Sicherheit bei TimeCamp

Alle unsere Services laufen in der Cloud. Wir betreiben keine eigenen Router, Load Balancer, DNS-Server oder physischen Server. Unsere Plattform basiert auf Amazon Web Services (AWS). AWS bietet umfassende Sicherheitsmaßnahmen und erfüllt höchste Sicherheitsstandards.

Hosting

Die TimeCamp-Plattform basiert auf AWS RDS und EC2. Unsere Infrastruktur wird mit Terraform-Templates verwaltet, und alle Infrastrukturänderungen durchlaufen unseren Bereitstellungsprozess über GitHub und Jenkins. Es besteht außerdem die Möglichkeit, TimeCamp auf Ihrer eigenen Infrastruktur zu betreiben, z. B. auf einem dedizierten Server bei AWS in einer von Ihrem Unternehmen gewählten Region. Unser Implementierungsteam unterstützt Sie bei der Einrichtung.

Sicherheitsüberwachung und Netzwerkschutz

Wir setzen Cloudflare vor der Anwendung und unseren Frontend-Assets ein, um das Risiko von DDoS-Angriffen zu minimieren.

Datenverschlüsselung

Verschlüsselung während der Übertragung: Alle Daten, die an unsere Infrastruktur gesendet oder von dieser empfangen werden, werden gemäß den branchenüblichen Best Practices durch Transport Layer Security (TLS) verschlüsselt. Sie können unsere SSLLabs-Berichte für die App einsehen. Verschlüsselung im Ruhezustand: Anwendungsdaten werden in AWS-RDS-Datenbanken gespeichert, die sämtliche Daten im Ruhezustand verschlüsseln.

Geschäftskontinuität und Notfallwiederherstellungsplan

Wir führen regelmäßige Backups der Anwendungsdaten durch und testen regelmäßig deren Wiederherstellung. Dies gewährleistet eine schnelle Wiederherstellung im Katastrophenfall. Alle unsere Backups sind verschlüsselt. TimeCamp betreibt kein eigenes physisches Rechenzentrum. Ausfälle bei Compute- und Speicherressourcen werden von AWS transparent gehandhabt. Das schwerwiegendste Szenario, das die Anwendung beeinträchtigen könnte, wäre die vollständige Nichtverfügbarkeit einer gesamten AWS-Region.

ANWENDUNGSSICHERHEIT

Überwachung

Wir führen wöchentlich automatisierte Schwachstellenscans, halbjährlich umfassende Sicherheitsbewertungen und regelmäßige Stichprobenprüfungen durch. Zudem überwachen, protokollieren und verfolgen wir Ausnahmen. Automatisierte Traffic-Monitoring-Tools analysieren die gesamte interne Anwendungskommunikation, erkennen Fehler und versuchte Sicherheitsverletzungen und benachrichtigen uns in Echtzeit. Wir sammeln und speichern Protokolle, um eine lückenlose Prüfspur der Anwendungsaktivitäten bereitzustellen (siehe Audit-Logging unten).

Sicherheit im Softwareentwicklungsprozess

Alle Abhängigkeiten werden im Rahmen unseres automatisierten Build-Prozesses überprüft, wodurch eventuelle Schwachstellen erkannt werden. Jede Aufgabe wird vor dem Zusammenführen auf Sicherheitslücken überprüft, wobei Sicherheits-Best Practices und Frameworks (OWASP Top 10, SANS Top 25) befolgt werden.

Verantwortungsvolle Offenlegung

Sie können Sicherheitslücken melden, indem Sie uns unter [email protected] kontaktieren. Bitte fügen Sie Ihrer Meldung einen Proof of Concept bei. Wir werden so schnell wie möglich antworten und keine rechtlichen Schritte einleiten, sofern Sie die Regeln einhalten.
Abdeckung: app.timecamp.com | Ausnahmen: www.timecamp.com