Inhalte
Sicherheit
Infrastruktur
Unsere gesamte Dienstleistungsinfrastruktur basiert auf modernster Cloud-Technologie. Wir haben uns bewusst gegen den Betrieb eigener Hardware entschieden und verzichten vollständig auf eigene Router, Lastverteiler, DNS-Server oder physische Server. Stattdessen setzen wir auf die Dienste führender Cloud-Anbieter wie Google Cloud, Amazon Web Services und Microsoft Azure. Um den strengen Anforderungen des Datenschutz gerecht zu werden, achten wir besonders darauf, dass unsere Dienste auf Servern innerhalb der Europäischen Union gehostet werden. Wir vermeiden bewusst das Hosting auf US-Servern, um maximale Datensicherheit und Compliance zu gewährleisten. Unsere Flexibilität erlaubt es uns, auf die individuellen Bedürfnisse unserer Kunden einzugehen. Bei Bedarf können wir spezifische Anbieter oder alternative geografische Standorte anbieten, stets unter Berücksichtigung der geltenden Datenschutzbestimmungen und Sicherheitsanforderungen.
Netzwerk
Die Sicherheit unseres Netzwerks hat höchste Priorität. Unsere Architektur umfasst mehrere Sicherheitszonen, die umfassenden Schutz vor unbefugtem Zugriff gewährleisten. Wir setzen auf eine virtuelle private Cloud (VPC) mit strengen Netzwerk-Zugriffskontrolllisten (ACLs) und verzichten auf öffentliche IP-Adressen. Ein Schlüsselelement unserer Strategie ist der Einsatz eines modernen, WireGuard-basierten VPN-Tools, das den Zugang zu unserer Infrastruktur streng kontrolliert: Nur verifizierte Administratoren können über dieses sichere Netzwerk auf unsere Systeme zugreifen. Eine fortschrittliche Firewall überwacht und kontrolliert kontinuierlich den Netzwerkverkehr, während strikte IP-Adressfilterung den Zugang zusätzlich beschränkt. Zum Schutz vor DDoS-Angriffen nutzen wir hochmoderne Abwehrmechanismen. Diese umfassenden Massnahmen gewährleisten, dass unser Netzwerk rund um die Uhr geschützt ist und potenzielle Bedrohungen frühzeitig erkannt und abgewehrt werden.
Verschlüsselung
Der Schutz sensibler Daten ist ein Kernaspekt unserer Sicherheitsstrategie. Wir setzen auf eine zweistufige Verschlüsselungsstrategie, um maximale Sicherheit zu gewährleisten. Alle Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, werden während der Übertragung mittels Transport Layer Security (TLS) nach aktuellsten Industriestandards verschlüsselt. Dies stellt sicher, dass Informationen während des Transports vor unbefugtem Zugriff geschützt sind. Zusätzlich zur Verschlüsselung während der Übertragung setzen wir auch auf eine robuste Verschlüsselung im Ruhezustand. Sämtliche Nutzerdaten, einschliesslich sensibler Informationen wie Passwörter, werden in unserer Datenbank unter Verwendung bewährter und zuverlässiger Verschlüsselungsalgorithmen gesichert. Diese doppelte Schutzschicht gewährleistet, dass Ihre Daten zu jedem Zeitpunkt - sei es während der Übertragung oder bei der Speicherung - optimal geschützt sind.
Datenspeicherung
Unser Ansatz zur Datenspeicherung und -löschung ist darauf ausgerichtet, sowohl den gesetzlichen Anforderungen als auch den individuellen Bedürfnissen unserer Kunden gerecht zu werden. Standardmässig speichern wir Daten für einen Zeitraum von bis zu 12 Monaten. Wir verstehen jedoch, dass verschiedene Unternehmen und Branchen unterschiedliche Anforderungen an die Datenspeicherung haben können. Daher bieten wir unseren Kunden massgeschneiderte Datenspeicherungsrichtlinien an. Diese reichen von einer 1-monatigen Speicherung über kürzere Zeiträume wie eine Woche oder einen Tag bis hin zu einer stündlichen Speicherung. Für Kunden mit besonders hohen Sicherheitsanforderungen bieten wir sogar die Option einer sofortigen Datenlöschung an. Nach Ablauf der festgelegten Aufbewahrungsfrist werden alle Daten vollständig und unwiderruflich von unserem Dashboard und Server entfernt. Wir legen grossen Wert auf Transparenz und Kontrolle: Jeder Nutzer hat das Recht, die Löschung seiner Nutzungsdaten jederzeit durch eine einfache Kontaktaufnahme mit unserem Support-Team anzufordern.
Datenverarbeitung
Biem nutzt fortschrittliche künstliche Intelligenz zur Entwicklung hochmoderner Modelle. Unser Ansatz zur Datenverarbeitung und zum Modelltraining basiert auf Transparenz und Respekt für die Privatsphäre unserer Nutzer. Unabhängig davon, ob unsere Kunden das Elemental-, Professional- oder Enterprise-Paket nutzen, gilt für alle die gleiche Regelung bezüglich der Verwendung von Daten für KI-Training und Modellentwicklung. Wir legen grossen Wert darauf, dass die Nutzung von Daten für das Training unserer KI-Modelle auf einer bewussten und informierten Entscheidung unserer Kunden beruht. Daher ist die Verwendung von Nutzerdaten für diesen Zweck standardmässig deaktiviert. Kunden müssen explizit ihre Zustimmung erteilen, bevor ihre Daten oder die Daten ihrer Installationen für das Training von KI-Modellen verwendet werden.
Dieser Ansatz gewährleistet, dass unsere Kunden volle Kontrolle über ihre Daten behalten und selbst entscheiden können, ob sie zur Weiterentwicklung unserer KI-Technologien beitragen möchten. Wir stellen sicher, dass dieser Prozess transparent und für unsere Kunden leicht verständlich ist, sodass sie eine fundierte Entscheidung treffen können. Diese Vorgehensweise unterstreicht unser Engagement für Datenschutz und respektiert gleichzeitig den Wunsch vieler Kunden, an der Weiterentwicklung innovativer KI-Lösungen mitzuwirken.
Kontinuität
Die Gewährleistung der Geschäftskontinuität und eine effektive Strategie zur Katastrophenwiederherstellung sind zentrale Aspekte unserer Unternehmensphilosophie. Wir setzen auf ein robustes System regelmässiger Backups aller kritischen Vermögenswerte. Um die Zuverlässigkeit und Schnelligkeit unseres Wiederherstellungsprozesses sicherzustellen, führen wir in regelmässigen Abständen Wiederherstellungsversuche durch. Diese Praxis ermöglicht es uns, im Falle eines unvorhergesehenen Ereignisses eine rasche Wiederherstellung zu garantieren und potenzielle Ausfallzeiten auf ein Minimum zu reduzieren. Die Sicherheit Ihrer Daten steht dabei stets im Vordergrund: Alle unsere Backups werden im Ruhezustand verschlüsselt, um selbst im unwahrscheinlichen Fall eines unbefugten Zugriffs auf die Backup-Daten deren Vertraulichkeit zu gewährleisten.
Anwendungssicherheit
Die Sicherheit unserer Anwendungen hat für uns oberste Priorität. Wir setzen auf fortschrittliche Schutzmechanismen, die auf Unternehmensebene entwickelt wurden, um unsere Infrastruktur und die Daten unserer Kunden umfassend zu schützen. Unser Sicherheitssystem bietet einen robusten Schutz vor DDoS-Angriffen (Distributed Denial of Service) und fungiert gleichzeitig als leistungsstarke Web Application Firewall (WAF). Diese Technologie ermöglicht es uns, Angriffe auf unsere Cloud-basierten Arbeitslasten und virtuellen Maschinen schnell zu erkennen und effektiv abzuschwächen. Ein besonderes Merkmal unseres Sicherheitsansatzes ist der Einsatz von maschinellem Lernen. Dieser adaptive Schutzmechanismus ermöglicht es uns, Layer-7-DDoS-Angriffe in Echtzeit zu erkennen und zu blockieren, wodurch wir stets einen Schritt voraus bleiben.
Wir legen besonderen Wert darauf, die von OWASP (Open Web Application Security Project) identifizierten Top-10-Risiken zu mindern. Unser Sicherheitssystem schützt unsere Arbeitslasten sowohl lokal als auch in der Cloud vor diesen häufigsten und kritischsten Sicherheitsbedrohungen. Zusätzlich haben wir eine fortschrittliche Bot-Verwaltung implementiert. Diese nutzt moderne Technologien zur Erkennung von Bots, um Betrug auf Edge-Geräten zu verhindern und die Integrität unserer Dienste zu gewährleisten. Durch diese umfassenden Sicherheitsmassnahmen stellen wir sicher, dass unsere Anwendungen und die Daten unserer Kunden bestmöglich geschützt sind. Wir bleiben stets wachsam und passen unsere Sicherheitsstrategien kontinuierlich an, um den sich ständig weiterentwickelnden Bedrohungen in der digitalen Welt einen Schritt voraus zu sein.
Entwicklung
Unsere Entwicklungsprozesse folgen strengen Sicherheitsrichtlinien und bewährten Praktiken, die sich an führenden Sicherheitsframeworks wie OWASP Top 10 und SANS Top 25 orientieren. Diese Ausrichtung ermöglicht es uns, potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben, wodurch wir ein Höchstmass an Sicherheit in unseren Produkten gewährleisten. Unser Entwicklungsteam durchläuft regelmässige Schulungen, um stets über die neuesten Sicherheitsbedrohungen und Abwehrmechanismen informiert zu sein. Diese kontinuierliche Weiterbildung befähigt uns, Sicherheit von Grund auf in unsere Produkte zu integrieren und proaktiv auf neue Herausforderungen zu reagieren. Wir setzen auf mehrschichtige Sicherheitsprüfungen in unserem Entwicklungsprozess, darunter Code-Reviews, bei denen erfahrene Entwickler den Code auf Sicherheitslücken überprüfen.
Zusätzlich nutzen wir automatisierte Tools für statische und dynamische Anwendungssicherheitstests (SAST und DAST), um potenzielle Schwachstellen im Code und in der laufenden Anwendung zu identifizieren. Unsere Abhängigkeiten werden regelmässig aktualisiert und auf bekannte Sicherheitslücken geprüft, um sicherzustellen, dass wir keine verwundbaren Komponenten in unserer Software einsetzen. Darüber hinaus führen wir automatisierte Penetrationstests durch und engagieren jährlich externe Sicherheitsexperten für umfassende manuelle Penetrationstests unserer Anwendungen. Dieser ganzheitliche Ansatz zur sicheren Entwicklung ermöglicht es uns, kontinuierlich die Sicherheit unserer Produkte zu verbessern und das Vertrauen unserer Kunden in unsere Lösungen zu stärken.
Benutzersicherheit
Die Sicherheit und der Komfort unserer Benutzer stehen im Mittelpunkt unserer Authentifizierungsstrategie. Wir bieten fortschrittliche Single Sign-On (SSO) Lösungen an, die es Benutzern ermöglichen, sicher und bequem auf unsere Dienste zuzugreifen. Für unsere Enterprise-Kunden stellen wir SSO-Optionen bereit, die nahtlos in ihre bestehenden Identitätsmanagement-Systeme integriert werden können. Dies erhöht nicht nur die Sicherheit durch die Nutzung zentralisierter Mechanismen zur Authentifizierung, sondern verbessert auch die Benutzererfahrung, indem die Notwendigkeit für multiple Passwörter eliminiert wird. Unser Authentifizierungssystem ist darauf ausgelegt, moderne Sicherheitsstandards zu erfüllen und gleichzeitig flexibel genug zu sein, um sich an die spezifischen Bedürfnisse und Präferenzen unserer verschiedenen Benutzergruppen anzupassen. Durch die Implementierung fortschrittlicher Authentifizierungsmethoden stärken wir nicht nur die Sicherheit unserer Plattform, sondern verbessern auch die Gesamteffizienz und Benutzerfreundlichkeit unseres Systems.
Compliance
Als Schweizer Anbieter legen wir höchsten Wert auf die Einhaltung nationaler und internationaler Datenschutzbestimmungen. Unser Compliance-Rahmen basiert primär auf dem Schweizer Bundesgesetz über den Datenschutz (DSG). Gleichzeitig erfüllen wir die Anforderungen der Europäischen Datenschutz-Grundverordnung (DSGVO/GDPR). Wir haben unsere Prozesse, Richtlinien und technischen Massnahmen sorgfältig an die Anforderungen sowohl des DSG als auch der DSGVO angepasst. Dies gewährleistet einen umfassenden Schutz personenbezogener Daten und die Wahrung erweiterter Rechte der betroffenen Personen nach beiden Gesetzen.
Unsere Massnahmen umfassen verbesserte Transparenz bei der Datenverarbeitung, strenge Einwilligungsanforderungen und erweiterte Auskunfts-, Löschungs- und Datenübertragbarkeitsrechte. Zusätzlich zu diesen gesetzlichen Verpflichtungen arbeiten wir an der Erlangung weiterer wichtiger Zertifizierungen. Wir befinden uns im Prozess, die SOC 2 Typ II Compliance zu erreichen sowie die ISO 27001 Zertifizierung zu erlangen. Diese international anerkannten Standards unterstreichen unser Engagement für Informationssicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit.
Unser mehrschichtiger Compliance-Ansatz, der nationale, EU-weite und internationale Standards einbezieht, demonstriert unser unermüdliches Engagement für den Schutz der Daten unserer Kunden. Wir streben danach, nicht nur die gesetzlichen Mindestanforderungen zu erfüllen, sondern Best Practices im Bereich Datenschutz und Informationssicherheit zu implementieren. Durch diesen umfassenden Ansatz stärken wir das Vertrauen unserer Kunden in unsere Fähigkeit, ihre sensiblen Informationen mit höchster Sorgfalt und in Übereinstimmung mit den strengsten rechtlichen und ethischen Standards zu schützen.
Zahlungssicherheit
Der sichere Umgang mit Zahlungsinformationen unserer Kunden hat für uns oberste Priorität. Um ein Höchstmass an Sicherheit zu gewährleisten, haben wir uns dafür entschieden, die Verarbeitung aller Zahlungsinstrumente an Stripe auszulagern, einen führenden Anbieter von Zahlungsinfrastrukturen, der als PCI Level 1 Service Provider zertifiziert ist. Diese Zertifizierung repräsentiert den höchsten Sicherheitsstandard in der Zahlungskartenindustrie. Durch diese Auslagerung stellen wir sicher, dass sensible Finanzdaten unserer Kunden mit äusserster Sorgfalt und unter Einhaltung strengster Sicherheitsprotokole behandelt werden. Ein wesentlicher Vorteil dieses Ansatzes besteht darin, dass wir selbst keinerlei Zahlungsinformationen sammeln oder speichern.
Dies minimiert das Risiko von Datenlecks erheblich und entbindet uns von den komplexen PCI-DSS-Verpflichtungen, die mit der direkten Verarbeitung von Kreditkartendaten einhergehen würden. Stripe's robuste Sicherheitsinfrastruktur umfasst fortschrittliche Verschlüsselungstechnologien, regelmässige Sicherheitsaudits und kontinuierliche Überwachung, um Betrug und unbefugte Zugriffe zu verhindern. Durch die Nutzung dieser hochspezialisierten Dienste können wir uns auf unsere Kernkompetenzen konzentrieren und gleichzeitig unseren Kunden ein Höchstmass an Sicherheit bei ihren finanziellen Transaktionen garantieren. Wir empfehlen unseren Kunden, sich über die detaillierten Sicherheitspraktiken von Stripe zu informieren, um ein umfassendes Verständnis für die Schutzmassnahmen zu erhalten, die ihre Zahlungsdaten schützen.
Mitarbeiterzugang
Der verantwortungsvolle Umgang mit Kundendaten beginnt bei unseren eigenen Mitarbeitern. Wir haben strenge interne Verfahren implementiert, die den Zugriff von Mitarbeitern oder Administratoren auf Benutzerdaten stark einschränken. Diese Massnahmen dienen dazu, die Privatsphäre unserer Kunden zu schützen und das Risiko unbefugter Datenzugriffe zu minimieren. Unser Zugriffsmanagement basiert auf dem Prinzip der geringsten Privilegien, was bedeutet, dass Mitarbeiter nur auf die Daten und Systeme zugreifen können, die für ihre spezifische Rolle unbedingt erforderlich sind. In Ausnahmefällen, beispielsweise für Kundenunterstützung, können begrenzte Zugriffe gewährt werden, jedoch nur nach einem strengen Genehmigungsverfahren und unter genauer Protokollierung aller Aktivitäten.
Zur weiteren Absicherung setzen wir fortschrittliche Authentifizierungsmethoden wie Zwei-Faktor-Authentifizierung für alle Mitarbeiterzugänge ein. Jeder Mitarbeiter, der Zugang zu sensiblen Systemen oder Daten erhält, muss zuvor eine umfassende Schulung zu Datenschutz und Informationssicherheit absolvieren. Darüber hinaus unterzeichnen alle unsere Mitarbeiter bei Eintritt in das Unternehmen eine strenge Vertraulichkeits- und Geheimhaltungsvereinbarung. Diese Vereinbarung verpflichtet sie rechtlich dazu, die sensiblen Informationen unserer Kunden zu schützen und vertraulich zu behandeln. Regelmässige Audits und Überprüfungen stellen sicher, dass diese Richtlinien eingehalten werden und dass Zugriffsrechte stets aktuell und angemessen sind. Durch diese mehrschichtigen Sicherheitsmassnahmen schaffen wir eine Unternehmenskultur, in der der Schutz von Kundendaten nicht nur eine Vorschrift, sondern eine tief verankerte Verantwortung jedes einzelnen Mitarbeiters ist.
Sicherheitsforschung
Unser Engagement für Sicherheit geht über interne Massnahmen hinaus. Wir betreiben ein proaktives Bug-Bounty-Programm, das die kollektive Intelligenz und Expertise der globalen Sicherheitsgemeinschaft nutzt, um unsere Plattform kontinuierlich zu verbessern und abzusichern. Dieses Programm lädt ethische Hacker und Sicherheitsforscher aktiv dazu ein, potenzielle Schwachstellen in unseren Systemen zu entdecken und zu melden. Teilnehmer des Programms werden für das verantwortungsvolle Aufdecken und Melden von Sicherheitsproblemen belohnt, wobei die Höhe der Belohnung von der Schwere und Auswirkung der gemeldeten Schwachstelle abhängt. Jede Meldung wird von unserem Sicherheitsteam sorgfältig geprüft und priorisiert, um schnellstmöglich Abhilfemassnahmen zu implementieren.
Dieses Programm fördert nicht nur die kontinuierliche Verbesserung unserer Sicherheitsinfrastruktur, sondern demonstriert auch unsere Offenheit für externe Überprüfungen und unser Vertrauen in die Robustheit unserer Systeme. Es unterstreicht unser Bekenntnis zu Transparenz und unseren proaktiven Ansatz zur Cybersicherheit. Interessierte Sicherheitsforscher können detaillierte Informationen zu Umfang, Regeln und Belohnungen des Programms auf Anfrage über unser spezielles Portal erhalten. Bei Fragen oder zur Meldung potenzieller Sicherheitsprobleme steht unser dediziertes Sicherheitsteam unter security@biem.ch zur Verfügung. Durch die Einbeziehung der breiteren Sicherheitsgemeinschaft in unsere Verteidigungsstrategie stärken wir nicht nur die Sicherheit unserer Plattform, sondern fördern auch eine Kultur der gemeinsamen Verantwortung für Cybersicherheit in der gesamten Tech-Branche.
Engagement
Die in diesem Dokument dargelegten Sicherheitsmassnahmen und -praktiken bilden das Fundament unseres unermüdlichen Engagements für den Schutz Ihrer Daten und die Integrität unserer Dienste. Von der robusten Infrastruktursicherheit über strenge Entwicklungsstandards bis hin zu proaktiven Massnahmen wie unserem Bug-Bounty-Programm verfolgen wir einen ganzheitlichen Ansatz zur Cybersicherheit. Wir verstehen, dass Sicherheit in der digitalen Welt keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess ist. Daher verpflichten wir uns, unsere Sicherheitspraktiken ständig zu überprüfen, zu aktualisieren und zu verbessern, um mit den sich entwickelnden Bedrohungen Schritt zu halten.
Unser Engagement geht über die blosse Einhaltung von Vorschriften hinaus – wir streben danach, Branchenführer in Sachen Datenschutz und Informationssicherheit zu sein. Wir laden unsere Kunden ein, Fragen zu stellen, Bedenken zu äussern und sich aktiv mit uns über Sicherheitsthemen auszutauschen. Transparenz und Vertrauen sind die Grundpfeiler unserer Beziehungen, und wir sind stets bestrebt, diese zu stärken.
Indem wir modernste Technologien einsetzen, strenge Richtlinien befolgen und eine Kultur der Sicherheit in unserem gesamten Unternehmen fördern, arbeiten wir unermüdlich daran, Ihnen ein Höchstmass an Schutz und Zuverlässigkeit zu bieten. Ihr Vertrauen ist unser wertvollstes Gut, und wir setzen alles daran, es jeden Tag aufs Neue zu rechtfertigen. Gemeinsam bauen wir eine sicherere digitale Zukunft auf.
Kontakt
Wenn Sie Fragen zur Sicherheit haben, kontaktieren Sie uns bitte.