Sicherheit und Vertrauen

Personio implementiert eine Reihe von Kontrollen und Funktionstrennungen an jedem Punkt der Produkte, die wir gemeinsam als unseren Secure Software Development Lifecycle oder SSDLC bezeichnen. Unser SSDLC hilft proaktiv und rückwirkend, um Sicherheitslücken zu entdecken und natürlich zu beheben.

• Secure Software Development Lifecycle (SSDLC)

• Wiederkehrende Sicherheitstests

• Secure by Design

• Bug-Bounty-Programm

Personios SSDLC folgt den Best Practices der Sicherheitsbranche und führt eine Reihe von Prüfungen aller bei Personio verwendeten Dienste, Softwarekomponenten, Codes und Bibliotheken durch.

Einige SSDLC-Kontrollen umfassen:

• 4- bis 6-Augen-Prüfungen bei Produktionsänderungen

• Software Composition Analysis (SCA) – Software-Zusammensetzungsanalyse

• Static Application Security Testing (SAST) – Statische Anwendungs-Sicherheitstests

• Formelle Überprüfungen durch Sicherheitsingenieure

Zusätzlich zu unseren eigenen internen Schwachstellen-Scans vergeben wir regelmäßig Penetrationstests an externe Sicherheitsdienstleister, um unsere Systeme und Anwendungen auf Fehler und Schwachstellen zu untersuchen.

Da die System- und Anwendungssicherheit sowie die Erkennung von Angriffen für uns von größter Bedeutung sind, beauftragen wir Cobalt, einen preisgekrönten Anbieter von IT-Sicherheit, mit der Durchführung externer Penetrationstest-Aufträge und Bewertungen unserer Produktsicherheit.

Alle Personio Kundenkonten werden unter Berücksichtigung von Branchen-Best-Practices erstellt. Es gibt keine Standard-Benutzerkonten oder Einrichtungsschritte, die ausgeführt werden müssen, um eine Instanz als „sicher“ zu betrachten, wenn sie bereit ist.

Dennoch bieten wir Personio Administratoren Ihnen die Kontrolle, die sie benötigen, um die Personio -Einstellungen an den Sicherheitsrichtlinien und Compliance-Anforderungen Ihres Unternehmens auszurichten.

Ob es sich um die Einrichtung von Single Sign On (SSO)-Authentifizierung zur Integration mit Ihrem Identitätsanbieter, die Aktivierung von 2-Faktor- Authentifizierung (2FA / MFA), die Festlegung einer Passwortrichtlinie oder die Definition von rollenbasierter Zugriffskontrolle und -berechtigung (RBAC) für Ihre Mitarbeiter:innen handelt, wir haben alles im Griff.

Um sicherzustellen, dass Sie stets über alle Aktivitäten in der Anwendung informiert sind, hat Personio standardmäßig die Protokollierung aktiviert, die über die Funktion Audit-Logging zugänglich ist. Das Audit-Log zeigt Ereignisse zu persönlichen Informationen, Lohnabrechnung, Zugriffsrechten und mehr an. Wir fügen kontinuierlich weitere Ereignisse hinzu, um das Audit-Log zu verbessern. Für weitere Informationen besuchen Sie bitte die Seite zum Audit-Log in unserem Help Center.

Bei Personio nehmen wir die Sicherheit unserer Plattform und der Kundendaten sehr ernst. Daher möchten wir diejenigen belohnen, die uns helfen, unsere allgemeine Sicherheitslage durch die Identifikation von Schwachstellen in unserem Produkt zu verbessern.

Unser Sicherheitsteam weiß, dass ein solides Bug-Bounty-Programm zur Stärkung des Kundenvertrauens in unsere Plattform beiträgt und unsere Plattform auf höchstem Niveau hält. Aus diesem Grund sind wir eine Partnerschaft mit Intigriti eingegangen, um unser Bug-Bounty-Programm zu hosten und zu betreiben.

Um teilzunehmen, gehen Sie zu unserer Seite des Bug-Bounty-Programms.

Von dort aus können Sie unsere Bounty-Bedingungen und den Geltungsbereich überprüfen und Ihre Ergebnisse sicher mit dem Team teilen.

Personios Kernstück ist die Verarbeitung und Verwaltung sensibler Informationen. Dazu gehören unter anderem Gehaltsdaten von Mitarbeitenden, Abwesenheitsberichte, persönliche Dokumente und interne Anfragen. Personio hat bei der Produktentwicklung die Datensicherheit in den Vordergrund gestellt und mehrere Programme eingesetzt, um eine Reihe von robusten Sicherheitskontrollen zu entwickeln.

Die Kontrollen werden bei Personio unter Berücksichtigung von Branchen-Best-Practices und internationalen Standards entwickelt und implementiert, darunter IEC/ISO 27001:2022. Personio arbeitet eng mit wichtigen Entscheidungsträgern und Gremien aus der gesamten Datenschutz- und IT-Sicherheitsbranche zusammen und ist Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V., der Allianz für Cyber-Sicherheit und dem Bitkom e.V.

• DSGVO

• Daten-Unterauftragnehmer

• Vertragliche Verpflichtungen

• Vertragliche Verpflichtungen

Personio erfüllt die Anforderungen der EU-DSGVO, um sicherzustellen, dass der Datenschutz in allen Anwendungen, Infrastrukturen und Organisationen von Personio durchgängig gewährleistet ist.

Personio setzt die Bitkom Servicegesellschaft mbH als Datenschutzbeauftragten ein. Die Bitkom, eines der führenden Beratungsunternehmen für die digitale Wirtschaft in Deutschland, prüft regelmäßig die Einhaltung der Datenschutzanforderungen bei Personio.

• Klicken Sie hier für das Referenzschreiben (DE 🇩🇪) von Bitkom als Datenschutzbeauftragten

• Klicken Sie hier, um den Bitkom-Prüfbericht (DE 🇩🇪) über die Datenschutzbestimmungen von Personio zu lesen

Personio unterstützt seine Kunden dabei, die Rechte der betroffenen Personen zu respektieren – insbesondere das Recht auf Löschung personenbezogener Daten, Auskunftsrecht und Datenübertragung. Wir bieten Personio Kunden die Möglichkeit, Bewerberdaten entweder automatisch oder auf Anfrage zu löschen, sowie die Option, Mitarbeiterdaten zu exportieren, den Zugang zu sperren oder sicher zu löschen.

Durch den Self-Service-Ansatz von Personio haben Mitarbeiter:innen jederzeit direkten Zugriff auf ihre eigene digitale Personalakte. Darüber hinaus können Mitarbeiter:innen ihre Daten aus Mitarbeiterlisten in einem maschinenlesbaren Format speichern oder exportieren und alle von ihnen persönlich hinzugefügten Dokumente herunterladen.

Dennoch stellen wir sicher, dass die Anwendung, die zugrunde liegende Infrastruktur und unsere Organisationsstruktur die Anforderungen der EU-DSGVO erfüllen.

In Ihrem Personio-Konto können Sie die durch Personio verwendeten Unterauftragnehmer direkt einsehen. Diese Liste enthält die Unterauftragnehmer und die Kategorien der verarbeiteten Daten sowie den Ort, an dem die Daten verarbeitet werden. Beachten Sie, dass jedes Personio Konto je nach aktivierten Integrationen unterschiedliche Listen haben kann. Weitere Informationen zum Zugriff auf die Liste Ihrer Unterauftragnehmer finden Sie in unserem Help Center.

Eine Liste aller Drittanbieter finden Sie in unserer Datenschutzerklärung:

• Privacy Policy | Personio (EN 🇬🇧)

• Datenschutzerklärung | Personio (DE 🇩🇪)

Personio hat eine Reihe von technischen und organisatorischen Maßnahmen (TOM) veröffentlicht, die verbindliche Verpflichtungen gegenüber Kunden bezüglich der Datensicherheit festlegen. In unserem Help Center finden Sie weitere Informationen zum Herunterladen unserer TOM.

Personio unterhält eine Auftragsverarbeitungsvereinbarung (Data Processing Agreement, DPA) in Bezug auf Kundendaten. Die DPA definiert die Kategorien der verarbeiteten Daten, deren Aufbewahrung und Löschung. Weitere Informationen zum Herunterladen Ihrer DPA finden Sie in unserem Help Center.

Personio ist nach ISO/IEC 27001:2022 und ISO/IEC 27017:2015 zertifiziert. Unabhängige Konformitätsbewertungen werden jährlich durchgeführt.

Personios ISMS umfasst die Geschäftsaktivitäten im Zusammenhang mit der Bereitstellung, dem Betrieb, der Wartung und der Verwaltung der Persiono SaaS-HR-Plattform und definiert die Anforderungen für die gesamte Personio Belegschaft (Angestellte, Auftragnehmer, freie Mitarbeiter), externe Anbieter und Systeme, welche Informationen erstellen, pflegen, speichern, verarbeiten oder übertragen innerhalb von:

• Personios Produkt- und Entwicklungsabteilung (PTech) und

• Begrenzt auf die Hauptentwicklungsstandorte München (HQ), Madrid und Dublin

Bitte klicken Sie hier, um unsere Zertifizierung einzusehen.

Personio pflegt proaktiv eine Sammlung von Datensicherheits- und Datenschutzrichtlinien und stellt seine Kunden bei jedem Schritt an erste Stelle. Wir leben diese Richtlinien, um unseren Kunden die Gewissheit zu geben, dass ihre sensiblen Daten bei Personio sicher sind.

Diese Richtlinien werden allen neuen Personio-Mitarbeitern mitgeteilt, da offene und transparente Kommunikation ein zentraler Bestandteil unseres Personio-Kodex ist. Dieser definiert, wer wir als Unternehmen sind und wie wir zusammenarbeiten. Unsere Richtlinien werden regelmäßig aktualisiert, und wir informieren intern über alle Neuerungen. Jeden Tag setzen wir uns dafür ein, neue Arbeitsweisen wie PersonioFlex sicher zu ermöglichen, Branchenstandards und Best Practices einzuhalten und den ständig wachsenden Bedrohungen aktiv zu begegnen.

Alle hier aufgeführten Richtlinien werden vom Sicherheitsteam verwaltet und überwacht, um eine einheitliche unternehmensweite Abstimmung sicherzustellen. Diese Richtlinien gewährleisten gemeinsam, dass Personio sich an die höchsten Standards hält, insbesondere an die Datenschutzgrundverordnung (DSGVO), sowie die Vorgaben der ISO 27001-Zertifizierung.

Wie jede moderne SaaS-Anwendung läuft auch Personio in der Cloud. Wir wissen, dass Personio auch die sensibelsten Daten Ihres Unternehmens hostet. Vor diesem Hintergrund entwickelt das Team Cloud-Sicherheitsstandards und implementiert viele Kontrollen in unserer gesamten Infrastruktur, um sicherzustellen, dass diese Standards immer erfüllt werden und Ihre Daten sicher bleiben.

• Perimeter-Sicherheit

• Datenverschlüsselung

• Mandantentrennung

• Wiederherstellung im Katastrophenfall

Das Personio Sicherheitsteam verwendet eine Vielzahl von Intrusion-Detection-Technologien und -Methoden, um die gesamte Infrastruktur, einschließlich der Kundendaten, zu schützen. Unsere Intrusion-Detection- und Prevention-Fähigkeiten basieren auf einer Kombination aus Web Application Firewalls, Cloud-Threat-Detection-Plattformen, Endpoint Protection-Agenten und maßgefertigten Überwachungstools, die in unserer gesamten Infrastruktur und Serverflotte eingesetzt werden. Diese Tools werden vom Security Engineering Team betrieben und überwacht, das sowohl automatisierte als auch manuelle Analysen von Ereignisdaten einsetzt, um eine End-zu-End-Überwachung der gesamten Personio Infrastruktur zu gewährleisten.

Alle Daten, die über unsichere Netze übertragen werden, werden während der Übertragung mit Transport Layer Security (TLS) mit starken Cipher Suites verschlüsselt. Wir verwenden auch Methoden wie HTTP Strict Transport Security (HSTS), um die Integrität der verschlüsselten Kanäle weiter zu gewährleisten. Sie können frei verfügbare Tools wie Qualys' SSL Labs und Security Headers verwenden, um die TLS-Chiffren und -Algorithmen zu überprüfen, die von Personio Sites und Diensten angeboten werden.

Alle Personio Kundendaten werden im Ruhezustand mit der AWS KMS-Verschlüsselung für S3-Speicher, Produktionsdatenbanken und Datenbank-Backups verschlüsselt. Der verwendete Verschlüsselungsalgorithmus ist AES 256. Alle Passwörter werden speziell mit starken Hash-Algorithmen und Methoden wie Salting gehasht, um sie zusätzlich vor Offline-Angriffen zu schützen.

Personio garantiert die getrennte Verarbeitung und Speicherung von Daten verschiedener Mandanten über eine logische Mandantentrennung auf Basis einer mandantenfähigen Architektur. Die Zuordnung und Identifizierung der Daten erfolgt über die Vergabe einer eindeutigen Kennung für jeden Mandanten (z. B. Kundennummer oder „Unternehmens-ID“).

Personio verfügt über dokumentierte Disaster-Recovery-Pläne (DRP), um sicherzustellen, dass Ihre Daten auch nach den schwersten Ausfällen immer verfügbar sind. Weitere Informationen über unsere DRP finden Sie in unseren technischen und organisatorischen Maßnahmen (TOMs).

In unserer Broschüre zur AWS-Datensicherheit erhalten Sie außerdem einen Einblick, wie unsere Systeme zum Schutz Ihrer Daten eingesetzt werden.

• IT Infrastructure and use of AWS at Personio (EN 🇬🇧)

• IT-Infrastruktur und Einsatz von AWS bei Personio (DE 🇩🇪)

• Fragen zur Produktsicherheit

• Sicherheitsvorfälle

• Sicherheitsschwachstellen

Wenn Sie bereits Personio-Kunde sind oder Personio einfach nur ausprobieren möchten, sind wir für Ihre sicherheitsrelevanten Fragen und Anliegen da. Unser Team kennt sich aus und beantwortet gerne alle produktbezogenen Fragen Ihrer IT-, Sicherheits- und Datenschutzteams.

Um weitere Informationen anzufordern oder bei der Beantwortung der Sicherheitsumfrage zu helfen, können Personio-Kunden eine Anfrage über Support Q&A stellen, einschließlich der Details, wie wir helfen können.

Wenn Sie gerade dabei sind, ein neuer Personio-Kunde zu werden und bereits mit einem Vertriebsmitarbeiter in Kontakt stehen, wenden Sie sich bitte direkt an diesen. Wir unterstützen Sie gerne.

Wenn Sie noch keinen Kontakt mit unserem Vertriebsteam hatten, können Sie sich an unser Personio Pre-Sales Team (sales@personio.com) wenden, um mit uns in Kontakt zu treten.

Um einen vermuteten oder bestätigten Sicherheitsvorfall in Bezug auf ein Personio-Konto zu melden, verwenden Sie bitte Support Q&A mit einer Zusammenfassung des Vorfalls.

Bitte geben Sie so viele Details wie möglich an, damit unser Team sofort mit der Untersuchung beginnen kann. Unser Sicherheitsteam ist sehr an Details interessiert – Datum und Uhrzeit, Benutzer-IDs, URLs und Screenshots sind für uns sehr hilfreich.

Unser Customer Experience Team wird mit uns zusammenarbeiten, um die Angelegenheit für Sie schnell zu lösen.

Unser Sicherheitsteam weiß, dass ein solides Bug-Bounty-Programm dazu beiträgt, das Vertrauen der Kunden in unsere Plattform zu stärken und unsere Plattform auf höchstem Niveau zu halten. Daher haben wir uns mit Intigriti zusammengetan, um unser Bug-Bounty-Programm zu entwickeln.

Um teilzunehmen, gehen Sie zu unserer Seite des Bug-Bounty-Programms.

Von dort aus können Sie unsere Bounty-Bedingungen und den Geltungsbereich überprüfen und Ihre Ergebnisse sicher mit dem Team teilen.