PandaDoc speichert Dokumentendaten wie Metadaten, Aktivitäten, Originaldateien und Kundendaten an verschiedenen Orten und stellt auf Anforderung Dokumente zusammen und generiert diese. Alle Daten an jedem Standort werden im Ruhezustand mit AES-256 und einem hochentwickelten Schlüsselmanagement verschlüsselt.
Profitieren Sie von Sicherheit auf Enterprise-Niveau für Ihre höchst vertraulichen Vereinbarungen
Unsere Software für elektronische Signaturen ist eIDAS-, DSGVO- und QES-konform und gemäß SOC 2 zertifiziert, sodass Sie Ihre Dokumente mit vollem Vertrauen unterzeichnen können.
eIDAS und QES
Die eIDAS-Verordnung Nr. 910/2014 legt den Rahmen für die Rechtmäßigkeit der drei Arten elektronischer Signaturen in der EU und im Vereinigten Königreich fest: einfache elektronische Signaturen, fortgeschrittene elektronische Signaturen (AES) und qualifizierte elektronische Signaturen (QES), wobei letztere den höchsten Standard darstellen. Die gute Nachricht: PandaDoc bietet Signaturen auf eben diesem Niveau.
Datenresidenz in der EU oder in den USA
Wählen Sie aus, wo Ihre Daten gespeichert und verarbeitet werden. PandaDoc bietet die Flexibilität, die Ihr Unternehmen für die Datenresidenz an zwei gleichermaßen sicheren Standorten benötigt.
DSGVO-Konformität
Wir bei PandaDoc wissen, dass Datenschutz ein ganzheitliches Sicherheitsprogramm erfordert. Wir haben umfangreiche Untersuchungen durchgeführt und eine Ressourcenseite mit detaillierten Informationen zusammengestellt, auf der erläutert wird, was die DSGVO ist und wie PandaDoc diese erfüllt.
SOC 2-zertifiziert
PandaDoc ist nach SOC 2 Typ II zertifiziert. Auf Anfrage stellen wir gerne einen SSAE 18 SOC 2-Bericht sowie Konformitätsbescheinigungen zur Verfügung. Unsere Services werden auf der AWS-Plattform gehostet, die Amazon kontinuierlich weiterentwickelt. Hier gehen wir näher darauf ein, wie wir dabei neu entstehende Features und Sicherheitsmechanismen für unsere Kunden nutzen.
Externe Unterauftragnehmer
PandaDoc nutzt derzeit Drittanbieter als Unterauftragnehmer für verschiedene Geschäftsfunktionen, nachdem deren Sicherheit mit der gebotenen Sorgfalt geprüft wurde, und schließt eine Vereinbarung ab, die jeden Unterauftragnehmer verpflichtet, ein Mindestmaß an akzeptablen Sicherheitsverfahren einzuhalten.
Physische Sicherheit
Unsere Rechenzentren werden von Amazon Web Services (AWS) betrieben und bieten uns innovative Technologien und Architektur auf dem neuesten Stand der Technik. Amazon verfügt über langjährige Erfahrung in der Entwicklung sowie im Design und Betrieb großer Rechenzentren. Auch die AWS-Plattform und -Infrastruktur basieren auf dieser Expertise.
Datenschutzrahmen
Der von den USA, der EU, dem Vereinigten Königreich und der Schweiz geschaffene Datenschutzrahmen (Data Privacy Framework, DPF) ermöglicht es in den USA ansässigen Unternehmen, personenbezogene Daten aus der EU, dem Vereinigten Königreich und der Schweiz sicher zu übertragen und dabei die Einhaltung der Gesetze der vorgenannten Gebiete zu gewährleisten. Die EU bestätigt in diesem Zusammenhang, dass der Datenschutzrahmen EU-US ein angemessenes Schutzniveau gewährleistet und einen sicheren Datenfluss ermöglicht. PandaDoc ist zertifizierter Teilnehmer am Datenschutzrahmen EU-USA sowie den für das Vereinigte Königreich und die Schweiz geltenden Erweiterungen.
PCI-DSS
PandaDoc bietet Integrationen von Anbietern, die die Zahlungsabwicklung per Kreditkarte ermöglichen, erlaubt jedoch keine Speicherung von PCI-Daten auf der PandaDoc-Plattform selbst.
HIPAA-konform
PandaDoc hat sich vollumfänglich dazu verpflichtet, Gesundheitsdienstleistern dabei zu helfen, die Gesundheitsdaten von Patienten zu schützen, wenn sie ePHI (elektronisch geschützte Gesundheitsdaten) über PandaDoc versenden. PandaDoc erfüllt die HIPAA-Anforderungen und die Datenschutzrichtlinie sowie die administrativen, physischen und technischen Sicherheitsvorkehrungen der Sicherheitsrichtlinie.
Software-Sicherheit
Server und Netzwerke
Bei allen Servern, auf denen die PandaDoc-Software in der Produktion läuft, handelt es sich um aktuelle, kontinuierlich gepatchte Linux-Systeme. Zusätzliche gehostete Services, die wir nutzen, wie Amazon RDS und S3, werden über umfassend gesicherte AWS IaaS-Plattformen (Infrastructure-as-a-Service) bereitgestellt.
Speicherung
Programmierung und Testverfahren
PandaDoc nutzt branchenübliche Programmiertechniken wie dokumentierte Entwicklungs- und Qualitätssicherungsprozesse und befolgt Richtlinien wie den OWASP-Bericht, um sicherzustellen, dass die Anwendungen den Sicherheitsstandards entsprechen.
Zugang für Mitarbeiter
Wir befolgen das Prinzip der geringstmöglichen Privilegien bei der Erstellung von Software und bei der Festlegung der Zugriffsrechte, die unsere Mitarbeiter bei der Diagnose und Lösung von Problemen in unserer Software und bei der Beantwortung von Kundenanfragen verwenden sollen.
Isolierte Umgebungen
Die Segmente des Produktionsnetzwerks sind logisch von den anderen Segmenten des Unternehmens, der Qualitätssicherung und der Entwicklung isoliert.
Zahlungsdaten von Kunden
Systemüberwachung und Alarmierung
Bei PandaDoc werden die Produktionsanwendung und die zugrunde liegenden Infrastruktur-Komponenten rund um die Uhr an 365 Tagen im Jahr von speziellen Monitoring-Systemen überwacht. Kritische Alarme von diesen Systemen gehen direkt an das DevOps-Team, das an jedem Tag im Jahr 24/7 einsatzbereit ist und ggf. Meldungen an das Operations-Management eskaliert.
Servicelevel und Backups
Die PandaDoc-Infrastruktur nutzt viele mehrschichtige Techniken, um hohe Uptime sicherzustellen – von automatischer Skalierung und Load Balancing über Aufgaben-Warteschlangen bis hin zu kontinuierlicher Bereitstellung. Sämtliche Datenbanken werden täglich automatisch als verschlüsselte Backups gesichert.
Schwachstellenprüfung
Die Sicherheit der Webanwendungen wird vom Entwicklungsteam im Einklang mit dem Veröffentlichungszyklus der Anwendung bewertet. Diese Schwachstellentests erfolgen u. a. mit allgemein bekannten Security-Toolkits und -Scans, um Sicherheitslücken in Webanwendungen vor dem Go-Live zu erkennen.
Anwendungsarchitektur
Die PandaDoc-Webanwendung ist mehrstufig in logische Segmente (Frontend, Mittelschicht und Datenbank) unterteilt, die jeweils unabhängig voneinander in einer DMZ-Konfiguration getrennt sind. Dies garantiert maximalen Schutz und Unabhängigkeit zwischen den einzelnen Schichten.
Identitätsüberprüfung
Machen Sie den Zugriff auf Ihre Dokumente mit den verschiedenen Optionen zur Identitätsüberprüfung von PandaDoc noch sicherer. Wählen Sie aus vier flexiblen Methoden: die Verifizierung per Passcode, die Verifizierung per SMS, die wissensbasierte Authentifizierung (knowledge-based authentication, KBA) und Identitätsprüfungen. Mit diesen Optionen können Sie sicherstellen, dass nur verifizierte Empfänger auf sensible Informationen zugreifen können. Gleichzeitig sorgen Sie so für die Erfüllung von Compliance- und Sicherheitsanforderungen. Klicken Sie hier, um mehr über die verschiedenen Angebote zur Identitätsüberprüfung von PandaDoc zu erfahren.