Sicherheits-Whitepaper
Claform Sicherheits überblick
Umfragen, die Menschen abschließen
Ein umfassender Einblick, wie wir Ihre Daten über die Ebenen Infrastruktur, Anwendung, Authentifizierung und Betrieb hinweg schützen.
Zusammenfassung
Sicherheit by Design
Claform ist eine Umfrage- und Feedback-Plattform für Unternehmen, die über 8 Vertriebskanäle Millionen von Antworten in über 190 Ländern verarbeitet. Sicherheit ist kein nachträglicher Gedanke, sondern ein grundlegendes Designprinzip, das in jeder Ebene unserer Architektur verankert ist.
Unsere Sicherheitsphilosophie basiert auf dem Prinzip der gestaffelten Verteidigung (Defense in Depth): mehrere sich überschneidende Kontrollen, die sicherstellen, dass kein einzelner Ausfallpunkt die Integrität oder Vertraulichkeit der Daten gefährden kann. Wir kombinieren branchenübliche Verschlüsselung, strenge Zugriffskontrollen, kontinuierliche Überwachung und regelmäßige Audits durch Dritte, um das Vertrauen von Organisationen zu wahren, die mit sensiblen Feedback-Daten umgehen.
Dieses Dokument bietet einen technischen Überblick über unsere Sicherheitskontrollen in sechs Bereichen: Infrastruktur, Anwendung, Datenschutz, Authentifizierung, Compliance und betriebliche Sicherheit.
Infrastruktursicherheit
Unsere Plattform läuft auf einer Cloud-Infrastruktur in Unternehmensqualität, die auf hohe Verfügbarkeit, Fehlertoleranz und gestaffelte Verteidigung ausgelegt ist.
Cloud-Hosting
Gehostet auf AWS mit Multi-AZ-Deployments über geografisch verteilte Regionen. Auto-Scaling-Gruppen halten die Leistung auch bei Spitzenlast aufrecht.
Netzwerkisolierung
Virtual Private Cloud (VPC) mit privaten Subnetzen, NAT-Gateways und strengen Sicherheitsgruppen. Kein direkter Internetzugang zu den Anwendungsservern.
DDoS-Schutz
AWS Shield Advanced mit CloudFront CDN bietet mehrschichtige DDoS-Abwehr. Ratenbegrenzung und WAF-Regeln blockieren bösartigen Datenverkehr, bevor er die Anwendungslogik erreicht.
Backup & Wiederherstellung
Automatisierte tägliche Datenbank-Snapshots mit 30-tägiger Aufbewahrung. Point-in-Time-Wiederherstellung innerhalb der letzten 5 Minuten. Regionenübergreifende Backup-Replikation für die Notfallwiederherstellung.
Anwendungssicherheit
Sicherheit ist in unseren gesamten Entwicklungszyklus eingebettet, von der Code-Überprüfung bis zur Produktionsüberwachung.
Eingabevalidierung
Alle Benutzereingaben werden auf mehreren Ebenen validiert, bereinigt und parametrisiert. Strenge Typprüfung mit TypeScript verhindert ganze Kategorien von Laufzeitschwachstellen.
Abdeckung der OWASP Top 10
Systematische Schutzmaßnahmen gegen alle OWASP-Top-10-Risiken, einschließlich Injection, fehlerhafter Authentifizierung, XSS, CSRF, unsicherer Deserialisierung und Sicherheitsfehlkonfigurationen.
Abhängigkeitsprüfung
Automatisierte Prüfung aller Abhängigkeiten bei jedem Build. Snyk und GitHub Dependabot überwachen bekannte Schwachstellen. Kritische CVEs werden innerhalb von 24 Stunden behoben.
Penetrationstests
Jährliche Penetrationstests durch zertifizierte Sicherheitsunternehmen. Kontinuierliche automatisierte Schwachstellenprüfung. Bug-Bounty-Programm für verantwortungsvolle Offenlegung.
Datenschutz
Alle Daten werden im Ruhezustand und während der Übertragung mit branchenüblichen kryptografischen Algorithmen und einem strengen Schlüsselmanagement verschlüsselt.
AES-256-GCM im Ruhezustand
Alle gespeicherten Daten, einschließlich Umfrageantworten, hochgeladener Dateien und personenbezogener Daten, werden mit AES-256-GCM verschlüsselt. Eine transparente Datenverschlüsselung auf Datenbankebene bildet eine zweite Schicht.
TLS 1.3 während der Übertragung
Die gesamte Netzwerkkommunikation verwendet TLS 1.3 mit starken Cipher Suites. HSTS-Header erzwingen HTTPS. Certificate Pinning in den mobilen SDKs verhindert Man-in-the-Middle-Angriffe.
Schlüsselmanagement
Verschlüsselungsschlüssel werden über AWS KMS mit automatischer jährlicher Rotation verwaltet. Schlüssel werden niemals zusammen mit den Daten gespeichert. Hardware-Sicherheitsmodule (HSMs) schützen die Hauptschlüssel.
PII-Erkennung
Die automatisierte PII-Erkennung in offenen Textantworten von Umfragen identifiziert Namen, E-Mail-Adressen, Telefonnummern und Anschriften. Markierte Daten können automatisch geschwärzt werden oder erfordern eine Überprüfung.
Authentifizierung & Zugriffskontrolle
Identitätsmanagement in Unternehmensqualität mit mehreren Authentifizierungsfaktoren, granularen Berechtigungen und umfassender Sitzungskontrolle.
SAML 2.0 SSO
Native Unterstützung für Okta, Azure AD, OneLogin, Google Workspace und jeden SAML-2.0-Identitätsanbieter. Just-in-Time-Bereitstellung und automatische Rollenzuordnung.
TOTP-Multi-Faktor-Authentifizierung
Zeitbasierte Einmalpasswort-MFA mit Unterstützung für Authentifizierungs-Apps. Kann organisationsweit oder pro Rolle erzwungen werden. Wiederherstellungscodes mit sicherer Speicherung.
API-Schlüssel-Scoping
Feingranulare API-Schlüssel mit Berechtigungen pro Endpunkt, Ratenbegrenzungen, IP-Beschränkungen und automatischem Ablauf. Vollständiger Audit-Trail der Schlüsselnutzung.
Sitzungsverwaltung & IP-Allowlisting
Konfigurierbare Sitzungs-Timeouts, Beschränkungen für gleichzeitige Sitzungen, erzwungene Abmeldung und geografisches IP-Allowlisting. Echtzeit-Sitzungsüberwachung und Anomalieerkennung.
Compliance & Zertifizierungen
Wir entwickeln unsere Plattform so, dass sie sich an globalen Datenschutzbestimmungen ausrichtet, um die Anforderungen regulierter Branchen zu erfüllen.
GDPR mit Auftragsverarbeitungsvertrag
Vollständige GDPR-Compliance, einschließlich der Rechte betroffener Personen (Auskunft, Berichtigung, Löschung, Übertragbarkeit), Einwilligungsmanagement und eines umfassenden Auftragsverarbeitungsvertrags (DPA).
TCPA & CASL
Integrierte Compliance für SMS- und Sprachkampagnen mit TCPA-Einwilligungsverfolgung, Opt-out-Verwaltung und Compliance mit der kanadischen Anti-Spam-Gesetzgebung (CASL).
SOC 2 (Type-II-Kontrollen)
Aufgebaut auf den SOC-2-Type-II-Trust-Prinzipien Sicherheit, Verfügbarkeit und Vertraulichkeit. Enterprise-Kunden können unsere aktuelle Sicherheitsdokumentation unter NDA anfordern.
HIPAA BAA verfügbar
Business Associate Agreement für Organisationen im Gesundheitswesen verfügbar. HIPAA-konforme Datenverarbeitung, Zugriffskontrollen und Audit-Protokollierung für geschützte Gesundheitsinformationen.
Betriebliche Sicherheit
Sicherheit geht über die Technologie hinaus und erstreckt sich auf unsere Mitarbeiter, Prozesse und organisatorischen Praktiken.
Hintergrundüberprüfungen von Mitarbeitern
Alle Mitarbeiter durchlaufen vor der Einstellung umfassende Hintergrundüberprüfungen. Der Zugriff auf Produktionssysteme erfordert eine zusätzliche Sicherheitsfreigabe.
Sicherheitsschulungen
Verpflichtende jährliche Sicherheitsschulungen für alle Mitarbeiter. Entwickler absolvieren zusätzliche Kurse zur sicheren Programmierung sowie Phishing-Simulationen.
Incident Response
Dokumentierter Incident-Response-Plan mit definierten Rollen, Eskalationsverfahren und Kommunikationsvorlagen. Regelmäßige Tabletop-Übungen und Nachbesprechungen nach Vorfällen.
Offenlegung von Schwachstellen
Programm zur verantwortungsvollen Offenlegung mit klaren Meldewegen. Sicherheitsforscher können Schwachstellen unter Safe-Harbor-Schutz an security@claform.com melden.
Vollständiges Whitepaper herunterladen
Erhalten Sie das vollständige Sicherheits-Whitepaper als PDF für die Offline-Prüfung, Compliance-Audits oder zur Weitergabe an Ihr Sicherheitsteam.
Sicherheits-Whitepaper herunterladen (PDF)Benötigen Sie eine tiefergehende Prüfung?
Vereinbaren Sie eine Sicherheitsprüfung mit unserem Team. Wir führen Sie gerne durch unsere Architektur, stellen SOC-2-Berichte bereit und beantworten Ihre Sicherheitsfragebögen.