Zoho-Sicherheit – Häufig gestellte Fragen (FAQ)

  • Hält sich Zoho an die Informationssicherheitsstandards? 

    Wir verfügen über ein Informationssicherheitsmanagementsystem (Information Security Management System, ISMS), das aus ISO-Standards abgeleitet ist und unsere Sicherheitsziele sowie die Risiken und schadensbegrenzenden Maßnahmen im Zusammenhang mit allen interessierten Parteien berücksichtigt. Wir haben die Zertifizierungen ISO 27001, ISO 27017 und ISO 27018 erhalten, die unsere Einhaltung der Standards nachweisen 

  • Wo werden meine Daten gespeichert? Kann ich auswählen, wo mein Konto und meine Daten gespeichert werden?

    Das Rechenzentrum, in dem Ihre Daten gespeichert werden, wird automatisch auf der Grundlage des Landes ausgewählt, das Sie bei der Anmeldung für die Dienste von Zoho ausgewählt haben.  Die Informationen darüber, welches Rechenzentrum ausgewählt wurde, werden direkt unter der Länderauswahlliste im Anmeldeformular angezeigt.

    Sie können jederzeit erkennen, in welchem Rechenzentrum sich Ihre Daten befinden, indem Sie die URL im Browser aufrufen, wenn Sie bei Zoho angemeldet sind und unsere Anwendungen verwenden.

    • 1. Wenn die URL das Format "*.zoho.com" hat (wobei [das Sternchen] für den Namen einer Zoho-Anwendung wie crm, people, one steht), werden Ihre Daten in einem Rechenzentrum in den Vereinigten Staaten (US) gespeichert. 
    • 2. Wenn die URL das Format "*.Zoho.eu" hat, werden Ihre Daten in einem Rechenzentrum in Europa (EU) gespeichert.
    • 3. Wenn die URL das Format "*.Zoho.in" hat, werden Ihre Daten in einem Rechenzentrum in Indien (IN) gespeichert.
    • 4. Wenn die URL das Format "*.zoho.com.au" hat, werden Ihre Daten in einem Rechenzentrum in Australien (AU) gespeichert./li>
  • Haben Mitarbeiter von Zoho Zugriff auf unsere Daten und auf welche Daten haben sie Zugriff?

     Nur eine sehr begrenzte Anzahl von Mitarbeitern hat Zugang zu den Servern, um Notarbeiten wie die Fehlerbehebung durchzuführen. Außerdem wird dieser Zugriff streng überwacht, protokolliert und geprüft, um das Risiko einer Datengefährdung zu minimieren.

  • Werden Daten, die in Cloud-Produkten von Zoho gespeichert sind, verschlüsselt?

    Wir verschlüsseln Kundendaten sowohl im Ruhezustand als auch bei der Übertragung. Daten im Ruhezustand werden mit dem Branchenstandard AES-256 verschlüsselt. Alle über öffentliche Netzwerke übertragene Kundendaten werden mithilfe von Transport Layer Security (TLS) 1.2/1.3 mit Perfect Forward Secrecy (PFS) verschlüsselt, um sie vor unberechtigter Offenlegung oder Änderung zu schützen. Wenn Sie weitere Informationen zur Verschlüsselung bei Zoho erhalten möchten, klicken Sie hier.

  • Wie werden Verschlüsselungsschlüssel verwaltet, und können Kunden ihre eigenen Schlüssel hochladen?

    Die Schlüssel gehören uns, und wir verwalten sie mit unserem internen Schlüsselverwaltungsdienst (Key Management Service, KMS). Derzeit gibt es keine Möglichkeit für Kunden, ihre eigenen Schlüssel hochzuladen.

  • Wie werden Passwörter für die Cloud-Dienste von Zoho gespeichert?

    Die Passwörter, die Sie für den Zugriff auf Zoho-Dienste verwenden, werden in einem irreversiblen Verschlüsselungsschema gespeichert. Wir verwenden den Hashing-Algorithmus bcrypt mit Salt pro Benutzer. Selbst wenn unsere Anmeldedatenbank gestohlen würde, wäre das Reverse Engineering von Passwörtern extrem kostspielig.

  • Wie wird die Kundendatensegmentierung in den Cloud-Diensten von Zoho implementiert?

    Unser Framework verteilt und verwaltet den Cloud-Speicherplatz für unsere Kunden. Die Daten mehrerer Kunden sind logisch voneinander getrennt, und unser Framework stellt sicher, dass die Servicedaten der Kunden keinem anderen Kunden zugänglich sind.

  • Wie schützt Zoho vor DDoS-Angriffen?

    Wir verwenden Technologien von etablierten und vertrauenswürdigen Dienstanbietern, die mehrere Funktionen zur DDoS-Minderung bieten, um Störungen durch solche Angriffe zu verhindern.

  • Führt Zoho Penetrationstests und Codescans durch?

    Ja, wir führen regelmäßig automatisierte und manuelle Penetrationstests durch. Wir verwenden eine Kombination aus zertifizierten Scanner-Tools von Drittanbietern und internen Tools zum Scannen von Codes.

  • Ich habe eine Schwachstelle in einem Ihrer Produkte festgestellt. Wie melde ich sie?

    Wenn Sie eine Schwachstelle in einem unserer Produkte entdeckt haben, würden wir uns freuen, wenn Sie uns dies mitteilen, damit wir diese so schnell wie möglich beheben können. Wir haben eine verantwortungsvolle Offenlegungsrichtlinie und ein Bug Bounty-Programm. Weitere Informationen finden Sie unter https://bugbounty.zoho.com/.

  • Verfügt Zoho über ein Incident Response-Programm?

    Wir verfügen über ein dediziertes Incidence Response-Team, das für die Erkennung, Bewertung, Forensik, Eindämmung und Wiederherstellung von Vorfällen zuständig ist. In den Fällen, in denen wir Datenverantwortliche sind und ein Vorfall zu einer Verletzung der Datensicherheit führt, werden die betroffenen Kunden innerhalb von 72 Stunden nach Bekanntwerden benachrichtigt. In den Fällen, in denen wir Datenverarbeiter sind und ein Vorfall zu einer Verletzung der Datensicherheit führt, werden die jeweiligen Datenverantwortlichen unverzüglich informiert. 

    Bei allgemeinen Vorfällen informieren wir Benutzer auf unseren Blogs, in unseren Foren und über soziale Medien. Bei Vorfällen, die sich speziell auf einzelne Benutzer oder Unternehmen beziehen, werden wir die betroffenen Beteiligten per E-Mail benachrichtigen (unter Verwendung der primären E-Mail-Adresse). Der vollständige Bericht wird Kunden auf Anfrage innerhalb von 5 bis 7 Werktagen zur Verfügung gestellt.

  • Welche Verantwortlichkeiten übernimmt Zoho bei einem Sicherheitsvorfall?

    Wir informieren Sie über die Vorfälle, die Sie betreffen, sowie über geeignete Maßnahmen, die Sie ergreifen müssen. Wir verfolgen und schließen die Vorfälle mit entsprechenden Korrekturmaßnahmen. Sofern zutreffend, stellen wir Ihnen die erforderlichen Nachweise zu Vorfällen zur Verfügung, die für Sie relevant sind. Die Ursachenanalyse wird auf Anfrage bereitgestellt.

  • Ist Zoho PCI DSS-konform? 

    Zu den PCI DSS-konformen Zoho-Diensten gehören die folgenden: Alle Zoho Finance Plus-Produkte, d. h. Zoho Books, Zoho Invoice, Zoho Inventory, Zoho Subscription, Zoho Expense, Zoho Checkout und Zoho Commerce. Der Zahlungsservice, den Kunden zum Erwerb von Abonnements von Zoho verwenden, ist ebenfalls PCI-konform.

    Andere Zoho-Dienste übermitteln oder speichern Ihre Kreditkartendaten niemals.

  • Welche zusätzlichen Sicherheitsoptionen habe ich als Kunde von Zoho, um meine Daten zu schützen?

    Zusätzliche Sicherheitsfunktionen, die Kunden nutzen können:

    • Multifaktor-Authentifizierung
    • Konfigurierbare Passwortrichtlinie
    • IP-Einschränkungen
    • Zugriffskontrolle auf Rollenbasis
    • Verschlüsselung für benutzerdefinierte Felder
    • Kontoaktivitätsprüfung
  • Wie lange werden Daten aufbewahrt, wenn ein Kunde den Zoho-Dienst nicht mehr nutzt?

    Wir speichern die Daten in Ihrem Konto, so lange Sie Zoho-Dienste verwenden. Sobald Sie Ihr Zoho-Benutzerkonto kündigen, werden Ihre Daten bei der nächsten Bereinigung, die alle 6 Monate durchgeführt wird, aus der aktiven Datenbank gelöscht. Die aus der aktiven Datenbank gelöschten Daten werden nach 3 Monaten aus unseren Backups gelöscht.

  • Was ist der Business Continuity- und Disaster Recovery-Plan von Zoho?

    Wir haben einen Business Continuity-Plan für unsere wichtigsten Abläufe wie Support und Infrastrukturmanagement. Aus Redundanzgründen werden Daten im primären Rechenzentrum (DC) im sekundären Rechenzentrum repliziert. Bei einem Ausfall des primären DC übernimmt das sekundäre DC, und der Betrieb erfolgt reibungslos mit minimalem oder ohne Zeitverlust.

  • Welche Datensicherungsrichtlinie verwenden Sie?

    Wir führen einmal wöchentlich komplette Backups und täglich inkrementelle Backups durch. Sicherungsdaten in einem Rechenzentrum (DC) werden am gleichen Ort gespeichert und im Ruhezustand verschlüsselt wie die Originaldaten. Darüber hinaus führen wir wöchentlich eine Wiederherstellung und Validierung von Backups durch. Für alle gesicherten Daten gilt eine Aufbewahrungszeit von 3 Monaten. Im Falle einer Anfrage eines spezifischen Kunden stellen wir die Daten aus dem Backup wieder her und stellen sie ihm zur Verfügung.

  • Welche Kontrollen haben Sie beim Zugriff auf Kundendaten?

    Wir setzen technische Zugriffskontrollen und interne Richtlinien ein, um Mitarbeitern den willkürlichen Zugriff auf Benutzerdaten zu untersagen. Wir halten uns an die Prinzipien der geringsten Rechte und rollenbasierten Berechtigungen, um das Risiko einer Datengefährdung zu minimieren.  Der Zugriff auf Produktionsumgebungen wird durch ein separates Netzwerk mit strengeren Regeln und gehärteten Geräten unterstützt. Die Zugriffskontrolle wird über ein zentrales Verzeichnis verwaltet und mithilfe einer Kombination aus starken Passwörtern, Zwei-Faktor-Authentifizierung und durch eine Passphrase geschützte SSH-Schlüssel authentifiziert.

  • Wie hoch ist Ihre SLA-Verpflichtung zur Verfügbarkeit?

    Unsere SLA-Verpflichtung zur Verfügbarkeit beträgt 99,9 % monatliche Betriebszeit. Um dies zu erreichen, haben wir Redundanzen auf verschiedenen Ebenen implementiert, angefangen von der Infrastruktur bis hin zum ISP. Daten aus dem primären Rechenzentrum werden im sekundären Rechenzentrum repliziert, und eine schreibgeschützte Version von Zoho-Anwendungen wird immer vom sekundären Rechenzentrum aus bereitgestellt.

  • Wie sieht Ihr Risikobewertungsprozess aus? Wie oft wird eine Risikobewertung durchgeführt?

    Wir verfügen über eine Richtlinie und ein Verfahren zur Risikobewertung, um Risiken durch die Implementierung geeigneter Kontrollmaßnahmen zu identifizieren, zu analysieren und zu mindern. Wir führen eine Risikobewertung für jede größere Änderung durch, die in unserer Umgebung stattfindet. Die Gesamtrisiken werden einmal jährlich überprüft und aktualisiert. 

  • Wie sieht die Richtlinie für die Hintergrundprüfung Ihrer Mitarbeiter aus?

    Jeder Mitarbeiter durchläuft einen Prozess der Hintergrundprüfung. Wir beauftragen renommierte externe Agenturen, diese Prüfung in unserem Namen durchzuführen. Wir führen eine solche Prüfung durch, um ihre Vorstrafen und frühere Beschäftigungen, sofern vorhanden, sowie ihren Ausbildungshintergrund zu überprüfen. Bis zur Durchführung dieser Prüfung werden dem Mitarbeiter keine Aufgaben zugewiesen, die Risiken für Benutzer darstellen können.

  • Über welche Zertifizierungen verfügt Zoho, um die Einhaltung von Standards nachzuweisen?

    Wir sind nach den folgenden ISO-Normen zertifiziert: ISO 27001, ISO 27017 und ISO 27018.  Darüber hinaus ist Zoho SOC 2 Typ II-konform in den Bereichen Sicherheit, Vertraulichkeit, Verarbeitungsintegrität, Verfügbarkeit und Datenschutz. Die entsprechenden ISO- und SOC-Prüfungen werden jährlich durchgeführt und decken alle wichtigen und essenziellen Kontrollen ab. Zoho Corporation nimmt am EU-US-Privacy Shield teil und zertifiziert dessen Einhaltung. Privacy Shield Framework.

    Klicken Sie hier, um weitere Details zu erhalten.

  • Werden Sie meine Daten zum Zweck der Strafverfolgung weitergeben?

    Wir legen stets großen Wert auf den Datenschutz unserer Kunden. Wenn wir Ersuche von Strafverfolgungsbehörden erhalten, prüfen wir diese Anfragen, um festzustellen, ob der anwendbare rechtliche Prozess für eine gültige und verbindliche Verfügung befolgt wird. Wir erheben Einspruch gegen übertriebene oder anderweitig unangemessene Ersuche. Sofern dies nicht gesetzlich verboten ist, informieren wir Kunden, bevor wir Kundendaten offenlegen, damit die Kunden um Schutz vor der Offenlegung ersuchen können.