Sicherheit & Datenschutz

Als Cloud-Service hat die Sicherheit Ihrer Daten für uns oberste Priorität. Nachfolgend können Sie die wichtigsten Maßnahmen nachlesen, die wir zum Schutz Ihrer Daten ergreifen. Zusätzlich wenden wir ein breites Spektrum weiterer Schutzmaßnahmen an, die entweder (i) sehr komplex und daher an dieser Stelle zu kompliziert zu erklären sind oder (ii) die besser nicht an öffentlicher Stelle geteilt werden sollten. Falls Sie Fragen dazu haben, nehmen Sie bitte jederzeit Kontakt zu uns auf.

ISO 27001 zertifiziert

Leapsome ist nach ISO/IEC 27001:2013 zertifiziert, die weltweit als führender ISMS-Standard (Information Security Management System) anerkannt ist.

Hosting

Unsere Software wird auf Servern gehostet, die von Amazon Web Services in seinen europäischen Rechenzentren bereitgestellt werden. Amazon Web Services ist ein führender "Platform-as-a-Service"-Anbieter, der es Kunden(darunter Siemens, Novartis, Nasdaq, Vodafone und andere) ermöglicht, Anwendungen zu entwickeln, auszuführen und zu verwalten, ohne die damit verbundene Infrastruktur aufbauen und warten zu müssen. Er bietet eine erstklassige Sicherheitsinfrastruktur, kümmert sich um Backups, Protokollierung, Auditing und andere infrastrukturbezogene Dienste.

Amazon Web Services führt fortlaufend Audits durch und erfüllt u.a. die folgenden Standards:

  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 2
  • SOC 3

Andere Dienstleister, die von Leapsome zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.

  • MongoDB, Inc.
  • Zendesk, Inc.
  • Twilio, Inc.
  • Rocket Science Group, LLC (Mailchimp)

Eine Übermittlung von Daten an einen Staat, der weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums ist, erfolgt einzig und allein im Einklang mit der Allgemeinen Datenschutzgrundverordnung (DSGVO) und nur wenn die spezifischen Anforderungen des Artikels 44 ff. der DSGVO erfüllt sind. Insbesondere erfordert eine solche Übertragung eine klar geregelte, vertragliche Vereinbarung zwischen Leapsome und dem entsprechenden Dienstleister, die mindestens das gleiche Datenschutzniveau garantiert. Dies geschieht gemäß den von der Europäischen Kommission festgelegten Standardvertragsklauseln.

Passwörter

Ihre Passwörter werden immer verschlüsselt (Hashfunktion, mit Salt) und niemals im Klartext gespeichert. Wenn ein Benutzer versucht sich anzumelden, wird sein Kennwort auf dieselbe Weise verschlüsselt, und die Plattform vergleicht die verschlüsselten Versionen, um zu überprüfen, ob sie übereinstimmen. Dies bedeutet auch, dass wir kein Passwörter wiederherstellen können (da wir nur die verschlüsselten Versionen haben). Falls Sie Ihr Passwort verlieren, müssen Sie es zurücksetzen. Für zusätzliche Sicherheit geben wir bei der Registrierung eine Mindestlänge des Passworts vor.

Wenn Sie im Unternehmen die GSuite zur internen Kommunikation verwenden, können Sie sich durch eine verschlüsselte Verbindung mit Google, Okta, Active Directory oder anderen SSO-Anbietern über eine sichere Verbindung anmelden. In diesem Fall werden Ihre Passwörter nicht auf unseren Servern gespeichert. Stattdessen werden die Nutzer auf eine Seite umgeleitet, auf der sie Leapsome als vertrauenswürdigen Dienst authentifizieren, und es wird ein Token generiert, mit dem Leapsome die Nutzer identifizieren kann. Sie können diese Einstellungen jederzeit über die Google-Kontoeinstellungen widerrufen.

Cookies und Tokens

Unsere Plattform verwendet Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Token enthalten niemals Ihr tatsächliches Passwort oder andere vertrauliche Informationen. Alles, was gespeichert wird, ist ein zufällig erstelltes Token, mit dem Sie auf die grundlegenden Funktionen zugreifen können. Um auf kritische Funktionen zuzugreifen - beispielsweise beim Ändern Ihres Passworts -, müssen Sie das Passwort erneut eingeben.

Datenverschlüsselung

Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Servern erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet.

Zusätzlich verwenden wir Encryption At Rest , um sämtliche Daten in unserer Datenbank mit dem Industriestandard-Algorithmus AES-256 zu verschlüsseln. Dies bedeutet, dass Ihre Daten vor und nach dem Zugriff auf die Datenbank verschlüsselt werden und niemals im Klartext vorliegen.

Sichere Frameworks

Neben einer sicheren Hosting-Umgebung bauen wir auf etablierten Softwarebibliotheken auf, um sicherzustellen, dass Ihre Daten geschützt sind und die Benutzer der Plattform keinen Schwachstellen ausgesetzt sind.

Unser Frontend-Framework Vue(hauptsächlich von Google verwaltet) schützt in Kombination mit der Verwendung von Unique User-Token die Benutzer vor üblichen Bedrohungen wie beispielsweise Cross-Site-Scripting (CSS/XSS) und Cross-Site-Request-Forgery (CSRF/XSRF).

Wir verwenden MongoDB als Datenspeicher, was bedeutet, dass unsere Anwendung nicht für SQL-Injektionen anfällig ist. Die Verwendung einer etablierten Middleware und von Input Sanitization für alle Eingaben sorgen für zusätzlichen Schutz.

Wie bereits erwähnt, läuft unsere Anwendung auf AWS-Servern. AWS hält die Serversoftware jederzeit auf dem neuesten Stand und behebt auftretende Sicherheitslücken sofort.

Zugriff von innen verhindern

Auch ein authentifizierter (angemeldeter) Benutzer kann versuchen, Schwachstellen auszunutzen — jemand könnte sich beispielsweise für ein Demo-Konto registrieren und versuchen, auf Informationen anderer Kunden zuzugreifen.

Während die oben aufgeführten Software-Frameworks das System bereits vor dieser Bedrohung schützen, überprüft der Anwendungscode zusätzlich jede Anforderung und überprüft, ob die Unternehmens-ID des Datenbankobjekts mit der Firmen-ID des Benutzers übereinstimmt. Jedes Datenbankobjekt ist mit einer Unternehmens-ID versehen, und mögliche Versuche, diese zu verletzen, lösen sofortige Benachrichtigungen an unsere Administratoren aus.

Außerdem wenden wir ein ein striktes rollenbasiertes Modell auf alle Anforderungen und Ansichten der Plattform an. Dadurch wird verhindert, dass Mitarbeiter auf Funktionen zugreifen (z.B. Ändern von Benutzerdaten, Bearbeiten von Rechnungsinformationen usw.), die nur Administratoren vorbehalten sein sollten.

Zugriffsbeschränkungen für Code und Datenbank

Unsere Anwendung und Datenbank werden in einem sicher bewachten Datenzentrum gehostet, in dem professionell ausgebildetes Personal für die physische Sicherheit der Server sorgt.

Auch derFernzugriff ist streng begrenzt. Innerhalb unseres Teams muss jeder Einsatz von neuem Code von einer der beiden Personen, die Zugang haben, genehmigt werden. Die gleiche Zugangsbeschränkung gilt für unsere Datenbanken und den internen Verwaltungsbereich. Der Zugang zu den Datenbanken, zu unserem zentralen Code-Repository und zu unserer Hosting-Umgebung ist darüber hinaus durch eine 2-Faktor-Authentifizierung geschützt. Wir aktualisieren regelmäßig Passwörter und Sicherheits-Token.

In unseren internen Administrationsdaten zeigen wir nur aggregierte Statistiken und Daten auf Unternehmensebene (z.B. Rechnungsinformationen) an, nicht jedoch den Inhalt des tatsächlichen Feedbacks, der Reviews usw. Wir sehen keine Rohdaten von Kunden ein, es sei denn, wir haben die Erlaubnis dazu um einen Fehler zu beheben. Die meisten Fehler können jedoch behoben werden, indem Serverprotokolle analysiert und das Problem mit Dummy Daten reproduziert wird.

Auftragsdatenverarbeitungsvertrag (ADV-Vertrag)

Sobald Sie mit der Nutzung von Leapsome beginnen, unterzeichnen beide Parteien eine ADV-Vertrag. Dieser legt fest, wie wir Ihre Daten behandeln dürfen, welche Sicherheitsmaßnahmen vertraglich zugesichert sind und welche Rechte Sie haben. Der Vertrag ist erforderlich, um DSGVO-konform zu sein.

Interne Sicherheitsrichtlinien

Unser Team ist extrem sicherheitsbewusst. Um nicht zum Opfer von Betrügern von außen zu werden, veranstalten wir regelmäßig interne Sicherheitsschulungen, nutzen nur aktuelle und moderne Browser, verwenden Kennwortmanager und unterschiedliche Kennwörter für sämtliche Websites, aktualisieren regelmäßig unsere Passwöter und verschlüsseln die Festplatten unserer technischen Geräte.

Verfügbarkeit und Notfallwiederherstellung

Unsere Anwendung und Datenbanken sind auf verschiedene Server verteilt und repliziert. Falls einer dieser Server ausfällt, übernimmt eine andere Instanz die Aufgabe, die Anwendung bereitzustellen. In der Regel passiert das, ohne dass der Endbenutzer dies tatsächlich bemerkt.

Die Datenbanken werden stündlich gesichert und können wiederhergestellt werden, falls die Software oder der Server einmal ausfallen sollten. Die Backups werden in verschiedenen europäischen Datenzentren zur zusätzlichen Sicherheit gespeichert. Bitte beachten Sie, dass wir einzelne Kundenkonten nicht wiederherstellen können. Wenn Sie etwas in Ihrem Konto löschen, wird es tatsächlich gelöscht.

Überwachung

Wir überwachen die Leistung unserer Anwendung und Datenbanken mit den integrierten Überwachungstools von AWS und NewRelic. Interne Fehler oder potenzielle Fehler unserer verschiedenen Integrationen werden protokolliert und lösen Benachrichtigungen an unser Entwicklungsteam aus. So können wir das Problem normalerweise innerhalb weniger Minuten identifizieren und die Situation schnell beheben.

Nutzeranfragen und Fehlerberichte

Trotz all dieser Vorkehrungen mag es vorkommen, dass Benutzer manchmal eine Macke bemerken oder über einen Fehler in der Software stolpern. In einem solchen Fall empfehlen wir Ihnen, sich über unser Support-Formular (erreichbar über die Schaltfläche in der rechten unteren Ecke des Bildschirms) oder per E-Mail an support@leapsome.com mit uns in Verbindung zu setzen. Wir schätzen diese Hinweise und Rückmeldungen sehr. Falls möglich fügen Sie bitte einen Screenshot und eine genaue Beschreibung der Situation bei. Kritische Probleme bekommen unsere sofortige Aufmerksamkeit und werden in der Regel innerhalb von 2 Stunden behoben. Nicht-kritische Anfragen bemühen wir uns innerhalb von 24 Stunden zu bearbeiten.

Haben Sie eine Sicherheitsbedrohung gefunden?

Wir führen regelmäßig externe Penetrationstests/Audits mit branchenführenden Sicherheitsspezialisten durch, um mögliche Schwachstellen zu erkennen und Ihre Daten zu schützen.

Sollten Sie dennoch meinen, eine Sicherheitslücke in unserem System gefunden zu haben, kontaktieren Sie uns bitte umgehend über support@leapsome.com oder über +49 160 9798 2209. Ihre Angaben werden vertraulich behandelt, und wir werden uns umgehend um Ihr Anliegen kümmern.

Transparenz-Richtlinie

Wenn jemals etwas Ernstes passieren sollte und Ihre Daten davon betroffen sind, werden wir Sie umfassend informieren, damit Sie die entsprechenden Vorsichtsmaßnahmen treffen und den Schaden minimieren können. Unsere bisherigen Erfahrungen bei Unternehmen wie Funding Circle haben uns gezeigt, dass Transparenz essenziell ist, um Vertrauen zu gewinnen und zu bewahren, falls die Sicherheit jemals gefährdet sein sollte.


INTUITIV & FLEXIBEL

Was Sie mit Leapsome tun können

Performance &
360° Reviews

Führen Sie wirkungsvolle Feedback-Gespräche, 360° Reviews, Führungskräfte-Evaluationen und projektbasierte Reviews durch, die leicht einzurichten und für alle von Nutzen sind.

Mehr erfahren

Ziel- & OKR-Management

Richten Sie Ziele auf allen Unternehmensebenen aneinander aus, ermöglichen Sie eine effektive Nachverfolgung und Kollaboration und fördern Sie so Verantwortungsgefühl und Transparenz.

Mehr erfahren

Mitarbeiterbefragungen

Messen Sie den Puls Ihrer Unternehmenskultur mit Hilfe von leicht zu erstellenden Mitarbeiterbefragungen. Erhalten Sie wirkungsvolle Einblicke, die Sie für zukünftige Aktionen heranziehen können.

Mehr erfahren

Instant Feedback

Fördern Sie eine Kultur der Entwicklung und des schnellen Lernens durch Instant Feedback und Lob an jeden in Ihrer Organisation.

Mehr erfahren

1:1s & Team Meetings

Mit einer strukturierten Agenda und klaren Diskussionspunkten führen Sie produktive 1:1s oder Team Meetings mit jedem Mitarbeiter in Ihrer Organisation.

Mehr erfahren

Lernen &
Onboarding

Fördern Sie das Talent Ihrer Kollegen mit Hilfe einer hochgradig personalisierten, skalierbaren und automatisierten Lern- und Onboarding-Erfahrung.

Mehr erfahren

Performance & 360° Reviews

Führen Sie wirkungsvolle und problemlose Leistungs-, 360-Grad-, Projekt- oder Führungsbeurteilungsprozesse durch, die einfach einzurichten und durchzuführen sind und allen Beteiligten zugute kommen.

Ziel- & OKR-Management

Verfolgung, Zusammenarbeit und Abstimmung von Unternehmens-, Team- und Einzelzielen zur Schaffung von Abstimmung, Verantwortlichkeit und Transparenz in der gesamten Organisation.

Mehr erfahren

Mitarbeiterbefragungen

Messen Sie den Puls Ihrer Unternehmenskultur mit der einfach einzurichtenden Website Mitarbeiterbefragungen und nutzen Sie aussagekräftige Erkenntnisse für Ihre Maßnahmen.

Mehr erfahren

Instant Feedback

Fördern Sie eine Kultur der Entwicklung und des schnellen Lernens durch Instant Feedback und Lob an jeden in Ihrer Organisation.

Mehr erfahren

1:1s und
Team Meetings

Führen Sie effektive und produktive 1:1 Meetings mit jedem Mitarbeiter in Ihrem Unternehmen, die auf einer gut strukturierten Agenda basieren.

Mehr erfahren

Lernen und Onboarding

Entwickeln und binden Sie Ihre Talente mit einer hochgradig personalisierten, skalierbaren und automatisierten Lern- und Onboarding-Erfahrung.

Mehr erfahren