Sicherheit & Datenschutz

Als Cloud-Dienst hat die Sicherheit Ihrer Daten für uns höchste Priorität. Im Folgenden haben wir wichtige Maßnahmen zum Schutz Ihrer Daten beschrieben. Wir wenden eine breite Palette zusätzlicher Sicherheits- und Schutzmaßnahmen an, deren Erläuterung entweder (i) zu kompliziert oder (ii) unklug wäre, um sie mit der Öffentlichkeit zu teilen. Wenn Sie Fragen haben, wenden Sie sich bitte an uns.

ISO 27001 zertifiziert

Leapsome ist nach ISO/IEC 27001:2013 zertifiziert, dem weltweit anerkannten Standard für Informationssicherheitsmanagementsysteme (ISMS).

Hosting

Unsere Anwendung wird auf Servern gehostet, die von Amazon Web Services in seinen europäischen Rechenzentren bereitgestellt werden. Amazon Web Services ist ein führender "Platform-as-a-Service"-Anbieter, der es Kunden(darunter Siemens, Novartis, Nasdaq, Vodafone und andere) ermöglicht, Anwendungen zu entwickeln, auszuführen und zu verwalten, ohne die damit verbundene Infrastruktur aufbauen und warten zu müssen. Er bietet eine erstklassige Sicherheitsinfrastruktur und kümmert sich um Backups, Protokollierung, Auditing und andere infrastrukturbezogene Dienste.

Amazon Web Services prüft seine Dienste ständig und hat unter anderem die Einhaltung der folgenden Standards nachgewiesen:

  • ISO 27001
  • ISO 27017
  • ISO 27018
  • SOC 2
  • SOC 3

Andere Dienstleister, die von Leapsome zur Erbringung unserer Leistungen eingesetzt werden, sind ähnlich renommierte und zertifizierte Unternehmen wie z.B.

  • MongoDB, Inc.
  • Zendesk, Inc.
  • Twilio, Inc.
  • Rocket Science Group, LLC (Mailchimp)

Eine Übermittlung von Daten in einen Staat, der nicht Mitglied der Europäischen Union oder des Europäischen Wirtschaftsraums ist, erfolgt nur in Übereinstimmung mit der DSGVO und wenn die spezifischen Anforderungen der Artikel 44 ff. der Allgemeinen Datenschutzverordnung (DSGVO) erfüllt sind. Insbesondere erfordert eine Übermittlung eine klare vertragliche Vereinbarung zwischen Leapsome und jedem Unterauftragnehmer, die mindestens das gleiche Datenschutzniveau gemäß den von der Europäischen Kommission festgelegten Standardvertragsklauseln (SCCs) garantiert.

Passwörter

Ihre Passwörter werden immer verschlüsselt (Hash, mit Salts) und niemals im Klartext gespeichert. Wenn ein Nutzer versucht, sich anzumelden, wird sein Passwort auf dieselbe Weise verschlüsselt, und die Plattform vergleicht die verschlüsselten Versionen, um zu prüfen, ob sie übereinstimmen. Das bedeutet auch, dass wir ein Kennwort nicht wiederherstellen können (wir haben nur die verschlüsselte Version) und Sie Ihr Kennwort zurücksetzen müssen, wenn Sie es verlieren. Als zusätzliche Sicherheitsmaßnahme setzen wir bei der Anmeldung eine Mindestlänge für das Passwort fest.

Wenn Ihr Unternehmen GSuite für die interne Kommunikation verwendet, können Sie sich auch mit Google, Okta, Active Directory oder anderen SSO-Anbietern über eine sichere Verbindung anmelden. In diesem Fall werden Ihre Passwörter überhaupt nicht auf unseren Servern gespeichert. Stattdessen werden Ihre Nutzer zu einer Seite weitergeleitet, auf der sie Leapsome als vertrauenswürdigen Dienst authentifizieren, und es wird ein Token generiert (mit dem wir Ihre Nutzer identifizieren können). Sie können dieses Token jederzeit über Ihre Google-Kontoeinstellungen widerrufen.

Cookies und Tokens

Unsere Plattform verwendet Cookies und Token, um Benutzer über Sitzungen hinweg zu authentifizieren. Die Token enthalten niemals Ihr tatsächliches Passwort oder andere sensible Informationen. Es wird lediglich ein zufällig erstelltes Token gespeichert, das Ihnen den Zugriff auf grundlegende Funktionen ermöglicht. Für den Zugriff auf kritische Funktionen - wie die Änderung Ihres Passworts - müssen Sie Ihr Passwort erneut eingeben.

Datenverschlüsselung

Die gesamte Kommunikation zwischen den Benutzern der Plattform und unseren Servern erfolgt SSL-verschlüsselt. SSL (Secure Sockets Layer) ist die Standardsicherheitstechnologie zum Herstellen einer verschlüsselten Verbindung zwischen einem Webserver und einem Browser. Diese Verbindung stellt sicher, dass alle Daten, die zwischen dem Webserver und den Browsern übertragen werden, privat und integral bleiben. SSL ist ein Industriestandard und wird von Millionen von Websites zum Schutz der Online-Transaktionen ihrer Kunden verwendet.

Zusätzlich verwenden wir Encryption At Rest , um sämtliche Daten in unserer Datenbank mit dem Industriestandard-Algorithmus AES-256 zu verschlüsseln. Dies bedeutet, dass Ihre Daten vor und nach dem Zugriff auf die Datenbank verschlüsselt werden und niemals im Klartext vorliegen.

Sichere Frameworks

Zusätzlich zu einer sicheren Hosting-Umgebung bauen wir auf bewährten Software-Bibliotheken auf, um zu gewährleisten, dass Ihre Daten sicher sind und Ihre Benutzer keinen Sicherheitslücken ausgesetzt sind.

Unser Frontend-Framework Vue(hauptsächlich von Google verwaltet) schützt in Kombination mit der Verwendung von Unique User-Token die Benutzer vor üblichen Bedrohungen wie beispielsweise Cross-Site-Scripting (CSS/XSS) und Cross-Site-Request-Forgery (CSRF/XSRF).

Wir verwenden MongoDB als Datenspeicher, was bedeutet, dass unsere Anwendung nicht für SQL-Injektionen anfällig ist. Die Verwendung einer etablierten Middleware und von Input Sanitization für alle Eingaben sorgen für zusätzlichen Schutz.

Wie bereits erwähnt, läuft unsere Anwendung auf AWS-Servern. AWS hält die Serversoftware stets auf dem neuesten Stand und behebt neue Sicherheitsschwachstellen sofort.

Zugriff von innen verhindern

Auch ein authentifizierter (angemeldeter) Benutzer kann versuchen, Schwachstellen auszunutzen - jemand könnte sich beispielsweise für ein Demokonto anmelden und versuchen, auf die Daten anderer Kunden zuzugreifen.

Während die oben genannten Software-Frameworks das System bereits vor dieser Bedrohung schützen, überprüft der Anwendungscode zusätzlich jede Anfrage und stellt sicher, dass die Unternehmens-ID des Datenbankobjekts mit der Unternehmens-ID des Benutzers übereinstimmt. Jedes Datenbankobjekt ist mit einer Unternehmens-ID versehen, und alle potenziellen Versuche, diese zu verletzen, lösen sofortige Benachrichtigungen an unsere Administratoren aus.

Wir wenden außerdem ein striktes Rollenmodell auf alle Anfragen und Ansichten der Plattform an. Dadurch wird verhindert, dass Mitarbeiter auf Funktionen zugreifen können (z. B. Änderung von Benutzerdaten, Bearbeitung von Rechnungsinformationen usw.), die nur Administratoren vorbehalten sein sollten.

Zugriffsbeschränkungen für Code und Datenbank

Unsere Anwendung und Datenbank werden in einem sicher bewachten Datenzentrum gehostet, in dem professionell ausgebildetes Personal für die physische Sicherheit der Server sorgt.

Auch derFernzugriff ist streng begrenzt. Innerhalb unseres Teams muss jeder Einsatz von neuem Code von einer der beiden Personen, die Zugang haben, genehmigt werden. Die gleiche Zugangsbeschränkung gilt für unsere Datenbanken und den internen Verwaltungsbereich. Der Zugang zu den Datenbanken, unserem zentralen Code-Repository und unserer Hosting-Umgebung ist außerdem durch eine Zwei-Faktor-Authentifizierung geschützt. Wir aktualisieren regelmäßig Passwörter und Sicherheits-Token.

In unseren internen Verwaltungsdaten zeigen wir nur aggregierte Statistiken und Daten auf Unternehmensebene an (z. B. Rechnungsinformationen), nicht aber den Inhalt der tatsächlichen Feedback, Bewertungen usw. Wir sehen uns keine Rohdaten von Kunden an, es sei denn, wir haben die Erlaubnis erhalten, dies zu tun, um einen Fehler zu beheben. Die meisten Fehler können jedoch durch die Analyse von Serverprotokollen und die Reproduktion des Problems mit Dummy-Daten behoben werden.

Auftragsdatenverarbeitungsvertrag (ADV-Vertrag)

Sobald Sie Leapsome nutzen, unterzeichnen Sie eine Datenverarbeitungsvereinbarung mit uns. Darin wird dargelegt, wie wir mit Ihren Daten umgehen dürfen, welche Sicherheitsmaßnahmen wir ergreifen, welche Rechte Sie haben und wie wir die DSGVO einhalten können.

Interne Sicherheitsrichtlinien

Unser Team ist sehr sicherheitsbewusst. Um zu vermeiden, dass wir auf fremde Tricks hereinfallen, halten wir regelmäßig interne Sicherheitsbesprechungen ab, setzen nur aktuelle und moderne Browser ein, verwenden Passwortmanager und unterschiedliche Passwörter für alle Websites, aktualisieren regelmäßig unsere Passwörter und verschlüsseln die Festplatten unserer Geräte.

Verfügbarkeit und Notfallwiederherstellung

Unsere Anwendung und Datenbanken sind auf verschiedene Server verteilt und repliziert. Fällt einer dieser Server aus, übernimmt eine andere Instanz die Aufgabe, die Anwendung zu bedienen, in der Regel ohne dass der Endnutzer dies bemerkt.

Die Datenbanken werden laufend gesichert und können wiederhergestellt werden, falls die Software oder der Server einmal in größerem Umfang ausfallen sollten. Die Backups werden zur zusätzlichen Sicherheit in verschiedenen Verfügbarkeitszonen gespeichert.

Überwachung

Wir überwachen die Leistung unserer Anwendung und Datenbanken mithilfe der integrierten Überwachungstools von AWS und NewRelic genau. Alle internen Fehler oder potenziellen Ausfälle unserer verschiedenen Integrationen werden protokolliert und lösen Benachrichtigungen an unser Entwicklungsteam aus, sodass wir das Problem in der Regel innerhalb weniger Minuten identifizieren und schnell beheben können.

Nutzeranfragen und Fehlerberichte

Manchmal sind es aber auch die Nutzer, die eine Panne bemerken oder über einen Fehler in der Software stolpern. Wir ermutigen Sie, sich über unser Support-Formular (erreichbar über die Schaltfläche in der rechten unteren Ecke des Bildschirms) oder per E-Mail an support@leapsome.com zu melden - wir sind für jeden Hinweis oder Feedback dankbar. Wenn Sie können, fügen Sie bitte einen Screenshot und eine genaue Beschreibung der Situation bei, auf die Sie gestoßen sind. Kritische Probleme werden sofort behandelt und in der Regel innerhalb von zwei Stunden behoben; wir bemühen uns, nicht kritische Anfragen innerhalb von 24 Stunden zu bearbeiten.

Haben Sie eine Sicherheitsbedrohung gefunden?

Wir führen regelmäßig externe Penetrationstests/Audits mit branchenführenden Sicherheitsexperten durch, um potenzielle Schwachstellen zu erkennen und Ihre Daten zu schützen.

Sollten Sie dennoch der Meinung sein, dass Sie eine Sicherheitsbedrohung in unserem System gefunden haben, kontaktieren Sie uns bitte umgehend über security@leapsome.com oder +49 160 9798 2209. Ihre Informationen werden vertraulich behandelt, und wir werden Ihre Anfrage umgehend bearbeiten.

Politik der vollständigen Offenlegung

Sollte jemals etwas Ernstes passieren und Ihre Daten betroffen sein, werden wir Sie umfassend informieren, damit Sie Vorkehrungen treffen und den Schaden minimieren können. Unsere früheren Erfahrungen bei Unternehmen wie Funding Circle haben uns gelehrt, dass Transparenz das A und O ist, um Ihr Vertrauen zu gewinnen und zu erhalten, falls die Sicherheit jemals gefährdet sein sollte.


INTUITIV & FLEXIBEL

Alle Funktionen von Leapsome

Lila und transparentes umgekehrtes Kästchensymbol mit Häkchen.

Performance &
360°-Reviews

Führt wirkungsvolle Feedbackgespräche sowie Management-, Projekt- und 360°-Reviews durch, die leicht einzurichten und für alle von Nutzen sind.

Mehr erfahren
Eine violette Linie und zwei kürzere transparente Linien, die mittig und untereinander liegen.

Ziel- & OKR-Management

Koordiniert Unternehmens-, Team- und Einzelziele, ermöglicht effektive Kollaboration und Tracking und fördert so Verantwortungs-gefühl und Transparenz.

Mehr erfahren
Symbol mit drei lila und transparenten Punkten.

Mitarbeiter-
befragungen

Messt euren Unternehmenspuls mit leicht zu erstellenden Mitarbeiterbefragungen. Erhaltet wirkungsvolle Einblicke, um wichtige Entscheidungen zu vereinfachen.

Mehr erfahren
Lila umgekehrtes Benachrichtigungs-/Blitzsymbol.

Direktes Lob & Feedback

Fördert eine Unternehmens-kultur, die durch den schnellen Austausch von direktem Lob und Feedback Entwicklungs- und Lernprozesse fördert.

Mehr erfahren
Lila und invertiertes Chat-Nachrichten-Symbol.

1:1s & Team-
Meetings

Mit einer strukturierten Agenda und klaren Diskussionspunkten führt ihr produktive 1:1s und Team-Meetings mit allen Teammitgliedern.

Mehr erfahren
Licht lila und umgekehrte Glühbirne Symbol.

Lernen &
Onboarding

Entwickelt und bindet eure Talente mit einer hochgradig personalisierten, skalierbaren und automatisierten Lern- und Onboarding-Erfahrung.

Mehr erfahren
Weißes und transparentes umgekehrtes Kästchensymbol mit Häkchen.

Performance & 360°-Reviews

Führen Sie wirkungsvolle und schmerzlose Leistungs-, 360-Grad-, Projekt- oder Führungsgespräche Reviewprozesse durch, die einfach einzurichten und durchzuführen sind und allen Beteiligten zugute kommen.

Tor-Symbol weiß invertiert transparent.

Ziel- & OKR-Management

Verfolgung, Zusammenarbeit und Abstimmung von Unternehmens-, Team- und individuellen Zielen zur Schaffung AlignmentVerantwortlichkeit und Transparenz in der gesamten Organisation zu schaffen.

Mehr erfahren
Weißes Symbol für gestapelte Blöcke.

Mitarbeiter-
befragungen

Messen Sie den Puls Ihrer Unternehmenskultur mit der einfach einzurichtenden Website Mitarbeiterbefragungen und nutzen Sie aussagekräftige Erkenntnisse für Ihre Maßnahmen.

Mehr erfahren
Weißes, transparentes, umgekehrtes Benachrichtigungssymbol.

Direktes Lob & Feedback

Fördert eine Unternehmenskultur, die durch den schnellen Austausch von direktem Lob und Feedback Entwicklungs- und Lernprozesse fördert.

Mehr erfahren
Weißes Symbol für invertierte Chat-Nachrichten.

1:1s und
Team-Meetings

Führt effektive und produktive 1:1-Meetings mit allen Mitarbeiter:innen eures Unternehmens auf Basis einer strukturierten Agenda durch.

Mehr erfahren
Weißes Symbol einer umgekehrten Glühbirne.

Lernen und Onboarding

Entwickelt und bindet eure Talente mit einer hochgradig personalisierten, skalierbaren und automatisierten Lern- und Onboarding-Erfahrung.

Mehr erfahren