Sicherheit

Der Schutz von Kundendaten hat bei Delighted höchste Priorität. Wir wissen, dass Sie uns Ihre Daten anvertrauen, und wir nehmen die Verantwortung für deren Schutz sehr ernst.

Infrastruktureinrichtungen

  • DelightedDie Architektur ist auf Sicherheit und Zuverlässigkeit ausgelegt. Wir verwenden eine n-Tier-Architektur mit Firewalls zwischen den einzelnen Tiers und zusätzlich innerhalb bestimmter Tiers zwischen den Diensten. Auf die Dienste können nur andere Dienste zugreifen, die Zugriff benötigen. Die Zugangsschlüssel werden regelmäßig ausgetauscht und getrennt von unserem Code und unseren Daten aufbewahrt.

  • Delighted ist auf Fehlertoleranz ausgelegt. Jeder unserer Dienste ist vollständig redundant mit Replikation und Failover. Die Services sind über mehrere AWS-Verfügbarkeitszonen verteilt. Diese Zonen werden in physisch getrennten Rechenzentren gehostet und schützen die Dienste vor Ausfällen einzelner Rechenzentren.

  • Unsere Anwendung wird in den sicheren Datenzentren von Amazon Web Services (AWS) gehostet und verwaltet. Diese Datenzentren wurden unter akkreditiert:

    • ISO 27001
    • SOC 1 und SOC 2/SSAE 16/ISAE 3402 (ehemals SAS 70 - Typ II)
    • PCI Stufe 1
    • FISMA mäßig
    • Sarbanes-Oxley (SOX)

    Wir machen ausgiebig Gebrauch von den von AWS bereitgestellten Funktionen und Diensten, um den Datenschutz zu erhöhen und den Netzwerkzugriff in unserem System zu kontrollieren. Dokumente mit weiteren Details zur AWS-Sicherheit finden Sie unter AWS Whitepapers.

  • Delighted verwendet Sicherheitstools, um kontinuierlich nach Schwachstellen zu suchen. Außerdem werden Schwachstellen in Bibliotheken und Tools von Drittanbietern überwacht, und die Software wird umgehend gepatcht oder aktualisiert, wenn neue Probleme gemeldet werden.

    Das System wird regelmäßig einer Sicherheitsüberprüfung durch Dritte und Penetrationstests unterzogen, um potenzielle Schwachstellen zu ermitteln und sicherzustellen, dass sie behoben werden.

  • Unsere Server sind durch Firewalls geschützt und nicht direkt mit dem Internet verbunden.

  • Delighted betreibt ein vertrauensfreies Unternehmensnetzwerk. Es gibt keine Unternehmensressourcen oder zusätzliche Privilegien, die sich aus der Nutzung des Unternehmensnetzwerks von Delightedergeben.

Daten

  • Delighted Die Datenspeicher sind nur für Server zugänglich, die Zugriff benötigen. Die Zugriffsschlüssel werden getrennt von unserem Quellcode-Repository gespeichert und sind nur für die Systeme verfügbar, die sie benötigen. Außerdem sind die Produktionsumgebungen von den Testumgebungen in einer Sandbox getrennt.

  • Wir bewahren sichere, verschlüsselte Backups wichtiger Daten für mindestens 30 Tage auf. Gelöschte Daten werden nicht rückwirkend aus den Sicherungskopien entfernt, da wir sie möglicherweise wiederherstellen müssen, falls sie versehentlich gelöscht wurden. Die Sicherungsdaten werden nach 90 Tagen vollständig gelöscht.

  • Wir fassen die Protokolle in einem sicheren, verschlüsselten Speicher zusammen. Alle sensiblen Informationen (einschließlich Passwörter, API Schlüssel und Sicherheitsfragen) werden aus unseren Serverprotokollen herausgefiltert. Die Protokolldaten werden nach 90 Tagen vollständig gelöscht.

Authentifizierung

  • Wir speichern Passwörter niemals in einer Form, die abgerufen werden kann. Stattdessen speichern wir einen unumkehrbaren kryptografischen Hash mit einer speziell für diesen Zweck entwickelten Funktion. Authentifizierungssitzungen werden ungültig, wenn Benutzer ihre Schlüsselinformationen ändern, und Sitzungen laufen nach einer gewissen Zeit der Inaktivität automatisch ab.

  • Wir bieten für alle Konten eine optionale Zwei-Faktor-Authentifizierung (wir nennen dies 2-Schritt-Sicherheit). Die zweistufige Sicherheit bietet Ihnen einen besseren Schutz für Ihr Konto. Nach der Aktivierung werden Sie bei der Anmeldung auf Delighted zusätzlich zu Ihrem Benutzernamen und Passwort nach einem Code gefragt, den wir an Ihr Mobiltelefon senden.

  • Wir überwachen und begrenzen die Anzahl der Authentifizierungsversuche für alle Konten.

  • Wir bieten mehrere Benutzerrollen mit unterschiedlichen Berechtigungsstufen innerhalb des Produkts. Die Rollen reichen von Kontobesitzern über Administratoren und Benutzer bis hin zu Rollen, die die Sichtbarkeit von personenbezogenen Daten (PII) einschränken.

Verschlüsselung

  • Der gesamte Webverkehr von Delighted wird über HTTPS abgewickelt. Wir erzwingen HTTPS für alle Webressourcen, einschließlich unserer REST API, Web-App und öffentlichen Website. Wir verwenden auch HSTS, um sicherzustellen, dass Browser mit unseren Diensten ausschließlich über HTTPS kommunizieren. Außerdem verwenden wir nur starke Cipher Suites.

  • Unsere primären Datenbanken, einschließlich der Backups, sind im Ruhezustand vollständig verschlüsselt. Darüber hinaus sind alle Archive und Protokolle im Ruhezustand vollständig verschlüsselt. Wir verwenden branchenübliche Verschlüsselungsalgorithmen.

Politiken

  • Delighted hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die eine Reihe von Themen abdecken. Diese Richtlinien werden regelmäßig aktualisiert und an die Mitarbeiter weitergegeben.

  • Delighted hat ein definiertes Protokoll für die Reaktion auf Sicherheitsereignisse.

  • Alle Mitarbeiter absolvieren bei ihrem Eintritt eine Sicherheitsschulung und werden ständig aufgefrischt.

  • Delighted führt bei allen neuen Mitarbeitern Hintergrundüberprüfungen in Übereinstimmung mit den örtlichen Gesetzen durch. Die Zuverlässigkeitsüberprüfung umfasst die Überprüfung des Beschäftigungsverhältnisses und strafrechtliche Überprüfungen für US-Mitarbeiter.

  • Alle Mitarbeiter haben eine Vertraulichkeitsvereinbarung mit Delighted unterzeichnet.

  • Alle Kreditkartenzahlungen an Delighted werden über unseren Partner für die Zahlungsabwicklung, Stripe, abgewickelt. Einzelheiten über die Sicherheitslage und die PCI-Konformität von Stripe finden Sie auf der Sicherheitsseite von Stripe.

  • Wenn Sie Bedenken haben oder ein Sicherheitsproblem entdecken, teilen Sie uns bitte die Details über das Formular mit. Unser Sicherheitsteam wird den Erhalt jedes Schwachstellenberichts bestätigen, eine gründliche Untersuchung durchführen und dann geeignete Maßnahmen zur Behebung ergreifen. Wir bitten Sie, die von Ihnen entdeckte Schwachstelle erst dann öffentlich zu machen, wenn wir sie behoben haben.