Datensicherheit ist unsere Betriebslizenz
Die Sicherheit unserer Systeme und Ihrer Daten hat für uns höchste Priorität. Wir wissen, dass der Erfolg Ihres Unternehmens von Ihrem Vertrauen in unsere Sicherheit abhängt. Wir arbeiten ständig daran, Ihre Daten zu schützen, indem wir allgemein anerkannte Best-Practice-Verfahren anwenden.
System-Infrastruktur
Bei Metalshub glauben wir an eine starke Trennung: Unsere Server werden auf dedizierter Hardware gehostet - die Hardware wird nicht mit anderen Parteien geteilt und nur wir können auf unsere Systeme zugreifen. Wir verwenden separate Hardware für unsere Produktionsplattform, unsere Website und unsere internen Dienste. Die Server befinden sich in Deutschland und sind physisch und logisch vor Zugriffen geschützt und werden ständig überwacht. Das Rechenzentrum wird regelmäßig auditiert und ist nach ISO 27001 zertifiziert.
Server
Alle unsere Server sind durch mehrere Firewalls geschützt und verfügen über einen automatischen DDoS-Schutz (Distributed Denial-of-Service). Darüber hinaus blockiert unser Intrusion Detection System automatisch IP-Adressen, die verdächtiges Verhalten zeigen (z.B. erfolglose Login-Versuche). Sicherheitsrelevante Protokolldateien werden ständig automatisch gescannt und wöchentlich manuell überprüft. Sicherheitsrelevante Betriebssystem-Updates werden sofort und automatisch eingespielt.
Zugangskontrolle und Schulung
Der Zugang zu unseren Servern ist auf eine RSA-Key-basierte Authentifizierung beschränkt (keine Anmeldung mit einem Passwort). Eine absolute Mindestanzahl von Mitarbeitern (derzeit zwei) und keine externen Parteien haben administrativen Zugang zu unseren Servern.
Wir verwenden ein rollenbasiertes Zugangskontrollsystem, um sicherzustellen, dass jeder Mitarbeiter nur Zugang zu den Daten hat, die er im Rahmen seiner Tätigkeit unbedingt benötigt. Außerdem werden alle relevanten Mitarbeiter regelmäßig in Sachen IT-Sicherheit geschult.
Verschlüsselung
Wir verschlüsseln Ihre Daten jedes Mal, wenn sie an uns gesendet werden. Wir verwenden das dem Industriestandard entsprechende SSL-Protokoll (Secure Sockets Layer), das Datenverschlüsselung, Nachrichtenintegrität und Serverauthentifizierung bietet. Wir aktivieren HTTP Strict Transport Security (HSTS) für alle unsere Domains und Subdomains. Unsere SSL-Konfiguration wurde bei der bekannten Qualys SSL Labs-Prüfung mit A+ bewertet.
Interne Datensicherheit
Wir verwenden ein sehr restriktives rollenbasiertes Zugangssystem, um zu kontrollieren, welche Mitarbeiter Zugang zu welchen Daten haben, und halten uns an den Grundsatz der Datenminimierung, d. h. die Mitarbeiter haben nur Zugang zu den Daten, die sie aufgrund ihrer Rolle benötigen. Darüber hinaus haben alle unsere Mitarbeiter eine Vertraulichkeitsklausel in ihrem Arbeitsvertrag. Verstöße gegen diese Klausel können zur Beendigung des Arbeitsverhältnisses und möglicherweise zu rechtlichen Schritten führen.
Software-Entwicklung
Jede einzelne Codeänderung wird überprüft und muss genehmigt werden, bevor sie in unserer Staging-Umgebung bereitgestellt wird. Nach einer Überprüfung im Staging werden die Änderungen auf unseren Produktionsservern bereitgestellt. Jede Version wird sowohl automatisch als auch manuell auf Funktionalität, Schwachstellen, authentifizierungs-/autorisierungsbasierte Datentrennung und andere sicherheitsrelevante Aspekte getestet.
Kennwörter
Wir verwenden modernste Mechanismen zur Speicherung von Passwörtern: Sie werden mit dem Algorithmus "Password-based Key Derivation Function 2" (PBKDF2) gespeichert, einem vom amerikanischen National Institute of Standards and Technology (NIST) und dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Mechanismus zur Passwortverlängerung. Jedes Passwort hat einen eindeutigen Zufalls-Salt und wird mehr als hunderttausendmal mit dem SHA256-Algorithmus gehasht.
Auf Wunsch kann Metalshub auch den IP-Bereich für Firmenkonten einschränken, so dass sich nur Personen aus dem freigegebenen Firmennetzwerk für ein bestimmtes Konto anmelden können. Benutzer können auch eine zusätzliche Sicherheitsebene für den Authentifizierungsprozess einrichten, indem sie die 2-Faktor-Authentifizierung (2FA) für den Log-in-Prozess aktivieren.
Wenn Sie Fragen haben, kontaktieren Sie uns bitte: support@metals-hub.com