Unsere Informationssicherheitsrichtlinie

Einleitung

Stripe ist ein Technologieunternehmen, dass das BIP des Internets durch die Entwicklung kostenwirksamer Plattformen für die Zahlungsabwicklung im Internet steigern will. Stripe unterstützt Unternehmen jeder Größenordnung – vom jungen Start-up bis hin zum börsennotierten Konzern. Sie alle nutzen Stripe, um Zahlungen anzunehmen und ihre geschäftlichen Transaktionen im Internet durchzuführen.

Im Rahmen unseres Anspruchs, zur beliebtesten Zahlungsplattform im Internet zu werden, verarbeitet Stripe wichtige Daten unserer Nutzer/innen und deren Kunden. Um das Vertrauen zwischen Stripe und seinen Nutzer/innen wahren, kommt dem Schutz unserer Zahlungsplattform und der darin verarbeiteten Daten höchste Priorität zu.

Stripe nimmt diese Aufgabe sehr ernst und stellt das Thema Sicherheit deshalb an oberste Stelle.

Sicherheit bei Stripe

Kern unseres Sicherheitsversprechens bildet unsere globale Informationssicherheitsrichtlinie (die „Richtlinie“). Diese legt dar, wie Stripe seine Zahlungsplattform und Daten schützt.

Die Richtlinie wird einmal jährlich durch unsere Informationssicherheitsbeauftragten und den Unternehmensvorstand geprüft und verabschiedet.

Die globale Informationssicherheitsrichtlinie von Stripe stützt sich auf die folgenden Grundsätze:

  • Vertraulichkeit: Wir wollen sicherstellen, dass unbefugte Dritte keinen Zugang zu unseren Informationen erhalten.
  • Integrität: Wir sorgen dafür, dass Informationen nicht unbefugt verändert werden, um ihre Richtigkeit und Unversehrtheit zu schützen.
  • Verfügbarkeit: Alle Informationen sollen befugten Personen bei Bedarf stets zugänglich sein.

Ziele

Um unsere Ziele im Bereich der Informationssicherheit zu erfüllen und unseren Prinzipien treu zu bleiben, hat Stripe einen robustes Programm zur Informationssicherheit aufgestellt. Dieses umfasst Personal, Prozesse und Plattform.

Unser Informationssicherheitsprogramm sieht Kontrollen in den folgenden Bereichen vor:

Personal - Von unseren Mitarbeiter/innen erwarten wir, dass sie voll hinter unserem Sicherheitsversprechen stehen. Stripe bereitet sein Personal auf dieser Aufgabe vor und bietet dazu Schulungen und Sensibilisierungsmaßnahmen an, um alle mit den Sicherheitsrisiken vertraut zu machen. Vor diesem Hintergrund haben wir die folgenden Kontrollen aufgestellt:
- eigene Informationssicherheitsteams und -beauftragte
- Managementprogramm zu Technologierisiken
- Hintergrundprüfungen
- Schulungsprogramm im Bereich Sicherheit
- Dokumentation sicherer Programmierverfahren und -ansätze

Prozesse - Wir haben Unternehmensprozesse aufgestellt, um die Erfüllung unserer Ziele im Bereich der Informationssicherheit mithilfe von Security-Governance, sicherer Entwicklung und sicheren Betriebsabläufen zu gewährleisten. Zu diesen Prozessen zählen:
- User-Access-Prozesse gemäß dem Konzept der geringsten Rechte
- ein offizielles Entwickler-Playbook einschließlich Sicherheitsanalysen und -tests
- Prozesse im Bereich Schwachstellen-Management
- Malware-Schutz
- Sicherheitsmonitoring und Sicherheitswarnungen
- Risikobewertungen zu Sicherheitsrisiken durch externe Parteien
- Störfallmanagement und -beseitigung

Plattform - Unsere Produktionsinfrastruktur ist darauf ausgelegt, sichere Systeme mit hoher Verfügbarkeit zu schaffen. Außerdem wollen wir unser Serviceangebot absichern und verfügbar halten, um die Bedürfnisse unserer Kund/innen zu erfüllen. Die Stripe-Plattform besteht aus den folgenden Elementen:
- Anbieter von Cloud-Infrastruktur als Dienst (IAAS) für Branchen-Leverage
- Eine dezentrale, widerstandsfähige Infrastruktur, die auf mehrere Rechenzentren verteilt ist
- automatisierte Entwicklungsprozesse nach dem Leverage-System, um die Entwicklung vollständig sicherer Systeme zu gewährleisten
- Datenreplizierung
- verschlüsselte interne und externe Netzwerkverbindungen

Konformität

Als Zahlungsabwickler unterliegt Stripe zahlreichen branchenspezifischen und aufsichtsrechtlichen Anforderungen. Um diese zu erfüllen, haben wir ein Compliance-Programm aufgestellt, mit dem wir die diversen verbindlichen Vorgaben im Bereich der Informationssicherheit bestimmen, verfolgen und erfüllen. Unser Compliance-Programm beinhaltet auch Zertifizierungen durch externe Anbieter, darunter insbesondere:
- PCI DSS Level 1 Certification
- SOC2 Type 2 Authentications
- Required Cybersecurity Certification - UK

Diese Bescheinigungen und Zertifizierungen müssen jährlich erneuert werden. Die Ergebnisse erhalten unsere Kund/innen auf Anfrage.