Bei uns sind Ihre Daten sicher

Die Sicherheit Ihrer Daten hat bei PayFit oberste Priorität. Als einer der ersten Anbieter im Bereich Lohnabrechnung ist PayFit nach ISO 27001 zertifiziert, dem höchsten Standard für IT-Sicherheit.

Sicher

Wir arbeiten mit höchsten Standards in allen Bereichen, von sicheren Servern in Europa über kontrollierten Datenzugriffen bis hin zu regelmäßigen externen Prüfungen.

Verschlüsselt

Der Zugriff auf Ihr PayFit-Konto ist durch mehrere Schutzmechanismen gesichert. Ihre Daten sind außerdem zu jeder Zeit verschlüsselt.

Vertraulich

Durch strenge Kontrollen sind Ihre Daten und Dokumente vor jeglichen Veränderungen geschützt. Dafür werden Ihre Dokumente außerdem stündlich gesichert.

Verfügbar

Ihre Daten werden in Echtzeit in 3 verschiedenen Rechenzentren in Frankreich repliziert. Sollte eines ausfallen, wird innerhalb weniger Sekunden zu einem anderen gewechselt.

So schützen wir Ihre Daten

Geschulte Mitarbeiter:innen

  • Neue Kolleg:innen werden erst nach genauer Hintergrundprüfung eingestellt.

  • Jede/r Mitarbeiter:in unterzeichnet eine Vertraulichkeitsvereinbarung sowie eine Sicherheits- und Vertraulichkeitscharta.

  • Alle elektronischen Geräte werden zentral mithilfe einer Verwaltungssoftware gesichert.

  • Mitarbeitende nehmen regelmäßig an Sicherheitsschulungen teil und interne Richtlinien werden vier mal im Jahr überprüft.

  • Um Verantwortlichkeiten von Entwicklungs-, Beratungs- und Validierungstätigkeiten voneinander zu trennen, nutzen wir eine sogenannte RACI-Matrix.

Physische Sicherheit

  • PayFit-Räumlichkeiten können nur mit individuellen Transpondern geöffnet werden.

  • Räumlichkeiten werden 24 Stunden durch ein Alarm- und Videosystem überwacht.

  • Zugänge zu Räumlichkeiten werden protokolliert und 45 Tage lang aufbewahrt.

  • Besucher werden immer während des gesamten Aufenthalts im Büro von PayFit-Mitarbeitenden betreut.

Kontrollierte Geräte & Tools

  • Elektronische Geräte werden zentral verwaltet – inklusive Bestandsaufnahme, Überwachung und Warnfunktion.

  • Sicherheitsrichtlinien für Geräte werden global durchgesetzt und verwaltet. Dazu zählen unter anderem automatische Sperren, hohe Standards für Passwörter, Echtzeit-Schutz vor Schadsoftware, Festplattenverschlüsselung, Einschränkung von Softwareinstallation, automatische Updates sowie Fernsperr- und Fernlöschfunktionen.

  • Für Tools und Software gelten umfassende, globale Richtlinien.

  • Der Zugriff auf den Quellcode wird streng kontrolliert, mit systematischen Peer-Reviews bei der Zusammenführung neuer Codes.

  • Rechte für Software-Anwendungen werden zentral verwaltet.

  • Neue Dienstleister werden vor jedem Einsatz systematisch auf Sicherheit sowie rechtliche und finanzielle Aspekte geprüft.

Umgang mit Daten

  • Unsere Server für Daten-Hosting sowie Backups befinden sich in Frankreich.

  • Alle Daten einschließlich Backups werden immer verschlüsselt gespeichert oder übertragen. Bei Übermittlung an Subunternehmer werden diese zusätzlich anonymisiert.

  • Zugang zu Ihrem Konto erfolgt immer durch Authentifizierung via E-Mail und Passwort. Optional kann auch Zwei-Faktor-Authentifizierung (2FA) per SMS eingerichtet werden.

  • Bei PayFit können nur ordnungsgemäß autorisierte Mitarbeiter:innen über ein VPN mit zusätzlicher Zwei-Faktor-Authentifizierung auf Kundendaten zugreifen.

  • Daten werden nur mithilfe des sogenannten TLS/SSL-Protokolls übertragen, das durch Mechanismen wie HSTS und Perfect Forward Secrecy verstärkt wird. Zertifikate von PayFit wurden von SSL-Labors mit "A" bewertet.

  • Ausschließlich bestimmte Teams dürfen nur dann auf Kundendaten zugreifen, sofern dieser Zugriff autorisiert ist, in einem angemessenen Verhältnis zu ihrer Aufgabe steht und durch diese gerechtfertigt ist. Alle Zugriffe werden systematisch protokolliert.

Aktuelle gesetzliche Richtlinien

  • Geschulte Fachkräfte überprüfen unser Abrechnungssystem regelmäßig.

  • Mit automatisierten Test- und Überprüfungsverfahren gewährleisten wir konsistente Berechnungen.

  • Gesetzliche und vertragliche Rahmenbedingungen werden durch internes Fachpersonal überwacht.

Hosting und Netzwerke

  • Das Hosting läuft über Amazon Web Services, zertifiziert nach ISO 27001.

  • Jede Übertragung zwischen Clients und End-to-End-Servern wird via HTTPS-Protokoll verschlüsselt.

  • Wir unterteilen das PayFit-Netzwerk in einzelne Teilnetzwerke mit bestimmten Funktionen für bessere Leistung und Sicherheit.

  • Unsere Entwicklungsumgebung ist streng von der Live-Umgebung getrennt.

  • Das PayFit-Netzwerk ist mit Ausnahme eines einzigen Einstiegpunktes (Proxy) vom Internet isoliert. Jeder Punkt im Netzwerk ist durch strenge Firewall-Regeln geschützt.

  • Richtlinien für Rechteverwaltung von AWS und Kubernetes schützen vor Zugriffen auf PayFit-Systeme.

  • Zugriff auf Kundendaten erfolgt nur durch autorisierte Mitarbeiter:innen und immer über Verwendung eines VPN und zusätzlicher Zwei-Faktoren-Authentifizierung.

  • Datenübertragungen aus Systemen, die persönliche Daten verwalten, werden systematisch archiviert.

  • Alle Server werden untereinander mithilfe eines AWS NTP-Servers synchronisiert.

Serverprotokolle

  • Jeder Zugriff auf Systeme sowie jede Änderung von Daten in diesen Systemen wird via Audit-Protokollen identifiziert und archiviert.

  • Systemereignisse wie Fehler werden gesondert überwacht und protokolliert.

  • Zugriff auf Serverprotokolle erfolgt über einen dezidierten Domainnamen, geschützt durch VPN, Passwort und Zwei-Faktor-Authentifizierung (2FA).

  • Serverprotokolle werden dreimal in drei verschiedenen Rechenzentren in Frankreich repliziert, die im Falle eines Vorfalls automatisch umschalten und so vor Ausfällen schützen.

  • Audit-Protokolle werden ein Jahr lang aufbewahrt.

Verfügbarkeit und Ausfallsicherheit

  • Alle Daten werden kontinuierlich über 2 Knoten für Datenbanken und 3 Knoten für den Speicher auf AWS S3 repliziert. Jeder Knoten befindet sich in einem eigenen Rechenzentrum, das geografisch von den anderen getrennt ist. Bei einem Zwischenfall in einem Rechenzentrum werden die dort gespeicherten Daten automatisch in den anderen Rechenzentren repliziert.

  • Datensicherungen werden stündlich durchgeführt. Außerdem werden Wiederherstellungsprozesse von Datensicherungen (Backups) täglich getestet.

  • Verschlüsselte End-to-End Backups werden per HTTPS-Protokoll übertragen.

  • Backups werden dreimal repliziert und vor Zugriff wird durch die Rechteverwaltungsrichtlinien von AWS und Kubernetes geschützt.

Verhalten bei Zwischenfällen

  • PayFit hat ein formales Verfahren für Sicherheitsereignisse implementiert und alle Mitarbeiter:innen intern darauf geschult.

  • Wenn ein Vorfall erkannt wird, wird eine automatische Nachricht an ausgewählte Personen geschickt. Diese stellen umgehend ein Team zusammen, um den Vorfall schnellstmöglich zu beheben.

  • Jeder Zwischenfall wird anschließend analysiert und an das gesamte Unternehmen kommuniziert. Es werden bestimmte Maßnahmen festgelegt, um ähnliche Vorfälle in Zukunft zu vermeiden.

  • Sicherheitsrelevante Ereignisse werden vor Abschluss noch einmal systematisch von den Abteilungen Technik, Sicherheit, Recht, Kommunikation und ggf. von speziell betroffenen Abteilungen überprüft.

Regelmäßige Audits

  • PayFit verwendet Softwares wie Sentry und AWS Cloudtrail, um Infrastruktur- und Anwendungsprotokolle zu erstellen. Auditing ermöglicht es, Sicherheitsanalysen durchzuführen, Änderungen am PayFit-Setup zu verfolgen und Zugriffe auf allen Anwendungsebenen zu überprüfen.

  • Wir arbeiten mit einem privaten Bug-Bounty-Programm auf HackerOne, um Sicherheitsbedrohungen schneller zu identifizieren und zu minimieren. Der Zugang zu diesem Programm ist nur auf Einladung möglich.

ISO 27001

Als einer der ersten Anbieter im Bereich Lohnabrechnung ist PayFit nach ISO 27001 zertifiziert, dem höchsten Standard für IT-Sicherheit.

Bug-Bounty-Programm

Wir wollen unsere Systeme noch sicherer machen und holen uns daher proaktiv externes Feedback. Mit unserem Bug-Bounty-Programm auf HackerOne arbeiten wir mit externen Expert:innen, um Sicherheitsbedrohungen noch schneller zu identifizieren und zu entschärfen.

social network iconsocial network iconsocial network iconsocial network icon

Über uns

Warum PayFit?
Unsere Geschichte
Unsere Kunden
Unser Engagement
Presse
Vielfalt und Integration

Funktionen

Lohnabrechnung erstellen
Abwesenheiten verwalten
Personalprozesse digitalisieren
Auslagen erstatten
Arbeitszeiten erfassen
Preise
Service
Sicherheit

Ressourcen & Infos

Kontakt

Kunden-Login
Kontakt aufnehmen
PayFit Support Center
payfit logo

© PayFitNutzungsbedingungenSitemapCookiesImpressumDSGVODatenschutzStatusISO 27001
bottom logo