Sicherheit & Vertrauen

Als Zahlungsunternehmen ist Sicherheit ein wesentlicher Bestandteil unseres Produkts. Erfahren Sie mehr über die Maßnahmen, die wir ergreifen, um die sensiblen Daten unserer Kunden zu schützen.

GRC und Due Diligence

Die GRC- und Sicherheitsprogramme von IXOPAY arbeiten unter Einhaltung einer Reihe bekannter Standards und Vorschriften, und unsere Compliance-Berichte sind auf Anfrage für Kunden verfügbar. Darüber hinaus führt IXOPAY regelmäßig Due-Diligence-Prüfungen der implementierten Sicherheitsmaßnahmen durch.

Audit-Dokumentation

Zertifizierungen und Compliance

Cloud Security Alliance STAR-Programm

Das Security Trust Assurance and Risk (STAR)-Programm der Cloud Security Alliance umfasst wichtige Prinzipien wie Transparenz, strenge Prüfungen und die Harmonisierung von Standards.

Unternehmen, die STAR verwenden, folgen bewährten Praktiken und validieren die Sicherheitslage ihrer Cloud-Angebote.

Das STAR-Register dokumentiert die Sicherheits- und Datenschutzkontrollen, die von beliebten Cloud-Computing-Angeboten bereitgestellt werden.

Dieses öffentlich zugängliche Register ermöglicht es Cloud-Kunden, Sicherheitsanbieter zu bewerten, um die bestmöglichen Beschaffungsentscheidungen zu treffen. IXOPAY führt jährlich eine Selbstbewertung der Cloud Controls Matrix durch.

Datenschutz-Grundverordnung (DSGVO)

IXOPAY erfüllt die Anforderungen der Datenschutz-Grundverordnung (DSGVO), einer Gesetzgebung, die von der Europäischen Union (EU) erlassen wurde, um den Datenschutz für alle Personen innerhalb der EU zu stärken. Ziel der Verordnung ist es, die personenbezogenen Daten aller EU-Bürger zu schützen, indem geregelt wird, wie ihre Daten geteilt, gespeichert und verwaltet werden. Sie befasst sich auch mit dem Export personenbezogener Daten außerhalb der EU. Darüber hinaus soll die Verordnung die Datenschutzgesetze in der EU standardisieren, mit dem Hauptziel, den Datenschutz aller EU-Bürger zu stärken und die Art und Weise, wie Organisationen in der Region mit Datenschutz umgehen, neu zu gestalten.

Die IXOPAY Platform wird weltweit von Kunden genutzt, einschließlich Kunden in der überwiegenden Mehrheit der EU-Staaten, um sowohl PCI- als auch personenbezogene Datensätze zu sichern und zu schützen. Der Tokenisierungsprozess von IXOPAY ist eine anerkannte und akzeptierte Form der Pseudonymisierung, die die Einhaltung der Datenschutzanforderungen der DSGVO sicherer, kostengünstiger und deutlich einfacher macht.

HITRUST-konform

Das HITRUST Common Security Framework (CSF) bietet Organisationen einen umfassenden Ansatz für Compliance und Risikomanagement. Das HITRUST CSF vereint wichtige Vorschriften und Standards in einem übergreifenden Rahmen, einschließlich derjenigen, die für PCI, PHI und PII gelten.

ISO/IEC 27001:2022

ISO 27001:2022 wurde von der Internationalen Organisation für Normung (ISO) entwickelt und ist ein anerkannter und erprobter Standard für das Informationssicherheitsmanagement, der bewährte Verfahren und umfassende Sicherheitskontrollen für Technologieplattformen und -systeme festlegt.

Dieser Zertifizierungsprozess umfasst Personen, Richtlinien, Prozesse und Technologien, die herangezogen werden, um einen dauerhaften Fokus auf Informationssicherheit sicherzustellen. Nach einer unabhängigen Prüfung bestätigt diese Zertifizierung die Sicherheit der Datenschutzplattform des Unternehmens und bekräftigt die Einhaltung von Richtlinien und Verfahren über die Sicherheitsbranche und internationale Datenschutzstandards hinaus.

Durch die Aufnahme der strengen ISO 27001:2022-Zertifizierung in unser Vertrauenspaket zeigt IXOPAY Engagement, dass der Schutz der Daten unserer Kunden oberste Priorität hat. Wir verbessern kontinuierlich unsere Prozesse und verfolgen unsere Mission, unsere branchenführende Plattform zu nutzen, um Kunden dabei zu unterstützen, sensible Daten zu sichern und gleichzeitig ihre wichtigsten Geschäftsprozesse zu ermöglichen.

Compliance-Zertifikat herunterladen

PCI-zertifizierter Level 1 Service Provider

IXOPAY ist ein PCI-zertifizierter Level 1 Service Provider, und die IXOPAY-Produkte sind darauf ausgelegt, Sie bei der Erreichung der PCI-Compliance zu unterstützen.

Konformitätsbestätigung herunterladen (Tokenisierungsplattform)

Konformitätsbestätigung herunterladen (Payment Orchestration Plattform)

SSAE 18 SOC 2 und 3

Unabhängige Prüfer führen regelmäßig eine Bewertung der IXOPAY-Kontrollumgebung durch. Im Rahmen der SOC (Service Organization Controls) 2- und 3-Berichte erfolgen Prüfungen der Kontrollen, die IXOPAY über seine Infrastruktur, Software, Netzwerke, Mitarbeiter, Verfahren und Prozesse implementiert hat. Basierend auf den Trust Services Criteria bestätigen diese Berichte folgende Punkte:

Sicherheit – Das System ist vor unbefugtem Zugriff (sowohl physisch als auch logisch) geschützt.
Verfügbarkeit – Das System ist für den Betrieb und die Nutzung wie vereinbart oder zugesagt verfügbar.
Vertraulichkeit – Informationen, die als vertraulich bezeichnet werden, sind wie vereinbart oder zugesagt geschützt.

Konformitätsbestätigung herunterladen

Visa Global Registry of Service Providers

Das Visa Global Registry ermöglicht es Dienstleistern, ihre Einhaltung der Regeln von Visa Inc. und der branchenspezifischen Sicherheitsstandards zu kommunizieren und ihre Dienstleistungen potenziellen Kunden weltweit zu präsentieren. Kunden und Händler können die Website regelmäßig im Rahmen ihres Due-Diligence-Prozesses konsultieren, um sicherzustellen, dass sie nur Dienstleister zur Auslagerung zahlungsbezogener Dienste zu nutzen, die im Register aufgeführt sind.

Einträge im Register:

Payment Orchestration Plattform

Universelle Tokenisierungsplattform

Organisatorische Sicherheit

Daten sind nur so sicher wie die Plattform, die sie schützt. Deshalb ist die IXOPAY Plattform für maximale Sicherheit und Zuverlässigkeit konzipiert.

Sicherheit und Kontrollen

Der Schutz der Daten unserer Kunden hat oberste Priorität, daher setzen wir strenge Sicherheitsmaßnahmen auf allen Ebenen unserer Organisation und in all unseren Prozessen um. Diese Sicherheit beginnt bei unseren Mitarbeitern. Personalseitig stellt IXOPAY sicher, dass:

Hintergrundprüfungen für alle neuen Mitarbeiter durchgeführt werden.
Vertraulichkeitsvereinbarungen mit Mitarbeitern und kritischen Anbietern bestehen.
Schulungen zum Sicherheitsbewusstsein für Mitarbeiter bei der Einstellung und regelmäßig im Laufe des Jahres durchgeführt werden.

Governance, Risk und Management

In der gesamten Organisation sind Richtlinien, Prozesse und Verfahren implementiert, um Risiken zu managen und die Sicherheit und Verfügbarkeit der IXOPAY Plattform sicherzustellen.

Formelle Governance-Strukturen sind eingerichtet, um die Sicherheit, Compliance und Datenschutzmaßnahmen der Organisation zu überwachen.
Management- und technische Risikoanalysen werden durchgeführt, um Risiken für IXOPAY’s Softwareumgebung und physische Infrastruktur kontinuierlich zu überwachen.
IXOPAY verfügt über ein Lieferantenmanagement-Programm, um Anbieter vor der Implementierung und regelmäßig im Laufe des Jahres zu evaluieren.

Datenverschlüsselung

IXOPAY verschlüsselt alle Kundendaten während der Übertragung und im Ruhezustand unter Verwendung von Branchenstandards und bewährten Verfahren.

Logische Sicherheit

Der Zugang zur IXOPAY-Umgebung erfordert eine Mehrfaktorauthentifizierung, und unterliegt strengen Passwortkontrollen. Audit-Logs erfassen Anmeldeversuche und Aktivitäten. Inaktive Benutzersitzungen werden automatisch abgemeldet. Zugang wird ausschließlich nach dem Prinzip der geringsten Privilegien gewährt. Ein System zur Verwaltung privilegierter Zugriffe ist eingerichtet, um rollenbasierten Zugriff und Sitzungsaufzeichnungen aller Administratoraktivitäten bereitzustellen.

Netzwerksicherheit

IXOPAY hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse etabliert, die darauf abzielen, die Qualität und Integrität unserer Sofwareumgebung und physischer Infrastruktur zu gewährleisten. Proaktive Sicherheitsverfahren wie Perimeterschutz und Intrusion-Detection-Systeme wurden implementiert.

Umfassendes Monitoring und Logging sind eingerichtet, ebenso wie Prozesse zur Erkennung und Meldung von Vorfällen und die Reaktion auf Vorfälle. Kunden können das IXOPAY-Portal nutzen, um ihre IXOPAY Vaults zu überwachen und zu verwalten, sowie sicher mit den IXOPAY Kundenservices zu kommunizieren.

Schwachstellenmanagement

Die Systemsicherheit wird durch das Schwachstellenmanagementprogramm von IXOPAY aufrechterhalten, das Anti-Malware- und Patch-Management umfasst. Alle IXOPAY-Systeme werden während ihres gesamten Lebenszyklus gewartet, um die Sicherheit unserer Systeme zu gewährleisten.

Schwachstellenscans und Penetrationstests der IXOPAY-Netzwerke und -Systeme werden regelmäßig und zusätzlich nach wesentlichen Änderungen durchgeführt. Alle eventuell festgestellten Schwachstellen werden umgehend behoben und erneut getestet.

Penetrationstests

IXOPAY beauftragt Drittanbieter-Sicherheitsunternehmen mit der Durchführung von Penetrationstests für Anwendungen, interne Netzwerke und externe Netzwerke.

Automatisierte Schwachstellenmanagement-Tools und manuelle Prozesse werden herangezogen, um bekannte Schwachstellen und Fehlkonfigurationen zu identifizieren und zu verifizieren. Häufige Angriffstechniken - wie die im SANS Top 20 und den OWASP Top 10 genannten Techniken - werden getestet. Alle Ergebnisse werden geprüft, und ein Risiko-Profil mit Auswirkungen und Wahrscheinlichkeitsmetriken wird erstellt.

Schwachstellenscans

Externe Prüfer für Schwachstellenbewertungen scannen alle internetfähigen Systeme, einschließlich Firewalls, Router und Webserver, auf potenzielle Schwachstellen, die unbefugten Zugriff auf das Netzwerk ermöglichen könnten. Zusätzlich werden authentifizierte interne Schwachstellenscans für Netzwerke und Systeme durchgeführt, um potenzielle Schwachstellen und Inkonsistenzen mit allgemeinen Sicherheitsrichtlinien des Systems zu identifizieren.

Anwendungssicherheit und Change Management

IXOPAY hat formale Change Management- und Systementwicklungsprozesse, die Änderungen vor der Implementierung dokumentieren, testen und genehmigen. Besonderes Augenmerk wird hierbei auf die OWASP Top 10 gelegt. Der SDLC-Prozess umfasst eine eingehende Sicherheitsrisikoanalyse und -bewertung. Statische Quellcode-Analysen werden durchgeführt, um die notwendigen Sicherheitsmechanismen bereits in den Entwicklungslebenszyklus zu integrieren. Der Entwicklungsprozess wird durch Schulungen zur Anwendungssicherheit für Entwickler und Penetrationstests der Anwendung weiter verbessert.

IXOPAY folgt einem rigorosen Change Management-Prozess. Vor der Implementierung werden Änderungen in einer Testumgebung getestet, in unserem System durch Aufzeichnung von Implementierungs- und Rollback-Plänen dokumentiert, und anschließend überprüft und genehmigt. Kunden werden über das Portal sowie per E-Mail über Updates zur IXOPAY-Plattform informiert. Veröffentlichungen, welche die Nutzung der Plattform durch Kunden betreffen könnten, werden direkt vom IXOPAY-Kundenserviceteam an die betroffenen Kunden kommuniziert.

Geschäftskontinuität

IXOPAY verwendet Redundanzen auf jeder möglichen Ebene unserer Infrastruktur, und unsere Plattform ist darauf ausgelegt, Betriebsfehler umgehend zu beheben, um die Verfügbarkeit sicherzustellen.

IXOPAY repliziert Daten zwischen unterschiedlichen geografischen Standorten. Weiters ist ein Monitoring eingerichtet, um Probleme mit diesem Replikationsprozess zu erkennen. Failover-Tests werden regelmäßig durchgeführt.
IXOPAY hat einen dokumentierten Plan für Geschäftskontinuität und Notfallwiederherstellung, der regelmäßig überprüft, aktualisiert und getestet wird.

Physische Sicherheit und Schutz vor äußeren Einflüssen

Die IXOPAY-Plattform wird in vollständig redundanten, leistungsstarken Rechenzentren weltweit gehostet. Sichere Zugangskontrollen und Überwachung, redundante Stromversorgung und Konnektivität, Generatoren, USV und Brandschutzmaßnahmen sind in allen von IXOPAY genutzten Rechenzentren vorhanden. Der Zugang zu den Rechenzentren ist stark eingeschränkt und streng geregelt.

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate