Sicherheitsrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten oder Konflikten zwischen dieser Übersetzung und der türkischen Originalversion ist die türkische Version maßgebend. Die türkische Originalversion finden Sie unter: https://evaste.co/tr/legal/security-policy
1. Einleitung und Verpflichtung
1.1. Unser Sicherheitsversprechen
Bei Evaste betrachten wir die Sicherheit der Daten unserer Kunden und Nutzer als höchste Priorität. Als Plattform für Datenschutz und Einwilligungsmanagement sind wir uns unserer Verantwortung bewusst, in Sachen Sicherheit mit gutem Beispiel voranzugehen.
1.2. Sicherheitsprinzipien
Unsere Sicherheitsstrategie basiert auf folgenden Grundprinzipien:
(a) Defense in Depth (Tiefenverteidigung) Wir bieten Schutz durch mehrere Sicherheitsebenen.
(b) Prinzip der geringsten Rechte (Least Privilege) Benutzern und Systemen werden nur die minimal erforderlichen Berechtigungen erteilt.
(c) Security by Design (Sicherheit durch Gestaltung) Sicherheit ist von Anfang an in das Design aller Systeme und Prozesse integriert.
(d) Zero Trust Architektur Das Prinzip "Niemals vertrauen, immer verifizieren" wird angewendet.
(e) Kontinuierliche Verbesserung Unsere Sicherheitsmaßnahmen werden kontinuierlich überprüft und aktualisiert.
1.3. Geltungsbereich
Diese Sicherheitsrichtlinie umfasst:
• Evaste Plattform-Infrastruktur • Kundendaten • Mitarbeiterdaten • Geschäftsprozesse • Drittanbieter-Integrationen
2. Technische Sicherheitsmaßnahmen
2.1. Datenverschlüsselung
(a) Verschlüsselung bei Übertragung (In Transit) • TLS 1.3 Protokoll (mindestens TLS 1.2) • HSTS (HTTP Strict Transport Security) aktiviert • Perfect Forward Secrecy (PFS) Unterstützung • Starke Cipher Suites
(b) Verschlüsselung bei Speicherung (At Rest) • AES-256 Verschlüsselungsalgorithmus • Festplattenverschlüsselung • Datenbankverschlüsselung • Backup-Verschlüsselung
(c) Passwort- und sensible Datenspeicherung • Passwörter: Hashing mit bcrypt oder Argon2 • API-Schlüssel: Sichere Vault-Systeme • Kryptographisches Schlüsselmanagement: HSM-Nutzung
2.2. Netzwerksicherheit
(a) Firewall • Application-Level Firewall (WAF) • Network-Level Firewall • Standardmäßiges Blockieren allen Traffics (deny-all)
(b) Angriffserkennung und -prävention • IDS/IPS Systeme • Echtzeit-Bedrohungsüberwachung • Anomalieerkennung
(c) DDoS-Schutz • Cloudflare oder ähnlicher CDN-Schutz • Verkehrsanalyse und -filterung • Rate Limiting
(d) Netzwerksegmentierung • Trennung von Produktions- und Testumgebungen • Isolierung der Datenbankserver • VLANs und Sicherheitsgruppen
2.3. Anwendungssicherheit
(a) Secure Software Development Lifecycle (SSDLC) • Definition von Sicherheitsanforderungen • Bedrohungsmodellierung • Sichere Code-Reviews • Sicherheitstests
(b) OWASP Top 10 Schutz • SQL Injection Prävention • XSS (Cross-Site Scripting) Schutz • CSRF (Cross-Site Request Forgery) Schutz • Sichere Authentifizierung • Schutz sensibler Daten
(c) Abhängigkeitsverwaltung • Regelmäßige Abhängigkeitsupdates • Schwachstellenscanning (Snyk, Dependabot) • Sichere Abhängigkeitsquellen
(d) API-Sicherheit • OAuth 2.0 / JWT Authentifizierung • Rate Limiting • Input Validation • API-Versionierung
2.4. Datenbanksicherheit
• Parametrisierte Abfragen (SQL Injection Prävention) • Zugriffskontrolle und Autorisierung • Datenbankaktivitätsüberwachung • Verschlüsselte Verbindungen • Regelmäßige Backups und Testwiederherstellungen
2.5. Container- und Cloud-Sicherheit
(a) Container-Sicherheit • Image-Scanning (Vulnerability Scanning) • Sichere Basis-Images • Runtime-Sicherheit • Secrets-Management
(b) Cloud-Sicherheit • IAM-Richtlinien • Ressourcenisolierung • Verschlüsselte Speicherung • Sicherheitsgruppen und NACLs
3. Organisatorische Sicherheitsmaßnahmen
3.1. Sicherheits-Governance
(a) Sicherheitsverantwortung • Sicherheitsverantwortung auf Führungsebene • Sicherheitsteam und Verantwortlichkeiten • Abteilungsübergreifende Koordination
(b) Richtlinien und Verfahren • Schriftliche Sicherheitsrichtlinien • Regelmäßige Richtlinienaktualisierungen • Richtlinien-Compliance-Audits
3.2. Risikomanagement
(a) Risikobewertung • Jährliche Risikobewertung • Asset-Inventar • Bedrohungs- und Schwachstellenanalyse • Risikominderungspläne
(b) Datenschutz-Folgenabschätzung (DPIA) • DPIA für neue Projekte • Bewertung von Hochrisiko-Verarbeitungsaktivitäten • Risikominderungsmaßnahmen
3.3. Incident Management
(a) Definition von Sicherheitsvorfällen • Klassifizierung: Kritisch, Hoch, Mittel, Niedrig • Vorfallkategorien • Eskalationsverfahren
(b) Reaktionsprozess • Erkennung und Verifizierung von Vorfällen • Containment (Eindämmung) • Eradication (Beseitigung) • Recovery (Wiederherstellung) • Lessons Learned (Erkenntnisse)
3.4. Änderungsmanagement
• Änderungsanforderungsverfahren • Risiko- und Auswirkungsbewertung • Test- und Genehmigungsprozesse • Rollback-Pläne
4. Zugriffskontrollrichtlinien
4.1. Authentifizierung
(a) Passwortrichtlinie • Mindestens 12 Zeichen • Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen erforderlich • Passwortänderung alle 90 Tage (Unternehmenskonten) • Wiederverwendung der letzten 12 Passwörter nicht möglich • Brute-Force-Schutz (Kontosperrung)
(b) Multi-Faktor-Authentifizierung (MFA) • Pflicht-MFA für alle Administratorkonten • TOTP (Time-based One-Time Password) Unterstützung • SMS- und E-Mail-Verifizierungsoptionen • Hardware-Sicherheitsschlüssel-Unterstützung (FIDO2)
(c) Single Sign-On (SSO) • SAML 2.0 Unterstützung • OAuth 2.0 / OpenID Connect Unterstützung • Integration mit Unternehmens-Identitätsanbietern
4.2. Autorisierung
(a) Rollenbasierte Zugriffskontrolle (RBAC) • Vordefinierte Rollen • Möglichkeit zur Erstellung benutzerdefinierter Rollen • Prinzip der geringsten Rechte • Regelmäßige Berechtigungsüberprüfungen
| Rolle | Berechtigungen |
|---|---|
| Betrachter | Nur-Lese-Zugriff |
| Editor | Lesen und Bearbeiten |
| Administrator | Volle Verwaltungsrechte |
| Super Admin | Plattformweite Berechtigungen |
4.3. Sitzungsverwaltung
• Sitzungs-Timeout (30 Minuten Inaktivität) • Begrenzung gleichzeitiger Sitzungen • Sichere Sitzungsbeendigung • Schutz vor Session-Hijacking
4.4. Zugriffsüberwachung
• Protokollierung aller Zugriffsversuche • Überwachung fehlgeschlagener Anmeldeversuche • Erkennung abnormaler Zugriffsmuster • Regelmäßige Zugriffsberichte
5. Datensicherungsverfahren
5.1. Backup-Strategie
(a) Backup-Typen • Vollständige Sicherung (wöchentlich) • Inkrementelle Sicherung (täglich) • Transaktionslog-Sicherung (kontinuierlich)
| Datentyp | Häufigkeit | Aufbewahrungsdauer |
|---|---|---|
| Datenbank | Täglich | 30 Tage |
| Dateisysteme | Täglich | 30 Tage |
| Konfigurationen | Bei Änderung | 90 Tage |
| Log-Dateien | Täglich | 90 Tage |
5.2. Backup-Sicherheit
• AES-256 verschlüsselte Backups • Speicherung an geografisch getrennten Standorten • Backup-Zugriffskontrolle • Backup-Integritätsprüfung (Checksum)
5.3. Wiederherstellungsverfahren
• Regelmäßige Wiederherstellungstests (monatlich) • Dokumentierte Wiederherstellungsverfahren • RTO (Recovery Time Objective): 4 Stunden • RPO (Recovery Point Objective): 1 Stunde
6. Benachrichtigung bei Sicherheitsverletzungen
6.1. Erkennung und Bewertung von Verletzungen
Bei Erkennung einer Sicherheitsverletzung:
1. Verifizierung des Vorfalls und Bestimmung des Umfangs 2. Identifizierung betroffener Systeme und Daten 3. Bewertung des Risikoniveaus 4. Durchführung von Eindämmungsmaßnahmen
6.2. Interne Benachrichtigungsprozess
| Zeitraum | Maßnahme |
|---|---|
| Erste Stunde | Benachrichtigung des Sicherheitsteams |
| Erste 4 Stunden | Benachrichtigung der Geschäftsleitung |
| Erste 24 Stunden | Auswirkungsbewertung und Reaktionsplan |
6.3. Externe Benachrichtigungspflichten
(a) Türkische Datenschutzbehörde (KVKK) • Schnellstmögliche Benachrichtigung bei Verletzungen personenbezogener Daten • Ausfüllen des Verletzungsformulars • Bericht über ergriffene Maßnahmen
(b) Im Rahmen der DSGVO (72-Stunden-Regel) • Benachrichtigung der zuständigen Datenschutzbehörde innerhalb von 72 Stunden • Benachrichtigung betroffener Personen bei hohem Risiko • Führung eines Verletzungsregisters
(c) Benachrichtigung betroffener Nutzer • Sofortige Benachrichtigung bei hohem Risiko • Verwendung klarer und verständlicher Sprache • Anleitung zu empfohlenen Schutzmaßnahmen
6.4. Inhalt der Verletzungsbenachrichtigung
Die Benachrichtigung enthält folgende Informationen:
• Art und Umfang der Verletzung • Betroffene Datenkategorien • Anzahl betroffener Personen (geschätzt) • Mögliche Folgen • Ergriffene und empfohlene Maßnahmen • Kontaktinformationen
6.5. Korrekturmaßnahmen
Nach einer Verletzung:
• Ursachenanalyse • Umsetzung von Korrekturmaßnahmen • Aktualisierung von Richtlinien und Verfahren • Mitarbeiterschulung (falls erforderlich) • Verstärkte Überwachung und Audits
7. Sicherheitsaudits und Tests
7.1. Schwachstellenscanning
(a) Automatische Scans • Wöchentliche Infrastruktur-Scans • Tägliche Anwendungs-Scans • Kontinuierliche Abhängigkeits-Scans
(b) Verwendete Tools • Nessus / Qualys (Infrastruktur) • OWASP ZAP / Burp Suite (Anwendung) • Snyk / Dependabot (Abhängigkeiten)
7.2. Penetrationstests
• Jährlicher umfassender Penetrationstest • Zusätzliche Tests nach größeren Änderungen • Durchführung durch unabhängige Sicherheitsfirmen • Behebung von Befunden innerhalb von 30 Tagen
7.3. Red Team Übungen
• Jährliche Red Team Bewertung • Realistische Angriffsszenarien • Social Engineering Tests • Physische Sicherheitstests
7.4. Code-Review
• Peer-Review für alle Codeänderungen • Sicherheitsorientierte Code-Reviews • Statische Code-Analyse (SAST) • Dynamische Anwendungssicherheitstests (DAST)
7.5. Befundverwaltung
| Kritikalität | Behebungsfrist |
|---|---|
| Kritisch | 24 Stunden |
| Hoch | 7 Tage |
| Mittel | 30 Tage |
| Niedrig | 90 Tage |
8. Mitarbeiterschulung
8.1. Sicherheitsbewusstseinstraining
(a) Einführungsschulung • Sicherheitsrichtlinien • Akzeptable Nutzung • Grundlagen des Datenschutzes • Vorfallmeldung
(b) Jährliche Pflichtschulung • Aktuelle Bedrohungen und Trends • Social Engineering Bewusstsein • Phishing-Erkennung • Sichere Arbeitspraktiken
8.2. Rollenbasierte Schulung
| Rolle | Zusätzliche Schulungsthemen |
|---|---|
| Entwickler | Sicheres Programmieren, OWASP, Code-Review |
| DevOps | Cloud-Sicherheit, Container-Sicherheit |
| Manager | Risikomanagement, Compliance |
| Support | Datenschutz, Kundendatenschutz |
8.3. Simulationsübungen
• Monatliche Phishing-Simulationen • Sicherheitsvorfall-Übungen • Tabletop Exercises
9. Physische Sicherheit
9.1. Rechenzentrumssicherheit
Die Evaste-Infrastruktur wird in Rechenzentren mit folgenden physischen Sicherheitsmaßnahmen gehostet:
• 24/7 Sicherheitspersonal • Biometrische Zugangskontrolle • CCTV-Überwachung • Brandschutzsysteme • USV und Generator-Backup • Umgebungsüberwachung (Temperatur, Luftfeuchtigkeit)
9.2. Bürosicherheit
• Kartenzugangssysteme • Besucherregistrierungsverfahren • Clean-Desk-Richtlinie • Gerätesicherheit
10. Geschäftskontinuität und Disaster Recovery
10.1. Business Continuity Plan (BCP)
• Identifizierung kritischer Geschäftsfunktionen • Alternative Arbeitsverfahren • Kommunikationspläne • Regelmäßige Plantests
10.2. Disaster Recovery Plan (DRP)
(a) Wiederherstellungsziele • RTO (Recovery Time Objective): 4 Stunden • RPO (Recovery Point Objective): 1 Stunde
(b) Failover-Mechanismen • Aktiv-Passiv Datenbankreplikation • Geografisch verteilte Infrastruktur • Automatisches Failover • Load Balancing
10.3. Tests und Übungen
• Jährlicher DR-Test • Failover-Simulationen • Backup-Wiederherstellungstests
11. Drittanbieter-Sicherheit
11.1. Lieferantenbewertung
Bei der Auswahl von Drittanbieter-Dienstleistern:
• Sicherheitszertifizierungen (SOC 2, ISO 27001) • Datenschutz-Compliance (DSGVO, KVKK) • Überprüfung der Sicherheitsrichtlinien • Referenzprüfung
11.2. Vertragliche Anforderungen
Drittanbieterverträge enthalten:
• Datenverarbeitungsvertrag (DPA) • Vertraulichkeitsverpflichtungen • Sicherheitsstandards • Pflicht zur Verletzungsbenachrichtigung • Auditrechte
11.3. Kontinuierliche Überwachung
• Regelmäßige Sicherheitsbewertungen • Verfolgung von Zertifizierungserneuerungen • Überwachung von Vorfallmeldungen
12. Compliance und Zertifizierungen
12.1. Compliance-Rahmenwerke
Evaste erfüllt folgende Vorschriften:
(a) Datenschutz • KVKK Gesetz Nr. 6698 (Türkei) • DSGVO (Europäische Union) • CCPA (Kalifornien, USA)
(b) Informationssicherheit • ISO 27001 (Informationssicherheits-Managementsystem) • SOC 2 Type II (Infrastrukturanbieter)
12.2. Zertifizierungen und Audits
| Zertifizierung/Audit | Umfang | Häufigkeit |
|---|---|---|
| ISO 27001 | Informationssicherheitsmanagement | Jährlich |
| SOC 2 Type II | Sicherheitskontrollen | Jährlich |
| Penetrationstest | Anwendung und Infrastruktur | Jährlich |
| Schwachstellenscan | Alle Systeme | Kontinuierlich |
12.3. Compliance-Berichte
Unseren Kunden können auf Anfrage folgende Dokumente zur Verfügung gestellt werden:
• SOC 2 Type II Berichtsübersicht • Penetrationstest-Zusammenfassung • Sicherheits-Compliance-Erklärung
13. Kontaktinformationen
13.1. Sicherheitsteam
Für Sicherheitsfragen und -meldungen:
E-Mail: security@evaste.co Notfall: +90 532 494 42 64
13.2. Schwachstellenmeldung
Wenn Sie eine Schwachstelle entdeckt haben:
E-Mail: security@evaste.co Betreff: "Security Vulnerability Report"
Wir bitten um verantwortungsvolle Offenlegung (Responsible Disclosure). Gültige Schwachstellenmeldungen werden belohnt.
13.3. Allgemeiner Kontakt
Evaste (Group Taiga) Adresse: Levent, Istanbul, Turkey E-Mail: info@evaste.co Web: https://evaste.co
Diese Sicherheitsrichtlinie ist am 12. Januar 2026 in Kraft getreten.
Wir überprüfen und verbessern kontinuierlich unsere Sicherheitsprozesse. Richtlinienänderungen werden durch Aktualisierung des "Letzte Aktualisierung"-Datums veröffentlicht.
Sicherheitsrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten oder Konflikten zwischen dieser Übersetzung und der türkischen Originalversion ist die türkische Version maßgebend. Die türkische Originalversion finden Sie unter: https://evaste.co/tr/legal/security-policy
1. Einleitung und Verpflichtung
1.1. Unser Sicherheitsversprechen
Bei Evaste betrachten wir die Sicherheit der Daten unserer Kunden und Nutzer als höchste Priorität. Als Plattform für Datenschutz und Einwilligungsmanagement sind wir uns unserer Verantwortung bewusst, in Sachen Sicherheit mit gutem Beispiel voranzugehen.
1.2. Sicherheitsprinzipien
Unsere Sicherheitsstrategie basiert auf folgenden Grundprinzipien:
(a) Defense in Depth (Tiefenverteidigung) Wir bieten Schutz durch mehrere Sicherheitsebenen.
(b) Prinzip der geringsten Rechte (Least Privilege) Benutzern und Systemen werden nur die minimal erforderlichen Berechtigungen erteilt.
(c) Security by Design (Sicherheit durch Gestaltung) Sicherheit ist von Anfang an in das Design aller Systeme und Prozesse integriert.
(d) Zero Trust Architektur Das Prinzip "Niemals vertrauen, immer verifizieren" wird angewendet.
(e) Kontinuierliche Verbesserung Unsere Sicherheitsmaßnahmen werden kontinuierlich überprüft und aktualisiert.
1.3. Geltungsbereich
Diese Sicherheitsrichtlinie umfasst:
• Evaste Plattform-Infrastruktur • Kundendaten • Mitarbeiterdaten • Geschäftsprozesse • Drittanbieter-Integrationen
2. Technische Sicherheitsmaßnahmen
2.1. Datenverschlüsselung
(a) Verschlüsselung bei Übertragung (In Transit) • TLS 1.3 Protokoll (mindestens TLS 1.2) • HSTS (HTTP Strict Transport Security) aktiviert • Perfect Forward Secrecy (PFS) Unterstützung • Starke Cipher Suites
(b) Verschlüsselung bei Speicherung (At Rest) • AES-256 Verschlüsselungsalgorithmus • Festplattenverschlüsselung • Datenbankverschlüsselung • Backup-Verschlüsselung
(c) Passwort- und sensible Datenspeicherung • Passwörter: Hashing mit bcrypt oder Argon2 • API-Schlüssel: Sichere Vault-Systeme • Kryptographisches Schlüsselmanagement: HSM-Nutzung
2.2. Netzwerksicherheit
(a) Firewall • Application-Level Firewall (WAF) • Network-Level Firewall • Standardmäßiges Blockieren allen Traffics (deny-all)
(b) Angriffserkennung und -prävention • IDS/IPS Systeme • Echtzeit-Bedrohungsüberwachung • Anomalieerkennung
(c) DDoS-Schutz • Cloudflare oder ähnlicher CDN-Schutz • Verkehrsanalyse und -filterung • Rate Limiting
(d) Netzwerksegmentierung • Trennung von Produktions- und Testumgebungen • Isolierung der Datenbankserver • VLANs und Sicherheitsgruppen
2.3. Anwendungssicherheit
(a) Secure Software Development Lifecycle (SSDLC) • Definition von Sicherheitsanforderungen • Bedrohungsmodellierung • Sichere Code-Reviews • Sicherheitstests
(b) OWASP Top 10 Schutz • SQL Injection Prävention • XSS (Cross-Site Scripting) Schutz • CSRF (Cross-Site Request Forgery) Schutz • Sichere Authentifizierung • Schutz sensibler Daten
(c) Abhängigkeitsverwaltung • Regelmäßige Abhängigkeitsupdates • Schwachstellenscanning (Snyk, Dependabot) • Sichere Abhängigkeitsquellen
(d) API-Sicherheit • OAuth 2.0 / JWT Authentifizierung • Rate Limiting • Input Validation • API-Versionierung
2.4. Datenbanksicherheit
• Parametrisierte Abfragen (SQL Injection Prävention) • Zugriffskontrolle und Autorisierung • Datenbankaktivitätsüberwachung • Verschlüsselte Verbindungen • Regelmäßige Backups und Testwiederherstellungen
2.5. Container- und Cloud-Sicherheit
(a) Container-Sicherheit • Image-Scanning (Vulnerability Scanning) • Sichere Basis-Images • Runtime-Sicherheit • Secrets-Management
(b) Cloud-Sicherheit • IAM-Richtlinien • Ressourcenisolierung • Verschlüsselte Speicherung • Sicherheitsgruppen und NACLs
3. Organisatorische Sicherheitsmaßnahmen
3.1. Sicherheits-Governance
(a) Sicherheitsverantwortung • Sicherheitsverantwortung auf Führungsebene • Sicherheitsteam und Verantwortlichkeiten • Abteilungsübergreifende Koordination
(b) Richtlinien und Verfahren • Schriftliche Sicherheitsrichtlinien • Regelmäßige Richtlinienaktualisierungen • Richtlinien-Compliance-Audits
3.2. Risikomanagement
(a) Risikobewertung • Jährliche Risikobewertung • Asset-Inventar • Bedrohungs- und Schwachstellenanalyse • Risikominderungspläne
(b) Datenschutz-Folgenabschätzung (DPIA) • DPIA für neue Projekte • Bewertung von Hochrisiko-Verarbeitungsaktivitäten • Risikominderungsmaßnahmen
3.3. Incident Management
(a) Definition von Sicherheitsvorfällen • Klassifizierung: Kritisch, Hoch, Mittel, Niedrig • Vorfallkategorien • Eskalationsverfahren
(b) Reaktionsprozess • Erkennung und Verifizierung von Vorfällen • Containment (Eindämmung) • Eradication (Beseitigung) • Recovery (Wiederherstellung) • Lessons Learned (Erkenntnisse)
3.4. Änderungsmanagement
• Änderungsanforderungsverfahren • Risiko- und Auswirkungsbewertung • Test- und Genehmigungsprozesse • Rollback-Pläne
4. Zugriffskontrollrichtlinien
4.1. Authentifizierung
(a) Passwortrichtlinie • Mindestens 12 Zeichen • Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen erforderlich • Passwortänderung alle 90 Tage (Unternehmenskonten) • Wiederverwendung der letzten 12 Passwörter nicht möglich • Brute-Force-Schutz (Kontosperrung)
(b) Multi-Faktor-Authentifizierung (MFA) • Pflicht-MFA für alle Administratorkonten • TOTP (Time-based One-Time Password) Unterstützung • SMS- und E-Mail-Verifizierungsoptionen • Hardware-Sicherheitsschlüssel-Unterstützung (FIDO2)
(c) Single Sign-On (SSO) • SAML 2.0 Unterstützung • OAuth 2.0 / OpenID Connect Unterstützung • Integration mit Unternehmens-Identitätsanbietern
4.2. Autorisierung
(a) Rollenbasierte Zugriffskontrolle (RBAC) • Vordefinierte Rollen • Möglichkeit zur Erstellung benutzerdefinierter Rollen • Prinzip der geringsten Rechte • Regelmäßige Berechtigungsüberprüfungen
| Rolle | Berechtigungen |
|---|---|
| Betrachter | Nur-Lese-Zugriff |
| Editor | Lesen und Bearbeiten |
| Administrator | Volle Verwaltungsrechte |
| Super Admin | Plattformweite Berechtigungen |
4.3. Sitzungsverwaltung
• Sitzungs-Timeout (30 Minuten Inaktivität) • Begrenzung gleichzeitiger Sitzungen • Sichere Sitzungsbeendigung • Schutz vor Session-Hijacking
4.4. Zugriffsüberwachung
• Protokollierung aller Zugriffsversuche • Überwachung fehlgeschlagener Anmeldeversuche • Erkennung abnormaler Zugriffsmuster • Regelmäßige Zugriffsberichte
5. Datensicherungsverfahren
5.1. Backup-Strategie
(a) Backup-Typen • Vollständige Sicherung (wöchentlich) • Inkrementelle Sicherung (täglich) • Transaktionslog-Sicherung (kontinuierlich)
| Datentyp | Häufigkeit | Aufbewahrungsdauer |
|---|---|---|
| Datenbank | Täglich | 30 Tage |
| Dateisysteme | Täglich | 30 Tage |
| Konfigurationen | Bei Änderung | 90 Tage |
| Log-Dateien | Täglich | 90 Tage |
5.2. Backup-Sicherheit
• AES-256 verschlüsselte Backups • Speicherung an geografisch getrennten Standorten • Backup-Zugriffskontrolle • Backup-Integritätsprüfung (Checksum)
5.3. Wiederherstellungsverfahren
• Regelmäßige Wiederherstellungstests (monatlich) • Dokumentierte Wiederherstellungsverfahren • RTO (Recovery Time Objective): 4 Stunden • RPO (Recovery Point Objective): 1 Stunde
6. Benachrichtigung bei Sicherheitsverletzungen
6.1. Erkennung und Bewertung von Verletzungen
Bei Erkennung einer Sicherheitsverletzung:
1. Verifizierung des Vorfalls und Bestimmung des Umfangs 2. Identifizierung betroffener Systeme und Daten 3. Bewertung des Risikoniveaus 4. Durchführung von Eindämmungsmaßnahmen
6.2. Interne Benachrichtigungsprozess
| Zeitraum | Maßnahme |
|---|---|
| Erste Stunde | Benachrichtigung des Sicherheitsteams |
| Erste 4 Stunden | Benachrichtigung der Geschäftsleitung |
| Erste 24 Stunden | Auswirkungsbewertung und Reaktionsplan |
6.3. Externe Benachrichtigungspflichten
(a) Türkische Datenschutzbehörde (KVKK) • Schnellstmögliche Benachrichtigung bei Verletzungen personenbezogener Daten • Ausfüllen des Verletzungsformulars • Bericht über ergriffene Maßnahmen
(b) Im Rahmen der DSGVO (72-Stunden-Regel) • Benachrichtigung der zuständigen Datenschutzbehörde innerhalb von 72 Stunden • Benachrichtigung betroffener Personen bei hohem Risiko • Führung eines Verletzungsregisters
(c) Benachrichtigung betroffener Nutzer • Sofortige Benachrichtigung bei hohem Risiko • Verwendung klarer und verständlicher Sprache • Anleitung zu empfohlenen Schutzmaßnahmen
6.4. Inhalt der Verletzungsbenachrichtigung
Die Benachrichtigung enthält folgende Informationen:
• Art und Umfang der Verletzung • Betroffene Datenkategorien • Anzahl betroffener Personen (geschätzt) • Mögliche Folgen • Ergriffene und empfohlene Maßnahmen • Kontaktinformationen
6.5. Korrekturmaßnahmen
Nach einer Verletzung:
• Ursachenanalyse • Umsetzung von Korrekturmaßnahmen • Aktualisierung von Richtlinien und Verfahren • Mitarbeiterschulung (falls erforderlich) • Verstärkte Überwachung und Audits
7. Sicherheitsaudits und Tests
7.1. Schwachstellenscanning
(a) Automatische Scans • Wöchentliche Infrastruktur-Scans • Tägliche Anwendungs-Scans • Kontinuierliche Abhängigkeits-Scans
(b) Verwendete Tools • Nessus / Qualys (Infrastruktur) • OWASP ZAP / Burp Suite (Anwendung) • Snyk / Dependabot (Abhängigkeiten)
7.2. Penetrationstests
• Jährlicher umfassender Penetrationstest • Zusätzliche Tests nach größeren Änderungen • Durchführung durch unabhängige Sicherheitsfirmen • Behebung von Befunden innerhalb von 30 Tagen
7.3. Red Team Übungen
• Jährliche Red Team Bewertung • Realistische Angriffsszenarien • Social Engineering Tests • Physische Sicherheitstests
7.4. Code-Review
• Peer-Review für alle Codeänderungen • Sicherheitsorientierte Code-Reviews • Statische Code-Analyse (SAST) • Dynamische Anwendungssicherheitstests (DAST)
7.5. Befundverwaltung
| Kritikalität | Behebungsfrist |
|---|---|
| Kritisch | 24 Stunden |
| Hoch | 7 Tage |
| Mittel | 30 Tage |
| Niedrig | 90 Tage |
8. Mitarbeiterschulung
8.1. Sicherheitsbewusstseinstraining
(a) Einführungsschulung • Sicherheitsrichtlinien • Akzeptable Nutzung • Grundlagen des Datenschutzes • Vorfallmeldung
(b) Jährliche Pflichtschulung • Aktuelle Bedrohungen und Trends • Social Engineering Bewusstsein • Phishing-Erkennung • Sichere Arbeitspraktiken
8.2. Rollenbasierte Schulung
| Rolle | Zusätzliche Schulungsthemen |
|---|---|
| Entwickler | Sicheres Programmieren, OWASP, Code-Review |
| DevOps | Cloud-Sicherheit, Container-Sicherheit |
| Manager | Risikomanagement, Compliance |
| Support | Datenschutz, Kundendatenschutz |
8.3. Simulationsübungen
• Monatliche Phishing-Simulationen • Sicherheitsvorfall-Übungen • Tabletop Exercises
9. Physische Sicherheit
9.1. Rechenzentrumssicherheit
Die Evaste-Infrastruktur wird in Rechenzentren mit folgenden physischen Sicherheitsmaßnahmen gehostet:
• 24/7 Sicherheitspersonal • Biometrische Zugangskontrolle • CCTV-Überwachung • Brandschutzsysteme • USV und Generator-Backup • Umgebungsüberwachung (Temperatur, Luftfeuchtigkeit)
9.2. Bürosicherheit
• Kartenzugangssysteme • Besucherregistrierungsverfahren • Clean-Desk-Richtlinie • Gerätesicherheit
10. Geschäftskontinuität und Disaster Recovery
10.1. Business Continuity Plan (BCP)
• Identifizierung kritischer Geschäftsfunktionen • Alternative Arbeitsverfahren • Kommunikationspläne • Regelmäßige Plantests
10.2. Disaster Recovery Plan (DRP)
(a) Wiederherstellungsziele • RTO (Recovery Time Objective): 4 Stunden • RPO (Recovery Point Objective): 1 Stunde
(b) Failover-Mechanismen • Aktiv-Passiv Datenbankreplikation • Geografisch verteilte Infrastruktur • Automatisches Failover • Load Balancing
10.3. Tests und Übungen
• Jährlicher DR-Test • Failover-Simulationen • Backup-Wiederherstellungstests
11. Drittanbieter-Sicherheit
11.1. Lieferantenbewertung
Bei der Auswahl von Drittanbieter-Dienstleistern:
• Sicherheitszertifizierungen (SOC 2, ISO 27001) • Datenschutz-Compliance (DSGVO, KVKK) • Überprüfung der Sicherheitsrichtlinien • Referenzprüfung
11.2. Vertragliche Anforderungen
Drittanbieterverträge enthalten:
• Datenverarbeitungsvertrag (DPA) • Vertraulichkeitsverpflichtungen • Sicherheitsstandards • Pflicht zur Verletzungsbenachrichtigung • Auditrechte
11.3. Kontinuierliche Überwachung
• Regelmäßige Sicherheitsbewertungen • Verfolgung von Zertifizierungserneuerungen • Überwachung von Vorfallmeldungen
12. Compliance und Zertifizierungen
12.1. Compliance-Rahmenwerke
Evaste erfüllt folgende Vorschriften:
(a) Datenschutz • KVKK Gesetz Nr. 6698 (Türkei) • DSGVO (Europäische Union) • CCPA (Kalifornien, USA)
(b) Informationssicherheit • ISO 27001 (Informationssicherheits-Managementsystem) • SOC 2 Type II (Infrastrukturanbieter)
12.2. Zertifizierungen und Audits
| Zertifizierung/Audit | Umfang | Häufigkeit |
|---|---|---|
| ISO 27001 | Informationssicherheitsmanagement | Jährlich |
| SOC 2 Type II | Sicherheitskontrollen | Jährlich |
| Penetrationstest | Anwendung und Infrastruktur | Jährlich |
| Schwachstellenscan | Alle Systeme | Kontinuierlich |
12.3. Compliance-Berichte
Unseren Kunden können auf Anfrage folgende Dokumente zur Verfügung gestellt werden:
• SOC 2 Type II Berichtsübersicht • Penetrationstest-Zusammenfassung • Sicherheits-Compliance-Erklärung
13. Kontaktinformationen
13.1. Sicherheitsteam
Für Sicherheitsfragen und -meldungen:
E-Mail: security@evaste.co Notfall: +90 532 494 42 64
13.2. Schwachstellenmeldung
Wenn Sie eine Schwachstelle entdeckt haben:
E-Mail: security@evaste.co Betreff: "Security Vulnerability Report"
Wir bitten um verantwortungsvolle Offenlegung (Responsible Disclosure). Gültige Schwachstellenmeldungen werden belohnt.
13.3. Allgemeiner Kontakt
Evaste (Group Taiga) Adresse: Levent, Istanbul, Turkey E-Mail: info@evaste.co Web: https://evaste.co
Diese Sicherheitsrichtlinie ist am 12. Januar 2026 in Kraft getreten.
Wir überprüfen und verbessern kontinuierlich unsere Sicherheitsprozesse. Richtlinienänderungen werden durch Aktualisierung des "Letzte Aktualisierung"-Datums veröffentlicht.