Sicherheit und Compliance

Sicherheits- und
Compliance-Center

Mehr wissen

Bei HiJiffy verstehen wir, dass Vertrauen die Grundlage jeder erfolgreichen Geschäftsbeziehung ist, daher verpflichten wir uns, Daten mit den höchsten Standards für Sicherheit, Datenschutz und Compliance zu schützen.

Dieses Sicherheits- und Compliance-Center bietet einen umfassenden Überblick über unsere robuste Verschlüsselung, Sicherheitsprotokolle und die Einhaltung internationaler Standards, um den Schutz von Geschäftsdaten zu gewährleisten.

Hier finden Sie Einblicke, wie wir Sicherheitsrisiken managen, unsere transparenten Datenhandhabungspraktiken sowie unsere laufenden Bemühungen, uns an neue Herausforderungen im Datenmanagement anzupassen und darauf zu reagieren.

Konformität überprüft

Systemstatus

Steuerungen

Alle Steuerungen anzeigen

Unterauftragnehmer

Alle Unterauftragsverarbeiter anzeigen

Amazon Web Services EMEA SARL

Wird zum Hosten unserer Dienste verwendet.

Google Cloud EMEA Limited

Wird zum Hosten unserer Dienste und zur Nutzung ihrer API-Dienste verwendet (z. B. Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Wird als Anbieter zum Senden von SMS und WhatsApp-Nachrichten verwendet.

MessageBird UK Limited

Wird für den Pusher-Dienst verwendet, um unser Chat-Widget in Echtzeit zu betreiben.

FAQ

Alle FAQs anzeigen

Wo befinden sich Ihre Server?

Irland, AWS

Welche Datenschutz-/Sicherheitseinstellungen sind verfügbar?

2FA, Starke Passwort-Richtlinie, SSO (SAML), IP-Whitelisting, Dokumentdatenverschlüsselung pro Konto, Benutzerberechtigungen

Verschlüsseln Sie Daten im Ruhezustand und während der Übertragung?

Ja, Daten im Ruhezustand werden mit AES-256-Verschlüsselungsschlüsseln verschlüsselt. Für den gesamten Webverkehr, der über das öffentliche Internet gesendet wird, wird das Protokoll TLS v1.2 oder besser verwendet.

Steuerungen

Infrastruktursicherheit

Organisationale Sicherheit

Produktsicherheit

Interne Sicherheitsverfahren

Daten und Datenschutz

Infrastruktursicherheit

CONTROL

STATUS

Einzigartige Authentifizierung der Produktionsdatenbank erzwungen:

Das Unternehmen verlangt, dass für die Authentifizierung bei Produktionsdatenspeichern autorisierte, sichere Authentifizierungsmechanismen wie eindeutige SSH-Schlüssel verwendet werden.

Zugang zu Verschlüsselungsschlüsseln eingeschränkt:

Das Unternehmen beschränkt privilegierten Zugriff auf Verschlüsselungsschlüssel auf autorisierte Benutzer mit geschäftlichem Bedarf.

Einzigartige Kontenauthentifizierung erzwungen:

Das Unternehmen verlangt, dass für die Authentifizierung bei Systemen und Anwendungen eindeutige Benutzernamen und Passwörter oder autorisierte Secure Socket Shell (SSH)-Schlüssel verwendet werden.

Zugriff auf Produktionsanwendungen eingeschränkt:

Systemzugriff ist nur autorisierten Zugriffen vorbehalten.

Verfahren zur Zugangskontrolle etabliert:

Die Zugangskontrollrichtlinie des Unternehmens dokumentiert die Anforderungen für folgende Zugangskontrollfunktionen: Hinzufügen neuer Benutzer; Ändern von Benutzern; und/oder Entfernen des Zugangs eines bestehenden Benutzers.

Zugriff auf Produktionsdatenbanken eingeschränkt:

Das Unternehmen beschränkt privilegierten Zugriff auf Datenbanken auf autorisierte Benutzer mit geschäftlichem Bedarf.

Zugriff auf die Firewall eingeschränkt:

Das Unternehmen beschränkt privilegierten Zugriff auf die Firewall auf autorisierte Benutzer mit geschäftlichem Bedarf.

Zugriff auf Produktionsbetriebssysteme eingeschränkt:

Das Unternehmen beschränkt privilegierten Zugriff auf das Betriebssystem auf autorisierte Benutzer mit geschäftlichem Bedarf.

Zugriff auf das Produktionsnetzwerk eingeschränkt:

Das Unternehmen beschränkt privilegierten Zugriff auf das Produktionsnetzwerk auf autorisierte Benutzer mit geschäftlichem Bedarf.

Zugriff bei Beendigung widerrufen:

Das Unternehmen vervollständigt Checklisten bei Beendigung, um sicherzustellen, dass der Zugriff für gekündigte Mitarbeiter innerhalb der SLAs widerrufen wird.

Einzigartige Netzwerksystemauthentifizierung erzwungen:

Das Unternehmen verlangt, dass für die Authentifizierung im „Produktionsnetzwerk“ eindeutige Benutzernamen und Passwörter oder autorisierte Secure Socket Shell (SSH)-Schlüssel verwendet werden.

Fernzugriff MFA erzwungen:

Die Produktionssysteme des Unternehmens können nur von autorisierten Mitarbeitern mit einer gültigen Multi-Faktor-Authentifizierung (MFA) Methode aus der Ferne zugegriffen werden.

Verschlüsselter Fernzugriff erzwungen:

Die Produktionssysteme des Unternehmens können nur von autorisierten Mitarbeitern über eine genehmigte verschlüsselte Verbindung aus der Ferne zugegriffen werden.

Netzwerksegmentierung implementiert:

Das Netzwerk des Unternehmens ist segmentiert, um unautorisierten Zugriff auf Kundendaten zu verhindern.

Netzwerk-Firewalls verwendet:

Das Unternehmen verwendet Firewalls und konfiguriert sie, um unautorisierten Zugriff zu verhindern.

Standards zur Härtung von Netzwerk und Systemen aufrechterhalten:

Die Standards zur Härtung von Netzwerk und Systemen des Unternehmens sind dokumentiert, basieren auf bewährten Branchenpraktiken und werden mindestens jährlich überprüft.

Organisationale Sicherheit

CONTROL

STATUS

Anti-Malware-Technologie eingesetzt:

Das Unternehmen setzt Anti-Malware-Technologie in Umgebungen ein, die häufig anfällig für bösartige Angriffe sind, und konfiguriert diese so, dass sie routinemäßig aktualisiert, protokolliert und auf allen relevanten Systemen installiert wird.

Verhaltenskodex von Mitarbeitern anerkannt und durchgesetzt:

Das Unternehmen verlangt von den Mitarbeitern, dass sie bei der Einstellung einen Verhaltenskodex anerkennen. Mitarbeiter, die den Verhaltenskodex verletzen, unterliegen disziplinarischen Maßnahmen gemäß der Disziplinarpolitik.

Vertraulichkeitsvereinbarung von Auftragnehmern anerkannt:

Das Unternehmen verlangt von Auftragnehmern, dass sie bei der Beauftragung eine Vertraulichkeitsvereinbarung unterzeichnen.

Vertraulichkeitsvereinbarung von Mitarbeitern anerkannt:

Das Unternehmen verlangt von den Mitarbeitern, dass sie während des Onboardings eine Vertraulichkeitsvereinbarung unterzeichnen.

Leistungsbewertungen durchgeführt:

Die Manager des Unternehmens sind verpflichtet, mindestens einmal jährlich Leistungsbewertungen für ihre direkten Mitarbeiter durchzuführen.

Passwortrichtlinie durchgesetzt:

Das Unternehmen verlangt, dass Passwörter für relevante Systemkomponenten gemäß der Unternehmensrichtlinie konfiguriert werden.

Schulungen zur Sicherheitsbewusstseinsbildung implementiert:

Das Unternehmen verlangt von den Mitarbeitern, dass sie innerhalb von dreißig Tagen nach der Einstellung und mindestens einmal jährlich danach an Schulungen zur Sicherheitsbewusstseinsbildung teilnehmen.

Produktsicherheit

CONTROL

STATUS

Selbstbewertungen der Kontrollen durchgeführt:

Das Unternehmen führt mindestens einmal jährlich Selbstbewertungen der Kontrollen durch, um sicherzustellen, dass die Kontrollen vorhanden sind und effektiv arbeiten. Korrekturmaßnahmen werden basierend auf den relevanten Erkenntnissen ergriffen. Hat sich das Unternehmen für ein SLA für eine Erkenntnis verpflichtet, wird die Korrekturmaßnahme innerhalb dieses SLA abgeschlossen.

Penetrationstests durchgeführt:

Die Penetrationstests des Unternehmens werden mindestens einmal jährlich durchgeführt. Ein Sanierungsplan wird entwickelt, und Änderungen werden vorgenommen, um Schwachstellen gemäß den SLAs zu beheben.

Datenübertragung verschlüsselt:

Das Unternehmen verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten bei der Übertragung über öffentliche Netzwerke zu verschlüsseln.

Verfahren zur Überwachung von Schwachstellen und Systemen etabliert:

Die formellen Richtlinien des Unternehmens skizzieren die Anforderungen für die folgenden Funktionen im Zusammenhang mit IT/Engineering: Schwachstellenmanagement; Systemüberwachung.

Interne Sicherheitsverfahren

CONTROL

STATUS

Pläne zur Kontinuität und Notfallwiederherstellung etabliert:

Das Unternehmen hat Pläne zur Geschäftskontinuität und Notfallwiederherstellung aufgestellt, die Kommunikationspläne enthalten, um die Kontinuität der Informationssicherheit im Falle der Unverfügbarkeit von Schlüsselpersonal zu gewährleisten.

Konfigurationsmanagementsystem etabliert:

Das Unternehmen verfügt über ein Konfigurationsmanagementverfahren, um sicherzustellen, dass Systemkonfigurationen konsistent in der gesamten Umgebung bereitgestellt werden.

Änderungsmanagementverfahren durchgesetzt:

Das Unternehmen verlangt, dass Änderungen an Software- und Infrastrukturbestandteilen des Dienstes autorisiert, formell dokumentiert, getestet, überprüft und genehmigt werden, bevor sie in der Produktionsumgebung implementiert werden.

Zugriff auf Produktionsbereitstellung eingeschränkt:

Das Unternehmen beschränkt den Zugriff, um Änderungen in die Produktion zu migrieren, auf autorisiertes Personal.

Backup-Prozesse etabliert:

Die Daten-Backup-Richtlinie des Unternehmens dokumentiert Anforderungen für das Backup und die Wiederherstellung von Kundendaten.

Änderungen am System extern kommuniziert:

Das Unternehmen benachrichtigt Kunden über kritische Systemänderungen, die ihre Verarbeitung beeinflussen können.

Managementrollen und Verantwortlichkeiten definiert:

Das Unternehmensmanagement hat definierte Rollen und Verantwortlichkeiten festgelegt, um das Design und die Implementierung von Informationssicherheitskontrollen zu überwachen.

Organisationsstruktur dokumentiert:

Das Unternehmen führt ein Organigramm, das die Organisationsstruktur und Berichtswege beschreibt.

Sicherheitsrichtlinien etabliert und überprüft:

Die Informationssicherheitsrichtlinien und -verfahren des Unternehmens sind dokumentiert und werden mindestens jährlich überprüft.

Supportsystem verfügbar:

Das Unternehmen hat ein extern ausgerichtetes Supportsystem eingerichtet, das es Benutzern ermöglicht, Systeminformationen über Ausfälle, Vorfälle, Bedenken und andere Beschwerden an das zuständige Personal zu melden.

Änderungen am System intern kommuniziert:

Das Unternehmen kommuniziert Systemänderungen an autorisierte interne Benutzer.

Zugriffsüberprüfungen durchgeführt:

Das Unternehmen führt mindestens vierteljährlich Zugriffsüberprüfungen für die relevanten Systemkomponenten durch, um sicherzustellen, dass der Zugriff angemessen eingeschränkt ist. Erforderliche Änderungen werden bis zum Abschluss nachverfolgt.

Zugriffsanforderungen erforderlich:

Das Unternehmen stellt sicher, dass der Benutzerzugriff auf relevante Systemkomponenten auf der Jobrolle und Funktion basiert oder ein dokumentiertes Zugriffsanforderungsformular und die Genehmigung des Managers erfordert, bevor der Zugriff bereitgestellt wird.

Vorfallreaktionsrichtlinien etabliert:

Das Unternehmen hat Sicherheits- und Datenschutzvorfallreaktionsrichtlinien und -verfahren, die dokumentiert und an autorisierte Benutzer kommuniziert werden.

Verfahren zum Vorfallmanagement befolgt:

Sicherheits- und Datenschutzvorfälle des Unternehmens werden protokolliert, verfolgt, gelöst und gemäß den Sicherheitsvorfallreaktionsrichtlinien und -verfahren des Unternehmens an betroffene oder relevante Parteien durch das Management kommuniziert.

Externe Supportressourcen verfügbar:

Das Unternehmen stellt Richtlinien und technische Supportressourcen zur Verfügung, die sich auf den Systembetrieb für Kunden beziehen.

Beschreibung des Dienstes kommuniziert:

Das Unternehmen stellt internen und externen Benutzern eine Beschreibung seiner Produkte und Dienstleistungen zur Verfügung.

Vereinbarungen mit Dritten etabliert:

Das Unternehmen hat schriftliche Vereinbarungen mit Anbietern und verbundenen Dritten. Diese Vereinbarungen enthalten Vertraulichkeits- und Datenschutzverpflichtungen, die für diese Entität gelten.

Daten und Datenschutz

CONTROL

STATUS

Verfahren zur Datenaufbewahrung etabliert:

Das Unternehmen hat formelle Aufbewahrungs- und Entsorgungsverfahren eingerichtet, um die sichere Aufbewahrung und Entsorgung von Unternehmens- und Kundendaten zu gewährleisten.

Datenklassifizierungsrichtlinie etabliert:

Das Unternehmen hat eine Datenklassifizierungsrichtlinie eingeführt, um sicherzustellen, dass vertrauliche Daten ordnungsgemäß gesichert und auf autorisiertes Personal beschränkt sind.

Unterauftragnehmer

Amazon Web Services EMEA SARL

Wird zum Hosten unserer Dienste verwendet.

Google Cloud EMEA Limited

Wird zum Hosten unserer Dienste und zur Nutzung ihrer API-Dienste verwendet (z. B. Translate, LookerStudio, Google BigQuery).

Twilio, Inc.

Wird als Anbieter zum Senden von SMS und WhatsApp-Nachrichten verwendet.

MessageBird UK Limited

Wird für den Pusher-Dienst verwendet, um unser Chat-Widget in Echtzeit zu betreiben.

Triptease Ltd

Wird zur Ausführung der Funktionalität des Echtzeitvergleichs zwischen dem Preis der Buchungsmaschine und den Preisen auf den beliebtesten OTA-Plattformen verwendet.

DeepL

Maschinelle Übersetzungen

Open AI - Wird nur für KI-Add-ons verwendet.

KI-Funktionen werden für KI-Add-ons genutzt.