Vertrauen ist unsere Grundlage

ISO/IEC- & SOC-Zertifizierungen

PTV ist gemäß ISO/IEC 27001:2022 zertifiziert und beweist damit die Wirksamkeit unseres Information Security Management Systems (ISMS). Dies versichert Kundinnen und Kunden, dass wir Sicherheitsrisiken proaktiv managen und Best Practices zum Schutz sensibler Daten und Geschäftsprozesse anwenden. Econolite besitzt SOC 2 Type II- und SOC 3-Zertifizierungen und unterstreicht damit unser Engagement für sichere, transparente und widerstandsfähige Mobilitätslösungen. Hosting ist regionsspezifisch: EU-Hosting für EWR-Kunden und US-Hosting für US-Kunden.

ESG (Environmental, Social, and Governance) 

Wir integrieren ESGPrinzipien in unseren Corporate-GovernanceRahmen, sodass unsere Sicherheits- und Datenschutzpraktiken mit unseren übergeordneten Zielen in Bezug auf ethisches Geschäftsverhalten, Nachhaltigkeit und soziale Verantwortung übereinstimmen.

Berichte unabhängiger Prüfstellen

Umovity beauftragt unabhängige Sicherheitsexperten mit regelmäßigen Penetrationstests und Sicherheitsanalysen. Zusammenfassungen dieser Drittanbieter-Audits sind Kunden auf Anfrage und nach angemessenen Vertraulichkeitsvereinbarungen zugänglich, um unser kontinuierliches Engagement für das Erkennen und Beheben potenzieller Schwachstellen zu demonstrieren.

Datenschutz

Wir handeln als verantwortungsbewusster Auftragsverarbeiter und Verantwortlicher und stellen sicher, dass personenbezogene Daten rechtmäßig, transparent und sicher verarbeitet werden. PTV und Econolite haben eine Vereinbarung zur gemeinsamen Verantwortung abgeschlossen, die die von der EU bereitgestellten Standardvertragsklauseln (SCC) enthält, um ein angemessenes Datenschutzniveau zwischen den Unternehmen sicherzustellen. Für die Datenschutzbestimmungen der PTV Group siehe: Legal Documents - PTV Group. Für die Datenschutzbestimmungen von Econolite siehe: Privacy Policy - Econolite.

Land der Datenverarbeitung

Für cloudbasierte Dienste nutzt Umovity Azure-Umgebungen, die ISO 27001- und SOC 2konform sind. Für Kundinnen und Kunden im Europäischen Wirtschaftsraum (EWR) werden unsere Cloud-Dienste innerhalb der EU bereitgestellt. Für Kundinnen und Kunden in den USA werden unsere Cloud-Dienste innerhalb der USA bereitgestellt.

Privacy by Design und by Default

Wir integrieren Datenschutzaspekte in jede Phase der Produktentwicklung und unserer Geschäftsprozesse. Standardkonfigurationen priorisieren den Schutz durch minimale Datenerhebung sowie transparente, leicht zugängliche Datenschutzkontrollen.


 

Data Processing Agreement

Um unsere Kundinnen und Kunden bei der Erfüllung ihrer Datenschutzpflichten zu unterstützen, bieten PTV und Econolite auf Wunsch eine Datenverarbeitungsvereinbarung (DPA) an.

Code of Conduct

Umovity pflegt einen strengen Verhaltenskodex, der das ethische Verhalten sowie die Einhaltung gesetzlicher Vorschriften aller Mitarbeitenden, Auftragnehmer und Partner regelt. Dieser Kodex stärkt eine Kultur der Integrität und Verantwortlichkeit.

Speaking up

Umovity verpflichtet sich zu strengen ethischen Standards und stellt Transparenz, Verantwortlichkeit und die Einhaltung aller einschlägigen Gesetze sicher. Rechtsverstöße und Missbrauch von Hinweisgebersystemen werden nicht toleriert. Geschäftspartner können potenzielle Verstöße anonym über den Speaking-UpDienst von PTV und Econolite melden.

Lieferanten- und Drittanbieter-Risikomanagement

Umovity stellt sicher, dass Lieferanten und Dritte gesetzliche und regulatorische Anforderungen einhalten. Ein strenges Risikomanagementprogramm bewertet Risiken vor und während der Zusammenarbeit.

Datenklassifizierung und -handhabung

Wir implementieren ein umfassendes Rahmenwerk zur Datenklassifizierung, um Informationen entsprechend ihrer Sensitivität und ihres geschäftlichen Einflusses zu identifizieren und zu verwalten. Alle Daten werden kategorisiert (z. B. öffentlich, intern, vertraulich) und mit geeigneten Kontrollen verarbeitet, um ihren Schutz während des gesamten Lebenszyklus sicherzustellen.

Verschlüsselung während der Übertragung (TLS 1.2/1.3, HTTPS)

Daten, die zwischen Systemen, Nutzenden und unseren Diensten übertragen werden, sind durch starke Verschlüsselungsprotokolle wie TLS 1.2/1.3 und HTTPS geschützt. Dadurch wird die Vertraulichkeit und Integrität von Informationen gewährleistet, während sie über Netzwerke transportiert werden.

Sichere Backups und Datenwiederherstellung 

Wir speichern verschlüsselte Backups kritischer Daten an geografisch verteilten Standorten. Regelmäßige Tests der Backup und Wiederherstellungsverfahren stellen sicher, dass Daten im Falle eines unbeabsichtigten Verlusts oder einer Katastrophe verfügbar und integer bleiben.

Datenisolierung

Daten verschiedener Kundinnen und Kunden oder Geschäftsbereiche werden innerhalb unserer Systeme logisch voneinander getrennt. Diese Isolierung verhindert unbefugten Zugriff und stellt sicher, dass die Daten jedes Kunden privat und sicher bleiben.

Verschlüsselung im Ruhezustand (AES256, Festplattenverschlüsselung)

Alle sensiblen Daten werden im Ruhezustand mit branchenüblichen Algorithmen wie AES256 verschlüsselt. Auf unserer gesamten Infrastruktur wird Festplattenverschlüsselung eingesetzt, um gespeicherte Informationen vor unbefugtem Zugriff zu schützen.

Sichere Schlüsselspeicherung und -rotation 

Verschlüsselungsschlüssel werden mithilfe dedizierter Key-Management-Systeme verwaltet, mit strikten Zugriffskontrollen und regelmäßigen Rotationsrichtlinien. Schlüssel werden sicher gespeichert, und ihr Lebenszyklus wird nach bewährten Verfahren gesteuert, um Risiken zu minimieren.

Richtlinien zur Datenaufbewahrung und -löschung

Klare Richtlinien zur Datenaufbewahrung definieren, wie lange Informationen gespeichert werden und wann sie sicher gelöscht werden. Automatisierte Prozesse sorgen dafür, dass Daten, die nicht mehr benötigt werden, rechtzeitig und gemäß rechtlichen und vertraglichen Anforderungen entfernt werden.

Security Governance

Unser Rahmenwerk für Sicherheitsgovernance definiert klare Rollen, Verantwortlichkeiten und Kontrollmechanismen für die Informationssicherheit. Ein dediziertes Team überwacht die Entwicklung von Richtlinien, das Risikomanagement und ComplianceAktivitäten, um die Ausrichtung an den Unternehmenszielen sicherzustellen.

Sicherheitsschulungen für Mitarbeitende

Alle Mitarbeitenden erhalten verpflichtende Sicherheitsbewusstseinsschulungen, die auf ihre jeweiligen Rollen zugeschnitten sind. Die Schulungen behandeln Themen wie Phishing, Social Engineering und den sicheren Umgang mit Daten. Sie befähigen Mitarbeitende, Sicherheitsrisiken zu erkennen und angemessen darauf zu reagieren.

Sicherheitsrichtlinien und -verfahren

Ein umfassendes Set an Sicherheitsrichtlinien und -verfahren steuert sämtliche Aspekte unserer betrieblichen Abläufe. Diese Dokumente werden regelmäßig überprüft und aktualisiert, um neuen Bedrohungen, gesetzlichen Anforderungen und Branchenstandards Rechnung zu tragen.

Management von Sicherheitsvorfällen

Wir unterhalten einen robusten Prozess zur Behandlung von Sicherheitsvorfällen, um Sicherheitsereignisse zu erkennen, darauf zu reagieren und sich davon zu erholen. Vorfälle werden gründlich untersucht, und die gewonnenen Erkenntnisse fließen in die Verbesserung unserer Abwehrmaßnahmen ein, um Wiederholungen zu verhindern.

Sicherheitskultur

Wir fördern eine starke Sicherheitskultur durch kontinuierliche Schulungen, Commitment der Führungsebene und aktive Einbindung der Mitarbeitenden. Sicherheit ist in unsere täglichen Abläufe integriert und unterstützt proaktives Risikomanagement und verantwortungsbewusstes Verhalten auf allen Ebenen.

Business Continuity Management

Unser BusinessContinuityProgramm stellt sicher, dass kritische Geschäftsprozesse während und nach Störungen fortgeführt werden können. Die Pläne werden regelmäßig getestet und aktualisiert und umfassen Bereiche wie Disaster Recovery, Krisenkommunikation und Ressourcenverfügbarkeit.

Sicherheitsrisikobewertungen

Regelmäßige Risikobewertungen werden durchgeführt, um potenzielle Bedrohungen für unsere Informationswerte zu identifizieren und zu evaluieren. Die Ergebnisse bilden die Grundlage für gezielte Sicherheitsmaßnahmen und die kontinuierliche Verbesserung unserer Sicherheitslage.

Secure Software Development Lifecycle (SDLC)

Sicherheit ist in unseren gesamten SDLC integriert – von der ersten Designphase über die Implementierung bis hin zur Bereitstellung und Wartung. Wir wenden sichere Programmierstandards an, führen regelmäßige Überprüfungen durch und integrieren Sicherheitsprüfungen in jede Entwicklungsphase.

Code-Review und statische Codeanalyse

Sämtlicher Code wird einer rigorosen Überprüfung und statischen Analyse unterzogen, um Schwachstellen zu identifizieren und die Einhaltung von Sicherheitsstandards sicherzustellen. Automatisierte Tools und PeerReviews tragen dazu bei, die Codequalität zu sichern und Risiken zu reduzieren.

Penetrationstests

Regelmäßige Penetrationstests werden von unabhängigen Expertinnen und Experten durchgeführt, um Schwachstellen in unseren Anwendungen und in der Infrastruktur zu identifizieren und zu beheben. Die Ergebnisse werden priorisiert und umgehend bearbeitet, um eine starke Sicherheitsposition zu gewährleisten. 

Patch- und Schwachstellenmanagement

Kritische Systeme werden regelmäßig mit Sicherheitspatches aktualisiert, um neuen Bedrohungen entgegenzuwirken. Unser Patch-Management-Prozess stellt sicher, dass Schwachstellen zeitnah erkannt und behoben werden, wodurch die Angriffsfläche auf ein Minimum reduziert wird.

Threat Modeling

n der Designphase wird Threat Modeling durchgeführt, um potenzielle Angriffsvektoren frühzeitig zu erkennen und wirksame Gegenmaßnahmen zu integrieren. Dieser proaktive Ansatz hilft dabei, robuste Systeme von Grund auf zu entwickeln.

Bedrohungsmodellierung

Die Bedrohungsmodellierung wird bereits in der Entwurfsphase durchgeführt, um potenzielle Angriffsvektoren vorherzusehen und wirksame Gegenmaßnahmen zu implementieren. Dieser proaktive Ansatz unterstützt den Aufbau robuster Systeme von Grund auf.

Schwachstellenmanagement und Behebung

Wir betreiben ein kontinuierliches Schwachstellenmanagementprogramm, das sowohl automatisierte Scans als auch manuelle Bewertungen umfasst. Identifizierte Schwachstellen werden nachverfolgt und systematisch behoben.

Hohe Verfügbarkeit und Redundanz

Unsere Infrastruktur ist auf hohe Verfügbarkeit ausgelegt und nutzt redundante Systeme sowie FailoverMechanismen, um Ausfallzeiten zu minimieren. Durch kontinuierliche Überwachung und automatisierte Wiederherstellungsprozesse bleiben unsere Dienste auch bei unerwarteten Ereignissen zugänglich und zuverlässig.

Systemhärtung und Basiskonfiguration

Wir wenden strenge System-Hardening-Maßnahmen auf alle Infrastrukturkomponenten an, entfernen nicht benötigte Dienste und setzen sichere Basiskonfigurationen um. Regelmäßige Überprüfungen und automatisierte Compliance-Checks stellen sicher, dass die Systeme gegenüber neuen Bedrohungen widerstandsfähig bleiben und den bewährten Branchenstandards entsprechen.

Endpunktschutz und Antivirus

Alle Endpunkte werden durch moderne Sicherheitslösungen geschützt, darunter Antivirus, AntiMalware sowie Endpoint Detection and Response(EDR)Tools. Regelmäßige Updates und Echtzeitüberwachung helfen dabei, Bedrohungen auf Benutzergeräten und Servern zu verhindern, zu erkennen und darauf zu reagieren.

Backup und Disaster-Recovery-Planung

Robuste Backup-Strategien schützen kritische Daten. Verschlüsselte Backups werden an geografisch verteilten Standorten gespeichert. Unsere Disaster-Recovery-Pläne werden regelmäßig getestet, um im Falle von Systemausfällen oder Katastrophen eine schnelle Wiederherstellung der Dienste und die Datenintegrität sicherzustellen.

Sicherheitsrichtlinien und -verfahren

Ein umfassendes Set an Sicherheitsrichtlinien und -verfahren steuert alle Aspekte unserer betrieblichen Abläufe. Diese Dokumente werden regelmäßig überprüft und aktualisiert, um Veränderungen in der Bedrohungslandschaft, regulatorische Anforderungen und organisatorische Prioritäten zu berücksichtigen.

Richtlinie zum Umgang mit Sicherheitsvorfällen

Eine formale Incident-Response-Richtlinie definiert die Verfahren zur Erkennung, Meldung und Behandlung von Sicherheitsvorfällen. Die Richtlinie stellt sicher, dass Reaktionen koordiniert und effektiv sind, um Auswirkungen zu minimieren und kontinuierliche Verbesserungen zu unterstützen.

Prinzip der geringsten Rechte (Least Privilege)

Der Zugriff auf Systeme und Daten wird strikt nach dem Need-to-Know-Prinzip gewährt. Das Least-Privilege-Prinzip wird in allen Rollen und Umgebungen durchgesetzt, um die potenziellen Auswirkungen kompromittierter Konten oder interner Bedrohungen zu minimieren.

Richtlinie zur akzeptablen Nutzung

Unsere Acceptable-Use-Policy definiert zulässige und unzulässige Nutzungen von Unternehmensressourcen. Sie stellt sicher, dass alle Nutzenden ihre Verantwortlichkeiten und die Konsequenzen von Richtlinienverstößen kennen.

Whistleblower-Richtlinie

Wir fördern eine Kultur der Transparenz und Verantwortlichkeit durch unsere Whistleblower-Richtlinie, die sichere und vertrauliche Kanäle zur Meldung unethischer oder illegaler Aktivitäten bietet – ohne Angst vor Vergeltungsmaßnahmen.

Passwortrichtlinien und -management

Wir setzen strenge Passwortrichtlinien durch, darunter Anforderungen an Komplexität, regelmäßige Passwortwechsel und sichere Speicherung. PasswortManagementTools und MultiFaktorAuthentifizierung tragen zusätzlich zur Stärkung der Kontensicherheit und zur Reduzierung des Risikos unbefugter Zugriffe bei.

Identity Lifecycle Management

Wir unterhalten strikte Kontrollen über den gesamten Identitätslebenszyklus – vom Onboarding bis zum Offboarding. Automatisierte Prozesse gewährleisten eine rechtzeitige Bereitstellung und Entziehung von Zugriffsrechten, wodurch das Risiko verwaister Konten und unbefugter Zugriffe reduziert wird.

Trennung von Aufgaben (Segregation of Duties)

Kritische Funktionen werden auf verschiedene Personen oder Teams verteilt, um Interessenkonflikte zu verhindern und das Risiko von Betrug oder Fehlern zu reduzieren. Die Trennung von Aufgaben wird durch technische Kontrollen und regelmäßige Audits sichergestellt.

Regelmäßige Zugriffsüberprüfungen

Regelmäßige Zugriffsüberprüfungen gewährleisten, dass Berechtigungen weiterhin angemessen für die jeweilige Rolle sind. Nicht benötigte oder übermäßige Rechte werden umgehend entzogen, um eine dauerhafte Einhaltung von Sicherheits- und Compliance-Anforderungen sicherzustellen.