Vispato

Sensible Hinweise erfordern höchsten Datenschutz

Sicherheit & Compliance

Vispato hat ein internes Sicherheits- und Compliance-Programm entwickelt, um Ihre Daten in unserem Hinweisgebersystem bestmöglich zu schützen.

Ein wichtiger Bestandteil dieses Programms ist unsere ISO 27001 Zertifizierung, sowie die ISAE 3402 (Typ 1) Zertifizierung, welche ein internes Kontrollsystem für die von uns erbrachten Dienstleistungen aufstellen.

Weiterhin arbeiten wir stetig an der Konformität der Web Content Accessibility Guidelines (WCAG 2.1 AA), um das Abgeben von Whistleblower-Hinweisen auch für Personen mit Behinderung zu ermöglichen (Barrierefreiheit).

DSGVO

ISO 27001

ISAE 3402 (Type 1)

ISAE 3402 (Type 1)

ISO 27001 Hosting

ISO 27001 Hosting

WCAG 2.1 (AA)

WCAG 2.1 (AA)

Datenschutz

Als vollständig anonymer und sicherer Service erfüllen wir die wichtigsten Datenschutzgesetze, einschließlich der DSGVO. Detailierte Informationen finden Sie in der Datenschutzerklärung.

Physikalische Sicherheit

Physikalische Sicherheit

Hardware, Rechenzentrum, Personal, Zugriff und Verfügbarkeit

Mehr Erfahren
Anwendungssicherheit

Anwendungssicherheit

Code, Datenbanken und Konfigurationen

Mehr Erfahren
Netzwerksicherheit

Netzwerksicherheit

Regeln und Kontrollen für ein- und ausgehenden Datenverkehr

Mehr Erfahren
Datenschutz

Datenschutz

Verschlüsselung, rechtliche Anforderungen und Zugriff auf Informationen

Mehr Erfahren
Zugriffskontrollen

Zugriffskontrollen

Zugriffsrechte, Passwörter, Authorisierung und Verschlüsselung

Mehr Erfahren
Verfügbarkeit

Verfügbarkeit

Performance, Verfügbarkeit und Redundanz

Mehr Erfahren
Partnerschaft

Partnerschaft

Vertrauen, Track Record und Kontinuität

Mehr Erfahren
Compliance

Compliance

Einhaltung der weltweiten Gesetze zu Whistleblowing, Datensicherheit und Data-Residency-Richtlinien.

Mehr Erfahren

Physikalische Sicherheit

Was bedeutet physikalische Sicherheit?

Die physikalische Sicherheit ist die Grundlage jeder Cloud-Umgebung, nämlich: Server-Hardware, Rechenzentrum, Personal, Zugang, Verfügbarkeit und die Möglichkeit auf Umweltfaktoren wie Überflutung, Überhitzung, Stromausfälle oder dergleichen zu reagieren.

Wie stellt Vispato die physikalische Sicherheit her?

Die Vispato-Anwendung wird ausschließlich im Rechenzentrum der DATEV eG gehosted. Dabei übernimmt die DATEV die Verantwortung für die physikalische Sicherheit auf Infrastrukturebene.

Um was für eine Art Rechenzentrum handelt es sich?

Das DATEV-Rechenzentrum verabeitet auf höchstem Sicherheitsniveau mehrere Petabyte an Daten. Es ist ISO 27001 zertifiziert und erfüllt somit die höchsten Anforderungen. Für weitere Informationen und Zertifikate besuchen Sie bitte die Seite der DATEV:
https://www.datev.de/web/de/m/ueber-datev/datenschutz/zertifikate/

Wo befindet sich das Rechenzentrum?

Ihre Daten (sowie Backups) werden ausschließlich im DATEV-Rechenzentrum vorgehalten. Dieses befindet sich in Nürnberg, Deutschland.
Sollten Sie dazu verpflichtet sein, die Daten in einem anderen Land vorzuhalten, sprechen Sie uns gerne an.

Anwendungssicherheit

Was bezeichnet die Anwendungssicherheit?

Die Anwendungssicherheit beschäftigt sich mit den Maßnahmen die ergriffen werden, um sicherzustellen, dass jede Komponente, aus der das System besteht, sicher ist, z. B. Anwendungscode, Datenbanken, Konfigurationen und Bibliotheken von Drittanbietern. Dabei müssen potenzielle Schwachstellen außerhalb und innerhalb der Anwendung berücksichtigt werden.

Wie stellt Vispato die Anwendungssicherheit her?

Anwendungssicherheit ist eine Teamleistung. Bei der Entwicklung von Vispato steht die Sicherheit an oberster Stelle. Unser Team von Entwicklern führt ständig Code-Reviews durch, um sicherzustellen, dass nur qualitativ hochwertiger und sicherer Code in unsere Produktionsumgebungen gelangt.

Wir testen automatisiert und manuell eine breite Palette von Schwachstellen, darunter SQL-Injection, Cross-Site-Scripting, Session- und Authentifizierungsschwachstellen und vieles mehr.

Wir führen routinemäßig Penetrationstests durch.

Netzwerksicherheit

Was bedeutet Netzwerksicherheit?

Die Netzwerksicherheit befasst sich mit den Regeln und Kontrollen, die den ein- und ausgehenden Traffic zu den Produktionssystemen sowie den Traffic innerhalb des Systems einschränken oder begrenzen. Es muss sichergestellt werden, dass die erforderlichen Firewall-Regeln vorhanden sind, um Angriffe wie Malware, Distributed Denial of Service (DDoS) und andere potenzielle Schwachstellen zu verhindern.

Wie stellt Vispato die Netzwerksicherheit her?

Vispato überwacht in Zusammenarbeit mit der DATEV kontinuierlich das System auf potenzielle Bedrohungen. Wir verfügen sowohl auf der Infrastruktur- als auch auf der Anwendungsebene über Firewalls, um sicherzustellen, dass die Anwendung sowohl vor potenziellen Bedrohungen von außen als auch von innen geschützt ist.
Ein Eskalationssystem ist vorhanden, um auftretende Probleme möglichst schnell zu lösen.

Verfügen Sie über Technologien, die die Auswirkungen von Angriffen im DDoS-Stil reduzieren können?

Vispato arbeitet mit der DATEV zusammen, um das Risiko von Angriffen im DDoS-Stil zu mindern. Für den Fall eines DDoS-Angriffs verfügt die DATEV über Protokolle und Maßnahmen, um die Auswirkungen eines solchen Angriffs zu reduzieren und die Stabilität des Systems zu gewährleisten.

Datenschutz

Was ist für den Datenschutz wichtig?

Im Bereich Datenschutz sollte sichergestellt sein, dass alle Ihre Daten und die Daten Ihrer Mitarbeiter sicher sind - ob innerhalb des Systems oder während der Übertragung über das Netzwerk. Nicht nur Themen wie Verschlüsselung, sondern auch rechtliche Anforderungen, z.B. wo sich Ihre Daten befinden, wer beim Provider Zugang zu diesen Daten hat und wie Anfragen zu diesen Daten behandelt werden, müssen geklärt sein.

Wie geht Vispato mit den Themen Datensicherheit und Datenschutz um?

Der gesamte Datenverkehr zwischen Vispato und Anwender ist SSL-verschlüsselt. Die gesamte Kommunikation mit Vispato erfolgt über APIs, die von unabhängigen Sicherheitstestfirmen verifiziert wurden.

Vispato verlässt sich zudem auch auf die Sicherheitsrichtlinien der DATEV und deren Zertifizierungen, die ein Schlüsselelement zum Schutz Ihrer sensiblen Informationen darstellen.

Sind die Daten verschlüsselt?

Kommunikation die über Vispato geführt wird, wird direkt in Ihrem Browser verschlüsselt und entschlüsselt. Es handelt sich um eine sogenannte Ende-zu-Ende-Verschlüsselung. Damit ist sichergestellt, dass wirklich nur die involvierten Personen Inhalte lesen können.

Selbst die Vispato GmbH hat keinen Zugriff auf Ihre Kommunikation, da die Daten bereits verschlüsselt bei uns ankommen und nur Sie über den entsprechende Schlüssel verfügen, um die Inhalte zu entschlüsseln.

Darüber hinaus werden Daten, die zu und von Vispato übertragen werden (Data in transit), über TLS unter Verwendung von branchenweit anerkannten starken Verschlüsselungsmechanismen verschlüsselt.

Die Speicherung von Daten (Data at rest) erfolgt ebenfalls verschlüsselt.

Wo werden die Daten gehostet?

Alle Ihre Daten werden im Rechenzentrum der DATEV eG in Nürnberg gespeichert. Die Daten verlassen Deutschland nicht, um den lokalen Vorschriften zu entsprechen.

Wem gehören die Daten und wer kann sie sehen?

Kunden behalten das Eigentum an ihren Daten. Vispato greift nicht auf Kundeninhalte zu oder verwendet sie für andere Zwecke als gesetzlich vorgeschrieben. Die Daten werden ausschließlich für die Wartung der Anwendung und die Bereitstellung von Dienstleistungen für unsere Kunden und deren Endbenutzer genutzt. Wir verwenden Kundeninhalte niemals zu Marketing- oder Werbezwecken oder leiten daraus Informationen ab.

Alle Korrespondenz die über Vispato erfolgt ist, wurde ist mit Ihrem persönlichen Schlüssel verschlüsselt in der Datenbank abgelegt und ist somit für Ditte nicht lesbar.

Kontrollen verhindern, dass Mitarbeiter von Vispato auf andere als die von den Unternehmen geforderten Benutzerdaten zugreifen. Die Vispato GmbH unternimmt große Anstrengungen, um sicherzustellen, dass Benutzer außerhalb des Unternehmens keinen Zugang zum Unternehmen haben. Sie unternimmt auch große Anstrengungen, um sicherzustellen, dass alle Daten innerhalb eines Kontos nur für den von der Firma autorisierten Benutzerkreis sichtbar und bearbeitbar sind.

Führen Sie Backups durch und haben Sie einen Wiederherstellungsprozess?

Ja. Das DATEV-Rechenzentrum wird sowohl für das Hosting der Anwendung als auch für regelmäßige Backups verwendet. Diese Daten sind vollständig verschlüsselt. Backups (einschließlich aller Benutzerdaten und Systemprotokolle) werden täglich erstellt und stehen für einen bestimmten Zeitraum für Wiederherstellungen zur Verfügung.

Zugriffskontrollen

Was sind Zugriffskontrollen?

Zugriffskontrollen bestimmen, wer in Ihrer Organisation auf das System zugreifen kann und auf welche Inhalte genau. Passwörter stellen in der Regel die erste Sicherheitsebene dar. Sobald die Benutzer aber im System angemeldet sind, müssen Sie sich darüber im Klaren sein, was sie sehen und ändern dürfen.

Wie geht Vispato mit Zugriffskontrollen um?

Vispato erfordert für den Zugriff auf das Basissystem eine Passwort-Authentifizierung. Sobald die Benutzer im System sind, müssen ihnen Berechtigungen zugewiesen werden, damit sie zusätzliche Operationen durchführen und auf bestimmte Inhalte zugreifen können. Mit Berechtigungen können Sie steuern, wer Zugriff auf welchen Inhalt hat.

Verwaltet Vispato unsere Sicherheit?

Nein, Ihre Organisation ist für die Entwicklung geeigneter Sicherheitsrichtlinien für Passwörter, Berechtigungen und vor allem die Verschlüsselungspasswörter unter Verwendung der in Vispato bereitgestellten Sicherheitsfunktionen verantwortlich.

Wie verwende ich Berechtigungen?

Wir haben Berechtigungen eingebaut, damit Sie verwalten können, wer auf das System zugreifen kann. Darüber hinaus können Sie festlegen, wer berechtigt ist, welche Operationen durchzuführen. Weitere Informationen hierzu finden Sie in der Vispato-Dokumentation.

Welche Passworteinstellungen sind verfügbar?

Vispato wird unsichere oder häufig verwendete Passwörter nicht akzeptieren. Bereits bei der Eingabe erhalten Sie einen Hinweis.

Verfügbarkeit

Was bedeutet Verfügbarkeit?

Sie möchten sicherstellen, dass Ihr Anbieter garantieren kann, dass alle Dienstleistungen verfügbar sind, wenn Sie sie brauchen. Eine Schlüsselkomponente für die Verfügbarkeit ist die Gewährleistung von Redundanzen sowohl bei Datenverarbeitung als auch bei der Infrastruktur, um einen Single Point of Failure auszuschließen

Wie sieht die Verfügbarkeit von Vispato aus?

Unser engagiertes Team stellt sicher, dass unsere Plattform bereit und verfügbar ist, wenn Sie sie benötigen. Um Ihnen stabile und hochverfügbare Services zu bieten, haben wir das System mit redundanten Komponenten, kontinuierlicher Überwachung, regelmäßig geplanten Integritätsprüfungen und anderen derartigen Maßnahmen ausgestattet. Wir führen auch regelmäßige Datensicherungen durch, um Arbeitsausfälle zu vermeiden.

Partnerschaft

Was bedeutet Partnerschaft?

Verfügt der Anbieter über eine gute Erfolgsbilanz bei der Bereitstellung qualitativ hochwertiger und stabiler Lösungen? Stellt er sicher, dass die Bedürfnisse und Erwartungen seiner Kunden erfüllt werden? Werden sie auch langfristig einsatzfähig sein? Die Wahl des richtigen Anbieters ist wie das Eingehen einer Geschäftspartnerschaft - stellen Sie sicher, dass er Ihr Vertrauen verdient hat, um Ihre geschäftlichen Anforderungen jetzt und in der Zukunft zu erfüllen.

Vispato wurde zwar erst 2019 gegründet, es handelt sich bei Vispato jedoch um ein Schwesterunternehmen der Auditi GmbH, die bereits seit 2012 Software für über 300 Wirtschaftsprüfungsgesellschaften zur Verfügung stellt.
Mehr über Auditi erfahren Sie hier: https://www.auditi.de/

Compliance

Was bedeutet Compliance?

Compliance bedeutet, dass alle relevanten globalen und lokalen Gesetze eingehalten werden.

In Bezug auf Whistleblowing-Lösungen kann dies die Einhaltung von Gesetzen in Bezug auf Whistleblowing, Datensicherheit, Datenschutz und Data-Residency-Richtlinien beinhalten.

Wie geht Vispato mit lokalen Gesetzen zu Data-Residency-Richtlinien um?

Wenn Ihr Unternehmen in bestimmten Ländern wie z. B. China tätig ist, kann es erforderlich sein, Daten auf lokalen Servern zu hosten.

Standardmäßig hosten wir Vispato auf DATEV-Servern in Deutschland. Wir sind jedoch in der Lage, Vispato in jedem von Ihnen gewünschten Land zu hosten - auch in China und Russland. Wenn Sie dies wünschen, lassen Sie es uns bitte wissen.

Wie hilft Vispato Unternehmen bei der Einhaltung von Whistleblowing-Gesetzen?

Vispato ist in hohem Maße konfigurierbar und kann Unternehmen dabei helfen, die Grundsätze der meisten wichtigen Whistleblowing-Gesetze einzuhalten, darunter:

  • EU-Whistleblowing-Richtlinie 2019/1937
  • US SOX Act Section 301 on Corporate Responsibility
  • UK FCA
  • Deutscher Corporate Governance Kodex (DCGK)
  • French Loi Sapin II

Die meisten Whistleblowing-Gesetze enthalten Bestimmungen bezüglich:

Der Anonymität von Hinweisgebern – Die EU-Richtlinie zum Schutz von Hinweisgebern spricht beispielsweise von der Notwendigkeit für Unternehmen, "spezifische interne Meldewege einzurichten, um sicherzustellen, dass die Identität des Hinweisgebers vertraulich behandelt wird."

Vispato bietet eine vollständig anonyme Lösung für die Mitteilung von Missständen, ohne dass eine Registrierung erforderlich ist.

Die Sicherheit der Whistleblowing-Daten

Vispato berücksichtigt eine Vielzahl von Sicherheitsmaßnahmen, einschließlich: physikalische Sicherheit, Anwendungssicherheit, Netzwerksicherheit, Zugriffskontrollen, und Datenschutz.

Die Möglichkeit für Mitarbeiter und Dritte, Bedenken zu melden

Vispato kann so konfiguriert werden, dass es anonyme Berichte über Fehlverhalten von Mitarbeitern und externen Interessengruppen entgegennimmt. Darüber hinaus ist die Software benutzerfreundlich gestaltet und erfordert keine Schulung, was die Hürden für eine Meldung verringert.

Hält Vispato die Datenschutzgesetze ein?

Vispato ist vollständig DSGVO-konform und hält die Grundsätze der gängigen Datenschutzgesetze ein, darunter:

Sicherheit – In Übereinstimmung mit den Datensicherheitsmaßnahmen von Vispato: physikalische Sicherheit, Anwendungssicherheit, Netzwerksicherheit, Zugriffskontrollen, and Datenschutz.

Vertraulichkeit – Eingereichte Meldungen sind vollständig anonym und Zugangskontrollen stellen sicher, dass die unternehmensinterne Vertraulichkeit gewahrt wird.

Speicherbeschränkungen – Archivierungsberechtigungen innerhalb von Vispato tragen dazu bei, dass Daten nur dann aufbewahrt oder entfernt werden, wenn dies intern von den Benutzern des Unternehmens genehmigt wurde.

Datenminimierung – Vispato speichert keine identifizierbaren Informationen von Hinweisgebern und minimiert die Menge der gespeicherten und abgefragten Daten. Damit wird sichergestellt, dass die im Betrieb erhobenen Daten auf den vorgesehenen Zweck beschränkt sind.

Zweckbindung – Vispato hat keinen Zugriff auf Ihre Daten, da diese verschlüsselt sind. Darüber hinaus verwendet Vispato keine Daten zu anderen Zwecken als zur Sicherstellung des Betriebs der Software wie beschrieben.

Rechtmäßigkeit, Fairness und Transparenz – Vispato stellt sicher, dass die Nutzer vollständig darüber informiert sind, wie die von ihnen übermittelten Daten über das Unternehmensmeldeportal genutzt und verarbeitet werden.

Persönliches Webinar

Buchen Sie ein 20-minütiges Webinar mit unserem Key Account Manager und sehen Sie unsere Lösung!
Jan Philip Leisering

Jan Philip Leisering

Key Account Manager
Webinare in Deutsch und Englisch
  • feature Sehen Sie die Software in Aktion
  • feature Stellen Sie Ihre Fragen
  • feature Erhalten Sie ein unverbindliches Angebot
Termin auswählen

Select your language

English Deutsch