snapADDY

Privacy and Security Hub

IT-Security

Die Sicherheit Ihrer Daten und unserer Technologien haben bei snapADDY oberste Priorität. Wir verwenden State-of-the-Art-Ansätze, um alle möglichen Angriffs-Szenarien bereits im Vorfeld zu erkennen und auszuschließen. Dafür beschäftigen wir ein dediziertes DevOps-Team, führen regelmäßig Security-Schulungen sowie interne und externe Reviews durch, und orientieren unsere Workflows an den Maßgaben offizieller Zertifizierungen.

Infrastruktur

Im obenstehenden Schaubild sehen Sie einen Überblick über die technische Infrastruktur von snapADDY. Unsere Business-Logik wird ausschließlich in Rechenzentren in Frankfurt am Main (AWS-Zone: eu-central-1) abgebildet. Die einzelnen Services befinden sich geschützt in einem privaten VPC und sind für höchste Ausfallsicherheit über drei voneinander unabhängige availability zones verteilt.

Data-Flow snapADDY Clients – Allgemein

Das Datenfluss-Diagramm zeigt verschiedenen Datenquellen, welche von snapADDY verwendet werden, um Kontaktdaten und -vorschläge zu generieren und bestehende Daten anzureichern und die Verbindung zu Ihrem CRM-System, welche für den jeweiligen Export genutzt wird.

Data-Quality

Business Card Scanner

VisitReport

Außerdem wird das manuelle Hochladen von Bestandsdaten über Excel- oder CSV-Dateien, welche aus Ihrem CRM oder einer anderen Datenquelle exportiert wurden dargestellt.

Workflow Social Network Updates

Die Social Network Updates bieten eine optionale Erweiterung des DataQuality-Produktes. Das obenstehende Workflow-Diagramm beschreibt den technischen Ablauf für die Erstellung der Vorschläge auf Basis von Änderungen durch einen Nutzer in einem von uns unterstützten Sozialen Netzwerk. Sobald wir eine solche Änderung feststellen, wird von unserem Server überprüft, ob diese relevant für das von Ihnen verbundene CRM-System ist. Also, ob Sie einen Lead oder Kontakt haben, der von dieser Änderung betroffen ist. Sollte dies der Fall sein, erhalten Sie einen Vorschlag über diese Änderung in DataQuality, welchen Sie akzeptieren oder verwerfen können.

CRM-Verbindungen

Das Sequenzdiagramm beschreibt den technischen Ablauf unseres Dublettenchecks in DataQuality sowie unseren beiden Apps Business Card Scanner und VisitReport. Zunächst werden durch den Benutzer eingegebene Daten auf Dubletten in Ihrem CRM-System überprüft. Hierfür werden je nach CRM verschiedene Verbindungsmöglichkeiten, wie beispielsweise OAuth angeboten. Sollte eine Dublette in Ihrem CRM gefunden werden, sehen Sie die durch snapADDY erkannten Unterschiede in einem übersichtlichen Merge-View. Hier können Sie auswählen, welche Daten Sie übernehme und welche Sie verwerfen möchten. Auf Ihren Wunsch hin, werden die Daten anschließend in Ihrem CRM angelegt beziehungsweise aktualisiert.

Von allen Datenbanken, die snapADDY zum produktiven Betrieb seiner Produkte verwendet, werden täglich automatisch Backups via RDS Snapshots erstellt. Zudem werden regelmäßig Snapshots der Transaktionslogs erstellt, wodurch wir unsere Datenbanken auf einen bestimmten Zeitpunkt (wenige Minuten vor einem etwaigen Absturz) wiederherstellen können. Die RDS Snapshots und Transaktionslogs werden in Amazon S3 gespeichert und 30 Tage aufbewahrt.

Bei den von snapADDY verwendete S3 Buckets ist eine Objekt-Versionierung aktiviert. Alte Versionen und gelöschte Objekte können damit innerhalb eines Zeitraums von 30 Tagen wiederhergestellt werden.

Gelöschte Daten werden zuerst zur Löschung markiert und nach 30 Tagen endgültig gelöscht. Innerhalb dieses Zeitraums können unsere Support-Mitarbeiter versehentlich gelöschte Daten wiederherstellen.

Alle Anfragen an und zwischen unseren Servern sind mit Transportverschlüsselung geschützt. Durch HSTS und die Weiterleitung von HTTP auf HTTPS wird die Verschlüsselung von externem Traffic sichergestellt. Unsere Server unterstützen TLS 1.2 und 1.3 mit starken Cipher-Suites. Bei internen Verbindungen zwischen unseren Servern wird mTLS 1.3 verwendet. Mit diesen Maßnahmen erreichen wir eine A+ Bewertung beim SSL Server Test von SSL Labs (https://www.ssllabs.com/ssltest/analyze.html?d=app.snapaddy.com).

Alle Datenbanken und S3 Buckets mit Kundendaten sind mit AES-265 verschlüsselt. Die Verschlüsselungsschlüssel der Datenbanken werden mit Masterschlüsseln verschlüsselt, die von AWS im Key Management Service (KMS) verwaltet werden. Die KMS-Masterschlüssel sind auf Hardware-Sicherheitsmodulen (HSMs), validiert mit FIPS-140-2 Level 2 (Level 3 in einigen Kategorien), gespeichert. Weitere Details finden Sie in ISMS (Kapitel 3.2).

Zur Authentifizierung bei snapADDY stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Einerseits können Sie einen klassischen Login via Usernamen und Passwort nutzen, welcher optional mittels 2-Faktor-Authenfizierung geschützt werden kann. Andererseits bieten wir unseren Kunden einen Single-Sign-On entweder über OAuth (OpenID-Connect; für die drei Identity Provider Microsoft, Google und Apple) oder eine SAML-Integration mit dem Identify Provider Ihrer Wahl an. Weitere Informationen zur Einrichtung von SAML finden Sie unter: HIER FAQ LINK?

Administratoren einer snapADDY-Organisation können Ihren Benutzern Rollen zuweisen, auf deren Grundlage Benutzerrechte definiert sind. Diese Rolle schränken den Zugriff auf bestimmte Ressourcen ein und können granular vergeben werden.

Eine Übersicht über die verfügbaren Rollen finden Sie hier:

https://help.snapaddy.com/en/articles/2547674-what-do-the-user-roles-reporter-user-template-curator-template-manager-and-admin-mean

Um die Funktion der E-Mail-Kontaktvorschläge nutzen zu können, muss eine Verbindung zwischen snapADDY und Ihrem E-Mail-Postfach hergestellt werden. Hierbei stehen Ihnen zwei Verbindungsarten zur Verfügung. Entweder Sie stellen die Verbindung mittels einer snapADDY-OAuth-Applikation zu einem Microsoft-Postfach her oder Sie nutzen eine klassische Verbindung via IMAP. Da sich diese beiden Verbindungsarten technisch voneinander unterscheiden, werden die jeweiligen Sicherheitsaspekte im Folgenden separat betrachtet.

Verbindung via snapADDY-OAuth-Applikation

Zur Verbindung Ihres Microsoft-E-Mail-Postfaches müssen Sie der snapADDY Suggestions OAuth-Applikation Zugriff auf die Berechtigungen Mail.Read, User.Read und offline_access erteilen. Gegebenenfalls muss dieser Zugriff durch den Azure-Administrator Ihrer Organisation bestätigt werden. Anschließend registriert snapADDY in Ihrem Namen eine Subscription über die Microsoft Graph API, welche snapADDY per Webhook informiert, sobald eine neue E-Mail zur Verarbeitung in Ihrem Postfach eintrifft. Wenn snapADDY eine solche Benachrichtigung erhält, rufen wir die E-Mail aus Ihrem Postfach ab und extrahieren mögliche Signaturen. Der Inhalt der E-Mail wird von uns dabei zu keiner Zeit gespeichert oder geloggt. Alle Daten liegen grundsätzlich nur flüchtig und nur im Moment der Verarbeitung (parsing) vor.

Verbindung via IMAP

Die Verbindung via IMAP erfolgt mit Hilfe der regulären Zugangsdaten zu Ihrem IMAP-Postfach. Das Passwort wird dabei, zusätzlich zu unserer generellen Verschlüsselung der Datenbank, mit Hilfe eines 256bit AES-CBC Secrets mit einem randomisierten Vektor initialisiert. Der Verschlüsselungs-Schlüssel wird mittels PBKD2 von einem internen Secret und einem randomisierten Salt abgeleitet. Das gespeicherte Passwort ist durch einen Nutzer nicht mehr abrufbar und wird lediglich für die serverseitige Verbindung zu Ihrem Postfach benötigt. Falls Sie die Möglichkeit haben, sogenannte App-Passwörter zu verwenden, welche ein separates Passwort für Drittanbieter-Integrationen Ihres IMAP-Postfachs zulässt, empfehlen wir Ihnen, diesen Weg zu wählen. Siehe hierzu beispielsweise: https://support.google.com/mail/answer/185833?hl=de

Für beide Fälle gilt, dass niemals der Inhalt Ihrer E-Mails gespeichert oder geloggt wird. Die E-Mails liegen lediglich für den Moment der Verarbeitung im Arbeitsspeicher vor und werden anschließend von unserer Seite verworfen. Zusätzlich können E-Mails mit bestimmten Absender-Domains komplett von der Verarbeitung durch dieses Features ausgeschlossen werden.

Außerdem werden Kontaktvorschläge, die auf eingehenden E-Mails basieren, ausschließlich in der vom Nutzer selbst gewählte snapADDY-Kontaktliste hinterlegt. Jeder Nutzer kann eigenständig festlegen, wer Zugriff auf diese Liste hat.

Unsere Richtlinien für IT-Security in den verschiedenen Ebenen und Bereichen des Unternehmens sind in einem IT Security Management System Dokument in Form von Policies festgehalten.

Zur Überwachung der Netzwerkaktivtäten in unserer Infrastruktur setzen wir das Intrusion Detection System (IDS) Amazon GuardDuty ein. GuardDuty analysiert Audit, DNS und Netzwerk Logs und benachrichtigt bei verdächtigen Aktivitäten. Mehr Informationen zu GuardDuty finden Sie hier: https://aws.amazon.com/guardduty/

Auf Infrastruktur-Ebene hat nur eine sehr kleine Gruppe von langjährigen snapADDY-Mitarbeitern vollen Zugriff auf die Produktionsumgebungen. Dieser Zugang ist über das AWS Rechte- und Rollenkonzept geregelt und kann transparent über Audit Logs nachvollzogen werden.

Auf Applikationsebene hat ein weiterer Teil von Mitarbeitern für Supportprozesse eingeschränkten Zugang zu Kundenorganisationen. Diese Accounts sind zusätzlich durch Zweifaktorauthentifizierung abgesichert. Aktivitäten können über Audit Logs nachverfolgt werden.

Downloads

Du?

Haben Sie noch Fragen?

Wir hoffen, es sind keine Fragen mehr offen! Falls doch, kontaktieren Sie uns gerne über die untenstehende E-Mail-Adresse.

Datenschutz

datenschutz@snapaddy.com