Mailchimp nimmt Datensicherheit und Datenschutz sehr ernst und wir wissen, dass unsere Sicherheitsmaßnahmen und -verfahren für dich wichtig sind. Obwohl wir nicht zu viele Details über unsere Praktiken preisgeben können (da dies genau den Leuten nützen würde, vor denen wir uns schützen), stellen wir einige allgemeine Informationen bereit, sodass du eine Vorstellung hast, wie wir die Daten schützen, die du uns anvertraust.
Sicherheit durch unsere Rechenzentren
- Mailchimp liefert monatlich Milliarden von E-Mails an Millionen von Benutzern. Wir nutzen mehrere Mail Transfer Agents (MTA), die in verschiedenen erstklassigen Rechenzentren in den USA untergebracht sind.
- Unsere Rechenzentren sorgen mit biometrischen Scannern und dem üblichen Hightech-Kram, mit dem Rechenzentren immer prahlen, rund um die Uhr für physische Sicherheit.
- Wir haben in allen unseren Rechenzentren DDOS-Abwehrsysteme installiert.
- Wir haben einen dokumentierten Notfallplan zur Gewährleistung der Kontinuität der Infrastruktur „im Falle eines nuklearen Angriffs auf ein Rechenzentrum“.
Schutz vor Datenverlust und -korruption
- Benutzerkonten werden durch mehrere Logikebenen voneinander getrennt, um Korruption und Überschneidungen zu verhindern
- Die technologische Infrastruktur von Mailchimp umfasst Netzwerkgeräte wie Firewalls und IDS/IPS-Tools, die strategisch platziert sind, um den Netzwerkverkehr auf Datenverlust und -korruption zu kontrollieren und zu überwachen
- Account-Daten werden gespiegelt und regelmäßig an einem externen Standort gesichert.
Sicherheit auf Anwendungsebene
- Die Kennwörter von Mailchimp-Accounts sind verschlüsselt, selbst unsere Mitarbeitenden können sie nicht einsehen. Wenn du dein Kennwort verlegst, kann es nicht wiederhergestellt werden; du musst es zurücksetzen.
- Alle Anmeldeseiten (auf unserer Website oder mobilen Website) übertragen Daten über das Transport-Layer-Security-Protokoll (TLS) 1.2 oder höher.
- Die gesamte Mailchimp-App ist mit TLS 1.2 oder höher verschlüsselt.
- Anmeldeseiten und Anmeldungen über die Mailchimp-API sind gegen Brute-Force-Angriffe geschützt.
- Wir bieten die Möglichkeit, E-Mail- oder SMS-Benachrichtigungen über wichtige Aktivitäten zu aktivieren.
- Wir bieten die Möglichkeit, die Zwei-Faktor-Authentifizierung (2FA) für dein Mailchimp-Konto zu aktivieren.
- Wir führen das ganze Jahr über regelmäßig externe und interne Sicherheitstests mit verschiedenen Anbietern durch. Die Tests umfassen Penetrationstests auf hohem Niveau, eingehende Tests auf Schwachstellen innerhalb der App und auf Social Engineering.
- Die Ergebnisse unserer Penetrationstests werden streng vertraulich behandelt. Wir können bestätigen, dass alle Funde bearbeitet und repariert wurden.
Interne IT-Sicherheit
- Die Büroräume von Mailchimp sind durch Schlüsselkarten und biometrische Systeme gesichert und werden durchgehend mit Infrarotkameras überwacht.
- Unser Büronetzwerk ist stark segmentiert und wird zentral überwacht.
- Wir haben ein engagiertes internes Sicherheitsteam, das unsere Umgebung ständig auf Schwachstellen überwacht. Es führt Penetrationstests und Social-Engineering-Prüfungen zur Kontrolle unserer Umgebung und unserer Mitarbeiter durch. Einige Mitglieder unser Sicherheitsteams sind OSCP- und CISSP-zertifiziert.
Internes Protokoll und Schulung
- Wir schulen unsere Mitarbeiter kontinuierlich zu den besten Sicherheitspraktiken, einschließlich der Erkennung von Social Engineering, Phishing-Betrug und Hackern.
- Teammitglieder, die Zugang zu Kundendaten haben (z. B. der technische Support und unsere Ingenieure), werden vor ihrer Einstellung auf Vorstrafen und Bonität überprüft.
- Alle Angestellten unterzeichnen eine Vereinbarung zum Schutz der Privatsphäre, in der ihre Verantwortung für den Schutz der Kundendaten dargelegt wird.
- Um unser Unternehmen vor einer Vielzahl verschiedener Verluste zu schützen, hat Mailchimp ein umfassendes Versicherungsprogramm eingerichtet. Der Versicherungsschutz umfasst unter anderem: Deckung für Cyber- und Datenschutzvorfälle (einschließlich regulatorischer Aufwendungen), allgemeine Fehler- und Unterlassungshaftung, eine zusätzliche Cyber-Haftpflichtversicherung, eine Sachversicherung, eine Deckung bei Betriebsunterbrechung sowie eine internationale allgemeine Haftpflichtversicherung.
Compliance-Zertifizierungen von Mailchimp
Der Kreditkartenanbieter von Mailchimp setzt Sicherheitsmaßnahmen ein, um deine Daten sowohl während als auch nach Abschluss der Transaktion zu schützen. Unser Anbieter ist zertifiziert gemäß den Sicherheitsinitiativen von Zahlungskartenvereinigungen, u. a. Visa Cardholder Information Security and Compliance (CISP), das MasterCard® Site Data Protection Program (SDP) und Discovery Information Security and Compliance (DISC).
Unsere SOC-2-Berichte umfassen Kontrollen in Bezug auf Sicherheit, Verfügbarkeit und Prozessintegrität von Kundendaten.
Norm 27001 der Internationalen Organisation für Normung (ISO 27001) ist eine Norm für die Informationssicherheit, die gewährleistet, dass Büros sowie Entwicklungs-, Support- und Rechenzentren sicher verwaltet werden. Die Zertifizierung ist drei Jahre gültig (Verlängerungsaudit) und wird jährlich überprüft (Überwachungsaudit).
Mailchimp unterhält auch ein Voluntary Product Accessibility Template (VPAT®). Dies ist ein Dokument, das erklärt, wie Produkte der Informations- und Kommunikationstechnik (IKT) wie Software, Hardware, elektronische Inhalte und unterstützende Dokumentation die überarbeiteten 508 Standards für IT-Zugänglichkeit erfüllen (mit ihnen konform sind).
Um auf unsere Zertifizierungen zuzugreifen und sie herunterzuladen, besuche das Compliance-Portal von Intuit.
Wir schützen uns vor dir
Ja, richtig gelesen. Unsere stärksten Verteidigungslinien nützen nichts, wenn dein Computer kompromittiert wird und jemand in deinen Mailchimp-Account eindringt. Das wäre weder für dich noch für uns vorteilhaft.
- Daher überwachen und sperren wir Accounts bei Anzeichen von unregelmäßigen oder verdächtigen Anmeldeaktivitäten automatisch.
- Nach bestimmten Änderungen an deinem Account, z. B. einer Kennwortänderung, wird eine E-Mail-Benachrichtigungen an den Account-Inhaber gesendet.
- Wir überwachen Accounts und Kampagnenaktivitäten auf Anzeichen von Missbrauch.
- Zusätzlich zu unseren skalierbaren Algorithmen setzen wir Prüfer ein, die auf anomale Account- und E-Mail-Aktivitäten achten.
- Außerdem besteht die Möglichkeit, innerhalb von Accounts mehrere Zugriffsebenen einzurichten.
Ein Investition in deine Privatsphäre
- Unser Datenschutzteam arbeitet mit Teams im gesamten Unternehmen zusammen, um sicherzustellen, dass unsere Produkte und Funktionen den geltenden Datenschutz- und Anti-Spam-Gesetzen entsprechen.
- Wir überprüfen und aktualisieren regelmäßig die rechtlichen Hinweise, die sich auf unsere Beziehung zu dir auswirken.
- Wir verpflichten uns, die geltenden Datenschutzgesetze einzuhalten und unseren Kunden die Tools an die Hand zu geben, die sie bei der Einhaltung ihrer eigenen Anforderungen unterstützen.
- Wir beauftragen eine Anwaltskanzlei in der EU und im Vereinigten Königreich mit der Beratung zu Datenschutzgesetzen.
- Wir unterziehen uns einer jährlichen Überprüfung durch einen in den USA ansässigen externen Compliance-Prüfer gemäß dem EU-US Data Privacy Framework (EU-US DPF), der UK Extension zum EU-US DPF und dem Swiss-US Data Privacy Framework (Swiss-US DPF). Intuit und Mailchimp stützen sich bei der Datenübermittlung auf die EU-US-DPF und werden sich auf die britische Erweiterung des EU-US-DPF und das Swiss-US DPF stützen, sobald diese von den zuständigen Behörden genehmigt wurde. Wir unterliegen den Untersuchungs- und Durchsetzungsbefugnissen der Federal Trade Commission. Weitere Informationen über die Data Privacy Framework-Zertifizierung von Intuit und Mailchimp findest du hier.
- Wir sind Mitglied in Gruppen wie ESPC, M3AAWG, ISC2, ISACA, ISSA, SANS und anderen.
- Unsere führenden Verantwortlichen im Bereich Datenschutz sind aktive Mitglieder der International Association of Privacy Professionals (IAPP) und verfügen gemeinsam über die Zertifizierungen von CIPP/US, CIPP/G, CIPP/E, CIPM und CIPT.
- Informationen zur Einhaltung der DSGVO finden Sie hier.
Programm zur verantwortungsvollen Offenlegung
Wir bei Mailchimp haben uns dazu verpflichtet, die Sicherheit unserer Dienste und der uns bereitgestellten Kundeninformationen zu gewährleisten. Im Rahmen dieser Verpflichtung möchten wir Sicherheitsexperten dazu anregen, sich mit uns in Verbindung zu setzen, um potenzielle Schwachstellen in Produkten, Systemen oder Anlagen von Intuit zu melden. Es handelt sich dabei nicht um ein öffentliches Bug-Bounty-Programm, und wir bieten keine Prämie oder Vergütung für die Meldung potenzieller Probleme an. Wir schätzen dein Engagement für die Verbesserung unserer Dienste.
Richtlinien für eine verantwortungsvolle Offenlegung
Sicherheitsexperten decken mögliche Schwachstellen unter Einhaltung der folgenden Richtlinien auf:
Zulässige Handlungen
- Teile uns das Sicherheitsproblem mit, bevor du es öffentlich machst (z. B. über Message Boards, Mailinglisten oder in anderen Foren).
- Warte, bis wir dir mitteilen, dass die Schwachstelle behoben wurde, bevor du Dritte über diesen Vorfall informierst. Die Sicherheit unserer Kunden und unserer Systeme steht für uns an erster Stelle. Die Behebung bestimmter Schwachstellen kann jedoch mehr Zeit in Anspruch nehmen.
- Beschreibe klar und deutlich, welche Schritte erforderlich sind, um eine von dir gemeldete Schwachstelle zu reproduzieren.
- Gib alle Einzelheiten zu dem Sicherheitsproblem an, einschließlich der URL für den POC (Proof of Concept), sowie Einzelheiten zu dem/den System(en), an dem/denen Tests durchgeführt wurden.
Unzulässige Handlungen
- Du darfst nicht zum Schaden von Mailchimp, noch Intuit, bzw. deren jeweiligen Kunden, Anteilshabern, Partnern oder Mitarbeitern handeln.
- Vermeide alle Handlungen, die einen Ausfall verursachen oder einen der Dienste von Mailchimp stoppen könnten.
- Du darfst dich nicht an illegalen Aktivitäten oder Handlungen beteiligten, die gegen internationale oder einzelstaatliche Gesetze und Vorschriften verstoßen.
- Du darfst während der Durchführung von Aktivitäten zur Aufdeckung von Schwachstellen Mailchimp-Daten oder Kundendaten weder speichern, teilen, kompromittiere noch vernichten. Wenn du auf personenbezogene Daten bzw. persönlich identifizierbare Informationen (PII) stößt, bist du verpflichtet, den Vorgang abzubrechen und Mailchimp sofort zu informieren.
- Du darfst im Rahmen der Untersuchung von Schwachstellen keinerlei betrügerischen Handlungen ausführen und keinesfalls betrügerischen Finanztransaktionen zu Ende führen.
Nicht berücksichtigte Schwachstellen
Die folgenden Schwachstellen und Risiken werden bei diesem Programm nicht berücksichtigt:
- Phishing-Angriffe
- Social-Engineering-Angriffe
- Bewertung der physischen Sicherheit
- Jede Form von Denial-of-Service-Angriff (DoS)
Richtlinien für die Meldung
Alle Meldungen über potenzielle Schwachstellen müssen die für das Reproduzieren und Validieren des Problems erforderlichen Informationen einschließen. Die Dokumentation sollte eine detaillierte Beschreibung des Problems, der (betroffenen/wahrscheinlichen) Ziele, der durchgeführten Schritte sowie Screenshots, die verwendeten Tools und alle Informationen enthalten, die Intuit bei der Triage helfen könnten.
Wenn du diese Richtlinien befolgst und Sicherheitsmängel direkt an Intuit meldest, stimmen wir hiermit zu, dass wir keine rechtlichen Schritte gegen dich einleiten werden. Mailchimp behält sich seine gesetzlichen Rechte im Falle der Nichteinhaltung der Programmrichtlinien vor.
Mailchimp wird alle gemeldeten Probleme innerhalb von drei Werktagen nach der Meldung über das Webformular, das du hier findest, prüfen und umgehend bestätigen: Formular für die verantwortungsvolle Meldung von Schwachstellen.