> ## Documentation Index > Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt > Use this file to discover all available pages before exploring further. # Sicherheit > Sicherheitspraktiken, Zertifizierungen und Compliance von Wave Connect ## Übersicht Wave Connect nimmt Sicherheit ernst. Wir implementieren branchenübliche Sicherheitspraktiken in der gesamten Infrastruktur, Anwendungsentwicklung, Zugriffsverwaltung und bei den Mitarbeitern, um Ihre Daten und die Informationen Ihres Teams zu schützen. Weitere Details finden Sie unter [security.wavecnct.com](https://security.wavecnct.com). *** ## Compliance & Zertifizierungen | Zertifizierung | Details | | -------------------- | ------------------------------------------------------------------------------------------------------------------- | | **SOC 2 Type II** | Zertifiziert. Bericht unter NDA erhältlich – kontaktieren Sie [security@wavecnct.com](mailto:security@wavecnct.com) | | **CSA STAR Level 1** | Im Cloud Security Alliance STAR-Register gelistet | | **DSGVO** | Vollständig konform. Datenverarbeitungsvertrag für Enterprise-Kunden verfügbar | | **EU AI Act** | Konform mit den anwendbaren Anforderungen | **Befolgte Sicherheitsstandards** (nicht zertifiziert, aber ausgerichtet): * OWASP Top 10 * CSA CAIQ * CIS-Benchmarks * NIST-konforme Praktiken *** ## Infrastruktur Die Infrastruktur von Wave basiert auf verwalteten Cloud-Diensten und arbeitet nach einem Shared-Responsibility-Modell mit unseren Anbietern. | Anbieter | Rolle | | ------------------------- | --------------------------------------------- | | **Google Cloud Platform** | Kerninfrastruktur, Compute und Netzwerk | | **Vercel** | Frontend-Bereitstellung und Edge-Netzwerk | | **PlanetScale** | Datenbank (MySQL-kompatibel, global verteilt) | | **Cloud Storage** | Datei- und Asset-Speicherung | Die Infrastruktur ist auf hohe Verfügbarkeit mit automatischem Failover ausgelegt. Alle Anbieter verfügen über eigene unabhängige Sicherheitszertifizierungen (SOC 2, ISO 27001). *** ## Datenspeicherort * Kundendaten werden in den **Vereinigten Staaten** gespeichert und verarbeitet * Daten werden nur in genehmigten Regionen verarbeitet * Enterprise-Kunden können Optionen zum Datenspeicherort anfragen Eine vollständige Liste der Unterauftragsverarbeiter finden Sie in unserem [Datenverarbeitungsvertrag](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Verschlüsselung **Bei der Übertragung** * TLS 1.3 für alle Verbindungen * HTTPS auf allen Endpunkten erzwungen * HSTS aktiviert **Im Ruhezustand** * AES-256-Verschlüsselung für alle gespeicherten Daten * Cloud-verwaltete Verschlüsselungsschlüssel über Google Cloud KMS * Schlüsselrotation und Zugriffskontrollen über Secret Manager durchgesetzt *** ## Identitäts- & Zugriffsverwaltung **Authentifizierungsoptionen** * SAML 2.0 Single Sign-On * OpenID Connect (OIDC) * SCIM 2.0 automatisierte Provisionierung und Deprovisionierung **Multi-Faktor-Authentifizierung** * Über Ihren SSO-Anbieter erzwungen, wenn SAML oder OIDC aktiviert ist **Rollenbasierte Zugriffskontrolle** | Rolle | Zugriff | | -------------- | --------------------------------------------------------------------------------------------- | | **Inhaber** | Vollständiger Kontozugriff, einschließlich Abrechnung und Tarifverwaltung | | **Admin** | Benutzer, Vorlagen, Kontakte und Einstellungen verwalten | | **Manager** | Team-Leads und Vorlagenverteilung verwalten, kein Zugriff auf unternehmensweite Einstellungen | | **Mitglied** | Eigene digitale Visitenkarte verwenden und eigene Kontakte anzeigen | | **Betrachter** | Nur-Lese-Zugriff | **Least Privilege** * Alle internen Zugriffe folgen dem Prinzip der minimalen Rechtevergabe * Vierteljährliche Zugriffsüberprüfungen intern durchgeführt * Automatisierte Deprovisionierung über SCIM bei Mitarbeiteraustritt *** ## Passwortsicherheit * Mindest-Passwortlänge und Komplexitätsanforderungen erzwungen * Kontosperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen * Sichere Passwortrücksetzung über verifizierte E-Mail * Sitzungstimeout bei Inaktivität erzwungen *** ## Anwendungssicherheit **Sicherer Entwicklungslebenszyklus** * Bedrohungsmodellierung als Teil des Feature-Designs * Obligatorische Peer-Code-Überprüfung und Pull-Request-Genehmigung vor dem Zusammenführen * Sicherheitsanforderungen bei jedem Release überprüft * Dedizierter Release-Genehmigungsprozess **Statische Analyse und Scanning** * CodeQL-Statikanalyse bei allen Code-Änderungen * Automatisiertes Scanning auf Schwachstellen in Abhängigkeiten * Secret-Scanning zur Verhinderung von Credential-Lecks im Code **Sichere Coding-Praktiken** * OWASP Top 10-Richtlinien befolgt * Eingabevalidierung und Ausgabe-Encoding erzwungen * Abhängigkeitsaktualiserungen in regelmäßigen Abständen angewendet *** ## Schwachstellenmanagement **Scanning** * Kontinuierliches automatisiertes Scanning auf Schwachstellen in Abhängigkeiten * Infrastruktur-Schwachstellen-Scanning **Patch-Management-Fristen** | Schweregrad | Ziel-Behebung | | ----------- | ------------- | | Kritisch | 24 Stunden | | Hoch | 7 Tage | | Mittel | 30 Tage | | Niedrig | 90 Tage | **Penetrationstests** * Unabhängiger Penetrationstest durch Dritte jährlich durchgeführt * Befunde werden gemäß Schweregrads-Fristen triagiert und behoben *** ## Überwachung & Protokollierung **Erfasste Protokolle umfassen:** * Authentifizierungsereignisse (Anmeldung, Abmeldung, fehlgeschlagene Versuche) * Admin-Aktionen (Benutzeränderungen, Einstellungsaktualisierungen) * API-Aktivität * Sicherheitsereignisse **Überwachung** * 24/7-Cloud-Infrastrukturüberwachung über Google Cloud Monitoring * Automatische Benachrichtigung bei Anomalien und Sicherheitsereignissen * Erkennung verdächtiger Anmeldungen *** ## Vorfallreaktion Wave verfügt über einen formalen Incident-Response-Plan, der Folgendes abdeckt: * **Schweregradsklassifizierung**: Kritisch, Hoch, Mittel, Niedrig * **Untersuchungsprozess**: Eindämmung, Analyse und Beweissicherung * **Ursachenanalyse**: Post-Incident-Review für alle bedeutenden Ereignisse * **Kundenbenachrichtigung**: Betroffene Kunden werden gemäß den regulatorischen Anforderungen umgehend benachrichtigt * **Behördliche Benachrichtigung**: DSGVO-Verletzungsmeldungen innerhalb von 72 Stunden, sofern zutreffend * **Post-Mortems**: Intern dokumentiert und überprüft nach größeren Vorfällen Zur Meldung einer Sicherheitslücke kontaktieren Sie [security@wavecnct.com](mailto:security@wavecnct.com). *** ## Geschäftskontinuität & Backups **Wiederherstellungsziele** * RTO (Recovery Time Objective): 4 Stunden * RPO (Recovery Point Objective): 1 Stunde **Business-Continuity-Plan** * Formaler BCP vorhanden und halbjährlich getestet * Disaster-Recovery-Plan regelmäßig getestet **Backups** * Tägliche automatisierte Backups * Backups im Ruhezustand verschlüsselt * Regelmäßige Wiederherstellungstests * Backup-Aufbewahrung an Datenklassifizierungsrichtlinien ausgerichtet *** ## Verfügbarkeit * Hochverfügbarkeitsarchitektur mit automatischem Failover * Statusseite verfügbar unter [status.wavecnct.com](https://status.wavecnct.com) * SLA für Enterprise-Kunden verfügbar *** ## Netzwerksicherheit * Google Cloud Firewall und Cloud Armor * DDoS-Mitigation auf Netzwerk- und Anwendungsebene * Rate-Limiting auf allen API-Endpunkten * OWASP-konforme Schutzmaßnahmen (Injection, XSS, CSRF) * Intrusion Detection and Prevention Systems (IDS/IPS) *** ## Endpunktsicherheit Alle Mitarbeitergeräte unterliegen: * Vollständiger Festplattenverschlüsselung * Unternehmensgeräterichtlinie * Antivirus und Endpunktschutz * Automatischen Betriebssystem- und Sicherheitsupdates * Bildschirmsperrerzwingung * Mindestgeräteanforderungen für den Fernzugriff *** ## Physische Sicherheit Wave ist ein Remote-First-Unternehmen. Es gibt keine On-Premises-Rechenzentren. Die physische Infrastruktursicherheit wird von Google Cloud verwaltet, dessen Rechenzentren unabhängig nach ISO 27001, SOC 2 und anderen Standards zertifiziert sind. Mitarbeiter befolgen sichere Heimarbeitsanforderungen, und Geräte werden am Ende ihrer Lebensdauer sicher entsorgt. *** ## Mitarbeitersicherheit * Hintergrundüberprüfungen für alle Mitarbeiter * Sicherheitsbewusstseinstraining beim Onboarding * Vierteljährliche Sicherheits- und Datenschutzschulungen * Akzeptable Nutzungsrichtlinie von allen Mitarbeitern unterzeichnet * Vertraulichkeitsvereinbarungen vorhanden *** ## Anbietersicherheit Wave unterhält ein Vendor-Risk-Management-Programm. Drittanbieter werden vor dem Onboarding überprüft und anhand ihrer Sicherheitslage bewertet (SOC 2-Berichte, Sicherheitsfragebögen und Anbieterbewertungen). **Wichtige Unterauftragsverarbeiter** | Anbieter | Zweck | | ------------ | -------------------------------- | | Google Cloud | Infrastruktur und Compute | | Vercel | Frontend und Edge-Bereitstellung | | PlanetScale | Datenbank | | Twilio | SMS-Kommunikation | | Stripe | Zahlungsabwicklung | | Shopify | E-Commerce | | Zendesk | Kundensupport | | Microsoft | Produktivität und Integrationen | | MaxMind | IP-Geolokalisierung | Vollständige Liste der Unterauftragsverarbeiter in unserem [Datenverarbeitungsvertrag](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## KI-Sicherheit Wave verwendet KI in folgenden Funktionen: * **Universeller Badge-Scanner**: OCR zur Extraktion von Kontaktinformationen aus Visitenkarten und Veranstaltungsbadges * **Kontaktanreicherung**: Ausfüllen fehlender Profilfelder aus öffentlichen Quellen * **Inhaltsmoderation**: Erkennung richtlinienverstoßender Inhalte in Profilen **Wichtige Aussagen:** * Kundendaten werden **nicht** zum Training von KI-Modellen verwendet * KI-Funktionen können wo anwendbar deaktiviert werden * KI-Anbieter werden in unserer Unterauftragsverarbeiter-Liste offengelegt *** ## Datenklassifizierung | Klassifizierung | Beschreibung | | ----------------- | ----------------------------------------------------------------------- | | **Öffentlich** | Marketinginhalte, öffentlich zugängliche Dokumentation | | **Intern** | Betriebsdaten, interne Kommunikation | | **Vertraulich** | Kundendaten, Geschäftsdaten, Sicherheitskonfigurationen | | **Eingeschränkt** | Authentifizierungsnachweise, Verschlüsselungsschlüssel, Auditprotokolle | *** ## Datenschutz * Logische Mandantentrennung: Daten jeder Organisation werden auf Anwendungs- und Datenbankebene getrennt * Rollenbasierte Zugriffskontrolle verhindert mandantenübergreifenden Datenzugriff * Audit-Protokollierung für alle sensiblen Vorgänge * Datensparsamkeitsprinzipien bei der Erfassung angewendet *** ## Enterprise-Sicherheitsfunktionen Benutzer über Ihren Identity Provider via SAML 2.0 oder OIDC authentifizieren. Benutzerbereitstellung, -deprovisionierung und Team-Mapping automatisieren. Eigene Domain für Wave-Profile und Teilen-Links verwenden.