Sicherheit
Sicherheitsüberblick
Besticoder betreibt eine mandantenfähige Software-as-a-Service-Plattform, die weltweit unter vmoox.com und app.vmoox.com genutzt wird. Diese Seite beschreibt unseren allgemeinen Sicherheitsansatz und klärt Verantwortlichkeiten zwischen Vmoox und Kunden.
Diese Informationen dienen nur der Transparenz. Sie sind keine Gewährleistung, Service-Level-Zusage oder Rechtsberatung.
Keine Sicherheitsgarantie
Obwohl wir den Dienst mit wirtschaftlich angemessenen Maßnahmen schützen, KANN KEIN ONLINE-DIENST ALS VOLLSTÄNDIG SICHER GARANTIERT WERDEN. Vmoox gewährleistet keine unterbrechungsfreie Sicherheit, fehlerfreien Betrieb oder Immunität vor unbefugtem Zugang, Datenverlust, Malware oder Angriffen Dritter.
Sie nutzen den Dienst auf eigenes Risiko und müssen angemessene Kontrollen in Ihrer Organisation implementieren, die der Sensibilität Ihrer Daten und regulatorischen Pflichten entsprechen.
Sicherheitsverantwortung der Kunden
SIE SIND ALLEIN VERANTWORTLICH für die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit, Compliance und Sicherung von Daten und Vorgängen in Ihren Workspaces. Dies umfasst Benutzerbereitstellung und -entfernung, rollenbasierte Zugangssteuerung, starke Authentifizierungspraktiken, Secrets-Management, sichere Integration-Konfiguration, Anbieterprüfung, Mitarbeiterschulung, Incident Response in Ihrer Organisation und Einhaltung von Gesetzen, die für Ihre Branche und Region gelten.
Vmoox ist nicht verantwortlich für Vorfälle, die aus schwachen Passwörtern, geteilten Zugangsdaten, übermäßigen Berechtigungen, falsch konfigurierten Automatisierungen, nicht gepatchten Client-Geräten, Drittanbieter-Verstößen oder fehlender eigenständiger Backups entstehen.
Plattformmaßnahmen, die wir einsetzen können
Wir können branchenübliche Schutzmaßnahmen verwenden, wie Transportverschlüsselung (TLS), Verschlüsselung im Ruhezustand, wo von unserer Infrastruktur unterstützt, logische Workspace-Trennung, rollenbasierte Berechtigungen, Protokollierung, Überwachung, Schwachstellenmanagement und Zugangssteuerung für Vmoox-Personal auf Need-to-know-Basis.
Spezifische Kontrollen können sich im Laufe der Zeit ändern und können je nach Funktion, Plan oder Bereitstellungskonfiguration variieren. Beschreibungen auf dieser Seite sind auf hoher Ebene und nicht abschließend.
Workspace-Isolation und Zugangssteuerung
Workspace-Daten sind in der Plattformarchitektur logisch getrennt. Rollenbasierte Berechtigungen sollen einschränken, was Workspace-Mitglieder gemäß Administrator-Konfiguration sehen oder ändern können.
Wirksame Isolation hängt von korrekter Administration durch Sie ab. Falsch konfigurierte Rollen, geteilte Admin-Accounts oder externe Weitergabe von Exporten können Isolation trotz Plattformkontrollen untergraben.
Integrationen und Drittanbieter-Risiko
Verbindungen zu Drittanbieter-APIs und Messaging-Plattformen schaffen zusätzliche Risikoflächen außerhalb der direkten Kontrolle von Vmoox. Drittanbieter können Sicherheitsanforderungen ändern, Tokens widerrufen, Zugangsdaten preisgeben oder Ausfälle und Verstöße erleiden.
Sie sind für die Bewertung von Integration-Risiken, das Rotieren von Zugangsdaten, die Einschränkung von Berechtigungen und die Überwachung von Sicherheitsmitteilungen Dritter verantwortlich. Vmoox haftet nicht für Sicherheitsvorfälle, die in Drittanbietersystemen entstehen.
Backups und Datenwiederherstellung
Sie sind für Ihre eigene Backup- und Wiederherstellungsstrategie für geschäftskritische Daten verantwortlich, einschließlich Exporten und redundanten Kopien außerhalb des Dienstes, wo angemessen.
Interne Plattform-Backups oder Snapshots, die wir möglicherweise vorhalten, dienen der operativen Kontinuität und Disaster Recovery des Dienstes selbst — nicht als Ersatz für kundenkontrollierte Backups. Vmoox lehnt Haftung für Datenverlust im größtmöglich nach anwendbarem Recht zulässigen Umfang ab.
Sicherheitsvorfälle und Benachrichtigung
Wenn wir Kenntnis von einem Sicherheitsvorfall erlangen, der die Plattform betrifft und die Vertraulichkeit von Kunden-Account-Daten unter unserer Kontrolle wesentlich beeinträchtigt, werden wir angemessene Schritte zur Untersuchung, Minderung und Benachrichtigung betroffener Kunden oder Verantwortlicher unternehmen, wie nach anwendbarem Recht und Verträgen erforderlich.
Sie sind für die Benachrichtigung Ihrer Nutzer, Aufsichtsbehörden und betroffener Personen verantwortlich, wenn Ihre Rolle als Verantwortlicher Benachrichtigung für Vorfälle in Ihrer Organisation oder von Ihnen verwalteten Integrationen erfordert.
Verantwortungsvolle Schwachstellenmeldung
Wenn Sie glauben, eine Sicherheitsschwachstelle im Dienst entdeckt zu haben, kontaktieren Sie support@vmoox.com mit ausreichenden Details zur Reproduktion. Veröffentlichen Sie Schwachstellen nicht, bevor wir eine angemessene Gelegenheit zur Untersuchung und Behebung hatten.
Wir autorisieren keine Penetrationstests gegen Produktionssysteme ohne vorherige schriftliche Genehmigung. Unbefugte Tests können gegen Gesetz und diese Bedingungen verstoßen.
Compliance und Zertifizierungen
Sofern nicht in einer unterzeichneten Vereinbarung ausdrücklich angegeben, stellt Vmoox nicht dar, dass der Dienst einem bestimmten regulatorischen Rahmen für Ihren Anwendungsfall entspricht, einschließlich HIPAA, PCI-DSS-Umfang für Ihre Umgebung oder sektorspezifischer Regime.
Sie sind dafür verantwortlich zu bestimmen, ob der Dienst für Ihre Compliance-Bedürfnisse geeignet ist und ergänzende Kontrollen zu implementieren.
Sicherheitskontakt
Sicherheitsanfragen und Schwachstellenmeldungen: support@vmoox.com.
Bitte geben Sie betroffene URLs, Zeitstempel, Workspace-Kennungen (falls zutreffend) und Proof-of-Concept-Informationen für sichere Reproduktion an.