Rechtliches

Sicherheitsrichtlinie

Sicherheit hat bei Overloop höchste Priorität. Wir sind stolz darauf, den Branchenstandard beim Schutz deiner Daten zu übertreffen.

padlock
shield
tower

Infrastruktur

Overloop nutzt die Cloud-Infrastruktur von Amazon Web Services (AWS), speziell die Region EU-West-1 in Irland. Daten werden in der Europäischen Union für europäische Kunden und in den USA für amerikanische Kunden gehostet. Unsere Server sind nicht über das öffentliche Internet erreichbar.

Sicherheitsfunktionen

DDoS-Schutz
Wir nutzen einen schnellen, global verteilten und intelligenten Always-on-DDoS-Schutz von Cloudflare, Inc.
Datenverschlüsselung während der Übertragung
Alle Daten, die an unsere Infrastruktur gesendet oder von ihr empfangen werden, sind während der Übertragung gemäß den Best Practices der Branche mit TLS verschlüsselt. Unseren SSLLabs-Bericht findest du hier.
Datenverschlüsselung im Ruhezustand
Alle Nutzerdaten (einschließlich Passwörter) werden mit bewährten Verschlüsselungsalgorithmen in der Datenbank von unseren Datenbankanbietern Heroku und Redis verschlüsselt.
Individuelle Datenlöschung
Wir speichern Nutzerdaten 60 Tage nach Ablauf des Abonnements. Danach werden alle Daten vollständig von unseren Servern gelöscht, mit Ausnahme von Daten, die zur Erfüllung gesetzlicher Pflichten erforderlich sind.
Notfallwiederherstellung
Wir sichern alle kritischen Assets regelmäßig und testen die Wiederherstellung, um eine schnelle Erholung im Katastrophenfall zu gewährleisten. Alle Backups sind verschlüsselt.
Anwendungssicherheitsüberwachung
Wir nutzen Bugsnag zur Überwachung von Ausnahmen, Logs und zur Erkennung von Anomalien in unseren Anwendungen.
Anwendungssicherheitsschutz
  • Eine WAF filtert eingehende Anfragen, die den Dienst gefährden könnten.
  • Eine Firewall wird systematisch auf den Servern von Overloop eingesetzt, um den Zugriff von nicht autorisierten IP-Adressen zu verhindern.
  • Kritische Admin-Oberflächen sind mit mindestens einer Zwei-Faktor-Authentifizierung geschützt.
  • Unsere Software-Infrastruktur wird regelmäßig über automatische Update-Mechanismen aktualisiert, wo immer möglich.
  • End-to-End-verschlüsselte Messaging-Systeme stehen den Mitarbeitern und Auftragnehmern von Overloop zur Verfügung und werden für den Großteil der Kommunikation genutzt.
Sichere Entwicklung
Wir wenden Best Practices der Entwicklung an, um bekannte Schwachstellentypen wie die OWASP Top 10 Web Application Security Risks zu minimieren.
Zahlungsabwicklung
Die gesamte Zahlungsabwicklung ist an Stripe ausgelagert, das als PCI Level 1 Service Provider zertifiziert ist. Wir erfassen keine Zahlungsinformationen und speichern diese auch nicht auf unseren Servern.
Eingeschränkter Datenzugriff
Unsere strikten internen Verfahren verhindern, dass Mitarbeiter auf Nutzerdaten zugreifen können. Begrenzte Ausnahmen können für den Kundensupport gemacht werden.

Programm zur Meldung von Sicherheitslücken

Keine Technologie ist perfekt. Wir glauben, dass die Zusammenarbeit mit erfahrenen Sicherheitsforschern weltweit entscheidend ist, um Schwachstellen verantwortungsbewusst zu identifizieren und zu beheben.

Sicherheitsproblem melden
Powered by
hackerone logo

Hast du weitere Fragen zu unserer Sicherheitsrichtlinie?

Kontakt