Payhawk Trust Portal

Mihail Yanev dpo@payhawk.com

Todor Iliev security@payhawk.com

Alle bei Payhawk gespeicherten Daten werden im Ruhezustand und bei der Übertragung mit einem Maximum von TLS v1.2 verschlüsselt.

Ja, einschließlich der Forderung nach einer Multi-Faktor-Authentifizierung (MFA).

Ja, das machen wir. Lesen Sie hier mehr über unsere SSO- und SAML-Funktionen - https://payhawk.com/integration/sso-and-saml

Die Payhawk-Dokumentation ist öffentlich zugänglich unter help.payhawk.com

Informationen über Störungen und Ausfälle werden per E-Mail versandt, der Systemstatus kann hier überprüft werden status.payhawk.com

Wir verfügen über eine Schulungsplattform, auf der alle neuen und bestehenden Mitarbeiterinnen und Mitarbeiter geschult werden. Dabei werden verschiedene Aspekte der Informationssicherheit und bewährte Verfahren behandelt. Darüber hinaus führen wir regelmäßig interne Phishing-Kampagnen zur Sensibilisierung durch und verfügen über einen speziellen Kommunikationskanal für alle Mitarbeiterinnen und Mitarbeiter, über den sie alle Fragen zur Informationssicherheit diskutieren können.

Wir haben eine Richtlinie, in der die Maßnahmen festgelegt sind, die bei einem Sicherheitsvorfall zu ergreifen sind. Diese Maßnahmen hängen von der Schwere des Vorfalls ab.

Wir gewährleisten die physische Sicherheit durch Zugangskontrollen, Videoüberwachung, ein Disaster Recovery-Konzept und regelmäßige Überprüfungen unserer Sicherheitsmaßnahmen. Alle Kunden- und Karteninhaberdaten werden in der Cloud gesichert, während der Übertragung und im Ruhezustand verschlüsselt und unterliegen strengen Sicherheitsmaßnahmen.

Wir setzen Firewalls ein, um einen starken Schutzwall zu errichten. Wir wenden strenge Zugangskontrollen und starke Authentifizierungsmechanismen an, um sicherzustellen, dass nur autorisierte Personen auf unsere Netzwerkressourcen zugreifen können. Dazu gehören die Verwendung sicherer Passwörter, Multi-Faktor-Authentifizierung (MFA) und sichere VPN-Verbindungen für den Fernzugriff. Wir verwenden starke Verschlüsselungsprotokolle, um Daten während der Übertragung und im Ruhezustand zu schützen. Wir verwenden fortschrittliche Überwachungswerkzeuge, um den Netzwerkverkehr kontinuierlich zu überwachen, Ereignisse zu protokollieren und anormale Aktivitäten zu erkennen. Wir führen regelmäßig Sicherheitsaudits und Penetrationstests durch, um Schwachstellen und potenzielle Einfallstore für Angriffe zu identifizieren.

Für alle Systeme gelten strenge Authentifizierungsanforderungen. Der Zugriff erfolgt nach dem Prinzip „Kenntnis nur, wenn nötig“ mit strengen Passwortrichtlinien und Multi-Faktor-Authentifizierung. Wir überwachen regelmäßig alle internen Zugriffe und überprüfen alle Berechtigungen und Berechtigungsnachweise. Wir haben Zugriffskontrollrichtlinien für verschiedene Systeme festgelegt, einschließlich der Systeme, die Karteninhaberdaten kontrollieren.

Unser VP für Informationssicherheit und Datenschutzbeauftragter (DSB)

Nein

SOC 2, PCI DSS, ISO 27001, UK Cyber Essentials

Ja

Quartalsweise interne Audits

Ja - PCI DSS jährlicher Audit

Regelmäßige Schulung/Bewusstseinsbildung und Kommunikation.

Ja - wir haben eine externe Schulungsplattform für Sicherheitsschulungen.

Sicherheitspolitik und -richtlinien, E-Learning-Plattform, interne Kommunikation, Kampagnen zur Sensibilisierung für Sicherheitsfragen, Kanäle zur Meldung von Vorfällen, Plattformen für Zusammenarbeit und Diskussion.

Anforderungen an RFID-Kartenzugang, CCTV und Zugangskontrollpolitik.

Unsere internen Netzwerkgeräte befinden sich alle in speziellen Serverräumen, die nur über einen erhöhten Zugang betreten werden können. Außerdem werden alle Eingänge zum Serverraum protokolliert und der Serverraum von innen und außen videoüberwacht.

Wir verwenden Netzwerküberwachungstools, um den Netzwerkverkehr zu analysieren, Anomalien zu erkennen und potenzielle Sicherheitsbedrohungen zu identifizieren. Wir setzen IDPS-Lösungen ein, die unser Netzwerk aktiv auf Anzeichen für unbefugte Zugriffe oder böswillige Aktivitäten überwachen und führen regelmäßig Schwachstellenanalysen und Penetrationstests durch, um Schwachstellen in unserer Netzwerkinfrastruktur und unseren Anwendungen zu identifizieren. Zugriffskontrolle und Authentifizierung, Verschlüsselung.

Alle Kunden- und Karteninhaberdaten werden in der Cloud gespeichert. Wir stellen sicher, dass geeignete Verschlüsselungsmechanismen verwendet werden, um die Daten im Ruhezustand und während der Übertragung zu schützen. Darüber hinaus sind in der Cloud-Umgebung robuste Zugriffskontrollen implementiert, die sicherstellen, dass nur autorisierte Personen oder Abteilungen Zugriff auf die sensiblen Daten haben. Intern verwenden wir VLANs, um unser Netzwerk logisch in verschiedene Segmente zu unterteilen. Firewall-Regeln, um den Zugriff von nicht autorisierten Endpunkten zu verhindern, und Zugriffskontrollrichtlinien.

Ja, einschließlich der Forderung nach einer Multi-Faktor-Authentifizierung (MFA).

Payhawk verwendet eine offizielle mobile Anwendung, es gibt keine sicherheitsgefährdenden Programme oder Plugins.

Die Daten deutscher Kunden werden in Frankfurt, Deutschland, gespeichert. Alle anderen Kundendaten werden in Belgien, Brüssel, gespeichert.

Nein

Ja, alle sensiblen Daten werden bei der Übertragung und im Ruhezustand mit einer AES-256-Verschlüsselung verschlüsselt.

Ja - wir haben verschiedene Verfahren und Richtlinien, um die Einhaltung der Vorschriften zu gewährleisten:

• Datenschutzrichtlinien und -mitteilungen
• Dateninventarisierung und -klassifizierung
• Sicherheit und Zugangskontrollen
• Lieferantenmanagement
• Schulung und Sensibilisierung der Mitarbeiter
• Überwachung der Einhaltung von Vorschriften und Audits.

Ja, jeder bei Payhawk ist verpflichtet, die EU-Datenschutzstandards einzuhalten, die sich aus der Verordnung (EU) 2016/679, der Richtlinie (EU) 2002/58 etc. ergeben.

Ja

Wir haben eine Softwareplattform für Datenschutz- und Informationssicherheitsschulungen eingeführt, die verschiedene Module und Prüfungen umfasst. Das Programm ist für jeden Mitarbeiter während seiner Einarbeitung bei Payhawk verpflichtend. Nach dem Onboarding des Mitarbeiters werden regelmäßig alle drei Monate neue Module für die jeweilige Funktion des Mitarbeiters (Vertrieb, Compliance, Entwicklung etc.) angeboten.

Ja, jede neue Funktion, jeder neue Dienst und jede neue Verarbeitungstätigkeit wird einer ersten Bewertung unterzogen und mit unserem Datenschutzbeauftragten besprochen, um sicherzustellen, dass der Datenschutz von Anfang an durch das Design und die Standardeinstellungen berücksichtigt wird.

Wenn wir eine Verarbeitung ermittelt haben, die ein hohes Risiko für die Rechte und Freiheiten unserer Nutzer darstellt, haben wir eine Datenschutz-Folgenabschätzung durchgeführt, um die Risiken der Verarbeitung zu bewerten und zu mindern.

Ja, wir haben sowohl eine Incident Response Policy (für nicht personenbezogene Daten) als auch eine Data Breach Policy (für personenbezogene Daten), die beide den Prozess der Erkennung, Handhabung und Meldung von Sicherheitsverletzungen regeln.

Ja, dieser Vorgang unterliegt unserem Verfahren für die Rechte der betroffenen Person. Ansprechpartner für die Wahrnehmung der Betroffenenrechte nach der DSGVO ist unser Datenschutzbeauftragter unter dpo@payhawk.com.

Ja, wir verfügen sowohl als für die Verarbeitung Verantwortlicher (Art. 30 Abs. 1) als auch als Auftragsverarbeiter (Art. 30 Abs. 2) über ein Verzeichnis von Verarbeitungstätigkeiten (ROPA). Beide ROPAs werden mindestens vierteljährlich überprüft und aktualisiert.

Geben Sie die Zielländer, die Datenimporteure und die für jede Übermittlung vorgesehenen Garantien an. Ja, für jede Übermittlung personenbezogener Daten außerhalb des EWR haben wir einen anwendbaren Übermittlungsmechanismus (einschließlich der neuen EU-SCC) ermittelt und eine Folgenabschätzung der Übermittlung (TIA) gemäß den Empfehlungen 01/2020 des EDPB zu Maßnahmen zur Ergänzung der Übermittlungsinstrumente durchgeführt, um die Einhaltung des EU-Datenschutzniveaus zu gewährleisten. Personenbezogene Daten werden von Payhawk im EWR, im Vereinigten Königreich und in den USA verarbeitet.

Ja, unsere Lieferanten, die Zugang zu personenbezogenen Daten haben, unterliegen einer angemessenen Sorgfaltspflicht und unterzeichnen eine Datenschutzvereinbarung.

Der Zugang zu sensiblen Daten wird streng kontrolliert und ist auf Mitarbeiterinnen und Mitarbeiter mit einem klaren geschäftlichen Grund beschränkt. Wir haben eine zentralisierte Zugriffspolitik, bei der nur bestimmte Rollen innerhalb unserer IT-Abteilung Zugriffsrechte auf sensible Systeme und Daten gewähren oder entziehen können. Unsere Richtlinien sehen eine vierteljährliche Überprüfung der Zugriffsrechte in Zusammenarbeit mit unseren Abteilungen für Informationssicherheit und Compliance vor. Auf diese Weise wird sichergestellt, dass nur die richtigen Personen entsprechend ihrer Rolle Zugriff erhalten und dass kein Missbrauch, keine Ausweitung von Rechten und kein anormaler Zugriff auf sensible Daten erfolgt.

Ja, wir haben eine Zugangskontrollrichtlinie und führen Zugangskontrollprüfungen durch, um sicherzustellen, dass der Zugang ordnungsgemäß verwaltet wird.

Der Zugang wird nach dem Grundsatz „Kenntnis nur, wenn nötig“ gewährt. Alle Mitarbeiterzugänge werden regelmäßig vom Sicherheitsteam überprüft und kontrolliert. Der Zugang wird nur nach Beantragung eines Tickets und nach Genehmigung durch den Abteilungsleiter gewährt.

Payhawk verfügt über ein engagiertes Team für Informationssicherheit. Dieses Team überwacht unsere Umgebung rund um die Uhr.

Ja, wir verwenden Security Information and Event Management (SIEM), um die Protokolle mehrerer Systeme auf Anomalien, potenzielle Eindringlinge und andere Sicherheitsereignisse zu analysieren.

Wir befolgen das interne Verfahren zur Reaktion auf Zwischenfälle und nutzen direkte interne und externe Kommunikationskanäle, um eine zeitnahe Reaktion zu gewährleisten. Wir führen regelmäßig interne Sicherheitsübungen durch, um die Angemessenheit unserer Verfahren sicherzustellen.

Ja, wir haben Backups aller wichtigen Systemkonfigurationen und Daten.

Ja, wir nutzen die Möglichkeiten der Cloud für Hochverfügbarkeit und Redundanz. Wir nutzen eine umfassende Überwachung und Skalierbarkeit, um den Bedarf zu decken und die Verfügbarkeit zu gewährleisten.

Da Payhawk Cloud-Dienste nutzt, werden regelmäßige Backups mit Cloud-nativen Datenbank-Backup-Diensten für eine schnelle Wiederherstellung durchgeführt.

Ja, wir haben eine umfassende Richtlinie, die vierteljährlich vom Informationssicherheitsbeauftragten und der Compliance überprüft wird.

In der Regel innerhalb der letzten sechs Monate. Bitte kontaktieren Sie uns für weitere Informationen.

Gemeinsame Verantwortung der Teams für Compliance, Informationssicherheit und Recht.

Sicherheitsschulung als Teil der Einarbeitung, regelmäßige (monatliche) Sicherheitsschulung und vierteljährliche Tests zur Geschäftskontinuität, einschließlich Tabletop-Übungen oder Funktionstests in nicht produktiven Umgebungen.

Ja - wir haben eine Richtlinie für die Reaktion auf Zwischenfälle, die auf NIST 800-62 basiert und alle Leitlinien und Bestimmungen für die Berichterstattung/Reaktion auf Zwischenfälle enthält.

Bei geringfügigen Sicherheitsvorfällen kann nach Abschluss der Untersuchung und/oder Schadensbegrenzung ein zusammenfassender Bericht an alle Mitglieder des Krisenreaktionsteams geschickt werden. Bei erheblichen Sicherheitsvorfällen müssen alle Mitglieder des Krisenreaktionsteams unverzüglich informiert werden. Ein zusammenfassender Bericht über den Vorfall muss so schnell wie möglich an das Management geschickt werden.
- Geringfügig
- Denial-of-Service-Angriffe, die keine signifikanten Auswirkungen auf die Leistung kritischer Systeme haben.
- Erfolglose Einbruchsversuche (Port-Scans, Web-Crawler, CSS/XSS-Exploit-Versuche etc.)
- Sonstige gemeldete oder entdeckte Probleme, die keine signifikanten Auswirkungen auf die Infrastruktur haben oder keine größere Sicherheitsbedrohung darstellen.
- Schwerwiegend
- Denial-of-Service-Angriffe, die die Leistung der Infrastruktur erheblich beeinträchtigen.
- Erfolgreiche unautorisierte Logins.
- Gemeldete und verifizierte Datenschutzverletzungen.
- Offenlegung personenbezogener oder vertraulicher Informationen.
- Hinweise auf Daten- oder Hardwaremanipulation.
- Sonstige gemeldete oder entdeckte Probleme, die erhebliche Auswirkungen auf die Infrastruktur haben können oder eine erhebliche Sicherheitsbedrohung darstellen.

Extern würden wir status.payhawk.com und E-Mail-Benachrichtigungen verwenden, während wir intern kollaborative Instant-Messaging- und Ticketing-Systeme einsetzen, um die Ereignisse zu verfolgen.

Öffentliche Cloud - Amazon Web Services (AWS) und Google Cloud Platform (GCP)

Frankfurt & Belgien - Alle EU- und US-Kundendaten werden in Belgien gespeichert. Für alle deutschen Kunden werden die Daten in Frankfurt gespeichert. Die Payhawk-Infrastruktur unterstützt den Wechsel der Datenspeicherregion bei Bedarf