Wenn Sie eine lokale Version unserer Website sehen möchten, klicken Sie bitte auf den Link unten...

Sicherheit

Ein erstklassiger Schutz.

Sicherheit - nicht nur Merkmal sondern Leistung

Angesichts der sich rasant entwickelnden Internetbedrohungen und dem Anstieg von Payment-Transaktionen im Online-Fundraising ist Web-Security zu einem zentralen Thema für Non-Profits geworden.


Web-Security für Non-Profits

Cyber-Attacken verursachen jedes Jahr einen immensen Schaden, sowohl monetär als auch hinsichtlich der eigenen Reputation - was den größten Wert einer Organisation darstellt. Komprimittierte Organisationen leiden auch lange nach einem erfolgten Hacker-Angriff unter den Konsequenzen: Schlechte Presse, negative Suchmaschinen-Treffer, Bußgelder durch Kreditkarten-Unternehmen aufgrund von Verstößen gegen deren Sicherheitsanforderungen, Spender und Polizei melden sich wegen Identitätsdiebstahl bzw. Kartenmissbrauch.

Schafft es eine Organisation sich nicht, sich ausreichend bzgl. dem Thema Cyber-Security aufzustellen, kann ein daraus resultierender Daten-Vorfall zu einem Verlust des öffentlichen Vertrauens führen. Mit sinkenden Mitgliederzahlen und dem damit sinkendem Spendenvolumen, läuft die Organisation im schlimmsten Fall Gefahr, ihren gemeinützigen Zielen nicht mehr nachkommen zu können.

Non-Profits verarbeiten eine enorme Menge von sensiblen personenbezogenen Daten, wie z. B. Spender- und Spendendaten, Kreditkarten-Nummern und Bankverbindungen. All diese Daten müssen geschützt werden. Wir helfen Ihnen dabei! Mit Einsatz der FundraisingBox bringen Sie Ihre Daten in einen High-End-Sicherheits-Bereich und sichern damit Ihre Reputation technisch ab. Durch unsere Software und Services profitieren Sie von unserer Sicherheitsexpertise, die in der eigenen Organisation nur sehr schwer und teuer aufgebaut werden kann.


Abkopplung von Zahlungsflüssen

Durch unsere Sandbox-Technologie schaffen Sie einen dedizierter Hochsicherheits-Bereich innerhalb Ihrer Webseite. Damit können Sie personenbezogene Informationen, als auch Payment-Daten auf Ihrer Webseite abwickeln, ohne das dabei Ihre eigenen Server bzw. Ihr eigenes Content-Management-System (CMS) in Berührung mit diesen Daten kommen.

Dieses Vorgehen ist auch die Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT), da sowohl die meisten installierten CMS-Systeme wie Drupal, Joomla, Wordpress und Typo3, als auch deren darunter liegenden Server häufig nicht ausreichend gepflegt und geschützt sind. Laut aktueller CMS-Studie erfordert alleine das Content-Management-System einen manuellen Sicherheitsaufwand von täglich 15 Minuten, um es maximal zu härten.


Hochsichere zertifizierte Rechenzentren

Der Hochsicherheitsbereich der FundraisingBox nutzt auschließlich zertifizierte Rechenzentren für das Hosting der Anwendungen und Daten. Diese setzen höchste physische Sicherheitsmaßnahmen und strikte Zutrittsrichtlinien ein. Das Rechenzentrum-Gelände ist mit einer lückenlosen Videoüberwachung an Türen und Zugängen sowie zahlreichen Bewegungsmeldern ausgestattet. Der Zutritt ist nur für autorisierten Mitarbeiter möglich und wird automatisch protokolliert. Dabei erfordern alle Zutritte eine Zwei-Faktor-Authentifizierung. Die Notruf- und Betriebsleitstelle ist rund um die Uhr besetzt und wird durch Wachdienste unterstützt. Ausfallsichere Energieversorgungs- und Backup-Systeme, sowie Brand- und Hochwasserschutzmaßnahmen sorgen an den Speicherorten für maximale Sicherheit.

Die eingesetzten Rechenzentren erfüllen dabei u. a. folgende verlässliche Sicherheitsstandards:


PCI Zertifizierung inklusive

Wenn Sie vorhaben, Spenden und wiederkehrende Zahlungen auch per Kreditkarte einzuwerben, dann müssen Sie PCI zertifiziert sein. Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk, das den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherstellen soll.
Das System gilt für die gesamte Kartenzahlungsbranche und wird von allen wichtigen Kreditkartenorganisationen (American Express, JBC, MasterCard, Discover Financial Services und Visa) eingefordert.

Jeder “Händler”, der Karten speichert, verarbeitet oder auch nur übermittelt, ist verpflichtet die zwölf umfangreichen Sicherheitsvorgaben einzuhalten und eine entsprechende organisatorische und technische Sicherheitszertifizierung abzulegen. Das verursacht einen großen Aufwand und hohe wiederkehrende Kosten. Durch den Einsatz der FundraisingBox entfallen diese umfangreichen externen und internen PCI Implementierungs-Aufwendungen sowie die regelmäßigen Einhaltungskontrollen.


Umfassender Netzwerkschutz mit höchster Verfügbarkeit

Unser Netzwerk wird kontinuierlich überwacht und durchläuft regelmäßige Bedrohungsanalysen, wie externe Penetrations-Tests und Vulnerability-Scans. Die komplette Software-Infrastruktur wird durchgehend aktualisiert und neue Sicherheits-Updates werden umgehend nach Veröffentlichung eingespielt. Alle Server sind durch ausfallsichere Firewalls abgeschirmt, die genau regeln, auf welche Netzwerkressourcen zugegriffen werden darf. Die FundraisingBox wird in mehrere Rechenzentren parallel betrieben. Damit ist die komplette Hardware voll redundant ausgelegt, d. h. auch im Falle eines Hardware-Defekts, wird die Hochverfügbarkeit garantiert. Kommt es zu einem Traffic-Anstieg, werden automatisch mehr Server-Kapazitäten zugeschalten, so dass auch große Fundraising-Kampagnen ausfallsicher begleitet werden können.


Vollständiger Datenschutz

Wir garantieren vollständigen Datenschutz und rechtssichere Datenspeicherung. Die Verarbeitung von personenbezogener Daten erfolgt BDSG-konform (Bundesdatenschutzgesetz) und ausschließlich im Rahmen der Vertragserfüllung.

Als Kunde haben Sie natürlich die Möglichkeit mit uns einen entsprechenden Auftrag zur Datenverarbeitung (ADV) zu schließen. Wir stellen Ihnen gerne einen ADV bereit, so dass Ihnen hier keine Aufwände entstehen, Sie aber Ihren rechtlichen Anforderungen vollkommen nachkommen können.

Der Firmensitz der Wikando GmbH, die Betreiber der FundraisingBox, ist in Deutschland (Augsburg) und alle verwendeten Rechenzentren befinden sich innerhalb Europas. Alle sicherheitsrelevanten Prozesse der FundraisingBox werden regelmäßig auditiert.

Die Mitarbeiter werden ausführlich und regelmäßig zum Thema Sicherheit geschult und sind im Rahmen von § 5 BDSG dem Datengeheimnisses verpflichtet. Darüber hinaus gelten strikte Passwort-Richtlinien, konsequente Zwei-Faktor-Authentifizierung und die Protokollierung aller relevanten Operationen. Für alle Ihre Daten werden täglich Offsite-Backups erstellt und an mehreren Server-Standorten sicher und verschlüsselt abgelegt.


Modernste Datenverschlüsselung

Die FundraisingBox nutzt modernste Technologien und bankenübliche Verfahren für die Datenverschlüsselung während der Übermittlung von und an die FundraisingBox.

Es gilt die dabei die Strict-Transport-Security-Richtlinie (HSTS), so dass nur verschlüsselte Verbindungen akzeptiert werden. Zum Einsatz kommt ein 2048 Bit langer RSA Key, nur als sicher geltende SSL-und TLS- Protokolle und stets aktualisierte Verschlüsselungsalgorithmen in den Cipher Suites.

Unser SSL ist durch Perfect Forward Secrecy (PFS) weiter abgesichert. Ein Angreifer kann damit keinerlei Rückschlüsse auf die ausgehandelten vergangenen Sitzungsschlüssel ziehen, auch wenn er im Besitz des Langzeitschlüssels wäre.

GeoTrust Logo  Qualys SSL Labs Logo


Sicherheit für Ihre Mitarbeiter

Innerhalb Ihrer FundraisingBox können Sie die Daten- und Nutzungs-Rechte Ihrer Mitarbeiter einsehen und bequem per Klick einschränken und erweitern. Damit können Sie z. B. den Zugriff für Rollen wie Fundraiser, Agentur und Buchhaltung definieren.

Jeder Mitarbeiter kann seinen eigenen Zugang erhalten. Neben einer Nutzername/Passwort-Kombination können Sie jeden Zugang durch einen Zwei-Faktor-Chipschlüssel weiter absichern. Das heißt Ihr Mitarbeiter benötigt dann zusätzlich einen physkalischen Dongle (ein sogenannter YubiKey), der in die USB-Schnittstelle des PCs/ Laptop geschoben werden muss, so dass ein Einloggen in die FundraisingBox möglich ist.
Das heißt, selbst wenn ein Trojaner oder ein Man-in-the-Middle das Passwort mitliest, gelangt er ohne diesen Chipschlüssel nicht in Ihre FundraisingBox.

Alle Accounts sind natürlich gegen Brute-Force-Angriffe geschützt, so dass bei wiederholter Falscheingabe der Login-Daten, der Nutzungs-Zugang automatisch gesperrt wird.

Darüber hinaus gibt es eine ganze Reihe weiterer Sicherheitmaßnahmen wie z. B. gegen Session-Hijacking.


Sicherheit ist bei uns selbstverständlich!