Sicherheit und Erfahrung
NEXGAP nimmt Sicherheit sehr ernst und untersucht alle gemeldeten Schwachstellen. Auf
dieser Seite wird unser Umgang mit potenziellen Schwachstellen in allen Aspekten unserer Produkte und Services beschrieben.
Informationen, die Sie im Rahmen dieser Vorgehensweise an NEXGAP weitergeben, werden innerhalb von NEXGAP vertraulich behandelt. NEXGAP gibt diese Informationen nur an Dritte weiter, wenn festgestellt wird, dass die von Ihnen gemeldete Sicherheitsanfälligkeit ein Produkt eines Drittanbieters betrifft. In diesem Fall geben wir diese Informationen an den Autor oder Hersteller des Drittanbieterprodukts weiter. Andernfalls gibt NEXGAP diese Informationen nur wie von Ihnen erlaubt weiter.
1. Vertrauen
Kunden vertrauen darauf, dass wir ihnen dabei helfen, eines ihrer wichtigsten Güter, und zwar die Infrastruktur vor möglichen Kompromittierungen zu schützen, indem wir mit geprüften und zertifizierten Hackern zusammenarbeiten. Unsere Arbeit basiert hauptsächlich auf Vertrauen — dieses Vertrauen muss durch Transparenz, Sicherheit, Datenschutz sowie durch die Einhaltung von Richtlinien verdient werden.
2. Geheimhaltung
Unsere Mitarbeiter müssen alle Vertraulichkeitsverpflichtungen im Zusammenhang mit der Arbeit bei NEXGAP strikt einhalten. Diese Richtlinien gelten für Informationen über Schwachstellen, Kundeninformationen, Details zu Geltungsbereichen und vielen weiteren Punkten.
Wenn ein Kundenauftrag eine zusätzliche Geheimhaltungserklärung oder eine andere vertragliche Vereinbarung erfordert, ist es von grundlegender Bedeutung, diese unterzeichneten Dokumente zu respektieren und ihre Anforderungen zu erfüllen. Die Weitergabe von Informationen, die gegen die Vertraulichkeitsrichtlinien und oder die geltenden Verträge verstoßen, ist streng verboten. Die Nichteinhaltung stellt somit einen Verstoß gegen die Verpflichtungen gegenüber unseren Kunden dar und kann zu direkten Sanktionen bis hin zum Ausschluss aus dem Unternehmen führen.
3. Wie wir die Sicherheit unserer Infrastruktur gewährleisten
Unsere Hacker setzten alles daran, die Sicherheit unseres Unternehmens auf ein Maximum zu steigern. Aus diesem Grund führen wir in unterschiedlichen Abständen das sogenannte VAPT gegen unsere eigene Infrastruktur durch, um potenzielle Einstiegsvektoren ausfindig zu machen.
·
Die gesamte Kommunikation innerhalb unseres Netzwerks ist mit SSL bzw. TLS verschlüsselt. Darüberhinaus verwenden wir weitere Techniken wie z.B. Perfect-Forwarded-Secrecy und HTTP Strict-Transport-Security (HSTS),
·
Wir erzwingen sowohl die Verwendung starker Passwörter sowie eine Multi-Faktor-Authentifizierung (MFA). Alle personenbezogenen Daten (darunter Passwörter und Benutzernamen) werden als BCrypt-Hashes innerhalb dafür vorgesehenen Datenbanken gespeichert,
·
Unsere gesamte Infrastruktur implementiert sog. Zero-Trust- und Safe-by-Default-Prinzipien, um beispielsweise Benutzereingaben, Geschäftslogiken und weitere Prozesse zu konsolidieren,
·
Die Trennung unserer Infrastruktur zwischen den unterschiedlichen Diensten und Umgebungen wird aggressiv vorangetrieben, sodass ein Data-Breach unsererseits ausgeschlossen werden kann,
·
Der gesamte Zugang zu unseren Infrastrukturen (ob in der Cloud oder Lokal vor Ort in Frankfurt am Main) erfordert eine mehrstufige Zwei-Faktor-Authentifizierung. Mitarbeiter aus anderen Bereichen benötigen entsprechende Rechte, um auf bestimmte Informationen zuzugreifen,
·
Alle Mitarbeiter werden vor ihrer festen Einstellung bei NEXGAP einer strafrechtlichen Überprüfung unterzogen. Wir achten darauf, dass unsere Hacker nach unseren Leitsätzen, Prinzipien und ethischen Vorstellungen arbeiten.
4. Reziprozität
Um die hohen Standards unserer Produkte und Dienste garantieren zu können, müssen wir unsere Einkäufe auf Qualität, Preis und Zuverlässigkeit stützen. Die Verwendung der Gegenseitigkeit als Kaufentscheidung würde unsere Handlungsfähigkeit einschränken und die Qualität unserer Produkte und Dienste sowie unsere Preise gefährden.
