Datenschutz & Sicherheit

Gehen Sie auf Nummer sicher

Um die Sicherheit von Kundendaten und deren Kommunikation zu gewähren, setzt sipgate auf eine Vielzahl von Maßnahmen und erfüllt damit alle gängigen Standards und rechtlichen Vorgaben.

Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Dabei sind alle Rechenzentren erfolgreich nach ISO 27001 zertifiziert und unterliegen einer ständigen Re-Zertifizierung.

Weiterlesen

Lesezeit: 4 Min

Legal

Allgemeine rechtliche Informationen.

In Deutschland ansässiger Anbieter

Als in Deutschland ansässiger Anbieter ist die sipgate GmbH umfassender Regulierung, auch im Bereich Datenschutz und -sicherheit, unterworfen. Unter anderem verpflichtet das Telekommunikationsgesetz die sipgate GmbH, ein umfassendes Sicherheitskonzept vorzuhalten. Dieses Konzept enthält neben Regelungen zur Datensicherheit auch Notfallpläne für viele Notfallszenarien. Die Einhaltung des Sicherheitskonzepts wird durch die zuständige Aufsichtsbehörde, die Bundesnetzagentur, in regelmäßigen Abständen geprüft.

AGB/Nutzungsbedingungen

Die Vertrags- und Nutzungsbedingungen, ergänzt durch die jeweils einschlägige Leistungsbeschreibung, regeln die Nutzung der sipgate Dienste durch die Kunden:innen.

Datenschutzerklärung

Die Datenschutzerklärung beschreibt, wie sipgate personenbezogene Daten sammelt, empfängt, verwendet, speichert, teilt, überträgt und verarbeitet.

Auftragsverarbeitungsvereinbarung

Der Vertrag zur Verarbeitung von Daten im Auftrag legt fest, wie sipgate personenbezogene Daten im Auftrag der Kund:innen im Zusammenhang mit den von sipgate bereitgestellten Dienstleistungen verarbeitet und enthält Informationen über die Subunternehmer, mit denen sipgate arbeitet und den Umfang ihrer Datenverarbeitung.

Service-Level-Vereinbarung

sipgate verpflichtet sich, die Verfügbarkeit seiner Systeme sicherzustellen, indem alle angemessenen kommerziellen Anstrengungen unternommen werden, um eine jährliche Serviceverfügbarkeit von 99,95 % für den Telefoniedienst zu gewährleisten. Ferner bietet sipgate Echtzeit-Updates und historische Daten zum Systemstatus auf einer Statusseite an.

Infrastructure

Infrastruktursicherheit schützt die zugrunde liegenden Systeme und Netzwerke, auf denen Daten gespeichert und verarbeitet werden, vor unbefugtem Zugriff, Manipulation und Ausfällen.

Statusüberwachung

sipgate bietet Echtzeitinformationen über den Systemstatus und die Sicherheit auf der Statusseite. Diese Statusseite hostet live und historische Daten zur Systemleistung. Falls es Unterbrechungen im Service gibt, werden hier vorab Ankündigungen veröffentlicht.

Standorte der (Produkt-) Infrastruktur

Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach ISO 27001 zertifiziert und redundant aufgestellt.

Anti-DDoS

sipgate nutzt Myra als Mitigation Anbieter zum Schutz vor DDoS Angriffen.
Auch können anomale Aktivitäten wie Produktmissbrauch, bösartige Aktivitäten, Anomalien beim Login/Benutzer sowie Verfügbarkeitsprobleme erkannt werden.
Anomale Ereignisse werden innerhalb der Software markiert und nach Schweregrad, Zeit des Auftretens und der ermittelnden Suche organisiert. Jedes Ereignis wird vom verantwortlichen Team des betroffenen Systems überprüft und bis zur Schließung verfolgt.

BC/DR

sipgate unterhält Notfallwiederherstellungspläne für wichtige Produktinfrastrukturen und Anbieter. Im Anschluss an jede Störung wird ein standardisierter Post Mortem Prozess durchlaufen, in dem Probleme identifiziert und Lösungen und Maßnahmen priorisiert und eingeplant werden. So wird ein wiederholtes Auftreten des Problems in Zukunft ausgeschlossen.

Network Time Protocol

sipgate betreibt eigene NTP-Server, die mit NTP-Pools synchronisiert werden. Darüber hinaus werden diese NTP-Systeme regelmäßig von Externen im Rahmen der TKG-Abrechnungsgenauigkeitsanforderungen überprüft.

Getrennte Produktionsumgebungen

sipgate hat eine Staging-Produktionsumgebung für Tests und Integration, die eigenständig und vollständig getrennt von der Live-Produktionsumgebung funktioniert. Die Überführung von Code in die Produktionsumgebung erfolgt durch einen standardisierten Prozess, der auch statische Code-Analysen und Quality Gates beinhaltet.

Corporate Security

Corporate Security gewährleistet die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten unter Berücksichtigung der gesetzlichen Datenschutzbestimmungen.

HR-Sicherheit

Alle sipgate Mitarbeitenden müssen bei der Einstellung die Corporate Acceptable Use Policy (AUP), den Code Of Use Good Judgement (CUGJ) und eine Verpflichtung zum Datengeheimnis lesen und anerkennen. In diesen beiden Dokumenten werden die Sicherheitsverantwortlichkeiten der Mitarbeitenden zum Schutz von Unternehmenswerten und -daten definiert.

Vorfallreaktion

Das Security Operations Center (SOC) von sipgate bietet eine 24/7/365-Abdeckung, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
Unser Sicherheitsmanagement überprüft alle sicherheitsrelevanten Vorfälle, sei es vermutet oder nachgewiesen. Ferner koordinieren wir uns mit betroffenen Kund:innen auf die optimale Vorgehensweise, abhängig von der Art des Vorfalls.

Internes SSO

Die unternehmensweiten Passwortrichtlinien bei sipgate folgen den branchenüblichen Best Practices hinsichtlich erforderlicher Länge, Komplexität und Rotationshäufigkeit. Der Zugang zu den Unternehmenssystemen von sipgate, sowohl remote als auch vor Ort, ist zentralisiert, mit einem zweiten Faktor gesichert und nur durch ein VPN möglich. Sämtliche, im Unternehmen eingesetzten, SaaS (Software as a Service) Systeme sind durch den Google SSO Login mit zweitem Faktor abgesichert.

Risikomanagement

Das Enterprise-Risk-Management (ERM)-Programm bei sipgate stellt sicher, dass kontinuierliche Risikoanalysen durchgeführt werden. Hierbei werden Risiko- und Schadensminderungsaktivitäten verfolgt und in festgelegten Abständen überprüft. Ferner hat sipgate mit der Foundation-AG ein internes Organ geschaffen, das sich explizit um die Bewertung und Einordnung von Risiken kümmert.

Sicherheitsbewusstsein

sipgate stellt sicher, dass alle Mitarbeitende für ihre Rolle passende Sicherheitsschulungen bekommen. Innerhalb von 30 Tagen nach Beginn der Beschäftigung muss an einer Schulung zum Thema Sicherheitsbewusstsein teilgenommen werden. Entsprechende Trainings werden in jährlichen Intervallen angeboten. Ferner werden die Mitarbeitenden über aktuelle Sicherheitsnachrichten oder Initiativen kontinuierlich informiert. Zusätzlich zu den bereits genannten Maßnahmen führt sipgate Pishing-Bewusstseins-Trainings und Simulationen durch und bietet rollenspezifische Schulungen für bestimmte Positionen an. Final schult sipgate durch aktives Tooling bei der Softwareentwicklung das allgemeine Sicherheitsbewusstsein auch im Alltag ständig weiter.

Sicherheitsoperationszentrum

Das Security Operations Center (SOC) von sipgate bietet eine 24/7/365-Abdeckung, um schnell auf alle Sicherheits- und Datenschutzereignisse zu reagieren. Hierbei ist das schnelle Vorfallreaktionsprogramm von sipgate höchst reaktionsfähig und wiederholbar. Vorgegebene Vorfalltypen, basierend auf historischen Trends, werden erstellt, um eine zeitnahe Vorfallverfolgung, konsistente Aufgabenverteilung, Eskalation und Kommunikation zu erleichtern. In diesen Prozess fließen viele automatische Ereignisse ein, einschließlich Warnungen zu bösartigen Aktivitäten oder Anomalien, Anbieterwarnungen, Kundenanfragen oder Datenschutzereignissen.
Unser Sicherheitsmanagement überprüft alle sicherheitsrelevanten Vorfälle, sei es vermutet oder nachgewiesen. Ferner koordinieren wir uns mit betroffenen Kund:innen auf die optimale Vorgehensweise, abhängig von der Art des Vorfalls.
Zusätzlich zum SOC hat sipgate ein dediziertes Security-Team zur Prävention von Bedrohungen und Erkennung von potenziellen Schwachstellen etabliert. Dieses Team arbeitet systematisch daran, Schwachstellen zu entdecken und diese zu beheben.

Drittanbietermanagement

sipgate nutzt zur Unterstützung der Produktentwicklung, sowie für interne Operationen Dienstleistungen von Drittanbietern. Dazu unterhält sipgate ein Lieferantenmanagement-Programm, welches sicherstellen soll, dass angemessene Sicherheits- und Datenschutzkontrollen vorhanden sind. Dieses Programm umfasst die Inventarisierung, Verfolgung und Überprüfung der Sicherheitsprogramme der Anbieter, die sipgate unterstützen.
Angemessene Schutzmaßnahmen werden in Bezug auf die erbrachte Dienstleistung und die ausgetauschten Daten bewertet. Die laufende Einhaltung der erwarteten Schutzmaßnahmen wird im Rahmen unserer vertraglichen Beziehung zu den Dienstleistern verwaltet. Die Sicherheits-, Datenschutz-, Rechts- und Compliance-Teams koordinieren sich mit Geschäftsinteressengruppen im Rahmen des Drittanbietermanagementprüfungsprozesses. Eine entsprechende Liste der Subunternehmer wird in einem Datenverarbeitungsvertrag geführt.

Product Security

Product Security bezeichnet die Gesamtheit der technischen und organisatorischen Maßnahmen, die gewährleisten, dass ein Produkt personenbezogene Daten und sensible Informationen vor unbefugtem Zugriff, Manipulation und Verlust schützt sowie die geltenden Datenschutzbestimmungen einhält.

Protokollierung von Audits

Aktionen und Ereignisse, die innerhalb der sipgate Anwendungen auftreten, werden konsistent und umfassend protokolliert. Diese Protokolle werden indexiert, in einer zentralen Protokollierungslösung gespeichert und in sipgate eigenen Rechenzentren sicher verwahrt. Sicherheitsrelevante Protokolle werden ebenfalls aufbewahrt und indexiert, um Ermittlungs- und Reaktionsaktivitäten zu erleichtern. Der Aufbewahrungszeitraum der Protokolle hängt von der Art der protokollierten Daten ab.

Kundendatenschutz

Um die anvertrauten Daten zu schützen, verfolgt sipgate einen mehrschichtigen Sicherheitsansatz und implementiert Sicherheitskontrollen in der gesamten Organisation.

Integrationen

sipgate bietet eine Reihe von selbst entwickelten und betriebenen Integrationen zu Drittanbietersoftware an. Weitergehende Informationen dazu finden Sie unter: Push-API, RTCM-API und Rest-API.

Multi-Faktor-Authentifizierung

Kund:innen, welche die integrierte Anmeldung von sipgate nutzen, werden ermutigt, die Zwei-Faktor-Authentifizierung für ihr sipgate Konto einzurichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.

Rollenbasierte Zugriffskontrolle

Die sipgate Dienste ermöglichen es, eingerichtete Benutzer:innen zwischen Admin-Usern mit weitreichenden Rechten und normalen Usern mit eingeschränkten Rechten zu unterscheiden. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.

SSO-Unterstützung

sipgate ermöglicht es Benutzer:innen, einen Login über „Mit Google / Apple anmelden“ oder Single-Sign-On (SSO) zu nutzen, wobei die erstgenannte Funktion (Mit Google / Apple anmelden) allen Kund:innen zur Verfügung steht.
Eine entsprechende Passwortpolitik kann in den jeweiligen Google-/Apple-Accounts konfiguriert werden. Kund:innen, die einen SSO-Anbieter nutzen, können die SSO-basierte Anmeldung für alle ihre User einrichten. Weitere Informationen und Hilfe zu diesem Thema finden Sie im folgenden Hilfecenter-Artikel.

Nach rechtlicher Prüfung stellt sipgate ihren Kund:innen die notwendigen Mittel zur Verfügung, um die KI-Funktion datenschutzkonform zu nutzen.

Christian Solmecke

Anwalt für Internet- und Medienrecht

Data Security

Data Security ist ein Teilbereich des Datenschutzes und zielt darauf ab, personenbezogene Daten vor Missbrauch zu schützen und die gesetzlichen Bestimmungen einzuhalten.

Zugriffsüberwachung

Der Zugang zu sipgate Systemen ist streng kontrolliert und folgt dem Prinzip der geringsten Berechtigung. Der Zugriff für sipgate Mitarbeitende erfolgt nach einem rollenbasierten Zugriffskontrollmodell (RBAC).
sipgate legt betriebliche Anforderungen fest, welche die Erreichung der wichtigsten Serviceverpflichtungen, relevanter Gesetze und Vorschriften, sowie anderer Systemanforderungen, einschließlich der Zugangskontrolle, unterstützen. Um Benutzerzugriffsanfragen, Änderungen und Löschungen zu verwalten, wurde von sipgate ein entsprechender Prozess eingerichtet. Dieser Prozess variiert je nach der Art des benötigten Zugriffs oder ob das System mit der Unternehmens- oder Produktinfrastruktur verbunden ist. Administrativer und risikobehafteter Zugriff wird entweder vorab, basierend auf der funktionalen Rolle des Mitarbeitenden im Unternehmen, genehmigt oder durch eine Genehmigung im Workflow vor der Bereitstellung autorisiert. Benutzer, die eine Änderung für zusätzlichen Zugriff anfordern, durchlaufen denselben Prozess.

Datensicherung

Alle Systeme werden regelmäßig mit festgelegten Zeitplänen und Frequenzen gesichert. Hierbei werden bis zu 30 Tage an Sicherungen für jede Datenbank aufbewahrt, um eine Wiederherstellung zu gewährleisten. Sicherungen werden auf erfolgreiche Ausführung überwacht. Im Falle von Ausnahmen werden Warnungen generiert, Fehlermeldungen eskaliert, untersucht und behoben. Entsprechende Warnungen sind für alle Sicherungen eingerichtet und werden priorisiert. Die erzeugten Daten werden täglich in ein anderes Rechenzentrum übertragen.

Datenlöschung

sipgate stellt aktiven Kund:innen Werkzeuge zur Verfügung, selbst ihre Daten zu löschen oder zu exportieren.
Die Daten der Kund:innen werden so lange aufbewahrt, bis eine schriftliche Anfrage seitens des Kunden / der Kundin zur Löschung aus Live-Datenbanken eingereicht wird oder nach einem festgelegten Zeitraum nach Beendigung aller Vereinbarungen mit dem jeweiligen Kunden /der jeweiligen Kundin.
Informationen, die in Replikationen, Snapshots und Backups gespeichert sind, werden nicht aktiv gelöscht, sondern altern natürlich aus den Repositories, während der Datenlebenszyklus fortschreitet. sipgate behält bestimmte Daten wie Protokolle und zugehörige Metadaten, um Sicherheits-, Compliance- oder gesetzliche Anforderungen zu erfüllen.
Weitere Informationen zu diesem Thema finden Sie in der sipgate Datenschutzerklärung im Abschnitt A. Allgemeines zur Datenverarbeitung, III. Datenlöschung/Speicherdauer.

Verschlüsselung - Encryption-at-rest

sipgate nutzt Technologien, um sicherzustellen, dass gespeicherte sensible Daten immer verschlüsselt werden. Plattformdaten werden mit AES-Verschlüsselungsmechanismen gespeichert, Passwörter gemäß den besten Branchenpraktiken gehasht.

Verschlüsselung während der Übertragung

Alle sensiblen Interaktionen mit sipgate (etwa API-Anrufe, authentifizierte Sitzungen, usw.), werden während der Übertragung mit TLS 1.2 oder 1.3 mit 2048-Bit-Schlüsseln oder besser verschlüsselt.
Ferner können auch Telefonate und Faxe optional mit TLS verschlüsselt übertragen werden.

Physische Sicherheit

Die sipgate Produktinfrastruktur wird in Rechenzentren in Deutschland gehostet. Alle Rechenzentren sind nach DIN ISO 27001 zertifiziert und redundant aufgestellt.

Endpoint Security

Endpoint Security ist ein wichtiger Bestandteil der umfassenden Datensicherheit und trägt dazu bei, personenbezogene Daten auf Endgeräten vor unbefugter Nutzung und Datenlecks zu schützen.

Festplattenverschlüsselung

Wie durch eine interne Richtlinie (siehe 7. Data Privacy, Festplattenverschlüsselung) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend kontinuierlich überprüft.

AI Security

AI-Sicherheit stellt sicher, dass KI-Anwendungen vertrauenswürdig und transparent sind und die Privatsphäre der Nutzer schützen.

Umgang mit erhobenen Daten

sipgate nutzt ChatGPT. Die Verarbeitung der Daten erfolgt ausschließlich in Europa, Kundendaten werden nach der Fertigstellung gelöscht oder anonymisiert. Eine weitere Nutzung der Daten, zum Beispiel für Machine Learning durch OpenAI, ist vertraglich ausgeschlossen.

Data Privacy

Unter Data Privacy versteht man gesetzlich geregelte Maßnahmen zum Schutz personenbezogener Daten vor Missbrauch, wobei insbesondere das Recht auf informationelle Selbstbestimmung der betroffenen Personen gewährleistet werden soll.

Cookies

sipgate verwendet Cookies aus technischen Gründen und zur Verbesserung der User-Erfahrung. Weitere Informationen darüber, was Cookies sind, wie sipgate diese verwendet und die Rechte der Kund:innen zur Kontrolle der Verwendung, finden sich in der sipgate Cookie-Richtlinie.

Benachrichtigungen über Datenpannen

Gemäß Datenverarbeitungsvereinbarung werden Kund:innen ohne unangemessene Verzögerung benachrichtigt, sobald sipgate von einer Verletzung personenbezogener Daten Kenntnis erhält. Informationen zur Verletzung personenbezogener Daten werden, sobald bekannt oder auf angemessene Anfrage des Kunden / der Kundin, bereitgestellt.
Auf Anfrage von Kund:innen wird sipgate schnellstmöglich die erforderliche Unterstützung leisten, um den Kund:innen zu ermöglichen, relevante Datenpannen an die zuständigen Behörden und/oder betroffene Personen zu melden.

Datenschutzbeauftragter

Die sipgate GmbH hat einen eigenen Datenschutzbeauftragten bestellt.

Festplattenverschlüsselung

Wie durch eine interne Richtlinie (Notebookvereinbarung, die jeder Mitarbeitende bei Erhalt unterzeichnen muss) gefordert, sind sipgate eigene Geräte so konfiguriert, dass sie eine vollständige Festplattenverschlüsselung aufrechterhalten. Dies wird mit technischen Maßnahmen auf Apple-Geräten gewährleistet. Alle anderen Geräte werden entsprechend kontinuierlich überprüft.

Bedrohungserkennung

sipgate hat ein internes Team für Schwachstellen und Bedrohungen, welches Schwachpunkte aufdeckt und sicherstellt, dass Best Practices zur Sicherung des Produkts implementiert sind.

Download
Dokumente

Hier finden Sie alle wichtigen Dokumente als Downloads zentral an einer Stelle.

Wieso sipgate?

Welche Gründe noch für sipgate sprechen, entdecken Sie hier.

Melden Sie sich
gerne bei uns