Sicherheit & Vertrauen
GRC und Due Diligence
Die GRC- und Sicherheitsprogramme von IXOPAY arbeiten unter Einhaltung einer Reihe bekannter Standards und Vorschriften, und unsere Compliance-Berichte sind auf Anfrage für Kunden verfügbar. Darüber hinaus führt IXOPAY regelmäßig Due-Diligence-Prüfungen der implementierten Sicherheitsmaßnahmen durch.
Audit-Dokumentation
Zertifizierungen und Compliance
Das Security Trust Assurance and Risk (STAR)-Programm der Cloud Security Alliance umfasst wichtige Prinzipien wie Transparenz, strenge Prüfungen und die Harmonisierung von Standards.
Unternehmen, die STAR verwenden, folgen bewährten Praktiken und validieren die Sicherheitslage ihrer Cloud-Angebote.
Das STAR-Register dokumentiert die Sicherheits- und Datenschutzkontrollen, die von beliebten Cloud-Computing-Angeboten bereitgestellt werden.
Dieses öffentlich zugängliche Register ermöglicht es Cloud-Kunden, Sicherheitsanbieter zu bewerten, um die bestmöglichen Beschaffungsentscheidungen zu treffen. IXOPAY führt jährlich eine Selbstbewertung der Cloud Controls Matrix durch.
IXOPAY erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO), einer Gesetzgebung, die von der Europäischen Union (EU) erlassen wurde, um den Datenschutz für alle Personen innerhalb der EU zu stärken. Ziel der Verordnung ist es, die personenbezogenen Daten aller EU-Bürger zu schützen, indem geregelt wird, wie ihre Daten geteilt, gespeichert und verwaltet werden. Sie befasst sich auch mit dem Export personenbezogener Daten außerhalb der EU. Darüber hinaus soll die Verordnung die Datenschutzgesetze in der EU standardisieren, mit dem Hauptziel, den Datenschutz aller EU-Bürger zu stärken und die Art und Weise, wie Organisationen in der Region mit Datenschutz umgehen, neu zu gestalten.
Die IXOPAY Platform wird weltweit von Kunden genutzt, einschließlich Kunden in der überwiegenden Mehrheit der EU-Staaten, um sowohl PCI- als auch personenbezogene Datensätze zu sichern und zu schützen. Der Tokenisierungsprozess von IXOPAY ist eine anerkannte und akzeptierte Form der Pseudonymisierung, die die Einhaltung der Datenschutzanforderungen der DSGVO sicherer, kostengünstiger und deutlich einfacher macht.
Das HITRUST Common Security Framework (CSF) bietet Organisationen einen umfassenden Ansatz für Compliance und Risikomanagement. Das HITRUST CSF vereint wichtige Vorschriften und Standards in einem übergreifenden Rahmen, einschließlich derjenigen, die für PCI, PHI und PII gelten.
ISO 27001:2022 wurde von der Internationalen Organisation für Normung (ISO) entwickelt und ist ein anerkannter und erprobter Standard für das Informationssicherheitsmanagement, der bewährte Verfahren und umfassende Sicherheitskontrollen für Technologieplattformen und -systeme festlegt.
Dieser Zertifizierungsprozess umfasst Personen, Richtlinien, Prozesse und Technologien, die herangezogen werden, um einen dauerhaften Fokus auf Informationssicherheit sicherzustellen. Nach einer unabhängigen Prüfung bestätigt diese Zertifizierung die Sicherheit der Datenschutzplattform des Unternehmens und bekräftigt die Einhaltung von Richtlinien und Verfahren über die Sicherheitsbranche und internationale Datenschutzstandards hinaus.
Durch die Aufnahme der strengen ISO 27001:2022-Zertifizierung in unser Vertrauenspaket zeigt IXOPAY Engagement, dass der Schutz der Daten unserer Kunden oberste Priorität hat. Wir verbessern kontinuierlich unsere Prozesse und verfolgen unsere Mission, unsere branchenführende Plattform zu nutzen, um Kunden dabei zu unterstützen, sensible Daten zu sichern und gleichzeitig ihre wichtigsten Geschäftsprozesse zu ermöglichen.
Compliance-Zertifikat herunterladen
IXOPAY ist ein PCI-zertifizierter Level 1 Service Provider, und die IXOPAY-Produkte sind darauf ausgelegt, Sie bei der Erreichung der PCI-Compliance zu unterstützen.
Konformitätsbestätigung herunterladen (Tokenisierungsplattform)
Konformitätsbestätigung herunterladen (Payment Orchestration Plattform)
Unabhängige Prüfer führen regelmäßig eine Bewertung der IXOPAY-Kontrollumgebung durch. Im Rahmen der SOC (Service Organization Controls) 2- und 3-Berichte erfolgen Prüfungen der Kontrollen, die IXOPAY über seine Infrastruktur, Software, Netzwerke, Mitarbeiter, Verfahren und Prozesse implementiert hat. Basierend auf den Trust Services Criteria bestätigen diese Berichte folgende Punkte:
- Sicherheit – Das System ist vor unbefugtem Zugriff (sowohl physisch als auch logisch) geschützt.
- Verfügbarkeit – Das System ist für den Betrieb und die Nutzung wie vereinbart oder zugesagt verfügbar.
- Vertraulichkeit – Informationen, die als vertraulich bezeichnet werden, sind wie vereinbart oder zugesagt geschützt.
Konformitätsbestätigung herunterladen
Das Visa Global Registry ermöglicht es Dienstleistern, ihre Einhaltung der Regeln von Visa Inc. und der branchenspezifischen Sicherheitsstandards zu kommunizieren und ihre Dienstleistungen potenziellen Kunden weltweit zu präsentieren. Kunden und Händler können die Website regelmäßig im Rahmen ihres Due-Diligence-Prozesses konsultieren, um sicherzustellen, dass sie nur Dienstleister zur Auslagerung zahlungsbezogener Dienste zu nutzen, die im Register aufgeführt sind.
Einträge im Register:
Payment Orchestration Plattform
Universelle Tokenisierungsplattform
Organisatorische Sicherheit
Daten sind nur so sicher wie die Plattform, die sie schützt. Deshalb ist die IXOPAY Plattform für maximale Sicherheit und Zuverlässigkeit konzipiert.
Sicherheit und Kontrollen
Der Schutz der Daten unserer Kunden hat oberste Priorität, daher setzen wir strenge Sicherheitsmaßnahmen auf allen Ebenen unserer Organisation und in all unseren Prozessen um. Diese Sicherheit beginnt bei unseren Mitarbeitern. Personalseitig stellt IXOPAY sicher, dass:
- Hintergrundprüfungen für alle neuen Mitarbeiter durchgeführt werden.
- Vertraulichkeitsvereinbarungen mit Mitarbeitern und kritischen Anbietern bestehen.
- Schulungen zum Sicherheitsbewusstsein für Mitarbeiter bei der Einstellung und regelmäßig im Laufe des Jahres durchgeführt werden.
Governance, Risk und Management
In der gesamten Organisation sind Richtlinien, Prozesse und Verfahren implementiert, um Risiken zu managen und die Sicherheit und Verfügbarkeit der IXOPAY Plattform sicherzustellen.
- Formelle Governance-Strukturen sind eingerichtet, um die Sicherheit, Compliance und Datenschutzmaßnahmen der Organisation zu überwachen.
- Management- und technische Risikoanalysen werden durchgeführt, um Risiken für IXOPAY’s Softwareumgebung und physische Infrastruktur kontinuierlich zu überwachen.
- IXOPAY verfügt über ein Lieferantenmanagement-Programm, um Anbieter vor der Implementierung und regelmäßig im Laufe des Jahres zu evaluieren.
Datenverschlüsselung
IXOPAY verschlüsselt alle Kundendaten während der Übertragung und im Ruhezustand unter Verwendung von Branchenstandards und bewährten Verfahren.
Logische Sicherheit
Der Zugang zur IXOPAY-Umgebung erfordert eine Mehrfaktorauthentifizierung, und unterliegt strengen Passwortkontrollen. Audit-Logs erfassen Anmeldeversuche und Aktivitäten. Inaktive Benutzersitzungen werden automatisch abgemeldet. Zugang wird ausschließlich nach dem Prinzip der geringsten Privilegien gewährt. Ein System zur Verwaltung privilegierter Zugriffe ist eingerichtet, um rollenbasierten Zugriff und Sitzungsaufzeichnungen aller Administratoraktivitäten bereitzustellen.
Netzwerksicherheit
IXOPAY hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse etabliert, die darauf abzielen, die Qualität und Integrität unserer Sofwareumgebung und physischer Infrastruktur zu gewährleisten. Proaktive Sicherheitsverfahren wie Perimeterschutz und Intrusion-Detection-Systeme wurden implementiert.
Umfassendes Monitoring und Logging sind eingerichtet, ebenso wie Prozesse zur Erkennung und Meldung von Vorfällen und die Reaktion auf Vorfälle. Kunden können das IXOPAY-Portal nutzen, um ihre IXOPAY Vaults zu überwachen und zu verwalten, sowie sicher mit den IXOPAY Kundenservices zu kommunizieren.
Schwachstellenmanagement
Die Systemsicherheit wird durch das Schwachstellenmanagementprogramm von IXOPAY aufrechterhalten, das Anti-Malware- und Patch-Management umfasst. Alle IXOPAY-Systeme werden während ihres gesamten Lebenszyklus gewartet, um die Sicherheit unserer Systeme zu gewährleisten.
Schwachstellenscans und Penetrationstests der IXOPAY-Netzwerke und -Systeme werden regelmäßig und zusätzlich nach wesentlichen Änderungen durchgeführt. Alle eventuell festgestellten Schwachstellen werden umgehend behoben und erneut getestet.
Penetrationstests
IXOPAY beauftragt Drittanbieter-Sicherheitsunternehmen mit der Durchführung von Penetrationstests für Anwendungen, interne Netzwerke und externe Netzwerke.
Automatisierte Schwachstellenmanagement-Tools und manuelle Prozesse werden herangezogen, um bekannte Schwachstellen und Fehlkonfigurationen zu identifizieren und zu verifizieren. Häufige Angriffstechniken - wie die im SANS Top 20 und den OWASP Top 10 genannten Techniken - werden getestet. Alle Ergebnisse werden geprüft, und ein Risiko-Profil mit Auswirkungen und Wahrscheinlichkeitsmetriken wird erstellt.
Schwachstellenscans
Externe Prüfer für Schwachstellenbewertungen scannen alle internetfähigen Systeme, einschließlich Firewalls, Router und Webserver, auf potenzielle Schwachstellen, die unbefugten Zugriff auf das Netzwerk ermöglichen könnten. Zusätzlich werden authentifizierte interne Schwachstellenscans für Netzwerke und Systeme durchgeführt, um potenzielle Schwachstellen und Inkonsistenzen mit allgemeinen Sicherheitsrichtlinien des Systems zu identifizieren.
Anwendungssicherheit und Change Management
IXOPAY hat formale Change Management- und Systementwicklungsprozesse, die Änderungen vor der Implementierung dokumentieren, testen und genehmigen. Besonderes Augenmerk wird hierbei auf die OWASP Top 10 gelegt. Der SDLC-Prozess umfasst eine eingehende Sicherheitsrisikoanalyse und -bewertung. Statische Quellcode-Analysen werden durchgeführt, um die notwendigen Sicherheitsmechanismen bereits in den Entwicklungslebenszyklus zu integrieren. Der Entwicklungsprozess wird durch Schulungen zur Anwendungssicherheit für Entwickler und Penetrationstests der Anwendung weiter verbessert.
IXOPAY folgt einem rigorosen Change Management-Prozess. Vor der Implementierung werden Änderungen in einer Testumgebung getestet, in unserem System durch Aufzeichnung von Implementierungs- und Rollback-Plänen dokumentiert, und anschließend überprüft und genehmigt. Kunden werden über das Portal sowie per E-Mail über Updates zur IXOPAY-Plattform informiert. Veröffentlichungen, welche die Nutzung der Plattform durch Kunden betreffen könnten, werden direkt vom IXOPAY-Kundenserviceteam an die betroffenen Kunden kommuniziert.
Geschäftskontinuität
IXOPAY verwendet Redundanzen auf jeder möglichen Ebene unserer Infrastruktur, und unsere Plattform ist darauf ausgelegt, Betriebsfehler umgehend zu beheben, um die Verfügbarkeit sicherzustellen.
- IXOPAY repliziert Daten zwischen unterschiedlichen geografischen Standorten. Weiters ist ein Monitoring eingerichtet, um Probleme mit diesem Replikationsprozess zu erkennen. Failover-Tests werden regelmäßig durchgeführt.
- IXOPAY hat einen dokumentierten Plan für Geschäftskontinuität und Notfallwiederherstellung, der regelmäßig überprüft, aktualisiert und getestet wird.
Physische Sicherheit und Schutz vor äußeren Einflüssen
Die IXOPAY-Plattform wird in vollständig redundanten, leistungsstarken Rechenzentren weltweit gehostet. Sichere Zugangskontrollen und Überwachung, redundante Stromversorgung und Konnektivität, Generatoren, USV und Brandschutzmaßnahmen sind in allen von IXOPAY genutzten Rechenzentren vorhanden. Der Zugang zu den Rechenzentren ist stark eingeschränkt und streng geregelt.