Sicherheitsrichtlinie

Zuletzt aktualisiert: 1. Dezember 2024

SICHERHEIT AN ERSTER STELLE: Whispie implementiert branchenführende Sicherheitsmaßnahmen zum Schutz sensibler Baby- und Familiendaten. Unser Sicherheitsprogramm ist so konzipiert, dass es globale Sicherheitsstandards erfüllt oder übertrifft.

1. Sicherheitsphilosophie

Bei Whispie ist Sicherheit grundlegend für unsere Mission, die sensibelsten Informationen von Familien zu schützen. Wir implementieren eine Defense-in-Depth-Strategie mit mehreren Sicherheitskontrollschichten, um einen umfassenden Schutz aller uns anvertrauten Daten zu gewährleisten.

Unsere Sicherheitsphilosophie baut auf drei Grundprinzipien auf:

2. Sicherheitszertifizierungen und Compliance

2.1 Compliance-Frameworks

Whispie orientiert sich an mehreren internationalen Sicherheitsstandards und -frameworks:

Framework Status Anwendungsbereich
SOC 2 Type II In Bearbeitung Sicherheit, Verfügbarkeit, Vertraulichkeit
ISO 27001 Geplant 2025 Informationssicherheitsmanagement
DSGVO Konform Datenschutz & Privatsphäre
CCPA/CPRA Konform Datenschutz in Kalifornien
KVKK Konform Datenschutz in der Türkei
HIPAA Richtlinien befolgt Datenschutz für Gesundheitsinformationen

2.2 Regionale Compliance

Whispie hält die Datenschutzvorschriften in allen Betriebsregionen ein:

3. Technische Sicherheitskontrollen

3.1 Infrastruktursicherheit

Kontrollbereich Umsetzung Anbieter
Cloud-Infrastruktur Sichere, skalierbare Cloud-Architektur mit Multi-Zone-Redundanz AWS, Supabase
Netzwerksicherheit VPC, Sicherheitsgruppen, WAF, DDoS-Schutz Cloudflare, AWS
Verschlüsselung TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand Supabase, AWS
Sicherung & Wiederherstellung Automatisierte tägliche Sicherungen, 30-Tage-Aufbewahrung Supabase, AWS

3.2 Anwendungssicherheit

Secure Development Lifecycle (SDL):

Authentifizierung & Autorisierung:

3.3 Datensicherheit

Datenklassifizierung:

Klassifizierung Beispiele Schutzniveau
Hochsensibel Gesundheitsdaten, Impfunterlagen Maximale Verschlüsselung, strenge Zugriffskontrollen
Sensibel Persönliche Informationen, Kontaktdaten Starke Verschlüsselung, rollenbasierter Zugriff
Intern Anwendungsprotokolle, Analysedaten Verschlüsselung, Zugriffsprotokollierung

Datenverschlüsselung:

4. Organisatorische Sicherheit

4.1 Mitarbeitersicherheit

4.2 Sicherheitsrichtlinien

5. Sicherheit bei Dritten

5.1 Lieferantensicherheitsbewertung

Alle Drittanbieter werden vor der Integration einer Sicherheitsbewertung unterzogen:

Anbieter Dienst Sicherheitszertifizierungen Datenverarbeitung
Supabase Datenbank & Auth SOC 2, DSGVO Unterauftragsverarbeiter
Stripe Zahlungen PCI DSS Level 1, SOC 2 Zahlungsverarbeiter
Twilio SMS SOC 2, ISO 27001 Unterauftragsverarbeiter
Cloudflare Sicherheit & DNS SOC 2, ISO 27001 Infrastruktur
Sentry Fehlerverfolgung SOC 2, DSGVO Unterauftragsverarbeiter

5.2 Unterauftragsverarbeiter-Management

Wir pflegen Datenverarbeitungszusätze (DVZ) mit allen Unterauftragsverarbeitern und überprüfen regelmäßig deren Sicherheitsstatus.

6. Incident Response

6.1 Incident Response Plan

Unser Incident Response Plan folgt dem NIST-Framework:

6.2 Verletzungsbenachrichtigung

Im Falle einer Datenpflichtverletzung wird Whispie:

7. Sicherheitsüberwachung und -tests

7.1 Kontinuierliche Überwachung

7.2 Sicherheitstests

8. Physische und Umgebungssicherheit

8.1 Rechenzentrumsicherheit

Whispie nutzt Rechenzentren der Enterprise-Klasse mit:

8.2 Bürosicherheit

Unsere Firmenbüros implementieren:

9. Geschäftskontinuität und Notfallwiederherstellung

9.1 Business Continuity Plan

9.2 Hohe Verfügbarkeit

Whispie gewährleistet 99,9% Betriebszeit durch:

10. Sicherheitsbewusstseinsschulung

10.1 Mitarbeiterschulung

Alle Mitarbeiter absolvieren eine umfassende Sicherheitsschulung zu folgenden Themen:

10.2 Laufende Weiterbildung

11. Richtlinien-Governance

11.1 Richtlinienüberprüfung

Diese Sicherheitsrichtlinie wird überprüft und aktualisiert:

11.2 Compliance-Überwachung

Wir überwachen die Compliance kontinuierlich durch:

12. Kontakt und Meldung

12.1 Sicherheitskontakte

Für sicherheitsbezogene Anfragen oder zur Meldung von Sicherheitsbedenken:

Sicherheitsteam: [email protected]

Datenschutzteam: [email protected]

Missbrauchsmeldungen: [email protected]

12.2 Schwachstellenmeldung

Wir begrüßen verantwortungsvolle Schwachstellenoffenlegungen. Bitte melden Sie Sicherheitsschwachstellen an [email protected] mit:

SICHERHEITSENGAGEMENT: Whispie ist bestrebt, die höchsten Sicherheitsstandards zum Schutz der sensiblen Informationen unserer Nutzer aufrechtzuerhalten. Wir investieren kontinuierlich in Sicherheitsmaßnahmen und aktualisieren regelmäßig unsere Praktiken, um auf sich entwickelnde Bedrohungen zu reagieren.