Sicherheits-Whitepaper

Claform Sicherheits überblick

Umfragen, die Menschen abschließen

Ein umfassender Einblick, wie wir Ihre Daten über die Ebenen Infrastruktur, Anwendung, Authentifizierung und Betrieb hinweg schützen.

Zusammenfassung

Sicherheit by Design

Claform ist eine Umfrage- und Feedback-Plattform für Unternehmen, die über 8 Vertriebskanäle Millionen von Antworten in über 190 Ländern verarbeitet. Sicherheit ist kein nachträglicher Gedanke, sondern ein grundlegendes Designprinzip, das in jeder Ebene unserer Architektur verankert ist.

Unsere Sicherheitsphilosophie basiert auf dem Prinzip der gestaffelten Verteidigung (Defense in Depth): mehrere sich überschneidende Kontrollen, die sicherstellen, dass kein einzelner Ausfallpunkt die Integrität oder Vertraulichkeit der Daten gefährden kann. Wir kombinieren branchenübliche Verschlüsselung, strenge Zugriffskontrollen, kontinuierliche Überwachung und regelmäßige Audits durch Dritte, um das Vertrauen von Organisationen zu wahren, die mit sensiblen Feedback-Daten umgehen.

Dieses Dokument bietet einen technischen Überblick über unsere Sicherheitskontrollen in sechs Bereichen: Infrastruktur, Anwendung, Datenschutz, Authentifizierung, Compliance und betriebliche Sicherheit.

Infrastruktursicherheit

Unsere Plattform läuft auf einer Cloud-Infrastruktur in Unternehmensqualität, die auf hohe Verfügbarkeit, Fehlertoleranz und gestaffelte Verteidigung ausgelegt ist.

Cloud-Hosting

Gehostet auf AWS mit Multi-AZ-Deployments über geografisch verteilte Regionen. Auto-Scaling-Gruppen halten die Leistung auch bei Spitzenlast aufrecht.

Netzwerkisolierung

Virtual Private Cloud (VPC) mit privaten Subnetzen, NAT-Gateways und strengen Sicherheitsgruppen. Kein direkter Internetzugang zu den Anwendungsservern.

DDoS-Schutz

AWS Shield Advanced mit CloudFront CDN bietet mehrschichtige DDoS-Abwehr. Ratenbegrenzung und WAF-Regeln blockieren bösartigen Datenverkehr, bevor er die Anwendungslogik erreicht.

Backup & Wiederherstellung

Automatisierte tägliche Datenbank-Snapshots mit 30-tägiger Aufbewahrung. Point-in-Time-Wiederherstellung innerhalb der letzten 5 Minuten. Regionenübergreifende Backup-Replikation für die Notfallwiederherstellung.

Anwendungssicherheit

Sicherheit ist in unseren gesamten Entwicklungszyklus eingebettet, von der Code-Überprüfung bis zur Produktionsüberwachung.

Eingabevalidierung

Alle Benutzereingaben werden auf mehreren Ebenen validiert, bereinigt und parametrisiert. Strenge Typprüfung mit TypeScript verhindert ganze Kategorien von Laufzeitschwachstellen.

Abdeckung der OWASP Top 10

Systematische Schutzmaßnahmen gegen alle OWASP-Top-10-Risiken, einschließlich Injection, fehlerhafter Authentifizierung, XSS, CSRF, unsicherer Deserialisierung und Sicherheitsfehlkonfigurationen.

Abhängigkeitsprüfung

Automatisierte Prüfung aller Abhängigkeiten bei jedem Build. Snyk und GitHub Dependabot überwachen bekannte Schwachstellen. Kritische CVEs werden innerhalb von 24 Stunden behoben.

Penetrationstests

Jährliche Penetrationstests durch zertifizierte Sicherheitsunternehmen. Kontinuierliche automatisierte Schwachstellenprüfung. Bug-Bounty-Programm für verantwortungsvolle Offenlegung.

Datenschutz

Alle Daten werden im Ruhezustand und während der Übertragung mit branchenüblichen kryptografischen Algorithmen und einem strengen Schlüsselmanagement verschlüsselt.

AES-256-GCM im Ruhezustand

Alle gespeicherten Daten, einschließlich Umfrageantworten, hochgeladener Dateien und personenbezogener Daten, werden mit AES-256-GCM verschlüsselt. Eine transparente Datenverschlüsselung auf Datenbankebene bildet eine zweite Schicht.

TLS 1.3 während der Übertragung

Die gesamte Netzwerkkommunikation verwendet TLS 1.3 mit starken Cipher Suites. HSTS-Header erzwingen HTTPS. Certificate Pinning in den mobilen SDKs verhindert Man-in-the-Middle-Angriffe.

Schlüsselmanagement

Verschlüsselungsschlüssel werden über AWS KMS mit automatischer jährlicher Rotation verwaltet. Schlüssel werden niemals zusammen mit den Daten gespeichert. Hardware-Sicherheitsmodule (HSMs) schützen die Hauptschlüssel.

PII-Erkennung

Die automatisierte PII-Erkennung in offenen Textantworten von Umfragen identifiziert Namen, E-Mail-Adressen, Telefonnummern und Anschriften. Markierte Daten können automatisch geschwärzt werden oder erfordern eine Überprüfung.

Authentifizierung & Zugriffskontrolle

Identitätsmanagement in Unternehmensqualität mit mehreren Authentifizierungsfaktoren, granularen Berechtigungen und umfassender Sitzungskontrolle.

SAML 2.0 SSO

Native Unterstützung für Okta, Azure AD, OneLogin, Google Workspace und jeden SAML-2.0-Identitätsanbieter. Just-in-Time-Bereitstellung und automatische Rollenzuordnung.

TOTP-Multi-Faktor-Authentifizierung

Zeitbasierte Einmalpasswort-MFA mit Unterstützung für Authentifizierungs-Apps. Kann organisationsweit oder pro Rolle erzwungen werden. Wiederherstellungscodes mit sicherer Speicherung.

API-Schlüssel-Scoping

Feingranulare API-Schlüssel mit Berechtigungen pro Endpunkt, Ratenbegrenzungen, IP-Beschränkungen und automatischem Ablauf. Vollständiger Audit-Trail der Schlüsselnutzung.

Sitzungsverwaltung & IP-Allowlisting

Konfigurierbare Sitzungs-Timeouts, Beschränkungen für gleichzeitige Sitzungen, erzwungene Abmeldung und geografisches IP-Allowlisting. Echtzeit-Sitzungsüberwachung und Anomalieerkennung.

Compliance & Zertifizierungen

Wir entwickeln unsere Plattform so, dass sie sich an globalen Datenschutzbestimmungen ausrichtet, um die Anforderungen regulierter Branchen zu erfüllen.

GDPR mit Auftragsverarbeitungsvertrag

Vollständige GDPR-Compliance, einschließlich der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Einwilligungsmanagement und eines umfassenden Auftragsverarbeitungsvertrags (DPA).

TCPA & CASL

Integrierte Compliance für SMS- und Sprachkampagnen mit TCPA-Einwilligungsverfolgung, Opt-out-Verwaltung und Compliance mit der kanadischen Anti-Spam-Gesetzgebung (CASL).

SOC 2 (Type-II-Kontrollen)

Aufgebaut auf den SOC-2-Type-II-Trust-Prinzipien Sicherheit, Verfügbarkeit und Vertraulichkeit. Enterprise-Kunden können unsere aktuelle Sicherheitsdokumentation unter NDA anfordern.

HIPAA BAA verfügbar

Business Associate Agreement für Organisationen im Gesundheitswesen verfügbar. HIPAA-konforme Datenverarbeitung, Zugriffskontrollen und Audit-Protokollierung für geschützte Gesundheitsinformationen.

Betriebliche Sicherheit

Sicherheit geht über die Technologie hinaus und erstreckt sich auf unsere Mitarbeiter, Prozesse und organisatorischen Praktiken.

Hintergrundüberprüfungen von Mitarbeitern

Alle Mitarbeiter durchlaufen vor der Einstellung umfassende Hintergrundüberprüfungen. Der Zugriff auf Produktionssysteme erfordert eine zusätzliche Sicherheitsfreigabe.

Sicherheitsschulungen

Verpflichtende jährliche Sicherheitsschulungen für alle Mitarbeiter. Entwickler absolvieren zusätzliche Kurse zur sicheren Programmierung sowie Phishing-Simulationen.

Incident Response

Dokumentierter Incident-Response-Plan mit definierten Rollen, Eskalationsverfahren und Kommunikationsvorlagen. Regelmäßige Tabletop-Übungen und Nachbesprechungen nach Vorfällen.

Offenlegung von Schwachstellen

Programm zur verantwortungsvollen Offenlegung mit klaren Meldewegen. Sicherheitsforscher können Schwachstellen unter Safe-Harbor-Schutz an security@claform.com melden.

Vollständiges Whitepaper herunterladen

Erhalten Sie das vollständige Sicherheits-Whitepaper als PDF für die Offline-Prüfung, Compliance-Audits oder zur Weitergabe an Ihr Sicherheitsteam.

Sicherheits-Whitepaper herunterladen (PDF)

Benötigen Sie eine tiefergehende Prüfung?

Vereinbaren Sie eine Sicherheitsprüfung mit unserem Team. Wir führen Sie gerne durch unsere Architektur, stellen SOC-2-Berichte bereit und beantworten Ihre Sicherheitsfragebögen.