Unternehmen
Um die Sicherheit von Kundendaten und deren Kommunikation zu gewähren, setzt sipgate auf eine Vielzahl von Maßnahmen und erfüllt damit alle gängigen Standards und rechtlichen Vorgaben.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Dabei sind alle Rechenzentren erfolgreich nach ISO 27001 zertifiziert und unterliegen einer ständigen Re-Zertifizierung.
Weiterlesen
Lesezeit: 4 Min
Allgemeine rechtliche Informationen.
Als in Deutschland ansässiger Anbieter ist die sipgate GmbH umfassender Regulierung, auch im Bereich Datenschutz und -sicherheit, unterworfen. Unter anderem verpflichtet das Telekommunikationsgesetz die sipgate GmbH, ein umfassendes Sicherheitskonzept vorzuhalten. Dieses Konzept enthält neben Regelungen zur Datensicherheit auch Notfallpläne für viele Notfallszenarien. Die Einhaltung des Sicherheitskonzepts wird durch die zuständige Aufsichtsbehörde, die Bundesnetzagentur, in regelmäßigen Abständen geprüft.
Die Vertrags- und Nutzungsbedingungen, ergänzt durch die jeweils einschlägige Leistungsbeschreibung, regeln die Nutzung der sipgate Dienste durch die Kunden:innen.
Die Datenschutzerklärung beschreibt, wie sipgate personenbezogene Daten sammelt, empfängt, verwendet, speichert, teilt, überträgt und verarbeitet.
Der Vertrag zur Verarbeitung von Daten im Auftrag legt fest, wie sipgate personenbezogene Daten im Auftrag der Kund:innen im Zusammenhang mit den von sipgate bereitgestellten Dienstleistungen verarbeitet und enthält Informationen über die Subunternehmer, mit denen sipgate arbeitet und den Umfang ihrer Datenverarbeitung.
sipgate verpflichtet sich, die Verfügbarkeit seiner Systeme sicherzustellen, indem alle angemessenen kommerziellen Anstrengungen unternommen werden, um eine jährliche Serviceverfügbarkeit von 99,95 % für den Telefoniedienst zu gewährleisten. Ferner bietet sipgate Echtzeit-Updates und historische Daten zum Systemstatus auf einer Statusseite an.
Infrastruktursicherheit schützt die zugrunde liegenden Systeme und Netzwerke, auf denen Daten gespeichert und verarbeitet werden, vor unbefugtem Zugriff, Manipulation und Ausfällen.
sipgate bietet Echtzeitinformationen über den Systemstatus und die Sicherheit auf der Statusseite. Diese Statusseite hostet live und historische Daten zur Systemleistung. Falls es Unterbrechungen im Service gibt, werden hier vorab Ankündigungen veröffentlicht.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach ISO 27001 zertifiziert und redundant aufgestellt.
sipgate nutzt Myra als Mitigation Anbieter zum Schutz vor DDoS Angriffen.
Auch können anomale Aktivitäten wie Produktmissbrauch, bösartige Aktivitäten, Anomalien beim Login/Benutzer sowie Verfügbarkeitsprobleme erkannt werden.
Anomale Ereignisse werden innerhalb der Software markiert und nach Schweregrad, Zeit des Auftretens und der ermittelnden Suche organisiert. Jedes Ereignis wird vom verantwortlichen Team des betroffenen Systems überprüft und bis zur Schließung verfolgt.
sipgate unterhält Notfallwiederherstellungspläne für wichtige Produktinfrastrukturen und Anbieter. Im Anschluss an jede Störung wird ein standardisierter Post Mortem Prozess durchlaufen, in dem Probleme identifiziert und Lösungen und Maßnahmen priorisiert und eingeplant werden. So wird ein wiederholtes Auftreten des Problems in Zukunft ausgeschlossen.
Als Telekommunikationsanbieter unterliegt sipgate einer nach aktuell gültigem TKG (Telekommunikationsgesetz) vorgegebenen ständigen Überprüfung.
sipgate hat eine Staging-Produktionsumgebung für Tests und Integration, die eigenständig und vollständig getrennt von der Live-Produktionsumgebung funktioniert. Die Überführung von Code in die Produktionsumgebung erfolgt durch einen standardisierten Prozess, der auch statische Code-Analysen und Quality Gates beinhaltet.
Corporate Security gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten unter Berücksichtigung der gesetzlichen Datenschutzbestimmungen.
Alle sipgate Mitarbeitenden müssen bei der Einstellung die Corporate Acceptable Use Policy (AUP), den Code Of Use Good Judgement (CUGJ) und eine Verpflichtung zum Datengeheimnis lesen und anerkennen. In diesen beiden Dokumenten werden die Sicherheitsverantwortlichkeiten der Mitarbeitenden zum Schutz von Unternehmenswerten und -daten definiert.
sipgate unterhält eine kontinuierliche Bereitschaft zur Entstörung der Systeme, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
Die unternehmensweiten Passwortrichtlinien bei sipgate folgen den branchenüblichen Best Practices hinsichtlich erforderlicher Länge und Komplexität. Der Zugang zu den Unternehmenssystemen von sipgate, sowohl remote als auch vor Ort, ist zentralisiert, mit einem zweiten Faktor gesichert und nur durch ein VPN möglich. Sämtliche, im Unternehmen eingesetzten, SaaS (Software as a Service) Systeme sind durch den Google SSO Login mit zweitem Faktor abgesichert.
Das Enterprise-Risk-Management (ERM)-Programm bei sipgate stellt sicher, dass kontinuierliche Risikoanalysen durchgeführt werden. Hierbei werden Risiko- und Schadensminderungsaktivitäten verfolgt und in festgelegten Abständen überprüft.
sipgate stellt sicher, dass alle Mitarbeitenden entsprechend ihrer Rolle sicherheitstechnisch unterwiesen werden. Ferner werden die Mitarbeitenden über aktuelle Sicherheitsnachrichten oder Initiativen kontinuierlich informiert und bekommen regelmäßig Angebote für passende Trainings.
sipgate unterhält eine kontinuierliche Bereitschaft zur Entstörung der Systeme, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
sipgate nutzt zur Unterstützung der Produktentwicklung, sowie für interne Operationen Dienstleistungen von Drittanbietern. Dazu unterhält sipgate ein Lieferantenmanagement-Programm, welches sicherstellen soll, dass angemessene Sicherheits- und Datenschutzkontrollen vorhanden sind. Dieses Programm umfasst die Inventarisierung, Verfolgung und Überprüfung der Sicherheitsprogramme der Anbieter, die sipgate unterstützen.
Angemessene Schutzmaßnahmen werden in Bezug auf die erbrachte Dienstleistung und die ausgetauschten Daten bewertet. Die laufende Einhaltung der erwarteten Schutzmaßnahmen wird im Rahmen unserer vertraglichen Beziehung zu den Dienstleistern verwaltet. Die Sicherheits-, Datenschutz-, Rechts- und Compliance-Teams koordinieren sich mit Geschäftsinteressengruppen im Rahmen des Drittanbietermanagementprüfungsprozesses. Eine entsprechende Liste der Subunternehmer wird in einem Datenverarbeitungsvertrag geführt.
Product Security bezeichnet die Gesamtheit der technischen und organisatorischen Maßnahmen, die gewährleisten, dass ein Produkt personenbezogene Daten und sensible Informationen vor unbefugtem Zugriff, Manipulation und Verlust schützt sowie die geltenden Datenschutzbestimmungen einhält.
Aktionen und Ereignisse, die innerhalb der sipgate Anwendungen auftreten, werden zweckmäßig protokolliert. Diese Protokolle werden indexiert, in einer zentralen Protokollierungslösung gespeichert und in sipgate eigenen Rechenzentren sicher verwahrt. Sicherheitsrelevante Protokolle werden ebenfalls aufbewahrt und indexiert, um Ermittlungs- und Reaktionsaktivitäten zu erleichtern. Der Aufbewahrungszeitraum der Protokolle hängt von der Art der protokollierten Daten ab.
Um die anvertrauten Daten zu schützen, verfolgt sipgate einen mehrschichtigen Sicherheitsansatz und implementiert Sicherheitskontrollen in der gesamten Organisation.
Kund:innen, welche die integrierte Anmeldung von sipgate nutzen, werden ermutigt, die Zwei-Faktor-Authentifizierung für ihr sipgate Konto einzurichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
Die sipgate Dienste ermöglichen es, eingerichtete Benutzer:innen zwischen Admin-Usern mit weitreichenden Rechten und normalen Usern mit eingeschränkten Rechten zu unterscheiden. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
sipgate ermöglicht es Benutzer:innen, einen Login über „Mit Google / Apple anmelden“ oder Single-Sign-On (SSO) zu nutzen, wobei die erstgenannte Funktion (Mit Google / Apple anmelden) allen Kund:innen zur Verfügung steht.
Eine entsprechende Passwortpolitik kann in den jeweiligen Google-/Apple-Accounts konfiguriert werden. Kund:innen, die einen SSO-Anbieter nutzen, können die SSO-basierte Anmeldung für alle ihre User einrichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.
Christian Solmecke
Anwalt für Internet- und Medienrecht
Data Security ist ein Teilbereich des Datenschutzes und zielt darauf ab, personenbezogene Daten vor Missbrauch zu schützen und die gesetzlichen Bestimmungen einzuhalten.
Der Zugang zu sipgate Systemen ist streng kontrolliert und folgt dem Prinzip der geringsten Berechtigung. Der Zugriff für sipgate Mitarbeitende erfolgt nach einem rollenbasierten Zugriffskontrollmodell (RBAC).
Um Benutzerzugriffsanfragen, Änderungen und Löschungen zu verwalten, wurde von sipgate ein entsprechender Prozess eingerichtet. Dieser Prozess variiert je nach der Art des benötigten Zugriffs oder ob das System mit der Unternehmens- oder Produktinfrastruktur verbunden ist. Administrativer und risikobehafteter Zugriff wird entweder vorab, basierend auf der funktionalen Rolle des Mitarbeitenden im Unternehmen, genehmigt oder durch eine Genehmigung im Workflow vor der Bereitstellung autorisiert. Benutzer, die eine Änderung für zusätzlichen Zugriff anfordern, durchlaufen denselben Prozess.
Alle Systeme werden regelmäßig mit festgelegten Zeitplänen und Frequenzen gesichert. Hierbei werden Maßnahmen unternommen, um eine Wiederherstellung zu gewährleisten. Sicherungen werden auf erfolgreiche Ausführung überwacht. Im Falle von Ausnahmen werden Warnungen generiert, Fehlermeldungen eskaliert, untersucht und behoben. Entsprechende Warnungen sind für alle Sicherungen eingerichtet und werden priorisiert. Die erzeugten Daten werden täglich in ein anderes Rechenzentrum übertragen.
sipgate stellt zu jeder Zeit die Einhaltung der Betroffenenrechte der DSGVO sicher. Jederzeit können Kund:innen die Löschung der zu ihrer Person gespeicherten Daten verlangen. Sämtliche Kundendaten werden unabhängig davon gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind und soweit sipgate nicht durch anderweitige gesetzliche Vorgaben zu einer längeren Speicherung verpflichtet ist. Die rechtzeitige Löschung der Daten wird durch ein Löschkonzept sichergestellt, das auch Backups berücksichtigt. Werden Daten im Auftrag der Kund:innen gespeichert, greifen die Regelungen des Vertrags zur Verarbeitung von Daten im Auftrag. In diesen Fällen können Kund:innen ihre Daten jederzeit selbst löschen. Weitere Informationen zu diesem Thema finden Sie in der sipgate Datenschutzerklärung.
sipgate nutzt mehrere Technologien, um sicherzustellen, dass gespeicherte Daten sowohl auf Volumen- als auch auf Feldebene verschlüsselt sind. Plattformdaten werden mit AES-256-Verschlüsselung gespeichert. Benutzerpasswörter werden nach branchenüblichen Praktiken gehasht.
Alle sensiblen Interaktionen mit sipgate (etwa API-Anrufe, authentifizierte Sitzungen, usw.), werden während der Übertragung mit TLS 1.2 oder 1.3 mit 2048-Bit-Schlüsseln oder besser verschlüsselt.
Ferner können auch Telefonate und Faxe optional mit TLS verschlüsselt übertragen werden.
Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach DIN ISO 27001 zertifiziert und redundant aufgestellt.
Endpoint Security ist ein wichtiger Bestandteil der umfassenden Datensicherheit und trägt dazu bei, personenbezogene Daten auf Endgeräten vor unbefugter Nutzung und Datenlecks zu schützen.
Wie durch eine interne Richtlinie (siehe 7. Data Privacy, Festplattenverschlüsselung) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend überprüft.
AI-Sicherheit stellt sicher, dass KI-Anwendungen vertrauenswürdig und transparent sind und die Privatsphäre der Nutzer schützen.
sipgate nutzt ChatGPT. Die Verarbeitung der Daten erfolgt ausschließlich in Europa, Kundendaten werden nach der Fertigstellung gelöscht oder anonymisiert. Eine weitere Nutzung der Daten, zum Beispiel für Machine Learning durch OpenAI, ist vertraglich ausgeschlossen.
Unter Data Privacy versteht man gesetzlich geregelte Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch, wobei insbesondere das Recht auf informationelle Selbstbestimmung der betroffenen Personen gewährleistet werden soll.
sipgate verwendet Cookies aus technischen Gründen und zur Verbesserung der User-Erfahrung. Weitere Informationen darüber, was Cookies sind, wie sipgate diese verwendet und die Rechte der Kund:innen zur Kontrolle der Verwendung, finden sich in der sipgate Cookie-Richtlinie.
Gemäß Datenverarbeitungsvereinbarung werden Kund:innen ohne unangemessene Verzögerung benachrichtigt, sobald sipgate von einer Verletzung personenbezogener Daten Kenntnis erhält. Informationen zur Verletzung personenbezogener Daten werden, sobald bekannt oder auf angemessene Anfrage des Kunden / der Kundin, bereitgestellt.
Auf Anfrage von Kund:innen wird sipgate schnellstmöglich die erforderliche Unterstützung leisten, um den Kund:innen zu ermöglichen, relevante Datenpannen an die zuständigen Behörden und/oder betroffene Personen zu melden.
Die sipgate GmbH hat einen eigenen Datenschutzbeauftragten bestellt.
Wie durch eine interne Richtlinie (Notebookvereinbarung, die jeder Mitarbeitende bei Erhalt unterzeichnen muss) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend kontinuierlich überprüft.
Hier finden Sie alle wichtigen Dokumente als Downloads zentral an einer Stelle.
