Sicherheit - Wave Connect

Übersicht

Wave Connect nimmt Sicherheit ernst. Wir implementieren branchenübliche Sicherheitspraktiken in der gesamten Infrastruktur, Anwendungsentwicklung, Zugriffsverwaltung und bei den Mitarbeitern, um Ihre Daten und die Informationen Ihres Teams zu schützen. Weitere Details finden Sie unter security.wavecnct.com.

Compliance & Zertifizierungen

Zertifizierung	Details
SOC 2 Type II	Zertifiziert. Bericht unter NDA erhältlich – kontaktieren Sie security@wavecnct.com
CSA STAR Level 1	Im Cloud Security Alliance STAR-Register gelistet
DSGVO	Vollständig konform. Datenverarbeitungsvertrag für Enterprise-Kunden verfügbar
EU AI Act	Konform mit den anwendbaren Anforderungen

Befolgte Sicherheitsstandards (nicht zertifiziert, aber ausgerichtet):

OWASP Top 10
CSA CAIQ
CIS-Benchmarks
NIST-konforme Praktiken

Infrastruktur

Die Infrastruktur von Wave basiert auf verwalteten Cloud-Diensten und arbeitet nach einem Shared-Responsibility-Modell mit unseren Anbietern.

Anbieter	Rolle
Google Cloud Platform	Kerninfrastruktur, Compute und Netzwerk
Vercel	Frontend-Bereitstellung und Edge-Netzwerk
PlanetScale	Datenbank (MySQL-kompatibel, global verteilt)
Cloud Storage	Datei- und Asset-Speicherung

Die Infrastruktur ist auf hohe Verfügbarkeit mit automatischem Failover ausgelegt. Alle Anbieter verfügen über eigene unabhängige Sicherheitszertifizierungen (SOC 2, ISO 27001).

Datenspeicherort

Kundendaten werden in den Vereinigten Staaten gespeichert und verarbeitet
Daten werden nur in genehmigten Regionen verarbeitet
Enterprise-Kunden können Optionen zum Datenspeicherort anfragen

Eine vollständige Liste der Unterauftragsverarbeiter finden Sie in unserem Datenverarbeitungsvertrag.

Verschlüsselung

Bei der Übertragung

TLS 1.3 für alle Verbindungen
HTTPS auf allen Endpunkten erzwungen
HSTS aktiviert

Im Ruhezustand

AES-256-Verschlüsselung für alle gespeicherten Daten
Cloud-verwaltete Verschlüsselungsschlüssel über Google Cloud KMS
Schlüsselrotation und Zugriffskontrollen über Secret Manager durchgesetzt

Identitäts- & Zugriffsverwaltung

Authentifizierungsoptionen

SAML 2.0 Single Sign-On
OpenID Connect (OIDC)
SCIM 2.0 automatisierte Provisionierung und Deprovisionierung

Multi-Faktor-Authentifizierung

Über Ihren SSO-Anbieter erzwungen, wenn SAML oder OIDC aktiviert ist

Rollenbasierte Zugriffskontrolle

Rolle	Zugriff
Inhaber	Vollständiger Kontozugriff, einschließlich Abrechnung und Tarifverwaltung
Admin	Benutzer, Vorlagen, Kontakte und Einstellungen verwalten
Manager	Team-Leads und Vorlagenverteilung verwalten, kein Zugriff auf unternehmensweite Einstellungen
Mitglied	Eigene digitale Visitenkarte verwenden und eigene Kontakte anzeigen
Betrachter	Nur-Lese-Zugriff

Least Privilege

Alle internen Zugriffe folgen dem Prinzip der minimalen Rechtevergabe
Vierteljährliche Zugriffsüberprüfungen intern durchgeführt
Automatisierte Deprovisionierung über SCIM bei Mitarbeiteraustritt

Passwortsicherheit

Mindest-Passwortlänge und Komplexitätsanforderungen erzwungen
Kontosperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen
Sichere Passwortrücksetzung über verifizierte E-Mail
Sitzungstimeout bei Inaktivität erzwungen

Anwendungssicherheit

Sicherer Entwicklungslebenszyklus

Bedrohungsmodellierung als Teil des Feature-Designs
Obligatorische Peer-Code-Überprüfung und Pull-Request-Genehmigung vor dem Zusammenführen
Sicherheitsanforderungen bei jedem Release überprüft
Dedizierter Release-Genehmigungsprozess

Statische Analyse und Scanning

CodeQL-Statikanalyse bei allen Code-Änderungen
Automatisiertes Scanning auf Schwachstellen in Abhängigkeiten
Secret-Scanning zur Verhinderung von Credential-Lecks im Code

Sichere Coding-Praktiken

OWASP Top 10-Richtlinien befolgt
Eingabevalidierung und Ausgabe-Encoding erzwungen
Abhängigkeitsaktualiserungen in regelmäßigen Abständen angewendet

Schwachstellenmanagement

Scanning

Kontinuierliches automatisiertes Scanning auf Schwachstellen in Abhängigkeiten
Infrastruktur-Schwachstellen-Scanning

Patch-Management-Fristen

Schweregrad	Ziel-Behebung
Kritisch	24 Stunden
Hoch	7 Tage
Mittel	30 Tage
Niedrig	90 Tage

Penetrationstests

Unabhängiger Penetrationstest durch Dritte jährlich durchgeführt
Befunde werden gemäß Schweregrads-Fristen triagiert und behoben

Überwachung & Protokollierung

Erfasste Protokolle umfassen:

Authentifizierungsereignisse (Anmeldung, Abmeldung, fehlgeschlagene Versuche)
Admin-Aktionen (Benutzeränderungen, Einstellungsaktualisierungen)
API-Aktivität
Sicherheitsereignisse

Überwachung

24/7-Cloud-Infrastrukturüberwachung über Google Cloud Monitoring
Automatische Benachrichtigung bei Anomalien und Sicherheitsereignissen
Erkennung verdächtiger Anmeldungen

Vorfallreaktion

Wave verfügt über einen formalen Incident-Response-Plan, der Folgendes abdeckt:

Schweregradsklassifizierung: Kritisch, Hoch, Mittel, Niedrig
Untersuchungsprozess: Eindämmung, Analyse und Beweissicherung
Ursachenanalyse: Post-Incident-Review für alle bedeutenden Ereignisse
Kundenbenachrichtigung: Betroffene Kunden werden gemäß den regulatorischen Anforderungen umgehend benachrichtigt
Behördliche Benachrichtigung: DSGVO-Verletzungsmeldungen innerhalb von 72 Stunden, sofern zutreffend
Post-Mortems: Intern dokumentiert und überprüft nach größeren Vorfällen

Zur Meldung einer Sicherheitslücke kontaktieren Sie security@wavecnct.com.

Geschäftskontinuität & Backups

Wiederherstellungsziele

RTO (Recovery Time Objective): 4 Stunden
RPO (Recovery Point Objective): 1 Stunde

Business-Continuity-Plan

Formaler BCP vorhanden und halbjährlich getestet
Disaster-Recovery-Plan regelmäßig getestet

Backups

Tägliche automatisierte Backups
Backups im Ruhezustand verschlüsselt
Regelmäßige Wiederherstellungstests
Backup-Aufbewahrung an Datenklassifizierungsrichtlinien ausgerichtet

Verfügbarkeit

Hochverfügbarkeitsarchitektur mit automatischem Failover
Statusseite verfügbar unter status.wavecnct.com
SLA für Enterprise-Kunden verfügbar

Netzwerksicherheit

Google Cloud Firewall und Cloud Armor
DDoS-Mitigation auf Netzwerk- und Anwendungsebene
Rate-Limiting auf allen API-Endpunkten
OWASP-konforme Schutzmaßnahmen (Injection, XSS, CSRF)
Intrusion Detection and Prevention Systems (IDS/IPS)

Endpunktsicherheit

Alle Mitarbeitergeräte unterliegen:

Vollständiger Festplattenverschlüsselung
Unternehmensgeräterichtlinie
Antivirus und Endpunktschutz
Automatischen Betriebssystem- und Sicherheitsupdates
Bildschirmsperrerzwingung
Mindestgeräteanforderungen für den Fernzugriff

Physische Sicherheit

Wave ist ein Remote-First-Unternehmen. Es gibt keine On-Premises-Rechenzentren. Die physische Infrastruktursicherheit wird von Google Cloud verwaltet, dessen Rechenzentren unabhängig nach ISO 27001, SOC 2 und anderen Standards zertifiziert sind. Mitarbeiter befolgen sichere Heimarbeitsanforderungen, und Geräte werden am Ende ihrer Lebensdauer sicher entsorgt.

Mitarbeitersicherheit

Hintergrundüberprüfungen für alle Mitarbeiter
Sicherheitsbewusstseinstraining beim Onboarding
Vierteljährliche Sicherheits- und Datenschutzschulungen
Akzeptable Nutzungsrichtlinie von allen Mitarbeitern unterzeichnet
Vertraulichkeitsvereinbarungen vorhanden

Anbietersicherheit

Wave unterhält ein Vendor-Risk-Management-Programm. Drittanbieter werden vor dem Onboarding überprüft und anhand ihrer Sicherheitslage bewertet (SOC 2-Berichte, Sicherheitsfragebögen und Anbieterbewertungen). Wichtige Unterauftragsverarbeiter

Anbieter	Zweck
Google Cloud	Infrastruktur und Compute
Vercel	Frontend und Edge-Bereitstellung
PlanetScale	Datenbank
Twilio	SMS-Kommunikation
Stripe	Zahlungsabwicklung
Shopify	E-Commerce
Zendesk	Kundensupport
Microsoft	Produktivität und Integrationen
MaxMind	IP-Geolokalisierung

Vollständige Liste der Unterauftragsverarbeiter in unserem Datenverarbeitungsvertrag.

KI-Sicherheit

Wave verwendet KI in folgenden Funktionen:

Universeller Badge-Scanner: OCR zur Extraktion von Kontaktinformationen aus Visitenkarten und Veranstaltungsbadges
Kontaktanreicherung: Ausfüllen fehlender Profilfelder aus öffentlichen Quellen
Inhaltsmoderation: Erkennung richtlinienverstoßender Inhalte in Profilen

Wichtige Aussagen:

Kundendaten werden nicht zum Training von KI-Modellen verwendet
KI-Funktionen können wo anwendbar deaktiviert werden
KI-Anbieter werden in unserer Unterauftragsverarbeiter-Liste offengelegt

Datenklassifizierung

Klassifizierung	Beschreibung
Öffentlich	Marketinginhalte, öffentlich zugängliche Dokumentation
Intern	Betriebsdaten, interne Kommunikation
Vertraulich	Kundendaten, Geschäftsdaten, Sicherheitskonfigurationen
Eingeschränkt	Authentifizierungsnachweise, Verschlüsselungsschlüssel, Auditprotokolle

Datenschutz

Logische Mandantentrennung: Daten jeder Organisation werden auf Anwendungs- und Datenbankebene getrennt
Rollenbasierte Zugriffskontrolle verhindert mandantenübergreifenden Datenzugriff
Audit-Protokollierung für alle sensiblen Vorgänge
Datensparsamkeitsprinzipien bei der Erfassung angewendet

Enterprise-Sicherheitsfunktionen

Single Sign-On (SAML)

Benutzer über Ihren Identity Provider via SAML 2.0 oder OIDC authentifizieren.

Verzeichnissynchronisierung (SCIM)

Benutzerbereitstellung, -deprovisionierung und Team-Mapping automatisieren.

Benutzerdefinierte Domains

Eigene Domain für Wave-Profile und Teilen-Links verwenden.

​Übersicht

​Compliance & Zertifizierungen

​Infrastruktur

​Datenspeicherort

​Verschlüsselung

​Identitäts- & Zugriffsverwaltung

​Passwortsicherheit

​Anwendungssicherheit

​Schwachstellenmanagement

​Überwachung & Protokollierung

​Vorfallreaktion

​Geschäftskontinuität & Backups

​Verfügbarkeit

​Netzwerksicherheit

​Endpunktsicherheit

​Physische Sicherheit

​Mitarbeitersicherheit

​Anbietersicherheit

​KI-Sicherheit

​Datenklassifizierung

​Datenschutz

​Enterprise-Sicherheitsfunktionen