SICHERHEIT BEI VIRTA

Die öffentlich zugänglichen Kundensysteme von Virta werden gemäß den internen Richtlinien von Virta, einschließlich der Sicherheitsanforderungen, entwickelt. Für die Anwendungsentwicklung wird OWASP ASVS als Referenz verwendet und die Entwickler:innen erhalten entsprechende Schulungen. Alle Änderungen werden vor dem Einsatz überprüft und in einer Testumgebung getestet, bevor sie in die Produktion übernommen werden. Alle Änderungen am Code können zurückverfolgt werden, und es gibt einen vollständigen Prüfpfad für Änderungen.

Virta führt regelmäßig Schwachstellenscans, Sicherheitsbewertungen und Penetrationstests durch. Schwachstellen-Scans werden automatisch wöchentlich durchgeführt und gründliche Penetrationstests werden regelmäßig von unabhängigen Cybersecurity-Unternehmen an öffentlichen Schnittstellen durchgeführt. Alle gefundenen Probleme werden analysiert, und es werden entsprechende Korrekturen und Abhilfemaßnahmen eingeführt.

Öffentlich verfügbare Anwendungen und Schnittstellen werden in Amazon AWS gehostet, und der Zugriff auf diese Systeme ist streng auf definiertes und zugelassenes Personal beschränkt. AWS bietet hohe Zuverlässigkeit und Skalierbarkeit für unsere Dienste. Alle vertraulichen Informationen (Schlüssel, Service-Passwörter und ähnliche Informationen) werden verschlüsselt gespeichert. Es werden nur branchenübliche kryptografische Lösungen verwendet.

Die Sicherheit der Daten unserer Kundinnen und Kunden hat für uns oberste Priorität. Wir richten während der Entwicklungsphase große Aufmerksamkeit darauf, aber manchmal entgehen uns Fehler und Sicherheitslücken. Wenn Sie glauben, eine Schwachstelle oder einen Sicherheitsfehler in unseren Systemen entdeckt zu haben, würden wir es sehr begrüßen, wenn Sie uns so schnell wie möglich darüber informieren. Dies hilft uns, die Schwachstelle schnell zu beheben, um die in unserem System gespeicherten Daten zu schützen.

Für weitere Informationen oder zur Benachrichtigung über mögliche Sicherheitsprobleme können Sie unser Sicherheitsteam per E-Mail unter responsible-disclosure@virta.global erreichen.

Respektieren Sie die Privatsphäre. Bemühen Sie sich nach bestem Wissen und Gewissen, nicht auf die Daten eines anderen Nutzers zuzugreifen oder diese zu zerstören, wenn Sie Ihren Fund melden oder überprüfen. Nutzen Sie niemals willentlich andere ohne deren Einwilligung aus.

Kunden- und Nutzerdaten werden in der EU gespeichert. Online-Dienste und Datenbanken werden in den EU-Regionen der Amazon AWS-Cloud gespeichert. Der Zugriff auf diese Ressourcen ist streng auf bestimmte Mitarbeitende beschränkt, die einen direkten geschäftlichen Anlass für den Zugriff haben. Alle Zugriffsrechte werden nur auf der Grundlage von validierten Geschäftsanforderungen beantragt und gewährt, die in einem separaten Tool dokumentiert sind, und die Zugriffsrechte werden jährlich überprüft.

Virta sammelt nur PII (persönlich identifizierbare Informationen), die für die Bereitstellung der Dienste erforderlich sind. Die gesammelten Daten werden so lange gespeichert, wie es erforderlich ist. Virta hat Datenschutzrichtlinien eingeführt, einschließlich interner Schulungen für Mitarbeitende, die Zugang zu Kundendaten haben, ein internes Datenschutzhandbuch und Benachrichtigungsverfahren.

Weitere Informationen über eingetragene Rechte und andere Details zum Datenschutz finden Sie in der Datenschutzerklärung von Virta.

Alle Virta-Dienste laufen in modernen, geschützten und skalierbaren Cloud-Diensten mit diversen Zertifizierungen wie ISO 27001:2013, SOC 2 und ähnlichem (eine vollständige Liste finden Sie hier: https://aws.amazon.com/compliance/programs/). Die Systeme sind nicht von einem einzigen Rechenzentrum abhängig. Unsere automatisierte Deployment-Pipeline sorgt dafür, dass die Produktionsumgebung immer mit den neuesten Sicherheits-Patches installiert ist. Alle Abweichungen werden durch kontinuierliche Schwachstellen-Scans überwacht.

Zahlungskartendaten (Kredit-/Debitkarte) werden von unserem PCI-DSS-zertifizierten Partner Payment Highway verarbeitet und gespeichert.