Thank you! Your submission has been received!
Sicherheit und Compliance haben für Classtime höchste Priorität, da sie für Ihre Erfahrung mit dem Produkt von grundlegender Bedeutung sind. Classtime verpflichtet sich, Ihre Daten zu schützen, Schwachstellen im System zu beseitigen und die Kontinuität des Zugriffs zu gewährleisten.
Classtime nutzt eine Vielzahl von branchenüblichen Technologien und Diensten, um Ihre Daten vor unbefugtem Zugriff, Offenlegung, Nutzung und Verlust zu schützen. Alle Mitarbeiter von Classtime durchlaufen einen strukturierten Einstellungsprozess, in dem fachliche Kompetenzen, Integrität und die Übereinstimmung mit den Unternehmenswerten bewertet werden. Mitarbeitende erhalten während der Einarbeitung und jährlich Sicherheitsschulungen.
Die Sicherheitsaufsicht wird vom Chief Technology Officer und vom Information Security Manager von Classtime wahrgenommen. Operative Sicherheitskontrollen werden vom DevOps-Team implementiert und aufrechterhalten.
Classtime wird auf der Google Cloud Platform gehostet. Die Rechenzentren von Google verfügen über ein mehrschichtiges Sicherheitsmodell, das umfangreiche Schutzmassnahmen umfasst, darunter:
Laut dem Google-Sicherheits-Whitepaper setzen die Google-Rechenzentren zudem Sicherheitsmassnahmen wie Laserstrahl-Einbruchserkennung und eine Rund-um-die-Uhr-Überwachung durch hochauflösende Innen- und Aussenkameras ein, um Eindringlinge zu erkennen und zu verfolgen. Darüber hinaus sind Zugriffsprotokolle, Aktivitätsaufzeichnungen und Kameraaufnahmen für den Fall eines Vorfalls verfügbar, und erfahrene Sicherheitskräfte, die strengen Hintergrundüberprüfungen und Schulungen unterzogen wurden, patrouillieren regelmässig in den Google-Rechenzentren
Classtime-Mitarbeitende haben keinen physischen Zugang zu den Rechenzentren, Servern, Netzwerkgeräten oder Speichersystemen von Google.
Classtime ist der zugewiesene Administrator seiner Infrastruktur auf der Google Cloud Platform. Nur bestimmte autorisierte Mitglieder des Classtime-Betriebsteams haben Zugriff, um die Infrastruktur bei Bedarf hinter einem durch Zwei-Faktor-Authentifizierung gesicherten virtuellen privaten Netzwerk zu konfigurieren. Für einzelne Server sind spezifische private Schlüssel erforderlich, und die Schlüssel werden an einem sicheren und verschlüsselten Ort gespeichert.
Classtime unterzieht sich jährlichen Penetrationstests, die von einer unabhängigen Drittpartei durchgeführt werden. Für die Tests stellt Classtime der Agentur, die den Test durchführt, einen isolierten Klon von classtime.com sowie ein Übersichtsdiagramm der Anwendungsarchitektur zur Verfügung. Im Rahmen der Penetrationstests werden der Agentur keine Kundendaten offengelegt.
Informationen über Schwachstellen, die bei den Penetrationstests identifiziert wurden, werden verwendet, um Prioritäten für Abhilfemassnahmen festzulegen und die Sicherheitskontrollen zu verstärken. Detaillierte Berichte werden vertraulich behandelt und nicht öffentlich verbreitet.
Die Google Cloud Platform wird regelmässig verschiedenen unabhängigen Audits durch Dritte unterzogen und kann die Einhaltung von Compliance-Kontrollen für ihre Rechenzentren, Infrastruktur und Betriebsabläufe nachweisen. Dazu gehören unter anderem die SSAE 18-konforme SOC 2-Zertifizierung und die ISO 27001-Zertifizierung.
Classtime unterzieht sich regelmässig unabhängigen Audits durch Dritte, und das ISO 27001-Zertifikat von Classtime wird Kunden auf Anfrage zur Verfügung gestellt.
Classtime überwacht seine Infrastruktur kontinuierlich, um ungewöhnliche Netzwerkaktivitäten oder verdächtiges Verhalten zu erkennen, die auf einen Sicherheitsvorfall hindeuten könnten. Unsere Überwachungssysteme kombinieren automatisierte Warnmeldungen, Anomalieerkennung und die Protokollierung kritischer Ereignisse, um potenzielle Bedrohungen in Echtzeit zu identifizieren.
Zu den Schutzmassnahmen gehören die Kontrolle der Angriffsfläche, die Implementierung von Zugriffskontrollen und der Einsatz automatisierter Prüfungen, die verhindern, dass bekannte Bedrohungen das System beeinträchtigen.
Zwar bietet Classtime keinen direkten Zugriff auf die forensische Analyse von Sicherheitsereignissen, doch unsere Technik- und Supportteams reagieren umgehend auf Vorfälle, untersuchen die Ursachen und ergreifen Massnahmen zur Risikominderung gemäss unseren formellen Richtlinien zum Vorfallmanagement. Kunden werden gemäss unseren Verfahren zur Verfügbarkeit und Kommunikation über relevante Serviceunterbrechungen oder datenrelevante Vorfälle auf dem Laufenden gehalten.
Classtime legt seine Dienste auf hohe Verfügbarkeit aus und sorgt für Redundanzen bei kritischen Komponenten wie Webservern, Anwendungsservern und Datenbanken. Regelmässige Wartungsarbeiten und Updates werden mit minimalen Auswirkungen auf die Serviceverfügbarkeit durchgeführt. In der Vergangenheit hat Classtime eine Verfügbarkeit von mindestens 99,95 % über alle Dienste hinweg aufrechterhalten.
Classtime erstellt regelmässig verschlüsselte Backups von Anwendungs- und Unternehmensdaten. Diese Backups werden sicher gespeichert und aufbewahrt, um im Falle eines versehentlichen Datenverlusts eine Wiederherstellung zu ermöglichen. Es sind Prozesse vorhanden, um die Kontinuität des Dienstes und die Datenintegrität in routinemässigen Betriebsszenarien sicherzustellen.
Classtime verfügt über dokumentierte Verfahren zur Wiederherstellung der Dienstfunktionalität im Falle schwerwiegender Systemausfälle, einschliesslich der Wiederherstellung von Daten aus Backups und der erneuten Bereitstellung von Anwendungskomponenten. Obwohl wir aus Compliance-Gründen keine geografische Redundanz über verschiedene Regionen hinweg nutzen, ist unsere Infrastruktur auf drei separate Rechenzentren verteilt. Diese lokale Redundanz ermöglicht ein Failover innerhalb von Minuten und priorisiert so effektiv sowohl die Systemverfügbarkeit als auch den Datenschutz.
Daten werden sicher über HTTPS (TLS 1.2-Verschlüsselung während der Übertragung) vom Browser an unsere Server übertragen. Es werden nur Daten erfasst, die für den Betrieb der Anwendung erforderlich sind. Alle eingehenden Daten werden gemäss unseren Sicherheits- und Datenschutzrichtlinien verarbeitet und gespeichert.
Es werden Audit-Protokolle geführt, um die Systemaktivität zu überwachen, das Incident Management zu unterstützen und die Betriebsintegrität sicherzustellen.
Alle Daten, die von Classtime an Dienste von Drittanbietern gesendet werden, werden nach Möglichkeit anonymisiert/pseudonymisiert oder verschlüsselt. Es werden nur notwendige Informationen an Dritte übermittelt, die ausdrücklich aufgeführt und auf die Einhaltung unserer Sicherheits- und Datenschutzstandards überprüft wurden (siehe Liste der Unterauftragsverarbeiter in unserer Datenverarbeitungsvereinbarung).
Der Zugriff auf verarbeitete Daten unterliegt strengen Kontrollen, wobei rollenbasierte Berechtigungen regeln, wer Informationen einsehen oder abrufen darf. Dadurch wird sichergestellt, dass Daten, die das System verlassen oder intern abgerufen werden, gemäss den Richtlinien von Classtime und den geltenden Vorschriften geschützt sind.
Alle Daten auf den Classtime-Servern werden im Ruhezustand unter Verwendung von Verschlüsselungsmechanismen nach Industriestandard (AES-256) verschlüsselt. Die Google Cloud Platform speichert und verwaltet kryptographische Datenschlüssel in ihrem redundanten und global verteilten Key Management Service. Selbst wenn ein Eindringling jemals Zugriff auf eines der physischen Speichergeräte erlangen sollte, wäre es ohne die Schlüssel dennoch unmöglich, die darin enthaltenen Classtime-Daten zu entschlüsseln, wodurch die Informationen zu einem nutzlosen Durcheinander aus zufälligen Zeichen würden.
Die Verschlüsselung im Ruhezustand ermöglicht zudem Kontinuitätsmassnahmen wie Backups und Infrastrukturmanagement, ohne die Datensicherheit und den Datenschutz zu beeinträchtigen.
Classtime überträgt Daten ausschliesslich über HTTPS-Verbindungen (Transport Layer Security, TLS), um zusätzliche Sicherheit beim Datentransfer zur und von der Anwendung zu gewährleisten.
Classtime speichert Produktionsdaten so lange, wie es für die Erbringung der Dienstleistung und die Erfüllung vertraglicher und gesetzlicher Verpflichtungen erforderlich ist. Von einem Nutzer gelöschte Daten werden 30 Tage lang (oder wie vereinbart) archiviert und anschliessend automatisch aus unseren aktiven Systemen entfernt.
Classtime führt tägliche Backups der Produktionsdaten durch, die 30 Tage lang aufbewahrt werden. Darüber hinaus werden monatliche Backups erstellt und 180 Tage lang aufbewahrt, um längerfristige Wiederherstellungsszenarien zu unterstützen.
Insgesamt können Daten nach ihrer anfänglichen „Löschung“ (Archivierung) bis zu 9 Monate in Backups gespeichert bleiben. Backups werden gemäss den Sicherheitsrichtlinien von Classtime sicher gespeichert und geschützt.
Nach Ablauf der festgelegten Aufbewahrungsfrist werden die Backup-Daten automatisch und dauerhaft gelöscht.
Classtime unterstützt die sichere Authentifizierung durch Single-Sign-On-Integrationen (SSO), einschliesslich OpenID Connect (OIDC) und SAML 2.0. Diese Integrationen ermöglichen es Institutionen, ihre bestehenden Identitätsanbieter zu nutzen und gleichzeitig eine sichere, zentralisierte Zugriffsverwaltung aufrechtzuerhalten.
Authentifizierungssitzungen werden sicher verwaltet, und der Zugriff auf die Plattform unterliegt rollenbasierten Berechtigungen.
Classtime unterstützt die Integration mit dem Safe Exam Browser (SEB), um eine kontrollierte Prüfungsumgebung bereitzustellen. Wenn diese Funktion aktiviert ist, beschränkt SEB während einer Prüfungssitzung den Zugriff auf externe Anwendungen, Websites und Systemfunktionen.
Zu den zusätzlichen Schutzmassnahmen innerhalb der Anwendung gehören:
Diese Kontrollen helfen Bildungseinrichtungen dabei, die Integrität von Prüfungen zu wahren und gleichzeitig ein sicheres und stabiles Prüfungserlebnis zu gewährleisten.
Wir bei Classtime sind davon überzeugt, dass gute Sicherheitspraktiken bei unserem eigenen Team beginnen. Deshalb scheuen wir keine Mühen, um uns vor internen Bedrohungen und lokalen Schwachstellen zu schützen. Auf allen vom Unternehmen bereitgestellten Arbeitsplätzen sind Malware-Schutztools aktiviert und die Geräte sind gemäss internen Sicherheitsstandards konfiguriert, einschliesslich Vollverschlüsselung der Festplatte, Bildschirmsperre und regelmässiger Betriebssystem-Updates.
Bei Classtime befolgen wir strukturierte Risikomanagementpraktiken, um potenzielle Sicherheits- und Betriebsrisiken zu identifizieren, zu bewerten und zu mindern. Alle Produktänderungen beginnen mit einem Design-Dokument, das die vorgeschlagene Implementierung sowie Überlegungen zu Sicherheit, Zuverlässigkeit und Wartbarkeit umreisst. Anschliessend durchlaufen die Änderungen Code-Reviews, CI- und Build-Pipelines, bevor sie die Produktionsserver erreichen. Nur bestimmte Mitarbeiter haben Secure-Shell-Zugriff (SSH) auf die Produktionssysteme.
Wir führen fortlaufende Tests und Risikobewertungen für alle Systeme und Anwendungen durch. Neue Methoden und Risikomanagementpraktiken werden entwickelt, überprüft und über Pull-Requests und interne Überprüfungsprozesse implementiert. Gewonnene Erkenntnisse und Best Practices werden dokumentiert und den Mitarbeitern durch Präsentationen und interne Diskussionen vermittelt.
Das Classtime-Betriebsteam zählt die Aufrechterhaltung des Betriebs und die Behebung von Sicherheitsbedrohungen zu seinen obersten Prioritäten. Wir verfügen über einen Notfallplan für unvorhergesehene Ereignisse, einschliesslich Teilplänen für Risikomanagement, Notfallwiederherstellung und Kundenkommunikation, die fortlaufend getestet und aktualisiert sowie mindestens einmal jährlich gründlich auf Lücken und Änderungen überprüft werden.
Classtime unterhält ein internes Wiki mit Sicherheitsrichtlinien, das laufend aktualisiert und jährlich auf Lücken überprüft wird. Eine Übersicht über spezifische Sicherheitsrichtlinien steht institutionellen Kunden von Classtime auf Anfrage zur Verfügung, z. B.:
Alle neuen Mitarbeiter erhalten eine Einarbeitung und Systemschulung, einschliesslich der Einrichtung der Arbeitsumgebung und der Berechtigungen, einer formellen Schulung zur Softwareentwicklung (falls zutreffend), einer Besprechung der Sicherheitsrichtlinien, einer Besprechung der Unternehmensrichtlinien sowie einer Schulung zu Unternehmenswerten und Ethik.
Alle Mitarbeiter absolvieren darüber hinaus mindestens einmal jährlich eine Sicherheitsschulung. Die Richtlinien, die den Mitarbeitern im Rahmen des Einarbeitungsprozesses vorgestellt werden, werden einmal jährlich überprüft, um sicherzustellen, dass wir mit den Best Practices Schritt halten.
Classtime informiert seine Kunden so schnell wie möglich und innerhalb der gesetzlich vorgeschriebenen Frist über etwaige Datenschutzverletzungen. Die institutionellen Tarife von Classtime umfassen einen eigenen Customer Success Manager, der für die Kommunikation mit den Kunden sowie für regelmässige Rücksprachen und Eskalationen verantwortlich ist.
Classtime veröffentlicht auf der Statusseite einen Live-Bericht über die Betriebsverfügbarkeit und auftretende Probleme. Jeder kann sich über die Statusseite per E-Mail für Updates anmelden. Alle bekannten Vorfälle werden dort gemeldet.
Derzeit betreibt Classtime kein öffentliches Bug-Bounty-Programm. Wir arbeiten mit ausgewählten Sicherheitstestern im Rahmen geplanter Penetrationstests zusammen. Wir nehmen jedoch alle Sicherheitsmeldungen ernst und begrüssen die verantwortungsvolle Offenlegung von Schwachstellen, die unsere Systeme beeinträchtigen könnten. Für Meldungen mit mittlerem bis kritischem Schweregrad bieten wir eine angemessene finanzielle Belohnung an.
Wir bitten Sie, uns die Details Ihrer Erkenntnisse vertraulich mitzuteilen – wir werden diese umgehend prüfen und alle bestätigten Probleme beheben. Bitte vermeiden Sie die öffentliche Bekanntgabe sensibler Informationen, bis unser Team Gelegenheit hatte, diese zu untersuchen und zu beheben.
Bitte melden Sie potenzielle Sicherheitsprobleme an security@classtime.com und geben Sie dabei klare Schritte an, wie diese reproduziert werden können.
