SICHERHEIT BEI VIRTA

Zuverlässigkeit und Vertrauenswürdigkeit unserer Systeme und Dienste sind unsere Prioritäten

Wir bei Virta verfolgen einen 360-Grad-Ansatz für die Sicherheit. Alle unsere Aktivitäten zielen auf zuverlässige, robuste und sichere Dienste ab. Diese Arbeit wird von der obersten Führungsebene unterstützt und gefördert. Virta hat ein Information Security Management System (ISMS) eingeführt, das vom Information Security Management Team geleitet wird. Die täglichen Sicherheitsaufgaben und -aktivitäten werden vom Chief Information Security Officer geleitet. Das Informationssicherheits-Managementsystem von Virta ist nach ISO 27001:2013 zertifiziert.

Die Gewährleistung der Sicherheit ist ein kontinuierlicher Prozess, und Virta hat einen Risikomanagementprozess definiert, um sicherzustellen, dass die Sicherheit mit der sich verändernden Bedrohungslandschaft Schritt hält. Alle identifizierten Risiken werden stets einem Verantwortlichen zugewiesen und behandelt.

Zertifikate

ISO 27001 Zertifizierung

Virta ist ein ISO 27001 zertifizierter Ladedienstleister. ISO 27001 ist eine international anerkannte Norm für die Informationssicherheit, die gewährleistet, dass strenge Sicherheitskontrollen zum Schutz von Kundendaten vorhanden sind und der Betrieb von Produkten und Dienstleistungen sicher ist.

kiwa Zertifizierung ISO/IEC 27001 Logo

SOC 2 Zertifizierung

Virta hat die SOC 2-Zertifizierung (Service Organizations Controls) Typ 2 für Sicherheit und Verfügbarkeit erhalten. SOC 2 ist ein international anerkannter Prüfungsstandard, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Bei SOC 2 handelt es sich um Prüfungsaufträge, die von einem externen Prüfer durchgeführt werden und bei denen alle Kontrollen und Prozesse im Zusammenhang mit der sicheren Speicherung, Verarbeitung und Übertragung von Daten gründlich untersucht werden.


Die SOC-2-Zertifizierung für Sicherheit und Verfügbarkeit unterstreicht das Engagement von Virta, die strengsten Kontrollen zum Schutz und zur Sicherung von Kundendaten aufrechtzuerhalten.

Sicherheit der Onlinedienste

Die öffentlich zugänglichen Kundensysteme von Virta werden gemäß den internen Richtlinien von Virta, einschließlich der Sicherheitsanforderungen, entwickelt. Für die Anwendungsentwicklung wird OWASP ASVS als Referenz verwendet und die Entwickler:innen erhalten entsprechende Schulungen. Alle Änderungen werden vor dem Einsatz überprüft und in einer Testumgebung getestet, bevor sie in die Produktion übernommen werden. Alle Änderungen am Code können zurückverfolgt werden, und es gibt einen vollständigen Prüfpfad für Änderungen.

Virta führt regelmäßig Schwachstellenscans, Sicherheitsbewertungen und Penetrationstests durch. Schwachstellen-Scans werden automatisch wöchentlich durchgeführt und gründliche Penetrationstests werden regelmäßig von unabhängigen Cybersecurity-Unternehmen an öffentlichen Schnittstellen durchgeführt. Alle gefundenen Probleme werden analysiert, und es werden entsprechende Korrekturen und Abhilfemaßnahmen eingeführt.

Öffentlich verfügbare Anwendungen und Schnittstellen werden in Amazon AWS gehostet, und der Zugriff auf diese Systeme ist streng auf definiertes und zugelassenes Personal beschränkt. AWS bietet hohe Zuverlässigkeit und Skalierbarkeit für unsere Dienste. Alle vertraulichen Informationen (Schlüssel, Service-Passwörter und ähnliche Informationen) werden verschlüsselt gespeichert. Es werden nur branchenübliche kryptografische Lösungen verwendet.

Responsible Disclosure

Die Sicherheit der Daten unserer Kundinnen und Kunden hat für uns oberste Priorität. Wir richten während der Entwicklungsphase große Aufmerksamkeit darauf, aber manchmal entgehen uns Fehler und Sicherheitslücken. Wenn Sie glauben, eine Schwachstelle oder einen Sicherheitsfehler in unseren Systemen entdeckt zu haben, würden wir es sehr begrüßen, wenn Sie uns so schnell wie möglich darüber informieren. Dies hilft uns, die Schwachstelle schnell zu beheben, um die in unserem System gespeicherten Daten zu schützen.

Für weitere Informationen oder zur Benachrichtigung über mögliche Sicherheitsprobleme können Sie unser Sicherheitsteam per E-Mail unter responsible-disclosure@virta.global erreichen.

Respektieren Sie die Privatsphäre. Bemühen Sie sich nach bestem Wissen und Gewissen, nicht auf die Daten eines anderen Nutzers zuzugreifen oder diese zu zerstören, wenn Sie Ihren Fund melden oder überprüfen. Nutzen Sie niemals willentlich andere ohne deren Einwilligung aus.

Speicherort & Datenschutz

Kunden- und Nutzerdaten werden in der EU gespeichert. Online-Dienste und Datenbanken werden in den EU-Regionen der Amazon AWS-Cloud gespeichert. Der Zugriff auf diese Ressourcen ist streng auf bestimmte Mitarbeitende beschränkt, die einen direkten geschäftlichen Anlass für den Zugriff haben. Alle Zugriffsrechte werden nur auf der Grundlage von validierten Geschäftsanforderungen beantragt und gewährt, die in einem separaten Tool dokumentiert sind, und die Zugriffsrechte werden jährlich überprüft.

Virta sammelt nur PII (persönlich identifizierbare Informationen), die für die Bereitstellung der Dienste erforderlich sind. Die gesammelten Daten werden so lange gespeichert, wie es erforderlich ist. Virta hat Datenschutzrichtlinien eingeführt, einschließlich interner Schulungen für Mitarbeitende, die Zugang zu Kundendaten haben, ein internes Datenschutzhandbuch und Benachrichtigungsverfahren.

Weitere Informationen über eingetragene Rechte und andere Details zum Datenschutz finden Sie in der Datenschutzerklärung von Virta.

Moderne & sichere Infrastruktur

Alle Virta-Dienste laufen in modernen, geschützten und skalierbaren Cloud-Diensten mit diversen Zertifizierungen wie ISO 27001:2013, SOC 2 und ähnlichem (eine vollständige Liste finden Sie hier: https://aws.amazon.com/compliance/programs/). Die Systeme sind nicht von einem einzigen Rechenzentrum abhängig. Unsere automatisierte Deployment-Pipeline sorgt dafür, dass die Produktionsumgebung immer mit den neuesten Sicherheits-Patches installiert ist. Alle Abweichungen werden durch kontinuierliche Schwachstellen-Scans überwacht.

Sichere Zahlungen

Zahlungskartendaten (Kredit-/Debitkarte) werden von unserem PCI-DSS-zertifizierten Partner Payment Highway verarbeitet und gespeichert.