Sicherheit

Bei High Mobility nehmen wir Datenschutz ernst. Unser Sicherheitsprogramm orientiert sich an Branchenstandards wie ISO 27001 und dem TISAX-Verfahren. In unserem Tagesgeschäft haben wir laufend mit Informationen und Daten zu tun, die für uns, unsere Stakeholder und Kunden sensibel sind. Dies gilt zwar für alle digitalen Unternehmen, aber für uns ist es von entscheidender Bedeutung, eine Fahrzeugdatenplattform zu betreiben, die das Vertrauen der Fahrzeugbesitzer:innen in die sichere Übermittlung der von ihrem Fahrzeug generierten Daten an verifizierte Dritte auch verdient. Daher suchen wir ständig nach Möglichkeiten, nicht nur die Sicherheit unseres Produkts, sondern auch die Art und Weise, wie wir täglich unsere Geschäfte abwickeln, zu verbessern.
Wir sind der Meinung, dass jeder für die Sicherheit verantwortlich ist. Geleitet und beaufsichtigt wird unser Program vom Informationssicherheitsbeauftragten.

High Mobility verfolgt eine Kultur von "Security-by-design" und "Privacy-by-design". Um für jede Art von Vorfällen im Zusammenhang mit der Informationssicherheit gewappnet zu sein, haben wir ein unternehmensweites Informationssicherheits-Managementsystem (ISMS) gemäß den Best Practices der Norm ISO 27001 implementiert.

Unser Zahlungsabwickler, Stripe, ist ein zertifizierter Level 1 Service Provider. High Mobility hat zu keinem Zeitpunkt Zugriff auf rohe Zahlungsdaten.

High Mobility erfüllt die DSGVO-Regularien vollständig.

High Mobility ist auf eine enge Zusammenarbeit mit den Automobilherstellern angewiesen und legt aus diesem Grund besonders viel Wert auf die Trusted Information Security Assessment Exchange (TISAX) Zertifizierung. Bei diesem Zertifikat handelt es sich um einen Informationssicherheitsstandard, der von der deutschen Automobilindustrie mit voller Akzeptanz eingeführt wurde.

Die Mitarbeitenden haben eindeutige Logins für alle geschäftskritischen Systeme und dort, wo es möglich ist, wird eine Zwei-Faktor-Authentifizierung durchgesetzt. Wir führen regelmäßig Zugangsprüfungen durch und arbeiten nach dem Prinzip der geringsten Privilegien.

Alle Mitarbeitenden sorgen dafür, dass vertrauliche Informationen in Papierform oder elektronischer Form jederzeit sicher sind. Die Computerbildschirme werden gesperrt, wenn die Arbeitsplätze nicht besetzt sind; alle internen oder sensiblen Informationen werden am Ende des Arbeitstages vom Schreibtisch entfernt und es gibt noch viele weitere Maßnahmen, die die "Privacy by Design"-Mentalität wiederspiegeln.

Alle Notebooks und Smartphones der Mitarbeitenden haben verschlüsselte Festplatten und sind immer auf dem neuesten Stand des Betriebssystems.

Die internen Netzwerke in unseren beiden Büros sind eingeschränkt, segmentiert und passwortgeschützt. Das Zugangspasswort wird ständig geändert. Es werden ausschließlich WPA2/WPA3-geschützte Netze verwendet.

Um sicherzustellen, dass jedes Teammitglied weiß, welche Rolle die Mitarbeitenden im Bereich der Sicherheit spielen, bieten wir laufend Schulungen zur Informationssicherheit an. Jeder neue Mitarbeitende nimmt innerhalb des ersten Monats nach der Einstellung an einer ISMS-Schulung (Information Security Management System) teil.

Die Datenplattform von High Mobility wird hauptsächlich auf AWS gehostet und bietet damit Vorteile, wie z. B. physische Sicherheit, Redundanz, Skalierbarkeit und Schlüsselverwaltung.

Zusätzlich zu den genannten Vorteilen, verfügt unsere Anwendung über weitere, integrierte Sicherheitsfunktionen:

- Rollenbasierte Berechtigungen
- Datentrennung

High Mobility speichert die folgenden Kundendaten in seiner Cloud:

- Name (obligatorisch)
- E-Mail-Adresse (obligatorisch)
- Zahlungshistorie und Rechnungen (Kreditkartendaten werden von Stripe gespeichert und verarbeitet)
- Telefonnummer
- Rechnungsadresse
- Unternehmen
- Standort (Stadt, Land)

SSL-Verschlüsselung wird bei High Mobility durchgängig eingesetzt, um öffentliche und nicht-öffentliche Daten vor unbefugtem Zugriff zu schützen.

Die gesamte Kommunikation zwischen High Mobility-Benutzern und unserer Webanwendung wird während der Nutzung der Anwendung verschlüsselt übertragen. Alle Datenbanken und Datenbanksicherungen werden im Ruhezustand verschlüsselt.

Kunden können alle ihre Daten anfordern oder sie löschen lassen, indem sie eine E-Mail an data-protection@high-mobility.com senden, sofern sie nicht Gegenstand einer rechtlichen Kontrolle oder Untersuchung sind.

Sobald ein Konto oder ein Projekt gelöscht ist, werden alle damit verbundenen Daten (Kontoeinstellungen usw.) innerhalb von 24 Stunden aus dem System entfernt. Dieser Vorgang kann nicht rückgängig gemacht werden.

Der Zugriff auf Kundendaten ist auf die Personen beschränkt, die aufgrund ihrer Funktion Zugang zu den Daten benötigen. Ein Beispiel hierfür ist unser Support-Team.

Der Zugang zu unserem Datenplattform-Administrator-Panel wird ausschließlich auf individueller Basis gewährt. Über das Admin-Panel können Sie registrierte Kunden und Anwendungen einsehen. Mit erweiterten Rechten ist es auch möglich, sensible Vorgänge wie die Sperrung von Konten auszulösen. Für sämtliche "Schreib"-Operationen innerhalb des Admin-Panels bedarf es der ausdrücklichen Zustimmung eines anderen Administrators mit den gleichen Zugriffsrechten.

High Mobility führt mindestens einmal jährlich Pentests durch. Zusätzlich zu den regelmäßigen Pentests setzen wir auch Scanning-Tools ein, um Schwachstellen zu überwachen und zu erkennen.

Wenn Sie glauben, dass Sie eine Schwachstelle in der Anwendung von High Mobility entdeckt haben, senden Sie uns bitte einen Bericht per E-Mail an security@high-mobility.com. Wir nehmen derzeit weder an einem Bug-Bounty-Programm teil, noch bieten wir Geldprämien an.

Wenn Sie glauben, dass Ihr Konto kompromittiert wurde oder Sie verdächtige Aktivitäten in Ihrem Konto feststellen, melden Sie dies bitte an:
security@high-mobility.com.