Übersicht
In TaraCare werden die Daten von Auszubildenden aus ganz Deutschland gespeichert. Wir sind uns bewusst, dass der Schutz der Daten damit einen besonderen Stellenwert hat und fühlen uns verpflichtet, eine besonders sichere und zuverlässige Umgebung bereitzustellen. Unser Sicherheitsmodell sowie unsere Kontrolle basieren auf internationalen Standards und folgen stets den Best Practice Modellen der Branche, welche unter anderem in ISO 27001 und ISO 27018 international standardisiert sind. Die Datenverarbeitung geschieht konform der DSGVO.
Wie schützen wir die Daten?
Die für die Verfügbarkeit unseres Systems relevanten Daten werden bei unserem Serverpartner Contabo in Düsseldorf gespeichert. Zusätzliche Backups und Daten Revisionen werden regelmäßig erstellt und werden auf getrennten Servern unter der Kontrolle von HCTec aufbewahrt. Unsere Rechenzentren nutzen moderne physische und umweltbezogene Sicherheitsvorkehrungen, sodass die Infrastruktur extrem ausfallsicher ist.
Anwendungssicherheit
Bei TaraCare handelt es sich um eine moderne Webanwendung, die als sicherheitsorientierte Software visioniert wurde und ein mehrschichtiges Sicherheitskonzept implementiert. Die Anwendung wurde gemäß des OWASP Top 10 Frameworks entwickelt und jegliche Implementierungen werden vor Veröffentlichung geprüft und getestet. Unsere automatisierten kontrollierenden CI/CD-Prozesse umfassen statische Code-Analyse, Schwachstellenbewertung Unit-Tests bezüglich der Sicherheitseinstellungen und vieles mehr.
Infrastruktursicherheit
Wie bereits erwähnt wird die physische Seite unserer Infrastruktur von unserem Serverpartner sichergestellt. Darüber hinaus verwenden wir auch innerhalb der Software auf mehreren Ebenen Abwehrmechanismen, um die Daten zu schützen. Dazu gehören unter anderem:
- Firewalls für die Durchsetzung von IP-Whitelists und Zugriff über zugelassene Ports nur auf Netzwerkressourcen
- eine Web Applikation Firewall (WAF) für inhaltsbasierte, dynamische Angriffsabwehr
- DDoS-Migration und Ratenbegrenzung
- fortschrittliche Routing-Konfiguration
- NIDS-Sensoren für frühzeitige Erkennung von Angriffen
- umfangreiche Protokollierung des Netzwerk-Traffics, sowohl intern als auch extern
Datenverschlüsselung, TaraCare verschlüsselt alle Daten, sowohl im ruhenden Zustand wie auch während der Übertragung:
- Traffic wird mit TLS 1.3 mit einer modernen Chiffrierungs-Suite verschlüsselt
- Benutzerdaten werden innerhalb unserer gesamten Infrastruktur mit AES-256 verschlüsselt, und werden nur entschlüsselt sofern es für die Anfragen vom Nutzer benötigt wird
- Zugangsdaten werden mit einer modernen Hash-Funktion gehasht und mit einer „salt” versehen
Sicherheitsprüfungen und Penetrationstests
Regelmäßige Bewertungen der Sicherheitsvorkehrungen sind wichtig, um ein akkurates und unvoreingenommenes Verständnis der Sicherheitslage zu erhalten. HCTec führt regelmäßig interne Angriffe auf seine eigenen Programme sowie die eigene Infrastruktur durch und benutzt die daraus gewonnenen Erkenntnisse, um die Sicherheitslage zu verbessern.
Physische Sicherheit
Die Infrastruktur von TaraCare ist cloudbasiert, das heißt, dass sich unsere Infrastruktur nicht vor Ort befindet. Die physische Sicherheit in unseren Büros umfasst die Zugangskontrolle basierend auf persönlicher Identifizierung und Alarmsystemen. Die Betreuung unserer Server Hardware wird von einem spezialisierten deutschen Unternehmen durchgeführt. Diese haben sich verpflichtet führende physische Sicherheitsmaßnahmen einzusetzen.
Notfallwiederherstellung und Backups
HCTec bemüht sich, allen Kunden einen kontinuierlichen, ununterbrochenen Service bereitzustellen. Wir sichern Benutzerdaten regelmäßig. Alle Backups werden verschlüsselt und auf verschiedene Standorte verteilt, wo sie 90 Tage aufbewahrt werden. Unser Notfallwiederherstellungsplan wird regelmäßig von unserem Team evaluiert, um die Zuständigkeiten im Fall einer Serviceunterbrechung zu testen.
Sicherheitsbewusstsein und Schulung
HCTec ist sich bewusst, dass die Sicherheit der Plattform von den Mitarbeitern abhängig ist. Aus diesem Grund achten wir darauf, dass all unsere Mitarbeiter zum Thema Informationssicherheit geschult sind und führen regelmäßig Fortbildungen durch. Zusätzlich haben sich alle Mitarbeiter dazu verpflichtet, sicherheitsrelevante Daten nicht an Dritte weiterzugeben.
Zugangs- / Zugriffskontrolle
Wir sind uns bewusst, dass die Daten, die auf TaraCare hochgeladen werden, extrem privat und vertraulich sind. Wir führen regelmäßig Überprüfungen unserer Authentifizierung durch und stellen sicher, dass die vergebenen Berechtigungen möglichst minimal sind. Beim Wechsel des Arbeitgebers werden die Zugriffsrechte unserer Mittarbeiter umgehend gelöscht.