Bei uns sind Ihre Daten sicher

Neue Kolleg:innen werden erst nach genauer Hintergrundprüfung eingestellt.

Jede/r Mitarbeiter:in unterzeichnet eine Vertraulichkeitsvereinbarung sowie eine Sicherheits- und Vertraulichkeitscharta.

Alle elektronischen Geräte werden zentral mithilfe einer Verwaltungssoftware gesichert.

Mitarbeitende nehmen regelmäßig an Sicherheitsschulungen teil und interne Richtlinien werden vier mal im Jahr überprüft.

Um Verantwortlichkeiten von Entwicklungs-, Beratungs- und Validierungstätigkeiten voneinander zu trennen, nutzen wir eine sogenannte RACI-Matrix.

PayFit-Räumlichkeiten können nur mit individuellen Transpondern geöffnet werden.

Räumlichkeiten werden 24 Stunden durch ein Alarm- und Videosystem überwacht.

Zugänge zu Räumlichkeiten werden protokolliert und 45 Tage lang aufbewahrt.

Besucher werden immer während des gesamten Aufenthalts im Büro von PayFit-Mitarbeitenden betreut.

Elektronische Geräte werden zentral verwaltet – inklusive Bestandsaufnahme, Überwachung und Warnfunktion.

Sicherheitsrichtlinien für Geräte werden global durchgesetzt und verwaltet. Dazu zählen unter anderem automatische Sperren, hohe Standards für Passwörter, Echtzeit-Schutz vor Schadsoftware, Festplattenverschlüsselung, Einschränkung von Softwareinstallation, automatische Updates sowie Fernsperr- und Fernlöschfunktionen.

Für Tools und Software gelten umfassende, globale Richtlinien.

Der Zugriff auf den Quellcode wird streng kontrolliert, mit systematischen Peer-Reviews bei der Zusammenführung neuer Codes.

Rechte für Software-Anwendungen werden zentral verwaltet.

Neue Dienstleister werden vor jedem Einsatz systematisch auf Sicherheit sowie rechtliche und finanzielle Aspekte geprüft.

Unsere Server für Daten-Hosting sowie Backups befinden sich in Frankreich.

Alle Daten einschließlich Backups werden immer verschlüsselt gespeichert oder übertragen. Bei Übermittlung an Subunternehmer werden diese zusätzlich anonymisiert.

Zugang zu Ihrem Konto erfolgt immer durch Authentifizierung via E-Mail und Passwort. Optional kann auch Zwei-Faktor-Authentifizierung (2FA) per SMS eingerichtet werden.

Bei PayFit können nur ordnungsgemäß autorisierte Mitarbeiter:innen über ein VPN mit zusätzlicher Zwei-Faktor-Authentifizierung auf Kundendaten zugreifen.

Daten werden nur mithilfe des sogenannten TLS/SSL-Protokolls übertragen, das durch Mechanismen wie HSTS und Perfect Forward Secrecy verstärkt wird. Zertifikate von PayFit wurden von SSL-Labors mit "A" bewertet.

Ausschließlich bestimmte Teams dürfen nur dann auf Kundendaten zugreifen, sofern dieser Zugriff autorisiert ist, in einem angemessenen Verhältnis zu ihrer Aufgabe steht und durch diese gerechtfertigt ist. Alle Zugriffe werden systematisch protokolliert.

Geschulte Fachkräfte überprüfen unser Abrechnungssystem regelmäßig.

Mit automatisierten Test- und Überprüfungsverfahren gewährleisten wir konsistente Berechnungen.

Gesetzliche und vertragliche Rahmenbedingungen werden durch internes Fachpersonal überwacht.

Das Hosting läuft über Amazon Web Services, zertifiziert nach ISO 27001.

Jede Übertragung zwischen Clients und End-to-End-Servern wird via HTTPS-Protokoll verschlüsselt.

Wir unterteilen das PayFit-Netzwerk in einzelne Teilnetzwerke mit bestimmten Funktionen für bessere Leistung und Sicherheit.

Unsere Entwicklungsumgebung ist streng von der Live-Umgebung getrennt.

Das PayFit-Netzwerk ist mit Ausnahme eines einzigen Einstiegpunktes (Proxy) vom Internet isoliert. Jeder Punkt im Netzwerk ist durch strenge Firewall-Regeln geschützt.

Richtlinien für Rechteverwaltung von AWS und Kubernetes schützen vor Zugriffen auf PayFit-Systeme.

Zugriff auf Kundendaten erfolgt nur durch autorisierte Mitarbeiter:innen und immer über Verwendung eines VPN und zusätzlicher Zwei-Faktoren-Authentifizierung.

Datenübertragungen aus Systemen, die persönliche Daten verwalten, werden systematisch archiviert.

Alle Server werden untereinander mithilfe eines AWS NTP-Servers synchronisiert.

Jeder Zugriff auf Systeme sowie jede Änderung von Daten in diesen Systemen wird via Audit-Protokollen identifiziert und archiviert.

Systemereignisse wie Fehler werden gesondert überwacht und protokolliert.

Zugriff auf Serverprotokolle erfolgt über einen dezidierten Domainnamen, geschützt durch VPN, Passwort und Zwei-Faktor-Authentifizierung (2FA).

Serverprotokolle werden dreimal in drei verschiedenen Rechenzentren in Frankreich repliziert, die im Falle eines Vorfalls automatisch umschalten und so vor Ausfällen schützen.

Audit-Protokolle werden ein Jahr lang aufbewahrt.

Alle Daten werden kontinuierlich über 2 Knoten für Datenbanken und 3 Knoten für den Speicher auf AWS S3 repliziert. Jeder Knoten befindet sich in einem eigenen Rechenzentrum, das geografisch von den anderen getrennt ist. Bei einem Zwischenfall in einem Rechenzentrum werden die dort gespeicherten Daten automatisch in den anderen Rechenzentren repliziert.

Datensicherungen werden stündlich durchgeführt. Außerdem werden Wiederherstellungsprozesse von Datensicherungen (Backups) täglich getestet.

Verschlüsselte End-to-End Backups werden per HTTPS-Protokoll übertragen.

Backups werden dreimal repliziert und vor Zugriff wird durch die Rechteverwaltungsrichtlinien von AWS und Kubernetes geschützt.

PayFit hat ein formales Verfahren für Sicherheitsereignisse implementiert und alle Mitarbeiter:innen intern darauf geschult.

Wenn ein Vorfall erkannt wird, wird eine automatische Nachricht an ausgewählte Personen geschickt. Diese stellen umgehend ein Team zusammen, um den Vorfall schnellstmöglich zu beheben.

Jeder Zwischenfall wird anschließend analysiert und an das gesamte Unternehmen kommuniziert. Es werden bestimmte Maßnahmen festgelegt, um ähnliche Vorfälle in Zukunft zu vermeiden.

Sicherheitsrelevante Ereignisse werden vor Abschluss noch einmal systematisch von den Abteilungen Technik, Sicherheit, Recht, Kommunikation und ggf. von speziell betroffenen Abteilungen überprüft.

PayFit verwendet Softwares wie Sentry und AWS Cloudtrail, um Infrastruktur- und Anwendungsprotokolle zu erstellen. Auditing ermöglicht es, Sicherheitsanalysen durchzuführen, Änderungen am PayFit-Setup zu verfolgen und Zugriffe auf allen Anwendungsebenen zu überprüfen.

Wir arbeiten mit einem privaten Bug-Bounty-Programm auf HackerOne, um Sicherheitsbedrohungen schneller zu identifizieren und zu minimieren. Der Zugang zu diesem Programm ist nur auf Einladung möglich.