de EN RU
Demo anfordern
x
Bloomreach Acquires Exponea. Learn more
Focus

Mich interessieren
Tech & Sicherheit

Mögliche Positionen: CTO, DPO, CISO, Head of IT, Tech Lead

Erweitern Sie Ihren Tech Stack mit Exponea. Schaffen Sie eine stabile Basis für Ihr Team, indem Sie sie Kampagnen erstellen, senden, testen und analysieren lassen – von einer einzigen Plattform aus.

background graphic graphic

Google Cloud

“Der Fortschritt von Exponea ist bemerkenswert.”

Erfahren Sie, wie Exponea Google Cloud nutzt, um Skalierbarkeit, Flexibilität und Sicherheit voranzutreiben.

Artikel lesen
sky
Sicherheit

Sicherheit ist
unsere Priorität

Unser Sicherheitsanspruch
icon

Unsere Sicherheitskultur

arrow

Wir legen Wert auf eine starke Sicherheitskultur unter allen Mitarbeitern von Exponea. Es ist unsere feste Überzeugung, dass jeder Mitarbeiter ein wesentlicher Bestandteil unserer Abwehr potenzieller Sicherheitsverletzungen ist.

Diese Kultur hat einen starken Einfluss auf alle Mitarbeiter und ist in allen Phasen und an jedem Ort präsent – vom Einstellungsprozess, über das Onboarding und Schulungen, bis hin zu themenbezogenen Veranstaltungen. Bevor Exponea Mitarbeiter*innen einstellt, wurde der Hintergrund zumindest einmal geprüft. Alle Mitarbeiter*innen müssen mit unseren Sicherheitsrichtlinien vertraut sein und im Rahmen des Onboardings Sicherheitstrainings absolvieren. Mit dem Beginn der Anstellung gehören regelmäßige Sicherheitstrainings zum Mitarbeiteralltag. Teil des Einstiegsprozesses ist die Zustimmung des NDAs und das OWASP-Training. Die genannten Prozeduren sind Ausdruck dafür, wie sehr uns die Datensicherheit unserer Kunden*innen am Herzen liegt.

Alle Mitarbeiter von Exponea müssen unsere Richtlinien zur Kennwortsicherheit und -sperrung befolgen, über eine 2FA-Authentifizierung und eine sichere Wi-Fi-Verbindung verfügen oder alternativ bei der Remote-Arbeit mit unserem VPN verbunden sein. Darüber hinaus verwenden alle Exponea-Mitarbeiter Okta, einen Single Sign-On-Dienst, mit dem sie sicher auf ihre Konten und Anwendungen zugreifen können.


icon

Sicherheitsentwicklung in der Praxis

arrow

Die Entwickler im IT-Bereich erhalten Anweisungen zu Themen wie bewährte Codierungs- und Entwicklungspraktiken, Zugriffsrechthirarchien, usw. Das IT-Team nimmt auch an technischen Präsentationen zu sicherheitsrelevanten Themen teil und wird über unseren Cybersecurity-Bereich auf dem Laufenden gehalten.


icon

Unsere Zertifikate

arrow

Exponea verfügt über diverse gültige Zertifizierungen, die belegen, wie ernst uns die Themen Sicherheit und Compliance sind – darunter:

Unser Sicherheitsanspruch
Sicherheitsmanagement

Sicherheit ist
uns wichtig

icon

Endgerätssicherheit

Wir sorgen dafür, dass alle unsere Endgeräte gemäß unserer Endgerätssicherheitsrichtlinie geschützt sind. Dies beinhaltet, dass alle unsere Engeräte über Festplattenverschlüsselung, Malware-Schutz, einen deaktivierten Gastzugriff und eine Firewall verfügen und das Betriebssystem regelmäßig aktualisiert wird. Darüber hinaus überprüfen wir regelmäßig, ob wir dieses hohe Sicherheitsniveau einhalten.

icon

Anfälligkeitsmanagement

Exponeas Richtlinie für Schwachstellen-Management umfasst Prozesse wie regelmäßige Webprüfungen und das Aufdecken möglicher Gefahren. Sobald eine Schwachstelle als solche identifiziert worden ist, verfolgen wir sie nach, priorisieren sie entsprechend ihrer Dringlichkeit und weisen sie den relevanten Personen als Ticket zu. Unser Sicherheitsteam behält die Problemfälle solang im Blick bis sie behoben wurden.

icon

Qualitätskontrolle

Ein essentieller Teil von uns ist, dass wir alle neuen Funktionen vor der Implementierung ordnungsgemäß testen, um sicherzustellen, dass keine unerwarteten Schwachstellen in der Anwendung auftreten. Unser QA-Team garantiert, dass alle Neuheiten und Zusätze unserer Anwendung vor der Veröffentlichung fehlerfrei sind. Sie testen auch private Fälle für unsere Neukunden, bevor sie an unser Client Service-Teams gelangen.

icon

Monitoring

Unsere Sicherheitsüberwachung basiert auf Informationen aus unserem internen Daten-Traffic und unseren Schwachstellen-Scans. Der interne Datenverkehr wird auf verdächtiges Verhalten geprüft – Netzwerkanalyse und Prüfung von Systemprotokollen sind ein wesentlicher Bestandteil davon. Wir platzieren Suchalarme in öffentlichen Daten-Repositorys, um ungewöhnliche Vorfälle aufzudecken und Systemprotokolle zu analysieren.

icon

Störfallmanagement

Exponea verfügt über genau definierte Incident-Management-Prozesse für Ereignisse, die eine Sicherheitsgefahr für die Vertraulichkeit, Integrität oder Verfügbarkeit unserer Kundendaten oder Ressourcen darstellen. Kommt es zu einem Vorfall, identifiziert das Sicherheitsteam ihn, meldet ihn, weist ihn anhand der Dringlichkeit eine Lösungspriorität und der zuständigen Person zu. Ereignisse, die sich direkt auf unsere Kunden auswirken, haben immer die höchste Priorität und die kürzeste Lösungszeit. Zu diesem Prozess gehören Aktionspläne, Identifizierungsverfahren, Eskalation, Schadensminderung und Berichterstattung.

icon

Reassurance

To ensure our Security Management is transparent and the details are shared with those who need to see it the most, we also hold a SOC 2 (Type 2) Report. This report can be provided on request under an NDA and gives an overview of Exponea’s technical and organisational security measures.

So schützen wir die Daten unserer Kund*innen

lines of code

Datenverschlüsselung

Wann immer wir Daten in der Google Cloud Platform (GCP) speichern, gibt es mehrere Verschlüsselungsebenen. Standardmäßig werden Daten sowohl im Ruhezustand als auch während der Übertragung verschlüsselt. Zusätzliche Sicherheitskontrollen werden abhängig von den Anforderungen unserer Kunden implementiert.

Ohne weitere Implementierungen verschlüsselt und authentifiziert die GCP alle Daten, die auf einer oder mehreren Netzwerkebenen übertragen werden. So auch, wenn sich Daten außerhalb physischer Grenzen befinden, die nicht von oder im Auftrag von Google kontrolliert werden. Google verwendet den Advanced Encryption Standard (AES)-Algorithmus zum Verschlüsseln ruhender Daten. Zum Verschlüsseln von Daten während der Übertragung verwendet es Transport Layer Security (TLS), um die Transportsicherheit zu gewährleisten.

pc

DSGVO-konform

Die Exponea-Anwendung unterstützt unsere Kund*innen bei der Suche nach den besten Möglichkeiten zur Einhaltung der DSGVO. Die Anwendung funktioniert so, dass die Kund*innen die vollständige Kontrolle über das Einwilligungsmanagement (sie bestimmen den Zweck für die Aufnahme) und die Rechteverwaltung betroffener Personen (sie können alle Kundendaten herunterladen, Kund*innen anonymisieren oder Kund*innen löschen) haben.

Exponeas Zugriffsverwaltung ermöglicht es Benutzer*innen bestimmte Datentypen als PII auswählen und anschließend die PII-Anzeigeberechtigung pro Benutzer*in festlegen/widerrufen zu können. Für jedes Ereignis ist es möglich, Retention und Set-Ende separat festzulegen. Darüber hinaus ermöglicht die Daten-API Kund*innen ihre Systeme zu integrieren, um Anfragen von betroffenen Personen schnell umzusetzen.

Die Exponea Applikation

Sicherheit innerhalb
der Exponea Plattform

Sicherheit im Zentrum

Bei Exponea sorgen wir dafür, dass all unsere Kund*innen sicheres Set-up durchlaufen. Dies umfasst den 2-Faktor-Authentifizierungstest (SMS, App-Authentifizierung, Yubikey) und den Captcha-Challenge-Response-Test bei der Anmeldung. Wir verwenden Google Load Balancer mit Firewall-Regeln, um load-balanced Ressourcen während der Verteilung zu schützen, und TLS, um die Kommunikation innerhalb der Exponea-Anwendung zu verschlüsseln. Wir stellen sicher, dass statische IP-Adressen, die für Webhooks und Importe verwendet werden, in Protokolldateien verschlüsselt werden.

Die Instanzen von Exponea

Exponea bietet drei Arten von Instanzen: Shared, Private und Exclusive. Diese enthalten jeweils unterschiedliche Sicherheitsfunktionen und Konfigurationen der Data Layers. In jeder dieser Instanzen werden die Daten getrennt und das Access Management wird aktiviert, um Ihre Sicherheit zu gewährleisten.

Shared Instance

In unserer Shared Instance können Nutzer nicht auf Daten anderer Clients zugreifen und die Daten werden auf Frontend-Ebene getrennt. Die Rechenressourcen werden auf Backend-Ebene gemeinsam genutzt.

Shared Instances werden auf GCP-Infrastruktur-Ebene verschlüsselt und regelmäßigen Sicherheitsüberprüfungen und Penetrationstests unterzogen.

Um auf den Account in der Shared Instance zuzugreifen, müssen die User ein sicheres Passwort wählen (von einem Password Guardian geprüft) und sie können zum Anmelden eine Zwei-Faktor-Authentifizierung (2FA) verwenden. Zudem werden die Accounts durch Captcha gesichert, um Bot-Angriffe abzuwehren. Der Administrator des jeweiligen Projekts kann außerdem im Access Management-Bereich angeben, welche Benutzer die PII (personenbezogene Daten) ihrer Kunden sehen können. Diese Trennung erfolgt im Front- und Backend.

Private Instance

In unserer privaten Instanz sind die Data Layer im Backend logisch getrennt. Es gibt spezielle Rechenressourcen für jeden Kunden, die durch den Namespace von anderen Ressourcen im Backend getrennt sind.

Private Instanzen werden auf GCP-Infrastruktur-Ebene verschlüsselt und regelmäßigen Sicherheitsüberprüfungen und Penetrationstests unterzogen.

Um auf die Accounts in der privaten Instanz zuzugreifen, müssen die User ein sicheres Passwort wählen und sie können eine Zwei-Faktor-Authentifizierung (2FA) zum Anmelden verwenden. Zudem werden die Accounts durch Captcha gesichert, um Bot-Angriffe abzuwehren. Der Administrator des jeweiligen Projekts kann außerdem im Access Management-Bereich angeben, welche Benutzer die PII (personenbezogene Daten) ihrer Kunden sehen können. Diese Trennung erfolgt im Front- und Backend.

Exclusive Instance

Exklusive Instanzen werden auf GCP-Infrastruktur-Ebene verschlüsselt und regelmäßigen Sicherheitsüberprüfungen und Penetrationstests unterzogen.

Für den Account-Zugriff unterstützt die exklusive Instanz Single Sign-On (SSO), entsprechend branchentypischer Sicherheitsstandards. Zudem werden die Accounts durch Captcha gesichert, um Bot-Angriffe abzuwehren. Der Administrator des jeweiligen Projekts kann außerdem im Access Management-Bereich angeben, welche Benutzer die PII (personenbezogene Daten) ihrer Kunden sehen können. Diese Trennung erfolgt im Front- und Backend.

Diese Instanz beinhaltet eine vollständige Trennung der logischen Schichten und eine Trennung des Netzwerks durch die Verwendung eines separaten GCP-Projekts sowie Back-Computing-Ressourcen, die nur Ihnen zur Verfügung stehen. Innerhalb der exklusiven Instanz gibt es auch separate Zugriffsrechte und Berechtigungen.

Die Security Features von Exponea im Überblick

Die folgende Grafik stellt die drei unterschiedlichen Instanzen gegenüber. Der obere Teil zeigt, wie Daten während der Übertragung und vor der Speicherung mit Exponea gesichert und verschlüsselt werden. Der untere Teile illustriert die allgemeine Architektur von Exponea und die einzelnen Sicherheitsfunktionen der Instanzen.

Die Security Features von Exponea im Überblick

Shared Private Exclusive
Rechenleistung Geteilt Reserved (teilweise dediziert) Vollständig dediziert
Identity Access Management (IAM)
Password Guardian
Captcha
DDoS-Schutz
Firewall
Datenverschlüsselung (SSL/TLS & AES)
Static IPs (Socks Proxy)
SSH Tunel
Single Sign‑On Available as
Paid Add-on
Available as
Paid Add-on
Cloud Armor (Firewall IP Whitelisting) Available as
Paid Add-on
Available as
Paid Add-on
Virtual Private Network Available as
Paid Add-on
Available as
Paid Add-on
Custom SSL Available as
Paid Add-on
Available as
Paid Add-on
Zugriff auf Audit Log (Anwendung) Available as
Paid Add-on
Available as
Paid Add-on
Available as
Paid Add-on
Zugriff auf Audit Log (IAM) Available as
Paid Add-on
Available as
Paid Add-on
Zugriff auf Audit Log (Infrakstruktur) Available as
Paid Add-on
SLA Available as
Paid Add-on
Available as
Paid Add-on
Available as
Paid Add-on
SmartSecure Available as
Paid Add-on
Available as
Paid Add-on
Available as
Paid Add-on
Vulnerability Scan Report Available as
Paid Add-on
Available as
Paid Add-on
Available as Paid Add‑on

* Die Shared Instance ist die Standard-Option. Andere Instanzen sind gegen eine zusätzliche Gebühr erhältlich.

** Audit Log und Schwachstellen-Scan sind bei allen Instanzen betriebsfähig (sie laufen theoretisch überall, aber bei manchen Instanzen gibt es möglicherweise keinen Zugriff).

Erhalten Sie detaillierte Informationen zu unseren Security Features

Fazit

Der Schutz der Daten und Ressourcen unserer Kund*innen hat für uns oberste Priorität. Daher ist uns besonders daran gelegen, unsere Sicherheitsmaßnahmen konstant zu verbessen. So sind wir immer auf dem neusten, digitalen Sicherheits-Stand. Um auch in der Zukunft alle Vorschriften einzuhalten, lassen wir uns keine gesetzlichen Updates entegehen.

Integrationen

Einfache
Integration

Exponea kann Ihren Tech-Stack vereinfachen und optimieren, indem mehrere Tools durch eine All-in-One-Plattform ersetzt werden. So bleibt mehr Zeit für sinnvolle Arbeiten.

Dass eine so große Veränderung nicht immer möglich ist, verstehen wir jedoch. Aus diesem Grund verfügt Exponea über eine Reihe von nahtlosen nativen Integrationen, mit denen Sie die Funktionen von Exponea problemlos mit den bereits verwendeten Tools nutzen können.

Integrationen sehen

Unsere Daten-
Sicherheits-Expertin

Das engagierte Exponea-Team von Sicherheitsingenieuren unter der Leitung eines Cybersecurity-Managers ist ein wesentlicher Bestandteil unserer IT-Infrastruktur. Dieses Team ist für die Wartung der Schutz- und Abwehrsysteme von Exponea, die Erstellung von Sicherheits-Frameworks, die Überprüfung der betrieblichen Sicherheitsprozesse und die Erstellung neuer Sicherheitsrichtlinien verantwortlich. Das Sicherheitsteam ist auch dafür verantwortlich, verdächtige Aktivitäten zu überwachen, Cybersicherheitsbedrohungen zu begegnen und regelmäßige Health-Checks und Audits durchzuführen.

Darüber hinaus sorgt unsere unabhängige Datenschutzbeauftragte (DSB) Lenka Gondova dafür, dass wir die Richtlinien einhalten. Unser DSB hat auch die Aufgabe, die Einhaltung der DSGVO und anderer Datenschutzgesetze sowie unsere Datenschutzrichtlinien, die Sensibilisierung für die DSGVO, Trainings und Prüfungen zu überwachen.


lenka
Lenka Gondova
Chief Information Security Officer (CISO)
und zum DSB ernannt:
shield icon
CISA
CGEIT
CRISC
ISO 27001 LA
CSX‑F
ISO 20000‑1 LA
ISO 22301 LA
eIDAS LA

Lenka ist Expertin für Wirtschaftsprüfung und Risikomanagement. Sie unterstützt Exponea auf dem Datenschutzgebiet, indem sie GDPR- und DPIA-Zertifizierungen erstellt und umsetzt.

Produktkalender

Erfahren Sie zuerst
von den Neuigkeiten
bei Exponea

Sehen Sie, wo unsere
Reise hingeht:
Roadmap
Schauen Sie sich unsere Produkthistorie an: Changelog

Nicht gefunden,

wonach Sie gesucht haben?

Wir setzen auf Cookies

... um unsere Kommunikation für Sie so bequem wie möglich zu machen. Durch Klicken des Akzeptieren-Buttons, stimmen Sie unseren Datenschutzbestimmungen und dem Speichern von Cookies zu. Sie können Ihre Einstellungen jederzeit ändern.

Cookies verwalten
Akzeptieren

Cookie‑Einstellungen

Akzeptieren
zurück
X
We use cookies to optimize our communication and to enhance your customer experience. We also share information about how you use our website with our third parties including social plugins and analytics. You consent to our use of cookies if you continue to browse our website. You can opt out of our cookie use on the Do not Sell my Personal Information page. For more information please see our Privacy Policy.