Sicherheit und Compliance bei Consor

Datum des Inkrafttretens: 01.07.2024

Der Schutz persönlicher und vertraulicher Kundeninformationen hat für uns oberste Priorität. Im Interesse unserer Kunden, unserer Geschäftsethik und unserer Werte gehen wir keine Kompromisse ein, wenn es um die Datensicherheit geht. Als Teil dieser Verpflichtung arbeiten wir mit einem Höchstmass an Transparenz. Die folgende Übersicht bietet einen Überblick über unsere sich ständig weiterentwickelnden Sicherheitsmassnahmen.

Wir erfüllen die höchsten Sicherheits- und Datenschutzstandards.

GDPR – Consor wird jährlich von externen, unabhängigen Prüfern auf die Einhaltung der Datenschutzbestimmungen GDPR geprüft. Durch die Einhaltung von GDPR beweisen wir unser Engagement für den Schutz personenbezogener Daten und die Durchsetzung eines zustimmungsbasierten Modells für die Verarbeitung personenbezogener Daten. Consor ist nach ISO27001 zertifiziert und erfüllt damit höchste, unabhängig geprüfte Standards zum Informationssicherheitsmanagement.

Unsere Verschlüsselungsprotokolle sind standardkonform.

In einer Multi-Cloud-Umgebung verschlüsseln wir alle Daten mit den besten Sicherheitsalgorithmen wie RSA4096, SHA256 und AES256. Daten, die zu oder von unserer Infrastruktur gesendet werden, werden während der Übertragung verschlüsselt, indem TLS (Transport Layer Security) verwendet wird. Alle Daten werden mit bewährten Verschlüsselungsalgorithmen verschlüsselt und sicher gespeichert.

Mit einer Ende-zu-Ende-Verschlüsselung in jeder Phase – im Ruhezustand, bei der Übertragung oder im Cloud-Speicher – sorgen die Consor-Dienste dafür, dass Ihre Daten stets sicher und privat sind.

Unsere Sicherheitsmassnahmen werden ständig weiterentwickelt, um mit der sich verändernden Bedrohungslandschaft Schritt zu halten.

Unsere Arbeit an Sicherheit und Datenschutz ist ein ständiger Kreislauf aus Analyse, Überarbeitung, Implementierung, Tests, Korrektur, Skalierung, Sperrung und Genehmigung. Wir arbeiten ständig daran, die Anforderungen von Aufsichtsbehörden, Kunden, Partnern und Nutzern zu erfüllen und zu übertreffen, und wir leben die Sicherheitsprozesse täglich. Sicherheit und Datenschutz sind integraler Bestandteil unserer Unternehmenskultur.

Wir treffen alle notwendigen infrastrukturellen Vorkehrungen.

Alle unsere Dienste werden in Cloud-Umgebungen ausgeführt. Wir hosten oder betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Die von uns genutzten Cloud-Anbieter unterziehen sich regelmässig einer unabhängigen Überprüfung der Sicherheits-, Datenschutz- und Compliance-Kontrollen gemäß den folgenden Standards: ISO/IEC 27001, ISO/IEC 27017, SOC 1, SOC 2, SOC 3, PCI DSS, HIPAA, CSA Star, FedRAMP und viele andere.

Sicherer Code: transparente Entwicklung mit Blick auf die Sicherheit.

Um Kundendaten vor aktuellen Bedrohungen zu schützen, müssen die von uns entwickelten Produkte sicherheitsorientiert entwickelt werden. Die folgenden Praktiken gewährleisten ein Höchstmass an Sicherheit in unserer Software:

  • Anwendung des Secure Software Development Life Cycle (S-SDLC), der sich auf die Einbeziehung der Sicherheit in den Entwicklungszyklus konzentriert
  • Entwicklung und kontinuierliche Pflege einer der Sicherheit verpflichteten Unternehmenskultur
  • Wir bewerten die Sicherheit unseres Codes anhand von branchenbekannten Sicherheitsrahmenwerken wie ATT&CK, OWASP Top 10 und SANS Top 25.
  • Entwickler nehmen regelmässig an Sicherheitsschulungen teil, um sich über Schwachstellen, Bedrohungen und bewährte Verfahren für die sichere Programmierung zu informieren.
  • Wir überprüfen unseren Code auf Sicherheitsschwachstellen
  • Wir aktualisieren regelmässig unsere Backend-Infrastruktur und Software und stellen sicher, dass keine bekannten Schwachstellen vorhanden sind.
  • Wir verwenden statische Sicherheitstests für Anwendungen (SAST) und dynamische Sicherheitstests für Anwendungen (DAST), um grundlegende Sicherheitslücken in unserer Codebasis zu erkennen.
  • Wir führen regelmässig externe Penetrationstests in unseren Produktionsumgebungen durch.

Unsere Lösungen für die Überwachung und den Schutz der Anwendungssicherheit ermöglichen es uns, den Überblick zu behalten:

  • Erkennen von Angriffen und reagieren auf eine Datenverletzung
  • Überwachung von Ausnahmen und Protokollen und Aufdeckung von Anomalien in unseren Anwendungen
  • Erfassung und Speicherung von Protokollen, um einen Prüfpfad für die Aktivitäten unserer Anwendungen zu erstellen

Ausserdem setzen wir ein Runtime Protection System ein, das Webangriffe und Angriffe auf die Geschäftslogik in Echtzeit identifiziert und blockiert, sowie Sicherheits-Header, um unsere Nutzer vor Angriffen zu schützen.

Wir praktizieren strenge Sicherheitsüberwachung und Schutz auf Netzwerkebene.

Unser Netzwerk besteht aus mehreren Sicherheitszonen, die wir mit vertrauenswürdigen Firewalls, einschliesslich IP-Adressfilterung, überwachen und schützen, um unbefugten Zugriff zu verhindern. Wir setzen eine Lösung zur Erkennung und/oder Verhinderung von Eindringlingen (IDS/IPS) ein, die potenziell böswillige Pakete überwacht und blockiert, sowie DDoS-Abwehrdienste (Distributed Denial of Service), die von einer branchenführenden Lösung unterstützt werden.

Wir verfügen über ein branchenweit führendes Sicherheitsteam.

Unser Sicherheitsteam besteht aus Sicherheitsexpert:innen, die sich der ständigen Verbesserung der Sicherheit unserer Organisation verschrieben haben. Unser Team ist geschult und zertifiziert in den Bereichen Erkennung von Sicherheitsbedrohungen und Reaktion auf Zwischenfälle, Sicherheitstechnik, Penetrationstests, Anwendungssicherheit, Konformität des Sicherheitsmanagements und neueste Best Practices im Bereich Sicherheit.

Wir fördern eine verantwortungsvolle Offenlegung.

Wenn Sie Schwachstellen in unserer Anwendung oder Infrastruktur entdecken, bitten wir Sie, unser Team zu benachrichtigen, indem Sie sich an security@consor.ch wenden und Ihrer E-Mail einen Nachweis beifügen. Wir werden so schnell wie möglich auf Ihre Meldung reagieren und keine rechtlichen Schritte einleiten, wenn Sie den Prozess der verantwortungsvollen Offenlegung einhalten:

  • Bitte vermeiden Sie automatisierte Tests und führen Sie Sicherheitstests nur mit Ihren eigenen Daten durch.
  • Bitte fügen Sie Ihrer E-Mail einen Nachweis bei
  • Geben Sie keine Informationen über die Schwachstellen weiter, bevor Sie nicht eine eindeutige Genehmigung erhalten haben.

Allgemeine Informationssicherheitspolitik

Schutz der Informations- und IT-Ressourcen von Consor (einschliesslich, aber nicht beschränkt auf alle Computer, mobilen Geräte, Netzwerkausrüstung, Software und sensiblen Daten) vor allen internen, externen, vorsätzlichen oder versehentlichen Bedrohungen und Minderung der Risiken im Zusammenhang mit Diebstahl, Verlust, Missbrauch, Beschädigung oder Missbrauch dieser Systeme;

Sicherstellen, dass die Informationen vor unbefugtem Zugriff geschützt werden. Die Nutzer dürfen nur auf die Ressourcen zugreifen, für die sie eine spezielle Zugangsberechtigung besitzen. Die Zuteilung von Privilegien wird streng kontrolliert und regelmässig überprüft.

Schutz der VERTRAULICHKEIT von Informationen. Wenn wir über die Vertraulichkeit von Informationen sprechen, geht es darum, die Informationen vor der Offenlegung gegenüber Unbefugten zu schützen;

Sicherstellung der INTEGRITÄT von Informationen. Die Integrität von Informationen bezieht sich auf den Schutz von Informationen vor Änderungen durch Unbefugte;

Aufrechterhaltung der VERFÜGBARKEIT von Informationen für Geschäftsprozesse. Die Verfügbarkeit von Informationen bezieht sich auf die Gewährleistung, dass autorisierte Parteien bei Bedarf auf die Informationen zugreifen können.

Einhaltung und, wo immer möglich, Übertreffen nationaler gesetzlicher und behördlicher Anforderungen, Normen und bewährter Verfahren;

EntwicklungPflege und Prüfung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs, um sicherzustellen, dass wir trotz aller Hindernisse, auf die wir stossen können, auf Kurs bleiben.

Schärfung des Bewusstseins für die Informationssicherheit durch die Bereitstellung von Schulungen zur Informationssicherheit für alle Mitarbeiter. Das Sicherheitsbewusstsein und gezielte Schulungen müssen konsequent durchgeführt werden, die Verantwortung für die Sicherheit muss sich in den Stellenbeschreibungen widerspiegeln, und die Einhaltung der Sicherheitsanforderungen muss als Teil unserer Kultur erwartet und akzeptiert werden;

Sicherstellen, dass keine Massnahmen gegen Mitarbeiter ergriffen werden, die ein Informationssicherheitsproblem durch Meldung oder direkten Kontakt mit dem Leiter des Informationssicherheitsmanagements offenlegen, es sei denn, eine solche Offenlegung deutet zweifelsfrei auf eine illegale Handlung, grobe Fahrlässigkeit oder eine wiederholte vorsätzliche oder absichtliche Missachtung von Vorschriften oder Verfahren hin;

Meldung aller tatsächlichen oder vermuteten Verstösse gegen die Informationssicherheit an security@consor.ch