Sicherheitsrichtlinie
Zuletzt aktualisiert: 1. Dezember 2024
SICHERHEIT AN ERSTER STELLE: Whispie implementiert branchenführende Sicherheitsmaßnahmen zum Schutz sensibler Baby- und Familiendaten. Unser Sicherheitsprogramm ist so konzipiert, dass es globale Sicherheitsstandards erfüllt oder übertrifft.
1. Sicherheitsphilosophie
Bei Whispie ist Sicherheit grundlegend für unsere Mission, die sensibelsten Informationen von Familien zu schützen. Wir implementieren eine Defense-in-Depth-Strategie mit mehreren Sicherheitskontrollschichten, um einen umfassenden Schutz aller uns anvertrauten Daten zu gewährleisten.
Unsere Sicherheitsphilosophie baut auf drei Grundprinzipien auf:
- Privacy by Design: Sicherheits- und Datenschutzaspekte werden in jede Entwicklungsphase integriert
- Zero Trust Architecture: Explizit verifizieren, Mindestzugriff nutzen und Verletzungen annehmen
- Kontinuierliche Verbesserung: Regelmäßige Sicherheitsbewertungen und proaktive Bedrohungsüberwachung
2. Sicherheitszertifizierungen und Compliance
2.1 Compliance-Frameworks
Whispie orientiert sich an mehreren internationalen Sicherheitsstandards und -frameworks:
| Framework | Status | Anwendungsbereich |
| SOC 2 Type II | In Bearbeitung | Sicherheit, Verfügbarkeit, Vertraulichkeit |
| ISO 27001 | Geplant 2025 | Informationssicherheitsmanagement |
| DSGVO | Konform | Datenschutz & Privatsphäre |
| CCPA/CPRA | Konform | Datenschutz in Kalifornien |
| KVKK | Konform | Datenschutz in der Türkei |
| HIPAA | Richtlinien befolgt | Datenschutz für Gesundheitsinformationen |
2.2 Regionale Compliance
Whispie hält die Datenschutzvorschriften in allen Betriebsregionen ein:
- Europäische Union: DSGVO-Konformität mit EU-Vertreter
- Vereinigtes Königreich: UK-DSGVO-Konformität
- Vereinigte Staaten: Staatsspezifische Datenschutzgesetze, einschließlich CCPA, CPA, VCDPA
- Türkei: KVKK-Konformität mit VERBIS-Registrierung
- Naher Osten: PDPL (KSA), UAE-Datenschutzgesetz-Konformität
- Asien-Pazifik: PDPA (Singapur), APPI (Japan) Konformität
3. Technische Sicherheitskontrollen
3.1 Infrastruktursicherheit
| Kontrollbereich | Umsetzung | Anbieter |
| Cloud-Infrastruktur | Sichere, skalierbare Cloud-Architektur mit Multi-Zone-Redundanz | AWS, Supabase |
| Netzwerksicherheit | VPC, Sicherheitsgruppen, WAF, DDoS-Schutz | Cloudflare, AWS |
| Verschlüsselung | TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand | Supabase, AWS |
| Sicherung & Wiederherstellung | Automatisierte tägliche Sicherungen, 30-Tage-Aufbewahrung | Supabase, AWS |
3.2 Anwendungssicherheit
Secure Development Lifecycle (SDL):
- Bedrohungsmodellierung in der Entwurfsphase
- Statische und dynamische Code-Analyse
- Scanning von Drittanbieter-Abhängigkeiten
- Anforderungen an sichere Code-Reviews
- Penetrationstests halbjährlich
Authentifizierung & Autorisierung:
- Erzwingung der Multi-Faktor-Authentifizierung (MFA)
- Rollenbasierte Zugriffskontrolle (RBAC)
- Prinzip der minimalen Rechtevergabe
- Sitzungsverwaltung mit sicherem Timeout
- Durchsetzung von Passwortrichtlinien
3.3 Datensicherheit
Datenklassifizierung:
| Klassifizierung | Beispiele | Schutzniveau |
| Hochsensibel | Gesundheitsdaten, Impfunterlagen | Maximale Verschlüsselung, strenge Zugriffskontrollen |
| Sensibel | Persönliche Informationen, Kontaktdaten | Starke Verschlüsselung, rollenbasierter Zugriff |
| Intern | Anwendungsprotokolle, Analysedaten | Verschlüsselung, Zugriffsprotokollierung |
Datenverschlüsselung:
- Bei der Übertragung: TLS 1.2+ für alle Datenübertragungen
- Im Ruhezustand: AES-256-Verschlüsselung für Datenbanken und Speicher
- Schlüsselverwaltung: AWS KMS mit regelmäßiger Schlüsselrotation
- Ende-zu-Ende-Verschlüsselung: Für die gemeinsame Nutzung sensibler Gesundheitsdaten
4. Organisatorische Sicherheit
4.1 Mitarbeitersicherheit
- Hintergrundüberprüfungen: Einstellungsscreening für alle Mitarbeiter
- Sicherheitsschulung: Jährliche Schulung zum Sicherheitsbewusstsein
- Vertraulichkeitsvereinbarungen: Von allen Mitarbeitern und Auftragnehmern unterzeichnet
- Zugriffsüberprüfungen: Vierteljährliche Überprüfungen der Zugriffsrechte
- Incident Response Schulung: Regelmäßige Planspielübungen
4.2 Sicherheitsrichtlinien
- Richtlinie zur akzeptablen Nutzung: Richtlinien für die angemessene Systemnutzung
- Datenhandhabungsrichtlinie: Verfahren zur Datenklassifizierung und -schutz
- Incident Response Plan: Dokumentierte Verfahren für Sicherheitsvorfälle
- Business Continuity Plan: Verfahren zur Notfallwiederherstellung und Geschäftskontinuität
- Lieferantensicherheitsrichtlinie: Anforderungen an Drittanbieter
5. Sicherheit bei Dritten
5.1 Lieferantensicherheitsbewertung
Alle Drittanbieter werden vor der Integration einer Sicherheitsbewertung unterzogen:
| Anbieter | Dienst | Sicherheitszertifizierungen | Datenverarbeitung |
| Supabase | Datenbank & Auth | SOC 2, DSGVO | Unterauftragsverarbeiter |
| Stripe | Zahlungen | PCI DSS Level 1, SOC 2 | Zahlungsverarbeiter |
| Twilio | SMS | SOC 2, ISO 27001 | Unterauftragsverarbeiter |
| Cloudflare | Sicherheit & DNS | SOC 2, ISO 27001 | Infrastruktur |
| Sentry | Fehlerverfolgung | SOC 2, DSGVO | Unterauftragsverarbeiter |
5.2 Unterauftragsverarbeiter-Management
Wir pflegen Datenverarbeitungszusätze (DVZ) mit allen Unterauftragsverarbeitern und überprüfen regelmäßig deren Sicherheitsstatus.
6. Incident Response
6.1 Incident Response Plan
Unser Incident Response Plan folgt dem NIST-Framework:
- Vorbereitung: Dokumentierte Verfahren und geschultes Team
- Erkennung & Analyse: Überwachungs- und Alarmsysteme
- Eindämmung: Sofortige Maßnahmen zur Schadensbegrenzung
- Beseitigung: Entfernung der Bedrohungsursachen
- Wiederherstellung: Wiederherstellung von Systemen und Diensten
- Aktivität nach dem Vorfall: Erkenntnisse und Verbesserungen
6.2 Verletzungsbenachrichtigung
Im Falle einer Datenpflichtverletzung wird Whispie:
- Betroffene Benutzer innerhalb von 72 Stunden nach Entdeckung benachrichtigen
- Mit Regulierungsbehörden wie erforderlich zusammenarbeiten
- Klare Informationen über die Verletzung und ergriffene Maßnahmen bereitstellen
- Kreditüberwachungsdienste anbieten, wenn angemessen
7. Sicherheitsüberwachung und -tests
7.1 Kontinuierliche Überwachung
- SIEM: Security Information and Event Monitoring
- IDS/IPS: Intrusion Detection and Prevention Systems
- Schwachstellen-Scanning: Regelmäßiges automatisiertes Scanning
- Protokollanalyse: Zentralisierte Protokollierung und Analyse
- Bedrohungsanalyse: Proaktive Bedrohungsüberwachung
7.2 Sicherheitstests
- Penetrationstests: Jährliche externe Penetrationstests
- Bug-Bounty-Programm: Programm zur verantwortungsvollen Offenlegung
- Code-Review: Sicherheitsüberprüfung des gesamten Codes
- Abhängigkeits-Scanning: Automatisiertes Schwachstellen-Scanning
- Sicherheitsprüfungen: Regelmäßige interne und externe Prüfungen
8. Physische und Umgebungssicherheit
8.1 Rechenzentrumsicherheit
Whispie nutzt Rechenzentren der Enterprise-Klasse mit:
- 24/7 physische Sicherheit und Überwachung
- Biometrische Zugangskontrollen
- Redundante Strom- und Kühlsysteme
- Brandmelde- und -löschanlagen
- Umgebungsüberwachung
8.2 Bürosicherheit
Unsere Firmenbüros implementieren:
- Zugangskontrollsysteme
- Besucherverwaltungsverfahren
- Sichere Dokumentenvernichtung
- Clean Desk Policy
- Geräteverschlüsselungsanforderungen
9. Geschäftskontinuität und Notfallwiederherstellung
9.1 Business Continuity Plan
- RTO (Recovery Time Objective): 4 Stunden für kritische Systeme
- RPO (Recovery Point Objective): 1 Stunde für kritische Daten
- Sicherungsstrategie: Automatisierte tägliche Sicherungen mit Geo-Redundanz
- Notfallwiederherstellung: Dokumentierte DR-Verfahren und regelmäßige Tests
9.2 Hohe Verfügbarkeit
Whispie gewährleistet 99,9% Betriebszeit durch:
- Load Balancing und Auto-Scaling
- Multi-Zone-Deployment
- Datenbankreplikation und Failover
- CDN für statische Inhaltslieferung
10. Sicherheitsbewusstseinsschulung
10.1 Mitarbeiterschulung
Alle Mitarbeiter absolvieren eine umfassende Sicherheitsschulung zu folgenden Themen:
- Datenschutz- und Privatsphäreprinzipien
- Phishing- und Social Engineering-Bewusstsein
- Passwortsicherheit und MFA
- Verfahren zur Vorfallmeldung
- Sichere Entwicklungspraktiken
10.2 Laufende Weiterbildung
- Vierteljährliche Updates zum Sicherheitsbewusstsein
- Phishing-Simulationsübungen
- Sicherheitsnewsletter und -bulletins
- Jährliche Sicherheitszertifizierungsanforderungen
11. Richtlinien-Governance
11.1 Richtlinienüberprüfung
Diese Sicherheitsrichtlinie wird überprüft und aktualisiert:
- Jährlich als Teil unserer Sicherheitsprogrammüberprüfung
- Nach bedeutenden Sicherheitsvorfällen
- Bei Einführung neuer Vorschriften oder Standards
- Nach größeren System- oder Infrastrukturänderungen
11.2 Compliance-Überwachung
Wir überwachen die Compliance kontinuierlich durch:
- Automatisierte Compliance-Prüfungstools
- Regelmäßige interne Prüfungen
- Externe Sicherheitsbewertungen
- Überwachung regulatorischer Änderungen
12. Kontakt und Meldung
12.1 Sicherheitskontakte
Für sicherheitsbezogene Anfragen oder zur Meldung von Sicherheitsbedenken:
Sicherheitsteam: [email protected]
Datenschutzteam: [email protected]
Missbrauchsmeldungen: [email protected]
12.2 Schwachstellenmeldung
Wir begrüßen verantwortungsvolle Schwachstellenoffenlegungen. Bitte melden Sie Sicherheitsschwachstellen an [email protected] mit:
- Detaillierter Beschreibung der Schwachstelle
- Schritten zur Reproduktion
- Bewertung des potenziellen Einflusses
- Ihren Kontaktdaten
SICHERHEITSENGAGEMENT: Whispie ist bestrebt, die höchsten Sicherheitsstandards zum Schutz der sensiblen Informationen unserer Nutzer aufrechtzuerhalten. Wir investieren kontinuierlich in Sicherheitsmaßnahmen und aktualisieren regelmäßig unsere Praktiken, um auf sich entwickelnde Bedrohungen zu reagieren.