbewertungen vor der Zusammenarbeit
Vertragliche Sicherheitsanforderungen
Regelmäßige Audits von Drittanbietern
Begrenzung des Datenzugriffs auf das notwendige Minimum

7.2 Integration von Drittanbietern

Bei der Integration externer Services achten wir auf:

Sichere API-Verbindungen
Datenweitergabe nur nach Ihrer Zustimmung
Überprüfung der Datenschutz- und Sicherheitspraktiken
Möglichkeit zur Widerrufung von Drittanbieter-Zugriff

8. Physische Sicherheit

8.1 Rechenzentrumssicherheit

Unsere Rechenzentren verfügen über umfassende physische Sicherheitsmaßnahmen:

Zutrittskontrollsysteme mit biometrischer Authentifizierung
Videoüberwachung
Sicherheitspersonal
Umgebungskontrollen wie Temperatur und Feuchtigkeit
Brandschutz- und Notfallsysteme

8.2 Bürosicherheit

Unsere Bürostandorte sind ebenfalls geschützt:

Zugangskontrollen für autorisiertes Personal
Sichere Aufbewahrung physischer Dokumente
Clean-Desk-Richtlinien
Sichere Entsorgung sensibler Materialien

9. Compliance und Zertifizierungen

9.1 Sicherheitsstandards

Wir orientieren uns an anerkannten Sicherheitsstandards:

ISO 27001 Informationssicherheits-Management
SOC 2 Compliance-Berichte
OWASP Top 10 Sicherheitsrichtlinien
Best Practices der Branche

9.2 Regelmäßige Audits

Wir unterziehen uns regelmäßigen Sicherheitsaudits:

Interne Sicherheitsüberprüfungen
Externe Audits durch unabhängige Prüfer
Compliance-Überprüfungen
Dokumentation und Berichterstattung der Ergebnisse

10. Backup und Wiederherstellung

10.1 Datensicherung

Wir führen regelmäßige Backups Ihrer Daten durch:

Automatisierte tägliche Backups
Verschlüsselte Backup-Speicherung
Geografisch verteilte Backup-Standorte
Aufbewahrung mehrerer Backup-Versionen

10.2 Disaster Recovery

Wir verfügen über Notfallwiederherstellungspläne:

Dokumentierte Recovery-Prozeduren
Regelmäßige Tests der Wiederherstellungssysteme
Definierte Recovery Time Objectives
Kommunikationspläne für Notfallsituationen

11. Ihre Verantwortung

11.1 Kontosicherheit

Sie tragen ebenfalls zur Sicherheit bei:

Wählen Sie starke, einzigartige Passwörter
Aktivieren Sie die mehrstufige Authentifizierung
Geben Sie Ihre Anmeldedaten niemals weiter
Melden Sie verdächtige Aktivitäten umgehend
Halten Sie Ihre Kontaktinformationen aktuell

11.2 Gerätesicherheit

Schützen Sie Ihre Geräte:

Halten Sie Ihre Software und Betriebssysteme aktuell
Verwenden Sie aktuelle Antivirensoftware
Vermeiden Sie unsichere WLAN-Netzwerke
Sperren Sie Ihre Geräte, wenn sie unbeaufsichtigt sind

11.3 Phishing-Bewusstsein

Seien Sie wachsam gegenüber Phishing-Versuchen:

Überprüfen Sie die Absenderadresse von E-Mails
Klicken Sie nicht auf verdächtige Links
Geben Sie keine sensiblen Informationen auf Anfrage preis
Kontaktieren Sie uns bei Zweifeln direkt

12. Sicherheitsmeldungen

12.1 Meldung von Sicherheitslücken

Wenn Sie eine Sicherheitslücke entdecken:

Melden Sie diese umgehend an unsere Sicherheitsabteilung
Geben Sie detaillierte Informationen zur Schwachstelle an
Nutzen Sie keine entdeckte Schwachstelle aus
Gewähren Sie uns angemessene Zeit zur Behebung

12.2 Responsible Disclosure

Wir verpflichten uns zu verantwortungsvoller Offenlegung:

Anerkennung von Sicherheitsforschern
Zeitnahe Behebung gemeldeter Schwachstellen
Transparente Kommunikation über behobene Probleme
Schutz von Forschern, die nach bestem Wissen handeln

13. Änderungen dieser Richtlinie

Wir können diese Sicherheitsrichtlinie gelegentlich aktualisieren, um neue Sicherheitspraktiken oder technologische Entwicklungen widerzuspiegeln. Wesentliche Änderungen werden wir auf unserer Website bekannt geben. Die fortgesetzte Nutzung unserer Dienste nach solchen Änderungen stellt Ihre Akzeptanz der aktualisierten Richtlinie dar.

14. Kontakt

Bei Fragen oder Anliegen bezüglich unserer Sicherheitspraktiken kontaktieren Sie uns bitte:

Torenavixo
Bielstraße 1
08062 Zwickau
Deutschland

Telefon: +49697422200
E-Mail: contact@torenavixo.com

Unser Sicherheitsteam steht Ihnen zur Verfügung, um Ihre Fragen zu beantworten und Sie bei allen sicherheitsrelevanten Anliegen zu unterstützen.