Als Cloud-Dienst hat die Sicherheit Ihrer Daten für uns höchste Priorität. Im Folgenden beschreiben wir wichtige Maßnahmen, die wir zum Schutz Ihrer Daten durchführen. Darüber hinaus wenden wir eine breite Palette zusätzlicher Sicherheits- und Schutzmaßnahmen an, deren Erläuterung entweder (i) zu kompliziert wäre oder (ii) für die es nicht sinnvoll wäre, sie mit der Öffentlichkeit zu teilen. Wenn Sie Fragen haben, wenden Sie sich bitte an uns.
Leapsome ist nach ISO/IEC 27001:2013 zertifiziert, einem weltweit anerkannten Standard für Informationssicherheitsmanagementsysteme (ISMS).
Unsere Anwendung wird auf Servern gehostet, die von Amazon Web Services in seinen europäischen Rechenzentren bereitgestellt werden. Amazon Web Services ist ein führender "Platform-as-a-Service"-Anbieter, der es Kunden (darunter Siemens, Novartis, Nasdaq, Vodafone und anderen) ermöglicht, Anwendungen zu entwickeln, auszuführen und zu verwalten, ohne die damit verbundene Infrastruktur aufbauen und warten zu müssen. Der Service bietet eine erstklassige Sicherheitsinfrastruktur und kümmert sich um Backups, Protokollierung, Auditing und andere infrastrukturbezogene Dienste.
Amazon Web Services prüft seine Dienste ständig und hat unter anderem die Einhaltung der folgenden Standards nachgewiesen:
Andere Dienstleister, die von Leapsome zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.
Eine Übermittlung von Daten in einen Staat, der nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist, erfolgt nur in Übereinstimmung mit der DSGVO und wenn die spezifischen Anforderungen der Artikel 44 ff. der Allgemeinen Datenschutzverordnung (DSGVO) erfüllt sind. Insbesondere erfordert eine Übermittlung eine klare vertragliche Vereinbarung zwischen Leapsome und jedem Unterauftragnehmer, die mindestens das gleiche Datenschutzniveau wie die von der Europäischen Kommission festgelegten Standardvertragsklauseln (SCCs) garantiert.
Ihre Passwörter werden immer verschlüsselt (gehashed, salted) und niemals im Klartext gespeichert. Wenn eine Person versucht, sich bei Leapsome einzuloggen, wird das Passwort auf dieselbe Weise verschlüsselt, und die Plattform vergleicht die verschlüsselten Versionen, um zu prüfen, ob sie übereinstimmen. Das bedeutet auch, dass wir ein Kennwort nicht wiederherstellen können (wir haben nur die verschlüsselte Version) und Sie Ihr Kennwort zurücksetzen müssen, wenn Sie es verlieren. Als zusätzliche Sicherheitsmaßnahme setzen wir bei der Anmeldung eine Mindestlänge für das Passwort fest.
Wenn Ihr Unternehmen GSuite für die interne Kommunikation verwendet, können Sie sich auch mit Google, Okta, Active Directory oder anderen SSO-Anbietern über eine sichere Verbindung anmelden. In diesem Fall werden Ihre Passwörter überhaupt nicht auf unseren Servern gespeichert. Stattdessen werden Ihre Mitarbeitenden zu einer Seite weitergeleitet, auf der sie Leapsome als vertrauenswürdigen Dienst authentifizieren, und es wird ein Token generiert mit dem wir Ihre Accounts identifizieren können. Sie können dieses Token jederzeit über Ihre Google-Kontoeinstellungen widerrufen.
Unsere Plattform verwendet Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Die Token enthalten niemals Ihr tatsächliches Passwort oder andere sensible Informationen. Es wird lediglich ein zufällig erstelltes Token gespeichert, das Ihnen den Zugriff auf grundlegende Funktionen ermöglicht. Für den Zugriff auf kritische Funktionen – wie die Änderung Ihres Passworts – müssen Sie Ihr Passwort erneut eingeben.
Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Servern erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und vollständig bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden genutzt.
Zusätzlich verwenden wir Encryption At Rest, um sämtliche Daten in unserer Datenbank mit dem Industriestandard-Algorithmus AES-256 zu verschlüsseln. Dies bedeutet, dass Ihre Daten vor und nach dem Zugriff auf die Datenbank verschlüsselt werden und niemals im Klartext vorliegen.
Zusätzlich zu einer sicheren Hosting-Umgebung bauen wir auf bewährten Software-Bibliotheken auf, um zu gewährleisten, dass Ihre Daten sicher und Ihre Accounts keinen Sicherheitslücken ausgesetzt sind.
Unser Frontend-Framework Vue (hauptsächlich von Google verwaltet) schützt in Kombination mit der Verwendung von Unique User-Token alle Accounts vor üblichen Bedrohungen wie beispielsweise Cross-Site-Scripting (CSS/XSS) und Cross-Site-Request-Forgery (CSRF/XSRF).
Wir verwenden MongoDB als Datenspeicher, was bedeutet, dass unsere Anwendung nicht für SQL-Injektionen anfällig ist. Die Verwendung von etablierter Middleware und Input Sanitization für alle Eingaben sorgt für zusätzlichen Schutz.
Wie bereits erwähnt, läuft unsere Anwendung auf AWS-Servern. AWS hält die Serversoftware stets auf dem neuesten Stand und behebt neue Sicherheitsschwachstellen sofort.
Auch ein authentifizierter (angemeldeter) Benutzer kann versuchen, Schwachstellen auszunutzen – jemand könnte sich beispielsweise für ein Demokonto anmelden und versuchen, auf die Daten unserer Kundschaft zuzugreifen.
Auch wenn die oben genannten Software-Frameworks das System bereits vor dieser Bedrohung schützen, überprüft der Anwendungscode zusätzlich jede Anfrage und stellt sicher, dass die Unternehmens-ID des Datenbankobjekts mit der Unternehmens-ID des Benutzers übereinstimmt. Jedes Datenbankobjekt ist mit einer Unternehmens-ID versehen, und alle potenziellen Versuche, diese zu verletzen, lösen eine sofortige Benachrichtigung an unsere Administratoren aus.
Wir legen außerdem Wert auf eine strikte rollenbasierte Zugriffskontrolle für alle Anfragen und Ansichten der Plattform. Dadurch wird verhindert, dass Mitarbeitende auf Funktionen zugreifen können (z. B. Änderung von Benutzerdaten, Bearbeitung von Rechnungsinformationen usw.), die Administratoren vorbehalten sein sollten.
Unsere Anwendung und Datenbank werden in einem sicher bewachten Datenzentrum gehostet, in dem professionell ausgebildetes Personal für die physische Sicherheit der Server sorgt.
Auch der Fernzugriff ist streng begrenzt. Innerhalb unseres Teams muss jeder Einsatz von neuem Code durch eine von zwei Personen, die Zugang haben, genehmigt werden. Die gleiche Zugangsbeschränkung gilt für unsere Datenbanken und den internen Verwaltungsbereich. Der Zugang zu den Datenbanken, unserem zentralen Code-Repository und unserer Hosting-Umgebung ist außerdem durch eine Zwei-Faktor-Authentifizierung geschützt. Wir aktualisieren regelmäßig Passwörter und Sicherheits-Token.
In unseren internen Verwaltungsdaten zeigen wir nur aggregierte Statistiken und Daten auf Unternehmensebene an (z. B. Rechnungsinformationen), nicht aber den Inhalt des tatsächlichen Feedbacks, Reviews usw. Wir sehen uns keine Rohdaten unserer Kundschaft an, es sei denn, wir haben die Erlaubnis erhalten, dies zu tun, um einen Fehler zu beheben. Die meisten Fehler können jedoch durch die Analyse von Serverprotokollen und die Reproduktion des Problems mit Dummy-Daten behoben werden.
Sobald Sie Leapsome nutzen, unterzeichnen Sie eine Datenverarbeitungsvereinbarung mit uns. Darin wird dargelegt, wie wir mit Ihren Daten umgehen dürfen, welche Sicherheitsmaßnahmen wir ergreifen und welche Rechte Sie haben. Dies ist die Basis für unsere Einhaltung der DSGVO.
Unser Team ist sehr sicherheitsbewusst. Um zu vermeiden, dass wir auf Täuschungen durch Dritte hereinfallen, halten wir regelmäßig interne Sicherheitsbesprechungen ab, setzen nur aktuelle und moderne Browser ein, verwenden Passwortmanager und unterschiedliche Passwörter für alle Websites, aktualisieren regelmäßig unsere Passwörter und verschlüsseln die Festplatten unserer Geräte.
Unsere Anwendung und Datenbanken sind auf verschiedenen Servern verteilt und repliziert. Fällt einer dieser Server aus, übernimmt eine andere Instanz die Aufgabe, die Anwendung zu bedienen – in der Regel ohne dass der Endnutzer dies bemerkt.
Die Datenbanken werden laufend gesichert und können wiederhergestellt werden, falls die Software oder der Server einmal in größerem Umfang ausfallen sollten. Die Backups werden zur zusätzlichen Sicherheit in verschiedenen Verfügbarkeitszonen gespeichert.
Wir überwachen die Leistung unserer Anwendung und Datenbanken genau – mithilfe integrierter Überwachungstools von AWS und NewRelic. Alle internen Fehler oder potenziellen Ausfälle unserer verschiedenen Integrationen werden protokolliert und lösen Benachrichtigungen an unser Entwicklungsteam aus, sodass wir das Problem in der Regel innerhalb weniger Minuten identifizieren und schnell beheben können.
Manchmal sind es aber auch die Benutzer, die eine Panne bemerken oder über einen Fehler in der Software stolpern. In diesem Fall bitten wir Sie, uns über den Help-Bot in der Plattform oder das Help-Widget unseres Success Centers (beide erreichbar über die Schaltfläche in der rechten unteren Ecke des Bildschirms) zu informieren. Wir sind für jeden Hinweis oder Feedback dankbar. Wenn möglich, fügen Sie bitte einen Screenshot und eine genaue Beschreibung der Situation bei, auf die Sie gestoßen sind. Kritische Probleme werden sofort behandelt und in der Regel innerhalb von zwei Stunden behoben; wir bemühen uns, nicht kritische Anfragen innerhalb von 24 Stunden zu bearbeiten.
Wir führen regelmäßig externe Penetrationstests / Audits mit branchenführenden Sicherheitsexperten durch, um potenzielle Schwachstellen zu erkennen und Ihre Daten zu schützen.
Sollten Sie dennoch der Meinung sein, dass Sie eine Sicherheitsbedrohung in unserem System gefunden haben, kontaktieren Sie uns bitte umgehend über security@leapsome.com oder +49 160 9798 2209. Ihre Informationen werden vertraulich behandelt und wir werden Ihre Anfrage umgehend bearbeiten.
Sollte jemals etwas Ernstes passieren und Ihre Daten betroffen sein, werden wir Sie umfassend informieren, damit Sie Vorkehrungen treffen und den Schaden minimieren können. Frühere Erfahrungen bei Unternehmen wie Funding Circle haben uns gelehrt, dass Transparenz das A und O ist, um Ihr Vertrauen zu gewinnen und zu erhalten – besonders falls die Sicherheit jemals gefährdet sein sollte.
Wirkungsvolle Feedbackgespräche – darunter Management-, Projekt- und 360°-Reviews – die leicht einzurichten und für alle von Nutzen sind.
Koordinierte Unternehmens-, Team- und Einzelziele, die effektive Kollaboration und Tracking ermöglichen und so Verantwortungsgefühl und Transparenz fördern.
Leicht zu erstellende Mitarbeiterbefragungen für wirkungsvolle Einblicke in die Stimmung des Teams, die wichtige Entscheidungen vereinfachen.
Schneller und direkter Austausch von Lob und Feedback, der Entwicklungs- und Lernprozesse fördert und damit die Unternehmenskultur optimiert.
Strukturierte Agenden und klare Diskussionspunkte für produktive 1:1s und Team-Meetings mit allen Teammitgliedern.
Hochgradig personalisierte, skalierbare und automatisierte Onboarding- und Lernfunktionen, welche die Entwicklung und Bindung Ihrer Talente unterstützen.