Unsere größten Prioritäten sind es, Ihre Daten sicher und einfach zugänglich zu halten. Wir erreichen dies durch Anwendung eines 360-Grad-Ansatzes. Dies umfasst alles, von den modernsten Sicherheitsprotokollen und Hackerschutzvorrichtungen bis zu vielschichtigen strukturellen Ausfallsicherungen (auch als Redundanzen bekannt), die unsere Datenzentren vor Naturgewalten schützen.

Da kein System einen ausreichenden Schutz gegen jede potentielle Gefahr bietet, arbeitet MINDBODY mit der modernsten Abwehrtechnik und wird rund um die Uhr, 365 Tage im Jahr von kompetenten, erstklassig ausgebildeten Experten überwacht. Wenn Sie Fragen in Bezug auf die Sicherheit bei MINDBODY haben, senden Sie uns bitte eine E-Mail an privacy@mindbodyonline.com.

  • Sichere Datenzentren

    MINDBODY arbeitet mit sicheren Tier 4-Datenzentren in Irvine, Kalifornien, und Las Vegas, Nevada, zusammen. Jedes Datenzentrum wird rund um die Uhr. 365 Tage im Jahr von kompetenten, erfahrenen IT-Experten überwacht.

    • SSAE-Typ II und -Typ III kompatibel
    • Erdbebensicherheit bis Zone 4
    • Systemüberwachung liefert Echtzeitdaten zum Anlagenbetrieb, was die sofortige Identifizierung von Problemen ermöglicht
    • Mehrfach parallelisierte N+1 UPS-Module, konfiguriert in redundanten Systemen zur Ermöglichung einer A/B-Leistungskonfiguration
    • Zwanzig Megawatt erweiterbares N+1-Leistungs-Backup durch Generatoren
    • Ein Brandfrühwarnsystem (VESDA) mit Brandunterdrückungsanlage
    • Multiple Fasereingänge an Strukturen
    • Zugangskontrollsysteme (biometrische Scans und Zugang nur mit Persönlicher Identifikationsnummer (PIN-Code)) mit separaten Schlössern für jeden MINDBODY-Serverschrank

    Netzwerkschutz

    MINDBODY-Netzwerke werden zum Schutz vor möglichen Gefahren überwacht. Mögliche Gefahren umfassen Hacker, Datenklau, Adware, Spyware, Popups, Browsernutzung und Pishingversuche.

    • Alle Sicherungsserver sind mit Layer 7 Firewalls, bester Routertechnologie, TLS-Verschlüsselung, Dateiintegritätsüberwachung und Netzzugangsüberwachungssystem ausgestattet, die schädlichen Datenverkehr und Netzwerkangriffe identifizieren. Netzwerksicherungsscans helfen uns schädliche Systeme schnell zu identifizieren.
    • Alle Netzwerke werden mithilfe eines SIEM-Systems zum Schutz gegen sicherheitsrelevante Vorfälle überwacht, welches Protokolle aller Netzwerksysteme erstellt und bei entsprechenden Ereignissen einen Alarm auslöst.
    • Zusätzlich zu unseren eigenen Kapazitäten und denen unserer Hosting Provider kooperieren wir mit bedarfsweise einsetzbaren DDoS-Anbietern, die es uns ermöglichen, DDoS-Attacken sicher abzuwehren.
    • Zugriffserkennungssensoren in unserem gesamten internen Netzwerk melden Ereignisse zur Erfassung, Alarmmeldung und Berichterstellung direkt an das SIEM-System.

    Notfallplan

    Um die Verfügbarkeit unserer Systeme zu gewährleisten, besteht die Möglichkeit, im Ernstfall direkt auf ein Notfall-Datenzentrum zu wechseln, in dem regelmäßige Testläufe stattfinden,

    • Das DR-Datenzentrum befindet sich in einem anderen Staat als die MINDBODY-Hauptsitze mit Internetzugang und Stromversorgung, sodass diese bei einem eventuellen Katastrophenereignis in Kalifornien unberührt bleiben.
    • Wir speichern bei jedem Datenzentrum Datenreplikationen in Echtzeit und nahezu in Echtzeit zwischen dem Produktionsdatenzentrum und dem Notfallzentrum.
    • Notfalltests verifizieren unsere geplanten Erholungszeiten und die Integrität der Kundendaten.
    • Unser Design bietet die Möglichkeit, in einem eventuellen Katastrophenfall alle MINDBODY-Dienste zügig wiederherzustellen.

    Schwachstellenanalysen und Berichterstellung

    MINDBODY und seine unterstützende Datenschutzinfrastruktur werden regelmäßig in Bezug auf potentiell gefährliche Risiken geprüft.

    • Alle MINDBODY-Sicherheitsanalytiker verfügen über ein CISSP-Zertifikat (Certified Information Systems Security Professional).
    • Wir verwenden branchenanerkannte Sicherheitsexperten dritter Parteien, Sicherheitsfunktionen der Unternehmensklasse und Instrumente beim Kunden vor Ort, um die Anwendung und Produktionsinfrastruktur regelmäßig zu prüfen und zu gewährleisten, dass alle Risiken identifiziert und schnellstmöglich behoben werden.
    • Wir beschäftigen einige qualifizierte Sicherheitstools von Drittanbietern, um unsere Anwendung sowohl regelmäßig zu prüfen als auch statistische Analysen unseres Codebestands durchzuführen.
    • Ein dritter Serviceanbieter prüft das Netzwerk kontinuierlich extern und meldet Abweichungen unserer Basiskonfiguration.
    • Hier können Sie unsere aktuelle Quartalsprüfung einsehen.
  • Sichere Datenübertragung und Sitzungen

    Wir nutzen Transport Layer Security (TLS), eine Form der Datenverschlüsselung, um den Datenschutz sämtlicher Internetkommunikationen zu gewährleisten.

    • Einzelne Nutzersitzungen werden durch den einmaligen Benutzernamen bei der Anmeldung identifiziert.
    • Mehrschichtige Überwachungsgeräte, inklusive Web Application Firewall (WAF)
    • Zugriffsschutzsystem

    PCI-DSS & HIPAA-Konformität

    Wir nehmen Sicherheit ernst, daher handhaben wir bei unseren bestehendes Netzwerkprotokollen höchste Sicherheitsstandards: PCI DSS, Tier 1. Um unsere PCI Level 1-Zertifizierung zu erhalten, unterzieht sich MINDBODY einer jährlichen Prüfung. Um unsere PCI Level 1-Zertifizierung zu erhalten, unterzieht sich MINDBODY einer jährlichen Prüfung.Um unsere PCI Level 1-Zertifizierung zu erhalten, unterzieht sich MINDBODY einer jährlichen Prüfung. Außerdem durchläuft MINDBODY ein jährliches HIPAA-Risiko-Assessment, das vom HITRUST CSF Assurance Program analysiert und zugelassen wird. Außerdem durchläuft MINDBODY ein jährliches HIPAA-Risiko-Assessment, das vom HITRUST CSF Assurance Program analysiert und zugelassen wird.Außerdem durchläuft MINDBODY ein jährliches HIPAA-Risiko-Assessment, das vom HITRUST CSF Assurance Program analysiert und zugelassen wird.

    Wir haben uns den sechs besten Sicherheitspraktiken zum Schutz elektronisch geschützter Gesundheitsinformationen (ePHI) und Kreditkarten verpflichtet, was Folgendes umfasst, aber nicht darauf begrenzt ist:

    1. Wartung eines sicheren Netzwerks
    2. Verschlüsselung und ePHI- und Kreditkartenschutz
    3. Pflege eines Schwachstellen-Managementprogramms
    4. Implementierung strenger Zugangskontrollen
    5. Überwachung und Testen von Produktions- und Entwicklungsnetzwerken
    6. Pflege eines Informationssicherheitsprogramms und entsprechender Richtlinien

    Erfahren Sie mehr darüber, wie wir unsere PCI-Konformität mit VISA validieren.

    Daten-Backups

    MINDBODY arbeitet zum Schutz vor Datenverlust oder Datenkorruption auf vielfache Weise mit Backup-Daten. Jedes Backup wird auf einem sicheren und verschlüsseltem Server gespeichert.

    • Alle Kundendaten werden auch einem sicheren Server oder an einem Backup-Ort gespeichert, der eine Zugangsautorisierung erfordert.
    • Alle Kundeninformationen werden auf ihren eigenen zugewiesenen Datenbeständen gespeichert, von denen zum Schutz gegen Datenverlust oder Datenkorruption regelmäßig ein Backup erstellt wird.
    • Zum Schutz vor Datenverlust werden alle 15 Minuten Snapshots aller Teilnehmerdaten erstellt. Außerdem werden täglich und monatlich Archiv-Backups aller Teilnehmerdatenbestände erstellt, die 30 Tage bzw. 13 Monate aufbewahrt werden.

    Meldung von Störfällen und Sicherheitsverletzungen

    Inhalte in Bezug auf die Sicherheitsrichtlinien von MINDBODY sind bestens dokumentiert und für unsere Kunden auf Anfrage verfügbar.

    • MINDBODY verwendet etablierte Routinemaßnahmen („Runbooks“), um auf Systemwarnungen, Systemausfälle oder potentielle Sicherheitsgefahren schnell reagieren zu können.
    • Weltweit wird ein Krisenkommunikationsplan gehandhabt, der für den Fall eines Notfallereignisses, Anweisungen zur Benachrichtigung von Kunden enthält.
    • Jeder bestätigte, nicht autorisierte Zugang, der die Datensicherheit beeinträchtigt, aktiviert ein Incident Resonse-Team, welches ein definiertes und geprüftes Meldeverfahren handhabt.
    • MINDBODY generiert eine ePHI- und Kreditkartenverstoß-Meldung mit sämtlichen verfügbaren Fakten in Bezug auf die Tragweite des Verstoßes konform den PCI-DSS- und HIPAA-Leitlinien zur Anzeigepflicht von Verstößen, 45 CFR §§ 164.400-414.

    EU-DSGVO

    Die Datenschutz-Grundverordnung (DSGVO) ist ein europäisches Datenschutzgesetz, das den Datenschutz für Einzelpersonen innerhalb der EU stärken und vereinheitlichen soll. Des weiteren bietet es den Bürgern innerhalb der EU mehr Kontrolle, wie ihre personenbezogenen Daten verwendet werden. Die DSGVO trat am 25. Mai 2018 in Kraft.

    Die DSGVO betrifft alle Unternehmen innerhalb der EU, wie auch alle Unternehmen, die personenbezogene Daten von EU-Bürgern und Bewohnern der EU verwalten. 

    MINDBODY hat viel Arbeit investiert, um sicherzustellen, dass unsere Processe der DSGVO entsprechen. Es ist ebenfalls wichtig, dass Sie sicherstellen, dass Ihre eigenen Prozesse der DSGVO entsrechen.

    MINDBODYs FAQ-Sheet bietet Antworten zu häufig gestellten Fragen bezüglich der DSGVO.

Lesen Sie zur weiteren Information unsere Sicherheitsrichtlinien.