Deine Daten sind bei Priofy in sicheren Händen

Entwicklung und Hosting in Deutschland

Priofy wird einzig und allein von unserem Team, das sich durch nachweisliche Erfahrung und Verlässlichkeit auszeichnet, am Hauptsitz in Deutschland entwickelt. Die Produktionssysteme sowie die Daten unserer Kunden sind in sicheren Datenzentren untergebracht, die die Open Telekom Cloud (OTC) in Deutschland nutzen.

Infrastruktursicherheit

Um maximale Sicherheit der Infrastruktur zu garantieren, nutzt Priofy die Open Telekom Cloud (OTC) – eines der weltweit sichersten und fortschrittlichsten Cloud-Rechenzentren. Die Infrastruktur der OTC wird in den extrem sicheren Twin-Core-Rechenzentren der Deutschen Telekom in Magdeburg und Biere in Deutschland betrieben, wo auch die Datensicherungen stattfinden. Sämtliche Services unterliegen strengen Regulierungen und werden kontinuierlich von unabhängigen Organisationen überprüft und zertifiziert, um sicherzustellen, dass sie den aktuellsten Anforderungen an Sicherheit und Datenschutz genügen. Zu den Zertifizierungen gehören TISAX, Trusted Cloud, ISO 14001, ISO 22301, ISO 9001, ISO 20000, ISO 27001, ISO 27017, ISO 27018, CSA Star Level 2, TÜV Trusted Cloud Service und TCDP Version 1.0. Mehr Informationen erhalten Sie hier.

Ferri Abolhassan, der Leiter der IT-Division von T-Systems, die für Telekom-Sicherheit zuständig ist, betont: „In Biere finden Unternehmen das, was sie benötigen: höchste Sicherheitsstandards und Zuverlässigkeit, kombiniert mit dem strengen deutschen Datenschutz – eine Kombination, die ihresgleichen sucht.“

Die Datenverarbeitung innerhalb der OTC unterliegt den strengen Vorgaben des deutschen Datenschutzgesetzes und ist DSGVO-konform, was durch die Zertifizierung nach dem Trusted Cloud Data Protection Profile (TCDP) 1.0 bestätigt wird. Weitere Details finden Sie hier.

Datenseparation und Vertraulichkeit

Unsere Produktionssysteme, Datenbanken und das Netzwerk sind sowohl physisch als auch logisch von der restlichen Unternehmensinfrastruktur isoliert. Zudem erfolgt eine logische Trennung der Kundenkonten innerhalb der Datenschicht.

Die Zugriffsrechte unserer Mitarbeiter auf Systeme sind durch strenge Sicherheitsvorschriften geregelt. Der Zugang zu Kundendaten wird als äußerste Maßnahme angesehen und unterliegt strengen Kontrollen sowie einer genauen Protokollierung. Dieser ist technisch und rechtlich auf eine kleine Anzahl von Mitarbeitern beschränkt, um einen adäquaten Kundenservice unter strengsten Vertraulichkeitsauflagen und unter der Aufsicht des Managements sicherzustellen.

Um eine Verbindung mit unserer Produktionsinfrastruktur herzustellen, müssen Mitarbeiter eine sichere, identitätsbasierte Authentifizierung durchführen, die basierend auf der Rolle des Mitarbeiters und dem Prinzip der minimalen Rechtevergabe eingeschränkt wird.

Unsere Mitarbeiter erhalten regelmäßige Schulungen im Bereich Datenschutz und sind gesetzlich zur Verschwiegenheit verpflichtet. Bei der Festlegung der Zugriffsberechtigungen nimmt die Sicherheitsarbeitsgruppe die Erfahrung, die Verantwortlichkeiten der Mitarbeiter sowie interne Risikobewertungen in Betracht.

Sicherheitsorientierte Softwareentwicklung

Die Gestaltung der Softwarearchitektur und des Release-Zyklus bei Priofy zielt darauf ab, Sicherheitslücken vorzubeugen. Wir setzen ein Versionskontrollsystem ein, um Modifikationen in unserer Codebasis nachzuverfolgen. Sämtliche Änderungen in Architektur und Code müssen unseren internen Programmierstandards, Sicherheitsvorgaben sowie den branchenüblichen Best Practices in puncto Sicherheit entsprechen. Änderungen werden zunächst auf einen Staging-Server übertragen, wo sie einer umfassenden Prüfung durch zahlreiche manuelle und automatisierte Tests unterzogen werden, bevor sie für die Produktionsumgebung freigegeben werden. Unser Team für Entwicklungsberatung führt in regelmäßigen Abständen Code-Reviews durch.

Releases finden in der Regel außerhalb der üblichen Geschäftszeiten in Europa statt, während geplanter Downtimes, um den Betrieb nicht zu stören. Bei Bedarf können wichtige Updates, wie zum Beispiel Sicherheitspatches, zeitnah implementiert werden.

Benutzerauthentifizierung

In Priofy verfügt jeder Benutzer über ein individuelles, einzigartiges Konto, das mit einer verifizierten Geschäfts-E-Mail-Adresse verknüpft ist. Benutzer von Priofy sind angehalten, Passwörter zu wählen, die strengen Sicherheitsrichtlinien entsprechen. Diese Richtlinien beinhalten Anforderungen an die Komplexität, das Verbot der Wiederverwendung sowie eine festgelegte Gültigkeitsdauer der Passwörter. Gemäß den Branchenstandards für Best Practices werden die Passwörter durch Hashing und Salting abgesichert. Für einen erweiterten Schutz der Priofy-Konten steht eine Zwei-Faktor-Authentifizierung zur Verfügung. Benutzersitzungen und IP-Adressen werden individuell erfasst und können von den Benutzern selbst überprüft oder bei Bedarf widerrufen werden. Zudem ist eine maximale Dauer für Benutzersitzungen festgelegt.

Genau definierte Zugriffskontrolle

Kundenadministratoren und -verantwortliche steuern die Nutzerverwaltung innerhalb ihres Accounts und können mittels eines detaillierten und abgestuften Berechtigungskonzepts den Zugang feinjustieren. Administratoren haben so die Möglichkeit, den Zugriff für einzelne Nutzer oder Nutzergruppen über die gesamte Projektlaufzeit hinweg zu regulieren, während Projektmanager die Möglichkeit haben, diese Berechtigungen noch spezifischer anzupassen.

Die Beteiligung am Projekt ist ausschließlich Nutzern vorbehalten, die von jemandem mit entsprechenden Rechten zum Projekt hinzugefügt wurden. Die vergebenen Berechtigungen variieren von vollständigen Administratorrechten über das gesamte Projekt, über Lese-, Bearbeitungs- und Verwaltungsrechte für bestimmte Bereiche oder Elemente, bis hin zu ausschließlichem Lesezugriff.

Datenverschlüsselung

Priofy gewährleistet den Schutz aller Daten, sowohl während der Übertragung als auch im Ruhezustand, durch den Einsatz von branchenüblicher Transport Layer Security (TLS) und AES-Verschlüsselung. Die AES-Verschlüsselung wird speziell für die Übertragung sämtlicher Kundendaten zwischen unseren Datenzentren sowie von den Datenzentren zu den Endgeräten der Nutzer verwendet. Dateien, die von Nutzern auf PRIOFY-Server hochgeladen werden, werden automatisch mit AES 256 verschlüsselt, wobei für jede Datei ein spezifischer Schlüssel verwendet wird. Diese Verschlüsselungsschlüssel sind in einem gesicherten Schlüsseltresor hinterlegt, der als eine von der Speicherschicht unabhängige Datenbank fungiert.

Datenredundanz, Sicherung und Wiederherstellung

Priofy implementiert ein Datenschutzkonzept, das eine nahezu in Echtzeit erfolgende Datenbankreplikation beinhaltet. Dies gewährleistet, dass Kundendaten sicher auf redundanten und geographisch verteilten Servern innerhalb Deutschlands gespeichert sind. Der Datentransfer zwischen diesen Servern erfolgt über ein dediziertes Netzwerk, das vom öffentlichen Internet isoliert ist.

Es wird täglich ein vollständiges Backup durchgeführt, welches verschlüsselt und räumlich getrennt von den Primärservern aufbewahrt wird, um eine hohe Fehlertoleranz zu bieten. Für den Fall eines Notfalls ist es möglich, Kundendaten aus diesen Backups wiederherzustellen. Selbst bei dem unwahrscheinlichen Ereignis eines Ausfalls mehrerer Server, signifikanter Betriebsstörungen oder Katastrophenfällen ist PRIOFY in der Lage, das gesamte Produktionssystem von unserer Disaster-Recovery-Einrichtung aus wiederherzustellen, die ein ständig aktualisiertes Standby-Datenbanksystem beinhaltet.

Nachverfolgbarkeit von Aktivitäten, Wiederherstellung von Inhalten und Dokumenten

Der Aktivitäts-Tracker von Priofy zeichnet lückenlos alle Updates und Handlungen über den gesamten Projektlebenszyklus hinweg auf, inklusive vollständiger Details, der Identität des Nutzers und Zeitstempeln. Dies ermöglicht eine durchgehende Kontrolle und Rückverfolgbarkeit aller Vorgänge.

Sollten Nutzer Projektelemente, Dateien oder Ordner aus dem Arbeitsbereich entfernen, verschiebt PRIOFY diese in einen speziellen Papierkorb. Von dort aus haben Kundenadministratoren und -verantwortliche die Möglichkeit, gelöschte Objekte bis zu 120 Tage nach dem Löschvorgang sicher wiederherzustellen.

Dank der eingebauten Dokumentversionierung archiviert Priofy zudem eine Historie aller vorangegangenen Versionen von Dokumenten, was Nutzern erlaubt, diese bis zu einem Zeitraum von 30 Tagen zu rekonstruieren. Eine unbegrenzte Versionshistorie ist auf der Ebene einzelner Dokumente verfügbar.

Datenschutz und DSGVO-Konformität

Priofy richtet sich nach europäischem und deutschem Recht und verpflichtet sich zum Schutz seiner Nutzer und deren Daten. Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie das Bundesdatenschutzgesetz (BDSG) in Deutschland verlangen von Organisationen, die in Deutschland oder der EU ansässig sind, sowie von solchen außerhalb der EU, die personenbezogene Daten von in der EU ansässigen Personen verarbeiten, die Einhaltung dieser Regelungen. Diese Gesetzgebung bietet den Nutzern erhöhte Sicherheit, Transparenz und Kontrolle über ihre persönlichen Daten im Internet – Prinzipien, die wir vollumfänglich unterstützen.

Unsere Dienstleistungen, bei denen wir als Datenverarbeiter fungieren, sind gemäß DSGVO/BDSG zertifiziert. Wir haben Verfahren implementiert, die gewährleisten, dass wir Ihre Rechte auf Löschung, Berichtigung, Datenportabilität, Auskunft und Einschränkung der Verarbeitung achten. Zudem führen wir ein Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO, in dem die Kategorien personenbezogener Daten, der Speicherort, die Verarbeitungs- und Wartungsprozesse, der Datenfluss, die verantwortliche Stelle und die Speicherfristen dokumentiert sind. Weitere Details kannst Du unserer Datenschutzerklärung entnehmen.

Verfügbarkeit und Zuverlässigkeit (99,9% Betriebszeitgarantie)

Unser Ziel ist es, eine Verfügbarkeit unserer Dienste von über 99,9% zu sichern, wobei wir planmäßige Wartungsarbeiten stets außerhalb der üblichen Geschäftszeiten in Europa durchführen. PRIOFY hat in seinen Jahren des durchgehenden Betriebs stets eine Verfügbarkeit von 99,9% erreicht oder sogar übertroffen. Für die meisten Updates und Wartungsarbeiten an den Produktionssystemen sind keine Downtimes erforderlich. Unsere Produktionssysteme sind in der Open Telekom Cloud (OTC) gehostet, und wir unterhalten mehrere redundante Systeme, um einen umfassenden Schutz gegen jegliche Einzelausfallpunkte zu bieten. Die OTC bietet eine kontinuierliche Datenverfügbarkeit von bis zu 99,999%, was einem Tier 3+-Sicherheitsniveau entspricht. Unsere Verfügbarkeitsstatistiken werden veröffentlicht und durch externe Überwachung kontrolliert.

Überwachung

Die Leistungsfähigkeit der Anwendung und die Sicherheit werden 24/7 von unserem internen Betriebsteam überwacht. Wir führen regelmäßige Tests gegen Eindringversuche und Angriffe durch und haben ein Intrusion Detection System (IDS) mit Alarmfunktionen eingerichtet, um auf verdächtige Aktivitäten aufmerksam zu machen. System- und Netzwerkprotokolle werden extern gesichert, um bei der schnellen Reaktion auf Sicherheitsvorfälle und der Ursachenanalyse Unterstützung zu bieten. Wir halten ein wachsames Auge auf alle bekannten Schwachstellen und Bedrohungen (CVEs, Common Vulnerabilities and Exposures) in unserer Umgebung und beheben kritische Sicherheitslücken in der Regel innerhalb von 24 Stunden. Zur Aufdeckung von Sicherheitsrisiken nutzt PRIOFY eine Mischung aus automatisierten Scans, Penetrationstests und der Sicherheitsforschung durch externe Experten.

Geschäftskontinuität

Mit mehr als einem Jahrzehnt Erfahrung blicken wir auf eine bewährte Erfolgsgeschichte und einen treuen Kundenstamm zurück. Unser seit 2008 kontinuierlich wachsendes Unternehmen genießt das Vertrauen von Tausenden von Nutzern und Organisationen, einschließlich Hunderten mit langfristigen Abonnements. Diese solide Basis sichert uns finanziell ab und ermöglicht es uns, unsere Dienstleistungen auch in den kommenden Jahren zuverlässig anzubieten.