DE
commercetools 2024 logo in SVG format - black version
Trust Center

Ihr Vertrauen ist die Basis für unseren Erfolg!

Aus diesem Grund ist es unsere Pflicht, im Umgang mit den Daten unserer Kunden ein vertrauenswürdiger und verantwortungsvoller Partner zu sein und möchten Sie genau darüber informieren, wo und wie wir Ihre Daten verarbeiten und schützen.

Download Whitepaper
commercetools Technology Trust Center

Sicherheitskultur

Da eine hohe Verfügbarkeit in einer gesicherten Umgebung die Basis für eine effiziente Verarbeitung von Daten ist, spielt Informationssicherheit sowohl für die commercetools GmbH als auch für unsere Kunden und Partner eine sehr wichtige Rolle.

Um dies zu gewährleisten wurde ein Sicherheits-Framework zur Überwachung von Risiken und der Einhaltung gesetzlicher Anforderung etabliert, das auf anerkannten Industriestandards und geltenden Datenschutzgesetzen aufbaut. Informationssicherheit ist ein wesentlicher Bestandteil der Unternehmensstrategie der commercetools GmbH.



Security Culture

Sicherheit

Der verantwortungsvolle Umgang mit Kundendaten ist von großer Bedeutung. Die commercetools-Plattform wurde als mandantenfähige und echte Cloud-native Plattform entwickelt und wird in zertifizierten Rechenzentren an mehreren Standorten in Europa, den USA und der Region Asia Pacific betrieben. So können die komplette Infrastruktur, die Entwicklung und alle Prozesse unmittelbar von der hochmodernen Cloud-Umgebung profitieren.

Physische Sicherheit

Rechenzentrum: Die commercetools-Plattform wird auf der Google Cloud Platform (GCP) oder Amazon Web Services (AWS) gehostet und garantiert so die Maßnahmen gemäß der roten Sicherheitsstufe. Beide Cloud-Service-Provider betreiben hochmoderne Rechenzentren, deren Schwerpunkt auf der Sicherheit und dem Schutz der Daten liegt. Dies wurde durch ISO/IEC 27001-Zertifikate und SOC II-Berichte belegt.

Büros: Der Zugang zu den Büros der commercetools Gruppe ist nur für Mitarbeiter und Besucher möglich. Unsere Empfangsmitarbeiter überwachen das Besuchermanagement und stellen sicher, dass sich Besucher nur in Begleitung von Mitarbeitern in den Räumen aufhalten. Gemäß dem Sicherheitszonen-Konzept ist der Zugang zu einigen Bereichen unbefugten Personen untersagt.

Netzwerksicherheit

Der Datentransfer in die Cloud wird durch vorkonfigurierte WAF-Regeln unserer Cloud-Anbieter geschützt. Der Transfer von Daten zur commercetools-Plattform ist nur über verschlüsselte Verbindungen möglich.
Der gesamte Zugriff auf das Büronetzwerk von commercetools wird überwacht und ist nur berechtigten Personen gestattet. Die Kommunikation ist mithilfe von WPA2 Verschlüsselung und AES-256-Bit-Schlüsseln gesichert. Eine Firewall ermöglicht die skalierbare und zentralisierte Verwaltung von Endgeräten.

Plattform Sicherheit

Alle Verbindungen zur Plattform sind nur über HTTPS verfügbar und werden durch TLS 1.2 gesichert. Die Persistenzschicht (Festplatte) ist mit AES-256 verschlüsselt. Alle Benutzerkennwörter werden mittels modernsten Algorithmen verschlüsselt und niemals im Klartext gespeichert. Die Plattform wird kontinuierlich nach offenen Ports und schwachen SSL-Zertifikaten gescannt. Die vollständige Isolierung und Trennung persistenter Daten wird durch regelmäßige Penetrationstests überprüft und sichergestellt.

Training und Awareness

Alle commercetools-Mitarbeiter und Auftragnehmer müssen vor Beginn einer Zusammenarbeit eine Vertraulichkeitsvereinbarung unterzeichnen. Zudem nehmen alle Mitarbeiter regelmäßig an Sicherheits- und Datenschutz-Trainings teil.

Backup und Wiederherstellung

Getrennte Betriebsumgebungen gewährleisten den Schutz vor Datenverlust und stellen eine zuverlässige und konstante Verfügbarkeit der Systeme sicher. Back-ups werden verschlüsselt und getrennt von der Produktionsumgebung gespeichert.

Betriebssicherheit

Entsprechend unseres Informationssicherheits-Management-Systems (ISMS) wird die operative Sicherheit innerhalb des Unternehmens über definierte Richtlinien und Verfahren im Unternehmen gewährleistet. Unser Informationssicherheitsbeauftragter koordiniert und überprüft alle Bereiche unseres ISMS, um die Effektivität und Effizienz kontinuierlich zu verbessern.

Verlässlichkeit

Die commercetools-Plattform ist eine visionäre Composable-Commerce-Plattform, die für die Integration in einer Microservice-Architektur entwickelt wurde. Mit der commercetools-Plattform können Unternehmen Einkaufserlebnisse nahtlos über alle digitalen Endgeräte wie Smartphones, Tablets, Smartwatches und andere digitale Points-of-Sales hinweg realisieren.

Die SaaS-Lösung (Software-as-a-Service) wird in sogenannten Containern bereitgestellt und hat unabhängig vom Cloud-Anbieter (GCP oder AWS) dieselbe Struktur. Die vollständig automatische Skalierbarkeit des Systems ermöglicht eine sehr hohe Verfügbarkeit.

Business Continuity Management (BCM)

Ziel unseres Business Continuity Managements ist es sicherzustellen, dass die erforderlichen Services innerhalb definierter und vereinbarter Geschäftszeiten nach einem Ausfall wiederhergestellt werden können. Der implementierte Business-Continuity-Plan identifiziert mögliche Gefahren durch interne wie externe Bedrohungen, um sowohl Hard- als auch Software-Assets zeitnah wiederherstellen zu können. Der Wiederherstellungsplan umfasst zudem Maßnahmen, um Umständen wie Naturkatastrophen, organisiertes Verbrechen oder menschlichem Versagen begegnen zu können.

Business Continuity Management (BCM)

Performance Management

Ziel des Performance Management ist es die Infrastruktur und Dienste sowie unterstützende Organisationen dahingehend zu optimieren, dass die Verfügbarkeit und Zuverlässigkeit kostengünstig und nachhaltig sichergestellt werden kann, damit unsere Kunden immer ihre Geschäftsziele erreichen. Aufgrund der verteilten, Cloud-nativen und asynchronen Architektur der commercetools-Plattform besteht die Möglichkeit der automatischen Skalierung, wenn die Gesamtlast der Plattform für alle Kunden zunimmt.

commercetools Technology Trust Center Performance Management

Change Management Process

Änderungsanfragen können vom Kunden über ein Support-Ticket gestellt werden. Alternativ kann vom Plattform-Support-Team oder intern eine Änderung vorgeschlagen werden, um eine Komponente oder einen Prozess zu verbessern oder einen Fehler zu beheben. Die gesamte Entwicklung der commercetools-Plattform und der Infrastruktur erfolgt über automatisierte CI/CD-Pipelines in geeigneten Entwicklungs- und Testumgebungen. Um den Code bis zur Produktion auszurollen, sind mehrere Überprüfungen und Genehmigungen erforderlich.

commercetools Technology Trust Center Change Management Process

Compliance

Vor dem Onboarding neuer Lieferanten wird eine Überprüfung des Schutzniveaus des Anbieters durchgeführt, zudem werden die technischen und organisatorischen Maßnahmen dokumentiert. Unsere wichtigsten Subunternehmer sind unsere Cloud-Anbieter.

Unsere Cloud-Anbieter unterliegen regelmäßigen und unabhängigen Überprüfungen ihrer Sicherheits-, Datenschutz- und Compliance-Maßnahmen anhand nationaler und internationaler Standards. Diese Überprüfungen werden mittels Zertifizierungen, Konformitätsbescheinigungen und Auditberichte belegt.

Google Cloud Compliance

AWS Compliance Program

Humio Compliance

commercetools Technology Trust Center Compliance

Möchten Sie mehr erfahren?

Die commercetools GmbH wird außerdem kontinuierlich einer unabhängigen Überprüfung der Plattformsicherheits-, Datenschutz- und Compliance-Maßnahmen unterzogen. Unser starker und wachsender Fokus auf Standardkonformität unterstützt Sie dabei, ihre Anforderungen und Richtlinien einzuhalten.

Um die Prüfberichte anzufordern ist ein unterschriebenes NDA-Formular erforderlich. Bitte wenden Sie sich an Ihren Vertriebskontakt oder senden Sie Ihre Anfrage an security@commercetools.com.



ISO 27001

ISO 27001

Die internationale Norm ISO 27001 wurde von der International Organization for Standardization (ISO) entwickelt, die strikte Anforderungen bezüglich der Verwaltung von Informationen sowie der Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit festlegt. Der TÜV Rheinland hat bestätigt, dass unser Informationssicherheitsmanagementsystem (ISMS) die Anforderungen der ISO 27001 erfüllt bzw. sogar übertrifft.

Mehr erfahren
commercetools Technology Trust Center Tisax

Tisax

Wir sind TISAX-zertifiziert in den Modulen "Umgang mit Informationen mit hohem Schutzniveau" und "Umgang mit personenbezogenen Daten nach Artikel 28 der EU-Datenschutzgrundverordnung".

TISAX steht für Trusted Information Security Assessment Exchange, eine Bewertung für die Informationssicherheit von Unternehmen, das von der ENX Association als gemeinsame Vertrauensbasis betrieben wird. Grundlage ist ein Assessment mit klar definiertem Leistungsumfang, das für alle Organisationen entlang der gesamten Wertschöpfungskette der Automobilindustrie gleichermaßen geeignet und verbindlich ist.

Mehr erfahren
SOC II

SOC II (System and Organization Controls)

commercetools erfüllt die SOC II-Standards - das bestätigen regelmäßige, unabhängig durchgeführte Prüfungen. Ein SOC II-Bericht beinhaltet sämtliche relevanten Kontrollen für betriebliche Compliance, basierend auf den Trust Services Criteria (TSC) des American Institute of Certified Public Accountants (AICPA). Die Einhaltung der SOC II-Standards steht für unser Engagement für eine sichere, zuverlässige und vorschriftsmäßige Serviceumgebung. Der Schutz unserer Kundendaten und der Privatsphäre in unserer cloudbasierten Infrastruktur hat für uns oberste Priorität, die wir durch kontinuierliche Überwachung und solide Kontrollmaßnahmen prüfen. So gewährleistet commercetools kontinuierliche Verfügbarkeit, Datenintegrität und -schutz.

Mehr erfahren
commercetools Technology Trust Center DSGVO Logo

DSGVO

commercetools ist DSGVO-konform und wird dahingehend regelmäßig durch externe Audits überprüft. Die Datenschutzgrundverordnung (DSGVO) zielt darauf ab, den Schutz personenbezogener Daten in Europa zu stärken, und wirkt sich so auf unsere komplette Wertschöpfungskette aus. Die Einhaltung der DSGVO hat für commercetools und damit auch für unsere Kunden höchste Priorität.

Mehr erfahren
HDS (Hébergeur de Données de Santé)

HDS (Hébergeur de Données de Santé)

commercetools verfügt über die von der französischen Gesundheitsbehörde eingeführte Zertifizierung “Hébergeur de Données de Santé”, die den Umgang mit personenbezogenen Gesundheitsdaten regelt und sicherer macht. Die HDS-Zertifizierung bestätigt unser Versprechen für die sichere Verwaltung von Gesundheitsdaten und unser sorgfältiges Vorgehen beim Datenschutz.

Mehr erfahren
commercetools Technology Trust Center Cyber Essentials

Cyber Essentials

Cyber Essentials ist ein von der britischen Regierung getragenes Zertifizierungssystem, das Organisationen jeder Größenordnung vor den Ursachen der häufigsten Cyberangriffe schützen soll. commercetools ist durch Cyber Essentials-zertifiziert.

Mehr erfahren

Datenschutz

Management-Prozesse

Unser Datenschutz-Management-System (DSMS) wurde in unser Informationssicherheits- Management-System (ISMS) integriert und basiert auf den Maßnahmen der ISO/IEC 27001 und ISO/IEC 27701. Beide Management-Systeme werden zentral verwaltet und im Rahmen interner und externer Audits regelmäßig überprüft.

Sicherheit der Datenverarbeitungsaktivitäten

Der Auftragsverarbeiter ist für die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen (TOM) verantwortlich, um personenbezogene Daten entsprechend zu sichern.

Löschprozesse

Löschanfragen des Datenverantwortlichen werden über das Support-Ticket ausgeführt. Für alle internen Geschäftsdaten von der commercetools GmbH wurden Löschkonzepte implementiert.

Datenverarbeitungsvereinbarung

Die Datenverarbeitungsvereinbarung (DSGVO) schreibt vor, dass der für die Datenverarbeitung Verantwortliche (z. B. Unternehmen, die die commercetools-Plattform verwenden) nur Datenverarbeiter (wie die commercetools GmbH) beauftragen darf, die ausreichende Garantien für den Datenschutz bieten, um die Anforderungen von Artikel 28 der DSGVO zu erfüllen. Die Datenverarbeitungsvereinbarung kann unter privacy@commercetools.com angefordert werden.

Datenschutzbeauftragter

Die commercetools GmbH arbeitet mit einem externen Datenschutzbeauftragten zusammen, der in enger Abstimmung mit unserem internen Datenschutzkoordinator steht. Kontaktieren Sie uns per E-Mail: privacy@commercetools.com.

Internationale Datenübertragung

Wie das zuvor geltende EU-Datenschutzrecht schreibt auch die DSGVO vor, dass Unternehmen nur dann personenbezogene Daten in Länder außerhalb der EU übertragen dürfen, wenn ein angemessenes Schutzniveau besteht und dies durch geeignete Rechtsmechanismen sichergestellt wird. Wir haben mit all unseren Unterauftragnehmern aus unsicheren Drittländern entsprechende EU-Standardvertragsklauseln vereinbart.

Konform mit der DSGVO, CCPA und dem Australia Privacy Act

Datenschutz ist ein wichtiger Aspekt unseres Geschäftslebens und wirkt sich auf die komplette Wertschöpfungskette unseres Geschäftsmodells aus. Die Einhaltung der DSGVO und weiterer globaler Datenschutzgesetze hat daher sowohl für die commercetools Gruppe und auch für unsere Kunden höchste Priorität.