Datenschutz und Datensicherheit

Warum ist Datensicherheit wichtig und was bedeutet sie für Appy Pie?

In der digitalen Welt ist die Datensicherheit von entscheidender Bedeutung, nicht nur für unsere Kunden, sondern auch für deren Kunden. Die Anfälligkeit von Daten in jeder Phase kann schwerwiegende Folgen für das gesamte Ökosystem haben.

Wenn Sie als Unternehmer einen Dienst oder eine Plattform wählen, um Ihren Kunden Ihre Produkte und Dienstleistungen anzubieten, entscheiden Sie sich im Wesentlichen für die Verbindung zwischen Ihnen und den Kunden. Deshalb ist es wichtig, dass die Plattform optimale Sicherheitsstandards einhält und über die richtige Zertifizierung verfügt, um alle sensiblen Daten, die Sie von Ihren Daten sammeln, zu schützen. Zu diesen Daten können E-Mail-Adressen, physische Adressen, Kontaktnummern, Zahlungsinformationen oder andere sensible Daten gehören.

Sie sind gegenüber Ihren Kunden dafür verantwortlich, dass die Daten, die sie im Rahmen ihrer Geschäftstätigkeit zur Verfügung stellen, sicher aufbewahrt und nach ethischen Grundsätzen gehandhabt werden und niemals ohne ihr Wissen oder ihre Zustimmung an Dritte weitergegeben werden.

Bei Appy Pie ergreifen wir strenge Sicherheitsmaßnahmen und stellen sicher, dass es in unseren Prozessen in keiner Phase Schwachstellen gibt. AppyPie.com hilft Ihnen, Ihren Kunden bei jeder Interaktion Sicherheit und Compliance auf Unternehmensniveau zu bieten.

Nachfolgend finden Sie die Zertifizierungen und Compliance-Maßnahmen, die von AppyPie.com ergriffen werden, um sicherzustellen, dass unsere Kunden und Ihre Kunden vor skrupellosen Aktivitäten geschützt sind.

PCI DSS-Einhaltung

Das von Appy Pie verwendete Zahlungs-Gateway ist PCI DSS-konform. Wir haben das Jahr 2019 mit Besorgnis und Befürchtungen in Bezug auf die Anfälligkeit von Daten, Datenschutzverletzungen und Datenlecks begonnen. Aus diesem Grund ist Sicherheit nach wie vor ein heißes Thema und eine Angelegenheit, die die Öffentlichkeit beschäftigt.

Appy Pie hat es sich zur Aufgabe gemacht, dafür zu sorgen, dass die Zahlungsinformationen seiner Kunden zu jeder Zeit geschützt sind. Stripe, der PCI-konforme Zahlungsabwickler von Appy Pie für Abrechnungsanfragen, speichert die Postanschrift des Kunden zusammen mit dem Ablaufdatum der Kreditkarte und dem CVV.

Mit diesem Formular können Sie den Wunsch äußern, dass meine Daten nicht verkauft werden.

SOC 2-Beglaubigung

Unsere Kunden vertrauen unserer Plattform so sehr, dass sie uns die Abwicklung ihrer kritischen Prozesse wie Rechnungsstellung, Fakturierung und vieles mehr überlassen. Im Gegenzug versichern wir ihnen, dass ihre Interessen und die Privatsphäre ihrer Kunden geschätzt und geschützt werden.

Die SOC 2-Zertifizierung gewährleistet, dass SaaS-Dienstleister wie Appy Pie Ihre Daten sicher verwalten, so dass Ihre Interessen und die Privatsphäre Ihrer Kunden stets geschützt sind.

Die SOC-Compliance von Appy Pie eignet sich besonders für Unternehmen, die ihre Finanzberichterstattung intern kontrollieren müssen, und um die Anbieter, die interne Kontrollen eingerichtet haben, bei Audits zu präsentieren.

Mit diesem Formular können Sie den Wunsch äußern, dass meine Daten nicht verkauft werden.

ISO 22301:2019

Societal security – Business continuity management systems – Requirements, ist eine Managementsystemnorm, die die Anforderungen an die Planung, Einführung, Umsetzung, den Betrieb, die Überwachung, Überprüfung, Aufrechterhaltung und kontinuierliche Verbesserung eines dokumentierten Managementsystems zum Schutz vor, zur Verringerung der Wahrscheinlichkeit des Auftretens, zur Vorbereitung auf, zur Reaktion auf und zur Wiederherstellung nach störenden Ereignissen festlegt, wenn diese auftreten.

Wir sind nach ISO 22301:2019 zertifiziert und darauf vorbereitet, jede Störung zu bewältigen und zu beheben, falls sie eintreten sollte.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

Die ISO 27001-Zertifizierung ist eine Zertifizierung für ein Managementsystem für Informationssicherheit (ISMS), bei dem es sich im Wesentlichen um einen Rahmen von Richtlinien und Verfahren handelt. Es umfasst alle rechtlichen, physischen und technischen Kontrollen im Zusammenhang mit dem Informationsrisikomanagementprozess einer Organisation, der darauf abzielt, die Sicherheit der Informationen zu gewährleisten.

Wir sind nach ISO 27001:2013 zertifiziert und haben uns verpflichtet, Risiken zu erkennen, Auswirkungen zu bewerten und systematisierte Kontrollen einzuführen, die das Vertrauen in unsere Arbeit stärken.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Freiwillige Vorlage für die Zugänglichkeit von Produkten (VPAT)

Appy Pie hat eine freiwillige Vorlage für die Zugänglichkeit von Produkten (Voluntary Product Accessibility Template, VPAT) erstellt, die mit den Standards von Section 508 übereinstimmt. Darin wird jeder Aspekt der Anforderungen von Section 508 detailliert beschrieben und erläutert, wie wir jedes Kriterium unterstützen.

Unser VPAT enthält eine Dokumentation zu Section 508 (2017 Refresh), Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (Levels A, AA, AAA) sowie die europäischen Zugänglichkeitsstandards EN 301. Sie können den gesamten Bericht hier einsehen.

GDPR

Appy Pie hält sich an die GDPR und verarbeitet alle personenbezogenen Daten in Übereinstimmung mit den Richtlinien der Verordnung, die auf die Dienstleistungen von Appy Pie und die Plattform anwendbar sind.

GDPR bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.

Mit diesem Formular können Sie den Wunsch äußern, dass meine Daten nicht verkauft werden.

EU-Datenübertragungsmechanismus

Die DSGVO gilt in erster Linie für für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die im Europäischen Wirtschaftsraum (EWR) ansässig sind, und wenn personenbezogene Daten aus dem EWR heraus übertragen werden, besteht die Gefahr, dass der Schutz durch die DSGVO verloren geht. Aus diesem Grund schränkt die DSGVO die Übermittlung personenbezogener Daten außerhalb des EWR ein, es sei denn, die Rechte der betroffenen Personen werden in irgendeiner Weise geschützt. Bis vor kurzem gab es zwei Möglichkeiten, dies zu tun – das EU-US-Datenschutzschild und die Standardvertragsklauseln.

Vor kurzem hat der Gerichtshof der Europäischen Union jedoch den EU-US-Datenschutzschild für die Übermittlung von Daten für ungültig erklärt. Die Standardvertragsklauseln gelten jedoch weiterhin als Instrument oder Mechanismus für die Datenübermittlung an Auftragsverarbeiter außerhalb der EU, der Schweiz oder des Vereinigten Königreichs.

Bei Appy Pie haben wir Standardvertragsklauseln (SCCs) für die Übermittlung von Daten, damit alle personenbezogenen Daten geschützt sind. Wir von Appy Pie verpflichten uns, unseren Kunden einen verantwortungsvollen Kundenservice zu ermöglichen, indem wir die vorgeschriebenen Compliance-Richtlinien sowohl als für die Datenverarbeitung Verantwortlicher als auch als Auftragsverarbeiter umsetzen und einhalten.

CCPA

Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (California Consumer Privacy Act) ist ein staatliches Gesetz, das die Datenschutzrechte und den Verbraucherschutz der Einwohner Kaliforniens verbessern soll.

Appy Pie steht im Einklang mit dem CCPA und ist transparent in Bezug auf alle personenbezogenen Daten, die von den Kunden über die Plattform gesammelt werden. Um die CCPA-Richtlinie von Appy Pie zu lesen, klicken Sie bitte hier.

Mit diesem Formular können Sie den Wunsch äußern, dass meine Daten nicht verkauft werden.

Penetrationstest, Schwachstellen-Scanning & Patching

Bei Appy Pie ist es üblich, dass wir Patches für Software/Dienste von Drittanbietern überprüfen und anwenden. Sollten jemals Schwachstellen entdeckt werden, werden diese mit höchster Priorität behoben. Außerdem wird jeden Monat ein Schwachstellen-Scan mit Hilfe der Dienste von Amazon Inspector durchgeführt.

Appy Pie hat die Penetrationstests von Experten einer dritten Partei durchführen lassen – Bishop Fox. Der entsprechende Bericht kann per E-Mail an [email protected] angefordert werden.

Physische und Netzwerksicherheit

Appy Pie hat sein Entwicklungszentrum in NSEZ, Noida (Indien), und Vertriebs-/Supportbüros in Warrenton, Virginia (USA) & London (UK) & Noida (Indien). Das Büro ist mit Überwachungskameras ausgestattet, deren Aufnahmen in regelmäßigen Abständen von befugtem Personal kontrolliert werden. Feuermelder und Wassersprinkler sind vorhanden, um im unwahrscheinlichen Fall eines Brandes Schäden zu erkennen und zu begrenzen. Darüber hinaus führt das Betriebsleitungsteam regelmäßig Brandschutzübungen durch, um die Mitarbeiter über die Evakuierungsverfahren für Notfälle zu informieren. Das Büro ist mit einer 24×7-Stromversorgung ausgestattet, die durch ein alternatives unterbrechungsfreies Stromversorgungssystem unterstützt wird, um einen reibungslosen Betrieb bei Stromausfällen zu gewährleisten.

Alle Anwendungen bei Appy Pie werden auf Amazon Web Services erstellt und gehostet. Die Infrastruktur für Datenbanken und Anwendungsserver wird von Amazon verwaltet und gewartet.

Die erste Schutzschicht für die Anwendung wird von der AWS-Firewall bereitgestellt, die für die Abwehr regelmäßiger DDoS-Angriffe und anderer netzwerkbezogener Eindringlinge ausgerüstet ist. Die zweite Schutzebene bietet die Appy Pie-eigene Anwendungs-Firewall, die angreifende IPs, Benutzer und Spam überwacht. Es sei darauf hingewiesen, dass alle in der Anwendung gespeicherten Kontopasswörter in einer Richtung gehasht und gesalzen sind.

Appy Pie verwendet ein mandantenfähiges Datenmodell, um alle seine Anwendungen zu hosten. Appy Pie bedient jede Anwendung über eine individuelle virtuelle private Cloud, wobei jedem Kunden eine eindeutige Tenant-ID zugewiesen wird. Die Anwendung ist so konzipiert und geprüft, dass nur die Daten des angemeldeten Mieters abgerufen werden können. Durch dieses strategische Konzept wird sichergestellt, dass kein Kunde auf die Daten eines anderen Kunden zugreifen kann. Der Zugriff auf die Anwendung durch das Anwendungsentwicklungsteam wird ebenfalls kontrolliert, verwaltet und geprüft. Bei jedem Zugriff auf die Anwendung und die Infrastruktur wird ein detailliertes Protokoll erstellt, das anschließend geprüft wird.

Sie sind herzlich eingeladen, unseren Standort zu besuchen und die dort getroffenen Sicherheitsmaßnahmen zu überprüfen, indem Sie einen Termin mit uns per E-Mail an [email protected] vereinbaren.

Administrative Tätigkeiten

Als verantwortungsbewusstes und angesehenes Unternehmen sind wir äußerst wachsam, was den Schutz unserer Daten und die Sicherheit der Daten unserer Kunden angeht. Die Mitarbeiter der Organisation erhalten nur nach Autorisierung durch Smartcards Zugang zum Büro und die sensiblen Bereiche des Büros können nur von autorisiertem Personal betreten werden.

Schutz vor Datenverlust

Um einen optimalen Schutz vor Datenverlusten zu gewährleisten, verwenden wir bei Appy Pie den weltweit führenden Schutz vor Datenverlusten – Endpoint Protector von CoSoSys, der jede unsachgemäße Übertragung von Daten auf physischem oder digitalem Wege verhindert. Das bedeutet, dass die Daten des Unternehmens weder auf einen anderen Massenspeicher kopiert werden können, noch können sie per E-Mail als Anhang oder in einer anderen Form unter Verwendung ihrer leistungsstarken Sicherheit verschickt werden.

Datenspeicherung

Der Schutz und die Sicherheit der Kundendaten ist eine ernste Angelegenheit für Appy Pie, daher verwalten sie die Sicherheit ihrer Anwendung und der Kundendaten mit Aufrichtigkeit und Verantwortung. Die Bereitstellung und das Zugriffsmanagement für einzelne, über die Plattform erstellte Apps liegt jedoch im Ermessen der einzelnen App-Besitzer.

Das Entwicklungsteam von Appy Pie hat keinen Zugang zu den Daten auf den Produktionsservern, aber alle Änderungen an der Anwendung, der Infrastruktur, den Webinhalten und den Bereitstellungsprozessen werden im Rahmen eines internen Änderungskontrollprozesses ausführlich dokumentiert.

Unsere Plattform sammelt in begrenztem Umfang Informationen über unsere Kunden, darunter Name, E-Mail-Adresse und Telefonnummer, und diese Angaben werden nur für die Kontoerstellung gespeichert. Stripe, der PCI-konforme Zahlungsabwickler von Appy Pie für Abrechnungsanfragen, speichert die Postanschrift des Kunden zusammen mit dem Ablaufdatum der Kreditkarte und dem CVV.

Appy Pie nimmt die Integrität und den Schutz der Kundendaten sehr ernst und unterhält zwei Arten von Datenhistorien: Anwendungsprotokolle des Systems und Anwendungs- und Kundendaten. All diese Daten werden in Amazons hochmoderner Cloud-Computing-Plattform AWS gespeichert und alle sechs Stunden an mehreren Standorten gesichert.

Datenbank-Backups werden täglich erstellt und 35 Tage lang aufbewahrt. Die Daten der Kunden werden auf zwei Arten gesichert:

  1. Für den Fall eines Systemausfalls im primären Rechenzentrum wird ein kontinuierliches Backup in verschiedenen Rechenzentren aufrechterhalten. Dank der robusten Datensicherung würden unsere Kunden im Falle einer unwahrscheinlichen Katastrophe in einem der Rechenzentren nur fünf Minuten an Daten verlieren.

  2. Die Daten werden täglich auf einem dauerhaften Speicher gesichert und 15 Tage lang aufbewahrt.

In Europa und den Vereinigten Staaten wird der AES-Standard mit 256 Bit (Schlüsselstärke – 1024) zur Verschlüsselung der Daten im Ruhezustand verwendet, wobei der AWS Key Management Service die Schlüssel verwaltet. Für alle auf appypie.com gehosteten Konten wird eine FIPS-140-2-Standardverschlüsselung über eine sichere Socket-Verbindung verwendet, um alle Daten während der Übertragung zu verschlüsseln. Außerdem gibt es eine Option für Konten, die auf unabhängigen Domains gehostet werden, die eine sichere Socket-Verbindung ermöglicht.

Für Entwicklungs- und Testzwecke werden verschiedene Umgebungen verwendet, und es besteht ein strenges Verwaltungssystem für den Zugang zu Systemen auf der Grundlage der Notwendigkeit, Informationen zu erhalten bzw. zu kennen, wobei eine Aufgabentrennung eingebaut ist, die vierteljährlich überprüft wird.

Mobile Sicherheit

In der Praxis verwenden wir bei Appy Pie die Lösung Mobile Application Security Testing (MAST) von Kryptowire, um alle Apps von Appy Pie sicher zu machen und den Datenschutz für alle Nutzer unserer Plattform zu gewährleisten.

Wir verwenden Kryptowire, um die Sicherheit und den Datenschutz eines jeden mobilen Geräts kontinuierlich anhand der höchsten international anerkannten Software-Sicherheitsstandards zu bewerten, die von
– Das Nationale Institut für Standards und Technologien (NIST)
– Nationale Partnerschaft für Informationssicherheit (NIAP)
– Open Web Application Security Project (OWASP)

Löschung oder Redundanz von Daten

Bei Löschung eines Kontos werden alle damit verbundenen Daten innerhalb von 14 Werktagen vernichtet. Wenn ein Kontoinhaber jedoch ein Backup seiner Daten wünscht, bieten die Produkte von Appy Pie Möglichkeiten zum Datenexport.

Meldung von Problemen und Bedrohungen

Sollten Sie auf Probleme, Sicherheitsvorfälle (wie Verletzungen und potenzielle Schwachstellen) oder Fehler stoßen, die die Datensicherheit oder den Schutz der Privatsphäre von Appy Pie-Nutzern beeinträchtigen könnten, wenden Sie sich bitte an uns und schreiben Sie an [email protected] unter Angabe Ihrer Bedenken und Details, damit wir uns schnellstmöglich darum kümmern können.

Ihre Anfrage wird umgehend geprüft, und wir werden uns mit Ihnen in Verbindung setzen und Sie um Unterstützung bei der Identifizierung oder Replikation des Problems und der Festlegung von Mitteln oder Strategien zur sofortigen Behebung der Bedrohung bitten.

Das Unternehmen verfügt über eine von einem internen Rechtsberater genehmigte Datenschutzrichtlinie, die unter https://www.appypie.com/privacy-policy öffentlich zugänglich ist, und das von Appy Pie verwendete Zahlungsgateway (Stripe) ist PCI-konform.