Datensicherheit

Für uns eine selbstverständliche Leistung

Angesichts der sich rasant entwickelnden Internetbedrohungen und dem Anstieg von Payment-Transaktionen im Online-Fundraising ist Web-Security zu einem zentralen Thema für Non-Profits geworden.

Garantierte Datensicherheit mit der FundraisingBox

Web-Security für Non-Profits

Cyber-Attacken verursachen jedes Jahr einen immensen Schaden, sowohl monetär als auch hinsichtlich der eigenen Reputation - was den größten Wert einer Organisation darstellt. Kompromittierte Organisationen leiden auch lange nach einem erfolgten Hacker-Angriff unter den Konsequenzen: Schlechte Presse, negative Suchmaschinen-Treffer, Bußgelder durch Kreditkarten-Unternehmen aufgrund von Verstößen gegen deren Sicherheitsanforderungen, Spender und Polizei melden sich wegen Identitätsdiebstahl bzw. Kartenmissbrauch.

Schafft es eine Organisation nicht, sich ausreichend bzgl. dem Thema Cyber-Security aufzustellen, kann ein daraus resultierender Daten-Vorfall zu einem Verlust des öffentlichen Vertrauens führen. Mit sinkenden Mitgliederzahlen und dem damit sinkendem Spendenvolumen läuft die Organisation im schlimmsten Fall Gefahr, ihren gemeinützigen Zielen nicht mehr nachkommen zu können.

Non-Profits verarbeiten eine enorme Menge von sensiblen personenbezogenen Daten, wie z. B. Spender- und Spendendaten, Kreditkarten-Nummern und Bankverbindungen. All diese Daten müssen geschützt werden. Wir helfen Ihnen dabei! Mit Einsatz der FundraisingBox bringen Sie Ihre Daten in einen High-End-Sicherheits-Bereich und sichern damit Ihre Reputation technisch ab. Durch unsere Software und Services profitieren Sie von unserer Sicherheitsexpertise, die in der eigenen Organisation nur sehr schwer und teuer aufgebaut werden kann.

Hochsichere zertifizierte Rechenzentren in Deutschland

Der Hochsicherheitsbereich der FundraisingBox nutzt ausschließlich zertifizierte Rechenzentren in Deutschland für das Hosting der Anwendungen und Daten. Diese setzen höchste physische Sicherheitsmaßnahmen und strikte Zutrittsrichtlinien ein. Das Rechenzentrum-Gelände ist mit einer lückenlosen Videoüberwachung an Türen und Zugängen sowie zahlreichen Bewegungsmeldern ausgestattet. Der Zutritt ist nur für autorisierte Mitarbeiter möglich und wird automatisch protokolliert. Dabei erfordern alle Zutritte eine Zwei-Faktor-Authentifizierung. Die Notruf- und Betriebsleitstelle ist rund um die Uhr besetzt und wird durch Wachdienste unterstützt. Ausfallsichere Energieversorgungs- und Backup-Systeme sowie Brand- und Hochwasserschutzmaßnahmen sorgen an den Speicherorten für maximale Sicherheit.

Zertifizierte Datensicherheit mit der FundraisingBox

Abkopplung von Zahlungsflüssen

Durch unsere Sandbox-Technologie schaffen Sie einen dedizierten Hochsicherheits-Bereich innerhalb Ihrer Webseite. Damit können Sie sowohl personenbezogene Informationen als auch Payment-Daten auf Ihrer Webseite abwickeln, ohne dass dabei Ihre eigenen Server bzw. Ihr eigenes Content-Management-System (CMS) mit diesen Daten in Berührung kommen.

Dieses Vorgehen entspricht der Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT). Denn sowohl die am häufigsten genutzten CMS-Systeme wie Drupal, Joomla, Wordpress und Typo3, als auch deren darunter liegende Server sind häufig nicht ausreichend gepflegt und geschützt. Laut aktueller CMS-Studie erfordert alleine das Content-Management-System einen manuellen Sicherheitsaufwand von täglich 15 Minuten, um es maximal sicher zu machen und aktuell zu halten.

PCI-Zertifizierung inklusive

Wenn Sie vorhaben, Spenden und wiederkehrende Zahlungen auch per Kreditkarte einzuwerben, dann müssen Sie PCI-zertifiziert sein. Der Payment Card Industry Data Security Standard, üblicherweise abgekürzt mit PCI bzw. PCI-DSS, ist ein Regelwerk, das den sorgfältigen und geschützten Umgang mit Kreditkartendaten sicherstellen soll.

Das System gilt für die gesamte Kartenzahlungsbranche und wird von allen wichtigen Kreditkartenorganisationen (American Express, JBC, MasterCard, Discover Financial Services und Visa) eingefordert.

Jeder “Händler”, der Karten speichert, verarbeitet oder auch nur übermittelt, ist verpflichtet die zwölf umfangreichen Sicherheitsvorgaben einzuhalten und eine entsprechende organisatorische und technische Sicherheitszertifizierung abzulegen. Das verursacht einen großen Aufwand und hohe wiederkehrende Kosten. Durch den Einsatz der FundraisingBox entfällt dieser umfangreiche externe und interne PCI-Implementierungs-Aufwand sowie die regelmäßigen Einhaltungskontrollen.

Umfassender Netzwerkschutz mit höchster Verfügbarkeit

Unser Netzwerk wird kontinuierlich überwacht und durchläuft regelmäßige Bedrohungsanalysen, wie externe Penetrations-Tests und Vulnerability-Scans. Die komplette Software-Infrastruktur wird durchgehend aktualisiert und neue Sicherheits-Updates werden umgehend nach Veröffentlichung eingespielt. Alle Server sind durch ausfallsichere Firewalls abgeschirmt, die genau regeln, auf welche Netzwerkressourcen zugegriffen werden darf. Die FundraisingBox wird in mehreren Rechenzentren parallel betrieben. Damit ist die komplette Hardware voll redundant ausgelegt, d. h. auch im Falle eines Hardware-Defekts wird die Hochverfügbarkeit garantiert. Kommt es zu einem Traffic-Anstieg, werden automatisch mehr Server-Kapazitäten zugeschaltet, so dass auch große Fundraising-Kampagnen ausfallsicher begleitet werden können.

Modernste Datenverschlüsselung

Die FundraisingBox nutzt modernste Technologien und bankübliche Verfahren für die Datenverschlüsselung während der Übermittlung von und an die FundraisingBox.

Es gilt dabei die Strict-Transport-Security-Richtlinie (HSTS), so dass nur verschlüsselte Verbindungen akzeptiert werden. Zum Einsatz kommt ein 2.048 Bit langer RSA-Key, nur als sicher geltende SSL-und TLS- Protokolle sowie stets aktualisierte Verschlüsselungsalgorithmen in den Cipher Suites.

Unser SSL ist durch Perfect Forward Secrecy (PFS) weiter abgesichert. Ein Angreifer kann damit keinerlei Rückschlüsse auf die ausgehandelten vergangenen Sitzungsschlüssel ziehen, auch wenn er im Besitz des Langzeitschlüssels wäre.

Moderne Datenverschlüsselung FundraisingBox

Vollständiger Datenschutz & ADV

Wir garantieren vollständigen Datenschutz und rechtssichere Datenspeicherung. Die Verarbeitung personenbezogener Daten erfolgt BDSG-konform (Bundesdatenschutzgesetz) und ausschließlich im Rahmen der Vertragserfüllung.

Als Kunde haben Sie natürlich die Möglichkeit, mit uns einen entsprechenden Auftrag zur Datenverarbeitung (ADV) zu schließen. Wir stellen Ihnen gerne einen ADV bereit, so dass Ihnen hier kein Aufwand entsteht, Sie aber Ihren rechtlichen Anforderungen vollkommen nachkommen können.

Der Firmensitz der Wikando GmbH, die Betreiber der FundraisingBox, ist in Augsburg/Deutschland angesiedelt und alle verwendeten Rechenzentren befinden sich ebenfalls in Deutschland. Alle sicherheitsrelevanten Prozesse der FundraisingBox werden regelmäßig auditiert.

Die Mitarbeiter werden regelmäßig ausführlich zum Thema Sicherheit geschult und sind im Rahmen des § 5 BDSG dem Datengeheimnis verpflichtet. Darüber hinaus gelten strikte Passwort-Richtlinien, konsequente Zwei-Faktor-Authentifizierung sowie die Protokollierung aller relevanten Operationen. Für all Ihre Daten werden täglich Offsite-Backups erstellt und an mehreren Server-Standorten sicher und verschlüsselt abgelegt.

Sicherheit für Ihre Mitarbeiter

Innerhalb Ihrer FundraisingBox können Sie Daten- und Nutzungsrechte Ihrer Mitarbeiter einsehen und bequem per Klick einschränken bzw. erweitern. Damit können Sie z.B. den Zugriff für Rollen wie Fundraiser, Agentur oder Buchhaltung definieren.

Jeder Mitarbeiter kann seinen eigenen Zugang erhalten. Neben einer Nutzername-Passwort-Kombination können Sie jeden Zugang durch einen Zwei-Faktor-Chipschlüssel weiter absichern. Das heißt, Ihr Mitarbeiter benötigt dann zusätzlich einen physikalischen Dongle (ein sogenannter YubiKey), der in den USB-Port seines Computers gesteckt wird und nur so das Einloggen in die FundraisingBox ermöglicht.

Ihr Vorteil dadurch: selbst wenn ein Trojaner oder Man-in-the-Middle das Passwort mitliest, gelangt er ohne den YubiKey nicht in Ihre FundraisingBox.

Alle Accounts sind natürlich gegen Brute-Force-Angriffe geschützt, so dass bei wiederholter Falscheingabe der Login-Daten der Zugang automatisch gesperrt wird.

Darüber hinaus besteht Schutz gegen zahlreiche weitere Sicherheitsrisiken, wie etwa gegen Session-Hijacking.


Wir freuen uns auf Sie

Haben Sie Fragen? Gerne stehen wir Ihnen mit Rat und Tat zur Seite.

Tour Jetzt beraten lassen!