Sicherheit und Compliance

Wir verpflichten uns, die Sicherheit Ihrer Informationen zu schützen, und ergreifen wirksame Maßnahmen, um diese zu sichern. Diese Seite bietet einen Überblick über unsere Sicherheitsrichtlinien und Technologien.

Last updated:
February 25, 2025
Datenschutzrichtlinie
Nutzungsbedingungen
Sicherheit und Compliance
Data Processing Addendum (EN)
Business Associate Agreement (EN)
Drucken

Engagement für Sicherheit und Compliance

Gmelius SA („Gmelius“), der Anbieter von Backup Space, verpflichtet sich, die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu gewährleisten. Wir setzen branchenführende Sicherheitsmaßnahmen ein, um die Einhaltung geltender Datenschutzgesetze und regulatorischer Anforderungen sicherzustellen. Dieses Dokument gibt einen Überblick über unsere Sicherheitsrichtlinien, Datenschutzpraktiken und unser Compliance-Framework.

Über Backup Space

Backup Space ist ein Produkt, das von Gmelius SA, einem in der Schweiz registrierten Unternehmen (CHE-411.148.873), entwickelt, gewartet und betrieben wird. Gmelius widmet sich der Förderung der Zusammenarbeit, der Automatisierung von Geschäftsprozessen und der Sicherstellung der Geschäftskontinuität. Unser Hauptsitz befindet sich in Genf, Schweiz.

Hosting und Bereitstellung

Backup Space wird als verteilte, containerisierte Anwendung innerhalb der Google Cloud Platform (GCP) in mehreren Regionen betrieben, darunter die Vereinigten Staaten, Kanada, die Schweiz, die Europäische Union, das Vereinigte Königreich und Australien. Die GCP-Infrastruktur erfüllt international anerkannte Sicherheits- und Datenschutzstandards, darunter:

  • SOC 1 (SSAE-16), SOC 2
  • PCI DSS Level 1
  • ISO 27001
  • HIPAA
  • FIPS 140-2

Kunden können bei der Einrichtung des Dienstes ihren bevorzugten Speicherort für Daten auswählen. Die gesamte physische Infrastruktur wird ausschließlich von Google-Mitarbeitern verwaltet; Mitarbeiter von Gmelius haben keinen physischen Zugang zu den Rechenzentren. Zur Erhöhung der Sicherheit setzen wir Multi-Faktor-Authentifizierung (MFA) in internen Systemen ein und verfolgen ein "Least Privilege"-Zugriffsmodell, um den Datenzugriff auf betriebsnotwendige Zwecke zu beschränken.

Datenspeicherung und Verschlüsselung

Backup Space verwendet robuste Verschlüsselungsprotokolle zum Schutz von Kundendaten während der Übertragung und im Ruhezustand:

  • Während der Übertragung: TLS 1.3-Verschlüsselung schützt alle Datenübertragungen zwischen den Dienstkomponenten.
  • Im Ruhezustand: AES-256-Verschlüsselung gewährleistet ein Höchstmaß an Datensicherheit.

Kunden haben zudem die Möglichkeit, ihre eigene "Bring Your Own Key" (BYOK)-Verschlüsselung zu verwenden, z. B. Google Cloud Key Management Service (KMS), um eine noch größere Kontrolle über die Datensicherheit zu erhalten.

Sicherheitsfunktionen der Plattform

Backup Space bietet Sicherheitsfunktionen zur Wahrung der Datenintegrität und zur Zugriffskontrolle, darunter:

  • Unveränderliche Audit-Logs, die alle Konfigurationsänderungen, Datenzugriffe und Wiederherstellungsvorgänge erfassen.
  • Identitäts- und Zugriffsmanagement (IAM) über führende Anbieter wie Okta (SAML) und Google, mit Unterstützung für MFA-Erzwingung und IP-basierte Zugriffskontrollen.

Backups und Ausfallsicherheit

Backup Space wurde mit Hochverfügbarkeit und Disaster-Recovery-Funktionen unter Verwendung der Google Kubernetes Engine (GKE) entwickelt. Unsere Architektur gewährleistet:

  • Eine redundante Infrastruktur, die Komponentenfehler automatisch abfängt.
  • Eine kontinuierliche Replikation von Daten in separate Speicherumgebungen.
  • Regelmäßige Disaster-Recovery-Tests, die die Integrität der Backups und Wiederherstellungsprozesse überprüfen.

Drittanbieter-Unterauftragsverarbeiter

Gmelius minimiert den Einsatz von Unterauftragsverarbeitern und stellt sicher, dass alle Drittanbieter:

  • Regelmäßige Sicherheitsaudits und Compliance-Prüfungen durchlaufen.
  • Den Standards SOC 2 und/oder ISO 27001 entsprechen.
  • Nachgewiesene Erfahrung im Bereich Datensicherheit und Datenschutz-Compliance haben.

Kundendaten innerhalb unserer Infrastruktur bleiben jederzeit verschlüsselt. An Drittanbieter werden nur begrenzte Informationen weitergegeben, die für essenzielle Betriebsprozesse erforderlich sind, einschließlich der Zahlungsabwicklung über Stripe und des Kundenmanagements über Attio und Gmelius.

Eine vollständige und aktuelle Liste unserer Unterauftragsverarbeiter ist verfügbar unter: https://trust.gmelius.com.

SOC 2 Type II-Zertifizierung

Gmelius ist SOC 2 Type II-zertifiziert, was die Einhaltung strenger Sicherheits-, Verfügbarkeits-, Verarbeitungsintegritäts- und Vertraulichkeitsstandards bestätigt. Unsere Sicherheitskontrollen werden kontinuierlich evaluiert, um die Einhaltung sich entwickelnder regulatorischer Anforderungen zu gewährleisten.

Penetrationstests und Sichere Codeprüfung

Gmelius beauftragt unabhängige Sicherheitsunternehmen, darunter Pentest People, mit der Durchführung regelmäßiger Penetrationstests und sicherer Codeüberprüfungen, um potenzielle Schwachstellen proaktiv zu identifizieren und zu beheben.

Regulatorische Compliance

Gmelius stellt die Einhaltung mehrerer regulatorischer Rahmenbedingungen sicher, darunter:

  • Allgemeine Datenschutzverordnung (DSGVO / GDPR) – Wir unterstützen alle Datenschutzrechte betroffener Personen gemäß der DSGVO und stellen eine Datenverarbeitungsvereinbarung (DPA) bereit.
  • California Consumer Privacy Act (CCPA) – Wir verkaufen keine Kundendaten und erfüllen alle CCPA-relevanten Rechte und Verpflichtungen.
  • Health Insurance Portability and Accountability Act (HIPAA) – Wir unterzeichnen Business Associate Agreements (BAAs) für Kunden, die geschützte Gesundheitsinformationen (PHI) verarbeiten.
  • UK National Cyber Security Centre (NCSC) – Backup Space orientiert sich an den 14 Cloud-Sicherheitsprinzipien des NCSC.
  • Kanadische Vorschriften:
    • PIPEDA – Gmelius schützt personenbezogene Daten gemäß dem Personal Information Protection and Electronic Documents Act.
    • PHIPA – Backup Space erfüllt die Anforderungen des Personal Health Information Protection Act zur sicheren Verarbeitung von Gesundheitsdaten (PHI).

Vorfallreaktion und Schadensbegrenzung

Wir gewährleisten eine 24/7/365-Systemüberwachung mit fortschrittlichen Leistungs- und Sicherheitsdetektionstools. Im Falle eines Sicherheitsvorfalls:

  • Werden sofortige Alarme ausgelöst, die von unserem Sicherheitsteam untersucht werden.
  • Arbeiten wir mit unseren Hosting-Anbietern zusammen, um Schwachstellen zu beheben.
  • Werden Systemprotokolle für mindestens sieben (7) Tage zur forensischen Analyse aufbewahrt.

Bei schwerwiegenden Sicherheitsvorfällen werden die betroffenen Benutzer unverzüglich über unsere offiziellen Kommunikationskanäle informiert, darunter unsere Statusseite, unser Blog und E-Mail-Updates.

Für weitere Informationen kontaktieren Sie bitte unser Sicherheitsteam unter [email protected].

Imprint
Backup Space c/o Gmelius SA
Route de Pré-Bois 14
1216 Cointrin, Geneva, Switzerland
X