Security

Plattform Security

Die Soulclick Plattform setzt auf bewährte open-source Frameworks (Django, React, etc.) und lokale, erfahrene Lieferanten (Datatrans, Exoscale, etc.) welche ihrerseits regelmässige Security-Tests und Updates bereitstellen. Die Updates unserer Frameworks und Partner werden automatisiert auf unserer Plattform aufgespielt, wodurch diese immer auf dem neusten Stand der Technik operiert. Ebenfalls unterziehen wir unsere Softwarelösung, mitsamt allen Drittsystemen, regelmässigen Pen-Tests und prüfen diese auf mögliche Sicherheitslücken. Infrastrukturtechnisch werden alle Accounts voneinander losgekoppelt in der Cloud betrieben und es werden regelmässig und automatisiert Backups und Updates vollzogen.

Zusätzlich halten wir folgende Security-Standards ein respektive haben folgende Präventionsmechanismen im Einsatz:

• SSL-Zertifikat (TLS 1.3) -> auf Wunsch Stufe 2 oder 3
• Cross site scripting (XSS) protection
• Cross site request forgery (CSRF) protection
• SQL injection protection
• Clickjacking protection
• Host header validation
• Cross-origin opener policy
• Session security
• Verschlüsselte Backups
• Hosting und Backups in der Schweiz
• Regelmässige Recovery-Tests

Payment

Alle Zahlungstransaktionen werden per 256bit TLS Encryption verschlüsselt durch unser Payment Gateway transferiert. Die Zahlungslösung ist zudem seit 2006 PCI Level 1 (höchste Stufe) zertifiziert und es erfolgen regelmässige Re-Zertifizierungen, Pen-Tests und Audits durch Kreditkarten-Firmen, Auditoren und das PCI-Komitee. Der Transfer erfolgt über eine sichere JSON API-Schnittstelle. Mehr gibt's unter: https://www.datatrans.ch/de/features/security-compliance/

Spender:innen Daten

Datenschutz

In unserer Datenschutzerklärung (https://soulclick.ch/de/datenschutzbestimmungen/) deklarieren wir explizit den Umgang mit Daten, insbesondere sensiblen personenbezogenen Daten. Unsere Plattform hält sowohl die schweizerischen als auch die europäischen Datenschutzrichtlinien ein.

Datensicherheit

Datensicherheit und Datenschutz werden bei uns grossgeschrieben. Daten werden ausschliesslich in der Schweiz gehostet und gespeichert. Die eingesetzte Cloud-Infrastruktur erfüllt höchste Sicherheits-Standards. Externe Parteien haben zu keiner Zeit physischen oder digitalen Zugriff auf die jeweilige Infrastruktur, Daten oder Accounts. Die Cloud erfüllt höchste Security-Standards (ISO27001), wird regelmässig auditiert und ist Mitglied der Cloud Security Alliance (CSA).

Datenverarbeitung

Personenbezogene Daten von Spenderinnen und Spendern werden unsererseits nicht weiterverarbeitet oder zu Studienzwecken (z.B. Spendenstudien) weiterverwertet. Eine Nutzung von Daten ohne ausdrückliche Willensäusserung (Consent) ist für uns ethisch nicht vertretbar. Die gängige Marktpraxis, sprich die anonymisierte Weiterverwertung von Daten zu Studienzwecken, ist unseres Erachtens inakzeptabel. Im Falle einer intensiven Zusammenarbeit im Tagesgeschäft schliessen wir mit Kundinnen und Kunden eine entsprechende Stillschweigevereinbarung.