Sicherheit von Daten, Servern, Nutzerkonten und Systemen

Mit QuestionPro sind Sie auf der sicheren Seite, was die Sicherheit Ihrer Daten und den Schutz Ihres Nutzerkontos betrifft. Übersicht unserer Sicherheits-Maßnahmen.

DSGVO Compliance ISO 27000 Marktforschung Experience Management

Physikalische Sicherheit

Die physikalische Sicherheit betrifft die Server in unseren Rechenzentren. Für unsere Kunden in Europa ist der Serverstandort Meppel, Niederlande.

Data Center & Server

Unsere Server befinden sich in Serverius-Rechenzentren und werden in separaten Anlagen in Microsoft Azure Clouds gesichert. QuestionPro beschränkt den Zugang zu den Rechenzentren auf leitende Mitarbeiter nach dem Prinzip der geringsten Berechtigung. Die Rechenzentren werden 24 Stunden am Tag überwacht. Besucher werden protokolliert und vom Personal des Rechenzentrums begleitet. Alle Besucher müssen ID-Ausweise tragen. Die Zentren nutzen Sicherheitspersonal, elektronische Zugangsgeräte, biometrische Zugangsgeräte, Feueralarmsysteme und CCTV-Überwachung.

Server-Monitoring

QuestionPro nutzt Überwachungstools wie Nagios, CloudFlare und OSSEC in Verbindung mit den Protokollierungsfunktionen von Apache Logs, Linux var/log/audit/audit.log und MySQL Statistics. Systemadministratoren können bestimmte Ereignisse auswählen, die auf jeder Ebene des Systems geprüft werden sollen, einschließlich interner Systemzugriffe, fehlgeschlagener Authentifizierungsversuche und anderer prüfbarer Ereignisse. Darüber hinaus ermöglichen diese Tools die Zeitstempelung aller auditierbaren Aktionen und die Erstellung von Audit-Protokollen..

Data Center Compliance

Rechenzentrum-Konformität: Serverius, das primäre Rechenzentrum von QuestionPro, unterzieht sich regelmäßig ISO 27001-Audits. Die Berichte dieser Audits bestätigen Serverius’ Engagement für den Schutz vor unberechtigtem Zugriff und die Gewährleistung der ständigen Datenverfügbarkeit. Die Backup-Einrichtung von QuestionPro, MS Azure, wird regelmäßig SSAE 16 SOC 2-Audits unterzogen. Die Berichte dieser beiden Einrichtungen können selbstverständlich jederzeit auf Anfrage eingesehen werden.

.

Zugang und Nutzerkonten

Die Sicherheit auf Nutzerkonten-Ebene beschreibt Maßnahmen zur Sicherstellung der Nutzerkontensicherheit bei QuestionPro

Nutzer-Authentifizierung

Single Sign-On: Single Sign-On (SSO) ermöglicht QuestionPro-Benutzern den Zugriff mit den Anmeldedaten eines bestehenden Firmen-Intranets. SAML-, Multipass/Token- oder Cookie-basiertes SSO kann mit gängigen Authentifizierungssystemen wie Active Directory oder LDAP verwendet werden, um festzustellen, ob ein Endbenutzer authentifiziert ist.

Double Opt-in Verifizierung und reCaptcha

QuestionPro bietet die Möglichkeit, bei der Benutzerregistrierung eine reCaptcha-Verifizierung zu verlangen. reCaptcha verhindert, dass automatisierte Skripte gefälschte Accounts erstellen, was signifikant die Sicherheit von Nutzeraacounts steigert.

Personnel Authentication

Jeder Zugriff auf QuestionPro-Server erfordert eine Multi-Faktor-Authentifizierung – SSH-Schlüssel und Passphrasen. Der Zugriff auf die Staging-Umgebung ist auf Entwickler beschränkt, der Zugriff auf die Produktionsumgebung auf Systemadministratoren und der Zugriff auf die Datenbanken auf leitende Systemadministratoren.

E-Mail-basierte Zugangsbeschränkungen

Mit der QuestionPro Academic-Lizenz können Universitätskunden die Registrierung von Nutzerkonten auf Personen mit E-Mail-Adressdomänen der Universität beschränken, was den Zugang erleichtert und gleichzeitig die Sicherheit von unbefugter Nutzung erhöht.

Administrative Sicherheit

Die administrative Sicherheit betrifft die Einrichtung weiterer Haut- und Unterkonten sowie die Vergabe von Rechte und Rollen

Benutzername und Passwort

Passwörter müssen mindestens 8 Zeichen beinhalten sowie eine Kombination aus Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen. Leicht zu erratende Passwörter dürfen nicht verwendet werden. Kontoinhaber müssen Passwörter alle neunzig Tage ändern. Jeder angemeldete Benutzer wird nach 15 Minuten Inaktivität automatisch abgemeldet. Alle unbenutzten Benutzernamen werden nach sechs Monaten Inaktivität automatisch deaktiviert.

Prinzip der geringsten Privilegien

QuestionPro verwendet das Prinzip der geringsten Privilegien. Qualifizierte Mitarbeiter  von QuestionPro dürfen nur dann auf privilegierte Bereiche des Systems zugreifen, wenn dieser Zugriff für den Betrieb der Geschäftsfunktionen von QuestionPro erforderlich ist, etwa im Supportfall oder bei beauftragten Dienstleistungen. Zugänge zum System werden nur entsprechend qualifizierten Mitarbeitern gewährt, damit diese wesentliche Aufgaben erfüllen können.

Nutzerkontenverwaltung

QuestionPro bietet ein sehr feingranulierte rechte- und rollenbasierte Nutzerkonten-Verwaltung für Multi-User-Accounts. Das bedeutet, dass lediglich Systemadministratoren (Inhaber von Hauptbenutzerkonten) neue Haupt- oder Unterkonten anlegen und entsprechende Rechte und Rollen vergeben können. Rechte und Rollen von Unterkonten können jederzeit individuell angepasst, geändert, gelöscht oder der Zugang beschränkt werden..

Sicherheit der Server- und Systemumgebung

Unsere Server sind vor Angriffen von Außerhalb (Hackerattacken) sowie vor unautorisiertem Zugriff optimal geschützt. Zudem führen wir regelmäßig Schwachstellen-Scans durch und nutzen SSL-, TLS-, SSH- und SCP-Verschlüsselung

Firewall

Alle externen Verbindungen zum QuestionPro-System enden auf einer iptables/Linux-Firewall, die mit einer Standardregel “deny all” konfiguriert ist. Nicht initiierter ausgehender Verkehr ist auf externe APIs und SMTP beschränkt. Die Firewall verwendet nicht standardmäßig verwaltete Zugangspunkte für HTTP-Datenverkehr, SSL-verschlüsselten HTTP-Datenverkehr und ausgehenden SMTP-Datenverkehr.

Zusätzlicher Schutz

QuestionPro nutzt neben einer Firewall zusätzlich IP-Blacklists, um IP-Adressen konsequent auszusperren, die als betrügerisch bekannt sind sowie den Integritäts-Checker OSSEC, um zu erkennen, ob unautorisierte Änderungen am System vorgenommen wurden. Überdies nutzt QuestionPro den Boundary-Protection-Dienst CloudFlare, um logische Grenzen zu schaffen und DDoS-Angriffe abzuwehren.

Verschlüsselung

Daten bei der Übertragung: QuestionPro implementiert SSL-, TLS-, SSH- und SCP-Verschlüsselung, um Daten sicher zu übertragen. QuestionPro unterstützt die vollständige SSL-Verschlüsselung, und alle Mail-Server sind mit TLS konfiguriert. Der Zugriff auf Systemserver ist nur über SSH auf einem nicht standardisierten Port möglich. Die Daten werden per SSH mit rsync in das Backup-Rechenzentrum übertragen. Daten im Ruhezustand: QuestionPro verschlüsselt alle Kundenpasswörter und Kreditkartendaten, die in den Systemdatenbanken gespeichert sind, mit einem Hash-Verfahren. Wenn Kunden SSO nutzen, werden die Passwörter nicht gespeichert, sondern mit einem Token authentifiziert.

Entwicklungspraktiken

Als Teil des Entwicklungsprozesses unterhält QuestionPro getrennte Umgebungen für Entwicklung, Staging, Test und Produktion in Übereinstimmung mit den SDLC Best Practices. Der Zugriff ist auf Systemadministratoren beschränkt. Der gesamte Entwicklungscode wird von einem leitenden Administrator überprüft, bevor er in Produktion geht. QuestionPro schützt vor SQL-Injektionen durch vorbereitete Anweisungen, gespeicherte Prozeduren, Escaping von Benutzereingaben und Erzwingen der geringsten Berechtigung. QuestionPro bekämpft Cross-Site-Scripting durch korrektes Escaping/Encoding, Blacklists, Vulnerability-Scans und andere Verfahren.

Konfiguration und Verwaltung

QuestionPro folgt einer Release- und Wartungsmethodik, die das Dokumentieren, Testen und Überprüfen von Änderungen am System beinhaltet. QuestionPro aktualisiert seine Server-Betriebssysteme zeitnah mit den neuesten Patches und gibt mindestens wöchentlich Wartungsreleases heraus. Alle nicht essentiellen Anwendungen werden deaktiviert, um das System vor Bedrohungen zu schützen.

Schwachstellen-Scans

QuestionPro führt in regelmäßigen Abständen Schwachstellen-Scans des QuestionPro-Systems auf allen Servern in allen Rechenzentren durch. Alle entdeckten Schwachstellen werden sofort einer Sicherheitsrisikobewertung unterzogen und entsprechend der Bewertungsfeststellung unmittelbar behoben. PCI-Sicherheitsberichte sind selbstverständlich jederzeit auf Anfrage zur Überprüfung verfügbar.

Sicherung

QuestionPro führt kontinuierlich Hot-Backups durch, die innerhalb von zwei Stunden zur Wiederherstellung verfügbar sind. Nur Systemadministratoren haben Zugriff auf die Backups und nur zum Zweck einer Systemwiederherstellung. Unter keinen Umständen werden die Backups von den Servern entfernt oder Dritten zugänglich gemacht.

Unterbrechungsfreie Stromversorgung

Ausfallsicherung der Server: Alle QuestionPro-Server in allen Rechenzentren dieser Welt sind ausnahmslos mit unterbrechungsfreien Stromversorgungseinheiten (USV) ausgestattet, um bei einem Stromausfall eine sofortige Notstromversorgung zu gewährleisten und somit den Ausfall des Systems zu verhindern.

Compliance und Konformität

QuestionPro erfüllt mit seiner Marktforschungs- und Experience Management Plattform alle Anforderungen regionalen und überregionalen Anforderungen an Datensicherheit, Datenschutz sowie spezifischen Konformitäten.

DSGVO-Compliance

QuestionPro ist vollständig konform mit den Datenschutzregularien der Europäischen Union (DSGVO) und die Benutzer unserer Plattform können DSGVO-konforme Umfragen zur Datenerfassung erstellen und versenden. Um diesen Prozess zu unterstützen, haben wir einen ausgeklügelten Prozess eingerichtet, der sicherstellt, dass alle Daten, die mit unserer Plattform erfasst werden, vollständig GDPR-konform sind, einschließlich Datenportabilität, Datenschutz, Einwilligung und anderer Compliance-Funktionen.

ISO 27001:2013

QuestionPro ist ein nach ISO 27001:2013 zertifiziertes Unternehmen. Die ISO 27001 ist ein weltweit anerkannter internationaler Standard für das Management von Risiken für die Sicherheit von Informationen. Wir verfügen über alle Sätze von standardisierten Anforderungen für ein Informationssicherheits-Managemen-Ssystem (ISMS). Im Rahmen dieser Standards verfolgen wir einen prozessbasierten Ansatz für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Wartung und die Verbesserung unserer Systeme.

Section 508 Compliance

Mit QuestionPro erstellte Umfragen, Marktforschungs-Studien und Touchpoint Analysen sind konform mit Section 508 (US Federal Accessibility Guidelines). Online-Umfragen und Fragebögen , die auf der QuestionPro-Plattform erstellt werden, sind konform für Menschen mit physischen Beeinträchtigungen.

FERPA Compliance (betrifft USA)

QuestionPro hat sich dazu verpflichtet, die Bestimmungen des Family Education Rights and Privacy Act einzuhalten. Wir stellen sicher, dass alle unsere Kunden denselben Verhaltenskodex befolgen. Um die Einhaltung der FERPA-Richtlinien zu gewährleisten, folgen wir einem strengen administrativen und technischen Protokoll.

Ihre Fragen zur Sicherheit von QuestionPro

Sehr gerne beantworten wir Ihnen im Rahmen einer 1:1 Live-Online-Beratung all’ Ihre Fragen zu unseren Sicherheitsmaßnahmen zum Schutz Ihrer Daten und Ihres Nutzerkontos

Experience Management Plattform QuestionPro

Plattform für Marktforschung und Experience Management

Sicherheit von Daten und Nutzerkonten bei QuestionPro

/* LinkedIn Insight Tag*/