Sicherheit und Vertrauen

Personio Trust Center

Datenschutz und Informationssicherheit sind das Herzstück der Personio Produkte und  Dienstleistungen. Ihre Daten zu schützen und Ihr Vertrauen zu gewinnen, ist für uns von zentraler Bedeutung.

Wir führen zahlreiche Kontrollen durch und folgen strengen Richtlinien – unseren Technischen und organisatorischen Maßnahmen –, um Ihre sensiblen Daten sicher und zuverlässig zu schützen. Das bedeutet auch, dass wir kontinuierlich daran arbeiten, diese Maßnahmen durchzusetzen, damit wir auf neueste Industriestandards, europäische Datenverarbeitungsvorschriften und globale Sicherheitsbedrohungen reagieren können.

Das Trust Center von Personio bietet Ihnen alle aktuellen Informationen über die Sicherheit, Zuverlässigkeit, den Datenschutz und die Compliance unserer Produkte und Dienstleistungen.

    Data Security Partners | Personio

    Produktsicherheit

    Personio implementiert eine Reihe von Kontrollen und Funktionstrennungen an jedem Punkt der Produkte, die wir gemeinsam als unseren Secure Software Development Lifecycle oder SSDLC bezeichnen. Unser SSDLC hilft proaktiv und rückwirkend, um Sicherheitslücken zu entdecken und natürlich zu beheben.

    Secure Software Development Lifecycle (SSDLC)

    Personios SSDLC folgt den Best Practices der Sicherheitsbranche und führt eine Reihe von Prüfungen aller bei Personio verwendeten Dienste, Softwarekomponenten, Codes und Bibliotheken durch.

    Einige SSDLC-Kontrollen umfassen:

    • 4- bis 6-Augen-Prüfungen bei Produktionsänderungen

    • Software Composition Analysis (SCA) – Software-Zusammensetzungsanalyse

    • Static Application Security Testing (SAST) – Statische Anwendungs-Sicherheitstests

    • Automatisierte und manuelle dynamische Anwendung-Sicherheitstests (DAST)

    • Überprüfung der Abhängigkeiten von Drittanbietern

    • Formelle Überprüfungen durch Sicherheitsingenieure

    Wiederkehrende Sicherheitstests

    Zusätzlich zu unseren eigenen internen Schwachstellen-Scans vergeben wir regelmäßig Penetrationstests an externe Sicherheitsdienstleister, um unsere Systeme und Anwendungen auf Fehler und Schwachstellen zu untersuchen.

    Da die System- und Anwendungssicherheit sowie die Erkennung von Angriffen für uns von größter Bedeutung sind, beauftragen wir Cobalt, einen preisgekrönten Anbieter von IT-Sicherheit, mit der Durchführung externer Penetrationstest-Aufträge und Bewertungen unserer Produktsicherheit.

    Secure by Design

    Alle Personio Kundenkonten werden unter Berücksichtigung von Branchen-Best-Practices erstellt. Es gibt keine Standard-Benutzerkonten oder Einrichtungsschritte, die ausgeführt werden müssen, um eine Instanz als „sicher“ zu betrachten, wenn sie bereit ist.

    Dennoch bieten wir Personio Administratoren Ihnen die Kontrolle, die sie benötigen, um die Personio -Einstellungen an den Sicherheitsrichtlinien und Compliance-Anforderungen Ihres Unternehmens auszurichten.

    Ob es sich um die Einrichtung von Single Sign On (SSO)-Authentifizierung zur Integration mit Ihrem Identitätsanbieter, die Aktivierung von 2-Faktor- Authentifizierung (2FA / MFA), die Festlegung einer Passwortrichtlinie oder die Definition von rollenbasierter Zugriffskontrolle und -berechtigung (RBAC) für Ihre Mitarbeiter:innen handelt, wir haben alles im Griff.

    Bug-Bounty-Programm

    Bei Personio nehmen wir die Sicherheit unserer Plattform und der Kundendaten sehr ernst. Daher möchten wir diejenigen belohnen, die uns helfen, unsere allgemeine Sicherheitslage durch die Identifikation von Schwachstellen in unserem Produkt zu verbessern.

    Unser Sicherheitsteam weiß, dass ein solides Bug-Bounty-Programm zur Stärkung des Kundenvertrauens in unsere Plattform beiträgt und unsere Plattform auf höchstem Niveau hält. Aus diesem Grund sind wir eine Partnerschaft mit Intigriti eingegangen, um unser Bug-Bounty-Programm zu hosten und zu betreiben.

    Um teilzunehmen, gehen Sie zu unserer Seite des Bug-Bounty-Programms.

    Von dort aus können Sie unsere Bounty-Bedingungen und den Geltungsbereich überprüfen und Ihre Ergebnisse sicher mit dem Team teilen.

    Compliance

    Personios Kernstück ist die Verarbeitung und Verwaltung sensibler Informationen. Dazu gehören unter anderem Gehaltsdaten von Mitarbeitenden, Abwesenheitsberichte, persönliche Dokumente und interne Anfragen. Personio hat bei der Produktentwicklung die Datensicherheit in den Vordergrund gestellt und mehrere Programme eingesetzt, um eine Reihe von robusten Sicherheitskontrollen zu entwickeln.

    Die Kontrollen werden bei Personio unter Berücksichtigung von Branchen-Best-Practices und internationalen Standards entwickelt und implementiert, darunter IEC/ISO 27001:2022 und IEC/ISO 27002:2022. Personio arbeitet eng mit wichtigen Entscheidungsträgern und Gremien aus der gesamten Datenschutz- und IT-Sicherheitsbranche zusammen und ist Mitglied in der Gesellschaft für Datenschutz und Datensicherheit e.V., der Allianz für Cyber-Sicherheit und dem Bitkom e.V.

    DSGVO

    Personio erfüllt die Anforderungen der EU-DSGVO, um sicherzustellen, dass der Datenschutz in allen Anwendungen, Infrastrukturen und Organisationen von Personio durchgängig gewährleistet ist.

    Privatsphäre und Datenschutz

    Personio setzt die Bitkom Servicegesellschaft mbH als Datenschutzbeauftragten ein. Die Bitkom, eines der führenden Beratungsunternehmen für die digitale Wirtschaft in Deutschland, prüft regelmäßig die Einhaltung der Datenschutzanforderungen bei Personio.

    • Klicken Sie hier für das Referenzschreiben (DE 🇩🇪) von Bitkom als Datenschutzbeauftragten

    • Klicken Sie hier, um den Bitkom-Prüfbericht (DE 🇩🇪) über die Datenschutzbestimmungen von Personio zu lesen

    Rechte der betroffenen Personen

    Personio unterstützt seine Kunden dabei, die Rechte der betroffenen Personen zu respektieren – insbesondere das Recht auf Löschung personenbezogener Daten, Auskunftsrecht und Datenübertragung. Wir bieten Personio Kunden die Möglichkeit, Bewerberdaten entweder automatisch oder auf Anfrage zu löschen, sowie die Option, Mitarbeiterdaten zu exportieren, den Zugang zu sperren oder sicher zu löschen.

    Durch den Self-Service-Ansatz von Personio haben Mitarbeiter:innen jederzeit direkten Zugriff auf ihre eigene digitale Personalakte. Darüber hinaus können Mitarbeiter:innen ihre Daten aus Mitarbeiterlisten in einem maschinenlesbaren Format speichern oder exportieren und alle von ihnen persönlich hinzugefügten Dokumente herunterladen.

    Dennoch stellen wir sicher, dass die Anwendung, die zugrunde liegende Infrastruktur und unsere Organisationsstruktur die Anforderungen der EU-DSGVO erfüllen.

    Daten-Unterauftragnehmer

    In Ihrem Personio-Konto können Sie die durch Personio verwendeten Unterauftragnehmer direkt einsehen. Diese Liste enthält die Unterauftragnehmer und die Kategorien der verarbeiteten Daten sowie den Ort, an dem die Daten verarbeitet werden. Beachten Sie, dass jedes Personio Konto je nach aktivierten Integrationen unterschiedliche Listen haben kann. Weitere Informationen zum Zugriff auf die Liste Ihrer Unterauftragnehmer finden Sie in unserem Help Center.

    Eine Liste aller Drittanbieter finden Sie in unserer Datenschutzerklärung:

    Vertragliche Verpflichtungen

    Technische und organisatorische Maßnahmen (TOM)

    Personio hat eine Reihe von technischen und organisatorischen Maßnahmen (TOM) veröffentlicht, die verbindliche Verpflichtungen gegenüber Kunden bezüglich der Datensicherheit festlegen. In unserem Help Center finden Sie weitere Informationen zum Herunterladen unserer TOM.

    Vereinbarung zur Datenverarbeitung

    Personio unterhält eine Auftragsverarbeitungsvereinbarung (Data Processing Agreement, DPA) in Bezug auf Kundendaten. Die DPA definiert die Kategorien der verarbeiteten Daten, deren Aufbewahrung und Löschung. Weitere Informationen zum Herunterladen Ihrer DPA finden Sie in unserem Help Center.

    Sicherheitsrichtlinien

    Personio pflegt proaktiv eine Sammlung von Datensicherheits- und Datenschutzrichtlinien und stellt seine Kunden bei jedem Schritt an erste Stelle. Wir leben diese Richtlinien, um unseren Kunden die Gewissheit zu geben, dass ihre sensiblen Daten bei Personio sicher sind.

    Diese Richtlinien werden jedem neuen Personio Mitarbeiter mitgeteilt, da eine offene und transparente Kommunikation Teil unseres Personio-Kodex ist. Dieser definiert, wer wir als Unternehmen sind und wie wir zusammenarbeiten. Außerdem aktualisieren wir unsere Richtlinien regelmäßig und geben diese Aktualisierungen bei Personio weiter. Wir arbeiten jeden Tag daran, neue Arbeitsweisen wie PersonioFlex sicher zu ermöglichen, Branchenstandards und Best Practices einzuhalten und die sich ständig weiterentwickelnden Bedrohungen zu bekämpfen.

    Alle hier aufgeführten Richtlinien Richtlinien werden vom Sicherheitsteam administriert und kontrolliert, um eine unternehmensweite Abstimmung zu gewährleisten. Diese Richtlinien stellen gemeinsam sicher, dass Personio sich an die höchsten Standards hält, insbesondere an die Datenschutzgrundverordnung (DSGVO).

    Richtlinien

    Informationen

    Datenschutzrichtlinie

    Die Datenschutzrichtlinie von Personio ist ist ein zentraler Bestandteil unserer Unternehmens-DNA. Alle Mitarbeitenden werden bei der Einarbeitung in unsere Richtlinien eingewiesen. Diese Richtlinie umfasst mehrere Komponenten, die Mitarbeitenden helfen sollen, sensible Daten sicher zu handhaben und zu verarbeiten.

    Richtlinie zur akzeptablen Nutzung 

    Im Rahmen unserer Datenschutzpolitik leitet Personio seine Mitarbeitenden an, wie sie unsere Systeme, Netzwerke und Geräte sicher nutzen können.

    Bring Your Own Device (BYOD)-Richtlinie 

    Im Rahmen der Datenschutzpolitik dürfen Personio Mitarbeiter in bestimmten Situationen ihre eigenen Geräte verwenden, aber alle kundenorientierten Vorgänge werden mit von Personio verwalteten Geräten durchgeführt. Alle Geräte und Zugriffe, unabhängig vom Typ, werden im Rahmen unseres „Zero-Trust“-Ansatzes zum Schutz unserer Kundendaten nachverfolgt.

    Remote Arbeit-Richtlinie 

    Wir haben im Rahmen von PersonioFlex spezielle Richtlinien für sicheres Arbeiten zu Hause oder auf Reisen eingeführt. Dies ermöglicht es unseren Kolleg:innen, sicher zu arbeiten – unabhängig davon, ob sie sich in einem Personio Büro befinden oder nicht – ohne dabei unsere Sicherheits- oder Datenschutzkontrollen zu beeinträchtigen.

    Notfallplan

    Personio verfügt über einen gut funktionierenden Notfallplan, der festlegt, wie unser Unternehmen auf unerwartete Ereignisse jeder Art und Größe reagiert. Es ist sehr wichtig für uns, schnell und gründlich zu reagieren, insbesondere, wenn Kundendaten betroffen sind.

    Unser Sicherheits-Notfallplan tritt in Kraft, wenn Kundendaten gefährdet sind oder gefährdet sein könnten. Das Sicherheitsteam stellt seine Untersuchungsexpertise zur Verfügung und unterstützt das Notfall-Team zusätzlich, um die Einhaltung der Branchen-Best-Practices zu befolgen und alle behördlichen Auflagen zu erfüllen.

    Im Falle eines Datenschutzverstoßes wird Personio den für die Datenverarbeitung Verantwortlichen in Übereinstimmung mit unseren DSGVO-Verpflichtungen und definierten technischen und organisatorischen Maßnahmen (TOM) unverzüglich benachrichtigen und unterstützen.

    Sicherheit der Infrastruktur

    Wie jede moderne SaaS-Anwendung läuft auch Personio in der Cloud. Wir wissen, dass Personio auch die sensibelsten Daten Ihres Unternehmens hostet. Vor diesem Hintergrund entwickelt das Team Cloud-Sicherheitsstandards und implementiert viele Kontrollen in unserer gesamten Infrastruktur, um sicherzustellen, dass diese Standards immer erfüllt werden und Ihre Daten sicher bleiben.

    Perimeter-Sicherheit

    Das Personio Sicherheitsteam verwendet eine Vielzahl von Intrusion-Detection-Technologien und -Methoden, um die gesamte Infrastruktur, einschließlich der Kundendaten, zu schützen. Unsere Intrusion-Detection- und Prevention-Fähigkeiten basieren auf einer Kombination aus Web Application Firewalls, Cloud-Threat-Detection-Plattformen, Endpoint Protection-Agenten und maßgefertigten Überwachungstools, die in unserer gesamten Infrastruktur und Serverflotte eingesetzt werden. Diese Tools werden vom Security Engineering Team betrieben und überwacht, das sowohl automatisierte als auch manuelle Analysen von Ereignisdaten einsetzt, um eine End-zu-End-Überwachung der gesamten Personio Infrastruktur zu gewährleisten.

    Datenverschlüsselung

    Verschlüsselung während der Übermittlung

    Alle Daten, die über unsichere Netze übertragen werden, werden während der Übertragung mit Transport Layer Security (TLS) mit starken Cipher Suites verschlüsselt. Wir verwenden auch Methoden wie HTTP Strict Transport Security (HSTS), um die Integrität der verschlüsselten Kanäle weiter zu gewährleisten. Sie können frei verfügbare Tools wie Qualys' SSL Labs und Security Headers verwenden, um die TLS-Chiffren und -Algorithmen zu überprüfen, die von Personio Sites und Diensten angeboten werden.

    Verschlüsselung im Ruhezustand

    Alle Personio Kundendaten werden im Ruhezustand mit der AWS KMS-Verschlüsselung für S3-Speicher, Produktionsdatenbanken und Datenbank-Backups verschlüsselt. Der verwendete Verschlüsselungsalgorithmus ist AES 256. Alle Passwörter werden speziell mit starken Hash-Algorithmen und Methoden wie Salting gehasht, um sie zusätzlich vor Offline-Angriffen zu schützen.

    Mandantentrennung

    Personio garantiert die getrennte Verarbeitung und Speicherung von Daten verschiedener Mandanten über eine logische Mandantentrennung auf Basis einer mandantenfähigen Architektur. Die Zuordnung und Identifizierung der Daten erfolgt über die Vergabe einer eindeutigen Kennung für jeden Mandanten (z. B. Kundennummer oder „Unternehmens-ID“).

    Wiederherstellung im Katastrophenfall

    Personio verfügt über dokumentierte Disaster-Recovery-Pläne (DRP), um sicherzustellen, dass Ihre Daten auch nach den schwersten Ausfällen immer verfügbar sind. Weitere Informationen über unsere DRP finden Sie in unseren technischen und organisatorischen Maßnahmen (TOMs).

    Weitere Informationen

    In unserer Broschüre zur AWS-Datensicherheit erhalten Sie außerdem einen Einblick, wie unsere Systeme zum Schutz Ihrer Daten eingesetzt werden.

    Kontaktaufnahme

    Fragen zur Produktsicherheit

    Wenn Sie bereits Personio-Kunde sind oder Personio einfach nur ausprobieren möchten, sind wir für Ihre sicherheitsrelevanten Fragen und Anliegen da. Unser Team kennt sich aus und beantwortet gerne alle produktbezogenen Fragen Ihrer IT-, Sicherheits- und Datenschutzteams.

    Um weitere Informationen anzufordern oder bei der Beantwortung der Sicherheitsumfrage zu helfen, können Personio-Kunden eine Anfrage über Antworten finden stellen, einschließlich der Details, wie wir helfen können.

    Wenn Sie gerade dabei sind, ein neuer Personio-Kunde zu werden und bereits mit einem Vertriebsmitarbeiter in Kontakt stehen, wenden Sie sich bitte direkt an diesen. Wir unterstützen Sie gerne.

    Wenn Sie noch keinen Kontakt mit unserem Vertriebsteam hatten, können Sie sich an unser Personio Pre-Sales Team (sales@personio.com) wenden, um mit uns in Kontakt zu treten.

    Sicherheitsvorfälle

    Um einen vermuteten oder bestätigten Sicherheitsvorfall in Bezug auf ein Personio-Konto zu melden, verwenden Sie bitte Personio Antworten finden mit einer Zusammenfassung des Vorfalls.

    Bitte geben Sie so viele Details wie möglich an, damit unser Team sofort mit der Untersuchung beginnen kann. Unser Sicherheitsteam ist sehr an Details interessiert – Datum und Uhrzeit, Benutzer-IDs, URLs und Screenshots sind für uns sehr hilfreich.

    Unser Customer Experience Team wird mit uns zusammenarbeiten, um die Angelegenheit für Sie schnell zu lösen.

    Sicherheitsschwachstellen

    Unser Sicherheitsteam weiß, dass ein solides Bug-Bounty-Programm dazu beiträgt, das Vertrauen der Kunden in unsere Plattform zu stärken und unsere Plattform auf höchstem Niveau zu halten. Daher haben wir uns mit Intigriti zusammengetan, um unser Bug-Bounty-Programm zu entwickeln.

    Um teilzunehmen, gehen Sie zu unserer Seite des Bug-Bounty-Programms.

    Von dort aus können Sie unsere Bounty-Bedingungen und den Geltungsbereich überprüfen und Ihre Ergebnisse sicher mit dem Team teilen.