Rechtliches — Toqen

Sicherheit und verantwortungsvolle Offenlegung

Wir setzen geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten und zur Aufrechterhaltung der Servicesicherheit um und begrüßen verantwortungsvolle Meldungen von Sicherheitslücken.

TL;DR

  • Sicherer Transport und Verschlüsselung, wo angemessen.
  • Strenge Zugriffskontrollen, Umgebungstrennung und Monitoring.
  • Responsible Disclosure mit Safe-Harbor-Zusage für Forschung in gutem Glauben.

Sicherheitsmaßnahmen

Wir betreiben ein Sicherheitsprogramm, das darauf ausgelegt ist, Vertraulichkeit, Integrität und Verfügbarkeit des Toqen-Dienstes sowie aller personenbezogenen Daten, die in diesem Zusammenhang verarbeitet werden, zu schützen. Unsere Maßnahmen werden risikobasiert ausgewählt und betrieben; dabei berücksichtigen wir den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Risiken für betroffene Personen.

  • Verschlüsselung bei der Übertragung unter Verwendung aktueller TLS-Standards; Verschlüsselung im Ruhezustand, soweit angemessen und durch die jeweilige Infrastruktur unterstützt.
  • Zugriffskontrollen nach dem Least-Privilege-Prinzip, einschließlich eingeschränktem administrativem Zugriff und, soweit angemessen, Trennung von Aufgaben.
  • Logische Trennung zwischen Entwicklungs-, Staging- und Produktionsumgebungen mit Kontrollen zur Reduzierung des Risikos unbefugten Zugriffs und von Datenoffenlegungen.
  • Technische und organisatorische Maßnahmen zur Erkennung und Abwehr von Missbrauch und Angriffen, wie Rate Limiting, Bot-Mitigation und Replay-Schutz, soweit anwendbar.
  • Monitoring, Logging und Alerting zur Unterstützung des Sicherheitsbetriebs, der Vorfallerkennung und der Fehleranalyse; Zugriff auf Logs ist auf autorisierte Personen und Service-Prozesse beschränkt.
  • Sichere Softwareentwicklungspraktiken, einschließlich Code-Review und automatisierter Tests zur Identifikation von Sicherheits- und Zuverlässigkeitsproblemen.
  • Schutz von Launch-Partner-Teilnahmedaten und zugehörigen Administrationsdaten in gesicherten Systemen mit Zugriffsbeschränkung auf autorisierte Personen und Service-Prozesse.

Wir überprüfen unsere technischen und organisatorischen Maßnahmen regelmäßig und aktualisieren sie, soweit angemessen, entsprechend sich entwickelnder Risiken und Änderungen des Dienstes.

Aus Sicherheitsgründen veröffentlichen wir keine sensiblen Details zu spezifischen Kontrollen, Konfigurationen oder Erkennungsmechanismen.

DSGVO und EU-Datenschutzgrundsätze

Unser Dienst ist unter Berücksichtigung der EU-Datenschutzgrundsätze konzipiert, einschließlich Datenminimierung, Zweckbindung, Integrität, Vertraulichkeit und Speicherbegrenzung.

Soweit technisch möglich und für die gewählte Funktionalität angemessen, ist der Dienst darauf ausgelegt, unnötige langfristige Speicherung personenbezogener Daten zu reduzieren und standardmäßig keine identitätszentrierten Profile vorauszusetzen.

Weitere Informationen zur Verarbeitung personenbezogener Daten, einschließlich Aufbewahrung, Übermittlungen und Betroffenenrechten, finden Sie in unserer Datenschutzerklärung. Soweit Toqen personenbezogene Daten im Auftrag eines Partners verarbeitet, wird das Verhältnis durch das Data Processing Addendum (DPA) und anwendbare Datenschutzvereinbarungen geregelt.

Geeignete technische und organisatorische Maßnahmen werden implementiert, um die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO zu unterstützen.

Responsible Disclosure

Wenn Sie glauben, eine Sicherheitslücke entdeckt zu haben, die Toqen betrifft, melden Sie diese bitte an hi@toqen.app und fügen Sie ausreichend Details bei, damit wir das Problem reproduzieren und untersuchen können.

Wir prüfen Meldungen, die in gutem Glauben im Rahmen einer verantwortungsvollen Offenlegung eingereicht werden, und bemühen uns, valide Meldungen innerhalb eines angemessenen Zeitraums zu bestätigen. Gegebenenfalls bitten wir um zusätzliche Informationen oder Koordination, um Risiken für Nutzer und Partner zu reduzieren.

Safe Harbor: Wir leiten keine rechtlichen Schritte gegen Personen ein, die Sicherheitsforschung in gutem Glauben betreiben, sofern sie (i) geltendes Recht einhalten, (ii) Datenschutzverstöße, Datenzerstörung und Dienststörungen vermeiden, (iii) keine Daten über das zur Demonstration der Sicherheitslücke erforderliche Maß hinaus abrufen, erheben, speichern, nutzen oder offenlegen, (iv) die Sicherheitslücke unverzüglich an uns melden und uns eine angemessene Gelegenheit zur Behebung geben und (v) die Sicherheitslücke oder zugehörige Exploit-Details nicht öffentlich machen, bevor sie behoben ist oder bevor wir gemeinsam einen koordinierten Offenlegungszeitplan vereinbaren.

Infrastruktur- und Dienstleister

Wir nutzen etablierte Infrastruktur- und Dienstleister zum Betrieb und zur Absicherung des Dienstes. Soweit personenbezogene Daten durch solche Anbieter verarbeitet werden, handeln sie als Auftragsverarbeiter oder Unterauftragsverarbeiter unter geeigneten vertraglichen Bedingungen, einschließlich Datenschutz- und Sicherheitsverpflichtungen, wie es nach geltendem Recht erforderlich ist.

Sicherheitskontrollen werden durch abgestufte technische und organisatorische Maßnahmen umgesetzt. Auch wenn wir keine sensiblen Implementierungsdetails veröffentlichen, bemühen wir uns, Sicherheitspraktiken klar, korrekt und nicht irreführend zu kommunizieren.