Zurück

Sind unsere Daten sicher?

Wir verwenden branchenübliche Protokolle und Best Practices, um Ihre Daten und Ihre Privatsphäre zu schützen.
In der heutigen komplexen und regulierten Umgebung vertrauen uns unsere Benutzer den Schutz ihrer Daten an, indem sie Werkzeuge und Praktiken verwenden, die den Industriestandards entsprechen. Diese Seite gibt einen Überblick über die Bemühungen von Netatoo, diese Anforderungen zu erfüllen.

In der heutigen komplexen und regulierten Umgebung vertrauen uns unsere Benutzer den Schutz ihrer Daten an, indem sie Werkzeuge und Praktiken verwenden, die den Industriestandards entsprechen. Diese Seite gibt einen Überblick über die Bemühungen von Netatoo, diese Anforderungen zu erfüllen.

Sicherheit der Datenbank und Zugriffe

Zunächst sichern wir unsere Persistenzschicht, indem wir den Zugriff auf unsere primäre Anwendungsdatenbank auf die Anwendungsschicht und eine feste Gruppe bekannter IP-Adressen, die Netatoo gehören, beschränken. Diese Zugriffsbeschränkung wird durch eine Kombination aus Firewall-Regeln, Authentifizierungsmechanismen (die von den Benutzern verlangen, ihre Identität nachzuweisen) und Autorisierung durch rollenbasierte Berechtigungen erreicht.

Datensicherungen und Wiederherstellung

Wir gehen die Möglichkeit eines katastrophalen Datenverlusts (z. B. infolge einer Naturkatastrophe) an, indem wir automatisch Datenbanksicherungen mit einem geo-redundanten Ansatz erstellen.

  • Wir erstellen vollständige und differenzielle Sicherungen, die jeweils mit dem AES-256-Algorithmus verschlüsselt sind.
  • Vollständige Datenbanksicherungen erfolgen alle paar Stunden, während differenzielle Sicherungen in der Regel stündlich und Transaktionsprotokollsicherungen in der Regel alle 10 bis 15 Minuten erfolgen.
  • Im Falle eines Datenverlusts sind wir in der Lage, die Daten zu einem bestimmten Zeitpunkt wiederherzustellen, um den Informationsverlust zu minimieren. Die Integrität der Sicherungen wird halbautomatisch und regelmäßig überprüft, um sicherzustellen, dass die gespeicherten Daten konform sind.
  • Die Sicherungen werden 90 Tage lang aufbewahrt und anschließend vernichtet.

Sicherheitsüberprüfung und Bedrohungserkennung

Um uns bei der Einhaltung gesetzlicher Vorschriften zu unterstützen, die Datenbankaktivität zu verstehen und Abweichungen und Anomalien besser zu erkennen, die auf mutmaßliche Sicherheitsverletzungen hinweisen könnten (ein weiterer Aspekt der DSGVO der EU), haben wir eine erweiterte Prüfung zur Bedrohungserkennung auf unseren Servern implementiert. Diese Dienste erkennen potenzielle Bedrohungen, sobald sie auftreten (z. B. anormale Datenbankverbindungen, SQL-Injektionsanfälligkeiten) und benachrichtigen sofort unser Team, damit es die notwendigen Maßnahmen ergreifen kann. Im speziellen Fall der DSGVO ist dieser Dienst ein wesentlicher Bestandteil der technischen Infrastruktur, die es uns ermöglicht, Datenverletzungen zu erkennen und die Aufsichtsbehörden im unwahrscheinlichen Fall einer solchen Situation zu benachrichtigen.

Verbindungssicherheit und HTTPS-Protokoll

Auf der Anwendungsschicht erzwingen wir, dass alle eingehenden Anfragen sichere HTTPS-Verbindungen (HTTP über TLS) verwenden. Je nach Client-Gerät kann die Verbindung TLS 1.0, TLS 1.1.1 oder TLS 1.2 verwenden. Wir verbieten Verbindungen, die die veralteten und anfälligen Protokolle SSL 2 und SSL 3 verwenden.

Erweiterte HTTP-Sicherheitsheader

Die akzeptierten TLS-Verbindungen werden mit einem SSL-Zertifikat verschlüsselt, das dem stärksten Webstandard entspricht. Im Rahmen aller HTTPS-Antworten enthalten unsere Server eine Reihe erweiterter Sicherheitsheader. Dazu gehören insbesondere:

  • X-XSS-Protection weist moderne Browser an, die Kommunikation zu unterbrechen, wenn sie reflektierte XSS-Angriffe (Cross-site Scripting) erkennen.
  • Content-Security-Policy fordert Browser auf, strenge Maßnahmen zu ergreifen, um Cross-site Scripting (XSS), Clickjacking und andere Code-Injektionsangriffe zu verhindern, die durch die Ausführung bösartiger Inhalte im Kontext einer vertrauenswürdigen Webseite entstehen.
  • Strict-Transport-Security, auch bekannt als HSTS. Fordert Browser auf, auf ballejaune.com / openresa.com nur über HTTPS zuzugreifen (d. h. niemals HTTP zu verwenden). Wir haben diesen Header mit einer langen Lebensdauer implementiert.
  • Expect-CT fordert einen Client/Webbrowser auf, die Anforderungen an die Zertifikattransparenz durchzusetzen (d. h. zu überprüfen, ob die Zertifikate unserer Website in öffentlichen CT-Protokollen erscheinen), was dazu beiträgt, die Verwendung falscher Netatoo-Zertifikate zu verhindern.
  • Referrer-Policy ermöglicht es uns, den Wert des "Referer"-Headers für Links außerhalb unserer Seiten zu kontrollieren. In unserem Fall geben wir an, dass der "Referer"-Header nicht gesetzt werden soll, wenn die Navigation zu einem Downgrade von HTTPS zu HTTP führt.

Ergebnisse unabhängiger Sicherheitsüberprüfungen

Netatoo erhält die Note "A" vom unabhängigen Dienst securityheaders.io, der die verschiedenen implementierten Elemente überprüft. Sie können den Test auf Anfrage für ballejaune.com und openresa.com durchführen und den Bericht selbst einsehen. Wir empfehlen Ihnen auch, den Test mit anderen Websites zu vergleichen, die Sie verwenden oder verwenden möchten.

Die Anwendungsserver von Netatoo erhalten ebenfalls die Note "A+" vom unabhängigen Servertest Qualys SSL Labs, einem Industriestandard. Sie können den Test auf Anfrage durchführen und den Bericht selbst einsehen. Der Bericht stellt fest, dass wir nicht anfällig für einige der neuesten Schwachstellen wie BEAST, POODLE und Heartbleed sind. Auch hier empfehlen wir Ihnen, den Test mit anderen Websites zu vergleichen, die Sie verwenden oder verwenden möchten.

Angriffsprävention und Cookie-Sicherheit

Um Wörterbuchangriffe zu verhindern, verwendet unser Anmeldemechanismus zusätzlich die Funktion zur Kontosperrung, wenn ein falsches Anmeldekennwort mehrmals eingegeben wird.

Die vom Server an den Client gesendeten Cookies zu Authentifizierungs- und Anforderungsüberprüfungszwecken sind immer mit den Attributen "HttpOnly" und "Secure" gekennzeichnet, und ihre Domain- und Pfadwerte sind für die Verwendung mit ballejaune.com / openresa.com entsprechend festgelegt.

Sicherheit von Online-Zahlungen

In Bezug auf Online-Zahlungen entspricht Netatoo dem PCI-Standard. In der Praxis werden alle Zahlungen direkt mit dem von Ihnen gewählten Zahlungs-Gateway (PayPal, Paybox Verifone) abgewickelt. Daher kommen keine sensiblen Zahlungsdetails mit den Systemen von Netatoo in Kontakt (stattdessen werden sie nahtlos an Ihr Gateway weitergeleitet und dann über einen tokenbasierten Ansatz verwaltet).

Sicherheit von Transaktions-E-Mails

Die von unseren Diensten gesendeten Transaktions-E-Mails verwenden die neuesten Sicherheitsfunktionen zur E-Mail-Validierung. Dazu gehören gültige Richtlinien für SPF, DKIM und DMARC. Im Fall von DMARC fordert unsere veröffentlichte Richtlinie die Server der Empfänger auf, alle Nachrichten, die den DMARC-Test nicht bestehen, unter Quarantäne zu stellen. Diese Funktionen sind fortschrittliche Werkzeuge, die helfen, Spam, Spoofing und Phishing-Angriffe zu verhindern. Natürlich enthalten wir auch Abmeldelinks in allen von uns gesendeten E-Mails, und wir haben ein Drosselungssystem implementiert, um E-Mail-Bombardierungsangriffe zu verhindern.

Interne Sicherheitspraktiken bei Netatoo

Auf organisatorischer Ebene haben die Mitarbeiter von Netatoo eingeschränkten Zugriff auf Daten nach den Sicherheitsprinzipien "Need-to-Know" und "Least Privilege". Die Entwicklungs- und Testsysteme sind in einem internen Netzwerk bereitgestellt, das von außen nicht zugänglich ist. Der Quellcode der Anwendung wird in einem privaten Repository verwaltet und enthält keine sensiblen Informationen (wie API-Schlüssel, Passwörter oder Verbindungszeichenfolgen).

Überwachung der Dienstverfügbarkeit

Im Falle von Vorfällen (z. B. Anwendungsstörungen, verschlechterte Leistung oder andere) können Sie den Status unserer Dienste über Pingdom unter folgender Adresse verfolgen: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Regelmäßige Updates und Best Practices

Schließlich legen wir großen Wert darauf, unsere Server und internen Systeme regelmäßig zu aktualisieren, um die neuesten Sicherheitsupdates bereitzustellen. Wir ändern unsere Passwörter alle 60 Tage und verwenden eine Zwei-Faktor-Authentifizierung für fast alle Anwendungen und Drittanbieterdienste, die wir im Rahmen unserer Arbeit nutzen.

Fazit

Wir hoffen, dass diese Informationen Ihnen geholfen haben, die wichtigsten Sicherheitsmechanismen zu verstehen, die Netatoo implementiert hat, um Ihre Daten zu schützen. Wir überprüfen ständig unsere Sicherheitsverfahren, sodass sich diese Informationen in Zukunft ändern können, wenn wir auf die sich entwickelnde Sicherheitslandschaft reagieren.

Kontaktieren Sie uns

Postanschrift:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-Mail:
support@openresa.com

Aktualisiert am Donnerstag, 12. Juni 2025
Bedingungen & Datenschutzrichtlinie
Luxemburg (DE)