Datensicherheit in Taracare

Damit die in TaraCare gespeicherten Daten sicher sind, nutzten wir weltweit führende Sicherheitslösungen für den Schutz unseres Systems.

Übersicht

In TaraCare werden die Daten von Auszubildenden aus ganz Deutschland gespeichert. Wir sind uns bewusst, dass der Schutz der Daten damit einen besonderen Stellenwert hat und fühlen uns verpflichtet, eine besonders sichere und zuverlässige Umgebung bereitzustellen. Unser Sicherheitsmodell sowie unsere Kontrolle basieren auf internationalen Standards und folgen stets den Best Practice Modellen der Branche, welche unter anderem in ISO 27001 und ISO 27018 international standardisiert sind. Die Datenverarbeitung geschieht konform der DSGVO.
Wie schützen wir die Daten?

Die für die Verfügbarkeit unseres Systems relevanten Daten werden bei unserem Serverpartner Contabo in Düsseldorf gespeichert. Zusätzliche Backups und Daten Revisionen werden regelmäßig erstellt und werden auf getrennten Servern unter der Kontrolle von HCTec aufbewahrt. Unsere Rechenzentren nutzen moderne physische und umweltbezogene Sicherheitsvorkehrungen, sodass die Infrastruktur extrem ausfallsicher ist.
Anwendungssicherheit

Bei TaraCare handelt es sich um eine moderne Webanwendung, die als sicherheitsorientierte Software visioniert wurde und ein mehrschichtiges Sicherheitskonzept implementiert. Die Anwendung wurde gemäß des OWASP Top 10 Frameworks entwickelt und jegliche Implementierungen werden vor Veröffentlichung geprüft und getestet. Unsere automatisierten kontrollierenden CI/CD-Prozesse umfassen statische Code-Analyse, Schwachstellenbewertung Unit-Tests bezüglich der Sicherheitseinstellungen und vieles mehr.
Infrastruktursicherheit

Wie bereits erwähnt wird die physische Seite unserer Infrastruktur von unserem Serverpartner sichergestellt. Darüber hinaus verwenden wir auch innerhalb der Software auf mehreren Ebenen Abwehrmechanismen, um die Daten zu schützen. Dazu gehören unter anderem:
  • Firewalls für die Durchsetzung von IP-Whitelists und Zugriff über zugelassene Ports nur auf Netzwerkressourcen
  • eine Web Applikation Firewall (WAF) für inhaltsbasierte, dynamische Angriffsabwehr
  • DDoS-Migration und Ratenbegrenzung
  • fortschrittliche Routing-Konfiguration
  • NIDS-Sensoren für frühzeitige Erkennung von Angriffen
  • umfangreiche Protokollierung des Netzwerk-Traffics, sowohl intern als auch extern
Datenverschlüsselung, TaraCare verschlüsselt alle Daten, sowohl im ruhenden Zustand wie auch während der Übertragung:
  • Traffic wird mit TLS 1.3 mit einer modernen Chiffrierungs-Suite verschlüsselt
  • Benutzerdaten werden innerhalb unserer gesamten Infrastruktur mit AES-256 verschlüsselt, und werden nur entschlüsselt sofern es für die Anfragen vom Nutzer benötigt wird
  • Zugangsdaten werden mit einer modernen Hash-Funktion gehasht und mit einer „salt” versehen
Sicherheitsprüfungen und Penetrationstests

Regelmäßige Bewertungen der Sicherheitsvorkehrungen sind wichtig, um ein akkurates und unvoreingenommenes Verständnis der Sicherheitslage zu erhalten. HCTec führt regelmäßig interne Angriffe auf seine eigenen Programme sowie die eigene Infrastruktur durch und benutzt die daraus gewonnenen Erkenntnisse, um die Sicherheitslage zu verbessern.
Physische Sicherheit

Die Infrastruktur von TaraCare ist cloudbasiert, das heißt, dass sich unsere Infrastruktur nicht vor Ort befindet. Die physische Sicherheit in unseren Büros umfasst die Zugangskontrolle basierend auf persönlicher Identifizierung und Alarmsystemen. Die Betreuung unserer Server Hardware wird von einem spezialisierten deutschen Unternehmen durchgeführt. Diese haben sich verpflichtet führende physische Sicherheitsmaßnahmen einzusetzen.
Notfallwiederherstellung und Backups

HCTec bemüht sich, allen Kunden einen kontinuierlichen, ununterbrochenen Service bereitzustellen. Wir sichern Benutzerdaten regelmäßig. Alle Backups werden verschlüsselt und auf verschiedene Standorte verteilt, wo sie 90 Tage aufbewahrt werden. Unser Notfallwiederherstellungsplan wird regelmäßig von unserem Team evaluiert, um die Zuständigkeiten im Fall einer Serviceunterbrechung zu testen.
Sicherheitsbewusstsein und Schulung

HCTec ist sich bewusst, dass die Sicherheit der Plattform von den Mitarbeitern abhängig ist. Aus diesem Grund achten wir darauf, dass all unsere Mitarbeiter zum Thema Informationssicherheit geschult sind und führen regelmäßig Fortbildungen durch. Zusätzlich haben sich alle Mitarbeiter dazu verpflichtet, sicherheitsrelevante Daten nicht an Dritte weiterzugeben.
Zugangs- / Zugriffskontrolle

Wir sind uns bewusst, dass die Daten, die auf TaraCare hochgeladen werden, extrem privat und vertraulich sind. Wir führen regelmäßig Überprüfungen unserer Authentifizierung durch und stellen sicher, dass die vergebenen Berechtigungen möglichst minimal sind. Beim Wechsel des Arbeitgebers werden die Zugriffsrechte unserer Mittarbeiter umgehend gelöscht.