Trust Center Ihr Vertrauen ist die Basis für unseren Erfolg!

Aus diesem Grund ist es unsere Pflicht, im Umgang mit den Daten unserer Kunden ein vertrauenswürdiger und verantwortungsvoller Partner zu sein und möchten Sie genau darüber informieren, wo und wie wir Ihre Daten verarbeiten und schützen.

Download Whitepaper
commercetools Technology Trust Center

Sicherheitskultur

Da eine hohe Verfügbarkeit in einer gesicherten Umgebung die Basis für eine effiziente Verarbeitung von Daten ist, spielt Informationssicherheit sowohl für die commercetools GmbH als auch für unsere Kunden und Partner eine sehr wichtige Rolle.

Um dies zu gewährleisten wurde ein Sicherheits-Framework zur Überwachung von Risiken und der Einhaltung gesetzlicher Anforderung etabliert, das auf anerkannten Industriestandards und geltenden Datenschutzgesetzen aufbaut. Informationssicherheit ist ein wesentlicher Bestandteil der Unternehmensstrategie der commercetools GmbH.



commercetools Technology Trust Center Security Culture

Sicherheit

Der verantwortungsvolle Umgang mit Kundendaten ist von großer Bedeutung. Die commercetools-Plattform wurde als mandantenfähige und echte Cloud-native Plattform entwickelt und wird in zertifizierten Rechenzentren an mehreren Standorten in Europa, den USA und der Region Asia Pacific betrieben. So können die komplette Infrastruktur, die Entwicklung und alle Prozesse unmittelbar von der hochmodernen Cloud-Umgebung profitieren.

Physische Sicherheit

Rechenzentrum: Die commercetools-Plattform wird auf der Google Cloud Platform (GCP) oder Amazon Web Services (AWS) gehostet und garantiert so die Maßnahmen gemäß der roten Sicherheitsstufe. Beide Cloud-Service-Provider betreiben hochmoderne Rechenzentren, deren Schwerpunkt auf der Sicherheit und dem Schutz der Daten liegt. Dies wurde durch ISO/IEC 27001-Zertifikate und SOC II-Berichte belegt.

Büros: Der Zugang zu den Büros der commercetools Gruppe ist nur für Mitarbeiter und Besucher möglich. Unsere Empfangsmitarbeiter überwachen das Besuchermanagement und stellen sicher, dass sich Besucher nur in Begleitung von Mitarbeitern in den Räumen aufhalten. Gemäß dem Sicherheitszonen-Konzept ist der Zugang zu einigen Bereichen unbefugten Personen untersagt.

Netzwerksicherheit

Der Datentransfer in die Cloud wird durch vorkonfigurierte WAF-Regeln unserer Cloud-Anbieter geschützt. Der Transfer von Daten zur commercetools-Plattform ist nur über verschlüsselte Verbindungen möglich.
Der gesamte Zugriff auf das Büronetzwerk von commercetools wird überwacht und ist nur berechtigten Personen gestattet. Die Kommunikation ist mithilfe von WPA2 Verschlüsselung und AES-256-Bit-Schlüsseln gesichert. Eine Firewall ermöglicht die skalierbare und zentralisierte Verwaltung von Endgeräten.

Plattform Sicherheit

Alle Verbindungen zur Plattform sind nur über HTTPS verfügbar und werden durch TLS 1.2 gesichert. Die Persistenzschicht (Festplatte) ist mit AES-256 verschlüsselt. Alle Benutzerkennwörter werden mittels modernsten Algorithmen verschlüsselt und niemals im Klartext gespeichert. Die Plattform wird kontinuierlich nach offenen Ports und schwachen SSL-Zertifikaten gescannt. Die vollständige Isolierung und Trennung persistenter Daten wird durch regelmäßige Penetrationstests überprüft und sichergestellt.

Training und Awareness

Alle commercetools-Mitarbeiter und Auftragnehmer müssen vor Beginn einer Zusammenarbeit eine Vertraulichkeitsvereinbarung unterzeichnen. Zudem nehmen alle Mitarbeiter regelmäßig an Sicherheits- und Datenschutz-Trainings teil.

Backup und Wiederherstellung

Getrennte Betriebsumgebungen gewährleisten den Schutz vor Datenverlust und stellen eine zuverlässige und konstante Verfügbarkeit der Systeme sicher. Back-ups werden verschlüsselt und getrennt von der Produktionsumgebung gespeichert.

Betriebssicherheit

Entsprechend unseres Informationssicherheits-Management-Systems (ISMS) wird die operative Sicherheit innerhalb des Unternehmens über definierte Richtlinien und Verfahren im Unternehmen gewährleistet. Unser Informationssicherheitsbeauftragter koordiniert und überprüft alle Bereiche unseres ISMS, um die Effektivität und Effizienz kontinuierlich zu verbessern.

Verlässlichkeit

Die commercetools-Plattform ist eine visionäre Headless-Commerce-Plattform, die für die Integration in einer Microservice-Architektur entwickelt wurde. Mit der commercetools-Plattform können Unternehmen Einkaufserlebnisse nahtlos über alle digitalen Endgeräte wie Smartphones, Tablets, Smartwatches und andere digitale Points-of-Sales hinweg realisieren.

Die SaaS-Lösung (Software-as-a-Service) wird in sogenannten Containern bereitgestellt und hat unabhängig vom Cloud-Anbieter (GCP oder AWS) dieselbe Struktur. Die vollständig automatische Skalierbarkeit des Systems ermöglicht eine sehr hohe Verfügbarkeit.

Business Continuity Management (BCM)

Ziel unseres Business Continuity Managements ist es sicherzustellen, dass die erforderlichen Services innerhalb definierter und vereinbarter Geschäftszeiten nach einem Ausfall wiederhergestellt werden können. Der implementierte Business-Continuity-Plan identifiziert mögliche Gefahren durch interne wie externe Bedrohungen, um sowohl Hard- als auch Software-Assets zeitnah wiederherstellen zu können. Der Wiederherstellungsplan umfasst zudem Maßnahmen, um Umständen wie Naturkatastrophen, organisiertes Verbrechen oder menschlichem Versagen begegnen zu können.

commercetools Technology Trust Center Business Continuity Management (BCM)

Performance Management

Ziel des Performance Management ist es die Infrastruktur und Dienste sowie unterstützende Organisationen dahingehend zu optimieren, dass die Verfügbarkeit und Zuverlässigkeit kostengünstig und nachhaltig sichergestellt werden kann, damit unsere Kunden immer ihre Geschäftsziele erreichen. Aufgrund der verteilten, Cloud-nativen und asynchronen Architektur der commercetools-Plattform besteht die Möglichkeit der automatischen Skalierung, wenn die Gesamtlast der Plattform für alle Kunden zunimmt.

commercetools Technology Trust Center Performance Management

Change Management Process

Änderungsanfragen können vom Kunden über ein Support-Ticket gestellt werden. Alternativ kann vom Plattform-Support-Team oder intern eine Änderung vorgeschlagen werden, um eine Komponente oder einen Prozess zu verbessern oder einen Fehler zu beheben. Die gesamte Entwicklung der commercetools-Plattform und der Infrastruktur erfolgt über automatisierte CI/CD-Pipelines in geeigneten Entwicklungs- und Testumgebungen. Um den Code bis zur Produktion auszurollen, sind mehrere Überprüfungen und Genehmigungen erforderlich.

commercetools Technology Trust Center Change Management Process

Compliance

Vor dem Onboarding neuer Lieferanten wird eine Überprüfung des Schutzniveaus des Anbieters durchgeführt, zudem werden die technischen und organisatorischen Maßnahmen dokumentiert. Unsere wichtigsten Subunternehmer sind unsere Cloud-Anbieter.

Unsere Cloud-Anbieter unterliegen regelmäßigen und unabhängigen Überprüfungen ihrer Sicherheits-, Datenschutz- und Compliance-Maßnahmen anhand nationaler und internationaler Standards. Diese Überprüfungen werden mittels Zertifizierungen, Konformitätsbescheinigungen und Auditberichte belegt.

Google Cloud Compliance

AWS Compliance Program

commercetools Technology Trust Center Compliance

Möchten Sie mehr erfahren?

Die commercetools GmbH wird außerdem kontinuierlich einer unabhängigen Überprüfung der Plattformsicherheits-, Datenschutz- und Compliance-Maßnahmen unterzogen. Unser starker und wachsender Fokus auf Standardkonformität unterstützt Sie dabei, ihre Anforderungen und Richtlinien einzuhalten.

Um die Prüfberichte anzufordern ist ein unterschriebenes NDA-Formular erforderlich. Bitte wenden Sie sich an Ihren Vertriebskontakt oder senden Sie Ihre Anfrage an security@commercetools.com.



commercetools Technology Trust Center Tisax

Tisax

commercetools ist TISAX-zertifiziert in den Modulen „Umgang mit Informationen mit hohem Schutzniveau“ und „Umgang mit personenbezogenen Daten gemäß Artikel 28 der Datenschutzgrundverordnung der EU“. TISAX steht für Trusted Information Security Assessment Exchange, einen Überprüfungsmechanismus für den Austausch von Information, betrieben von der ENX Association. Grundlage ist eine Bewertung auf Basis eines klar definierten Leistungsumfang, die für alle Organisationen in der gesamten Wertschöpfungskette der Automobilindustrie gleichermaßen geeignet und bindend ist. Die Dauer eines Tests hängt von der Größe und Anzahl der Standorte der Organisation ab.

commercetools Technology Trust Center ISAE3000

ISAE3000

commercetools ist ISAE3000-zertifiziert in den Bereichen Informationssicherheit und Datenschutz. ISAE 3000 ist der Standard für die Sicherheit nicht finanzieller Informationen. ISAE3000 wird von der International Federation of Accountants (IFAC) bereitgestellt. Der Standard besteht aus Richtlinien für das ethische Verhalten, das Qualitätsmanagement und die Leistung einer ISAE3000-Verpflichtung. Im Allgemeinen wird ISAE3000 für Audits der internen Maßnahmen und der Überprüfung der Einhaltung von Gesetzen und Vorschriften angewendet.

commercetools Technology Trust Center DSGVO Logo

DSGVO

commercetools ist DSGVO-konform und wird dahingehend regelmäßig durch externe Audits überprüft. Die Datenschutzgrundverordnung (DSGVO) zielt darauf ab, den Schutz personenbezogener Daten in Europa zu stärken, und wirkt sich so auf unsere komplette Wertschöpfungskette aus. Die Einhaltung der DSGVO hat für commercetools und damit auch für unsere Kunden höchste Priorität.

Datenschutz

Management-Prozesse

Unser Datenschutz-Management-System (DSMS) wurde in unser Informationssicherheits- Management-System (ISMS) integriert und basiert auf den Maßnahmen der ISO/IEC 27001 und ISO/IEC 27701. Beide Management-Systeme werden zentral verwaltet und im Rahmen interner und externer Audits regelmäßig überprüft.

Sicherheit der Datenverarbeitungsaktivitäten

Der Auftragsverarbeiter ist für die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen (TOM) verantwortlich, um personenbezogene Daten entsprechend zu sichern.

Löschprozesse

Löschanfragen des Datenverantwortlichen werden über das Support-Ticket ausgeführt. Für alle internen Geschäftsdaten von der commercetools GmbH wurden Löschkonzepte implementiert.

Datenverarbeitungsvereinbarung

Die Datenverarbeitungsvereinbarung (DSGVO) schreibt vor, dass der für die Datenverarbeitung Verantwortliche (z. B. Unternehmen, die die commercetools-Plattform verwenden) nur Datenverarbeiter (wie die commercetools GmbH) beauftragen darf, die ausreichende Garantien für den Datenschutz bieten, um die Anforderungen von Artikel 28 der DSGVO zu erfüllen. Die Datenverarbeitungsvereinbarung kann unter privacy@commercetools.com angefordert werden.

Datenschutzbeauftragter

Die commercetools GmbH arbeitet mit einem externen Datenschutzbeauftragten zusammen, der in enger Abstimmung mit unserem internen Datenschutzkoordinator steht. Kontaktieren Sie uns per E-Mail: privacy@commercetools.com.

Internationale Datenübertragung

Wie das zuvor geltende EU-Datenschutzrecht schreibt auch die DSGVO vor, dass Unternehmen nur dann personenbezogene Daten in Länder außerhalb der EU übertragen dürfen, wenn ein angemessenes Schutzniveau besteht und dies durch geeignete Rechtsmechanismen sichergestellt wird. Wir haben mit all unseren Unterauftragnehmern aus unsicheren Drittländern entsprechende EU-Standardvertragsklauseln vereinbart.

Konform mit der DSGVO, CCPA und dem Australia Privacy Act

Datenschutz ist ein wichtiger Aspekt unseres Geschäftslebens und wirkt sich auf die komplette Wertschöpfungskette unseres Geschäftsmodells aus. Die Einhaltung der DSGVO und weiterer globaler Datenschutzgesetze hat daher sowohl für die commercetools Gruppe und auch für unsere Kunden höchste Priorität.