Warum ist JotForm sicher?

256 Bit SSL

Unabhängig von Ihrem Abonnement werden alle Ihre Formulare über eine geschützte 256-Bit-SSL-Verbindung (Secure Socket Layer) unter Verwendung eines SHA256-Zertifikats übermittelt. Dies ist das gleiche Sicherheitsniveau, das auch von Online-Banking- oder E-Commerce-Anbietern verwendet wird. Mehr lesen

Verschlüsselte Formulare

Sie können Ihre Formulare leicht verschlüsseln, um sicherzustellen, dass die Antworten in einem sicheren Format übertragen und gespeichert werden und niemand anders sie lesen kann. Die Antworten werden direkt auf dem Computer des Benutzers mit RSA 2048 verschlüsselt und dann sicher übertragen und auf unseren Servern gespeichert. Mehr lesen

PCI Zertifizierung

JotForm ist PCI DSS Service Provider Level 1 konform, die höchste Sicherheitsstufe, die Sie als Unternehmen, das Zahlungen von Kreditkarten einzieht und diese integriert, erreichen können. Mehr lesen

DSGVO Compliance

JotForm ist vollständig konform mit der Allgemeinen Datenschutzverordnung (DSGVO) der Europäischen Union, dem am 25. Mai 2018 in Kraft getretenen Datenschutzgesetz. Dies gilt für jedes Unternehmen, das Daten in oder aus Europa sammelt. Mehr lesen

CCPA Compliance

JotForm erfüllt die Anforderungen des California Consumer Privacy Act (CCPA), der kalifornische Bürger schützt, indem er Unternehmen verpflichtet, mit ihren Online- und Offline-Daten verantwortungsvoll umzugehen. Mehr lesen

HIPAA Compliance

Dienstleister im Gesundheitswesen sammeln Patientendaten über die HIPAA-konformen Formulare von JotForm. Ein Business Associate Agreement (BAA) ist auf Anfrage ebenfalls erhältlich. Mehr lesen

Spam-Schutz

Zusätzlich zu den Captchas, die Sie in Ihren Formularen verwenden können, haben wir mehrere weitere Optionen, um Ihre Formulare vor Spam zu schützen. Beispielsweise können Sie nur eine Antwort pro IP oder Computer zulassen oder Ihr Formular nach einer bestimmten Anzahl an Antworten deaktivieren. Erfahren Sie mehr

Formular Datenschutz

In den Datenschutzeinstellungen können Sie den Zugriff auf Ihre Daten je nach dem von Ihnen gewählten Datenschutzniveau einschränken. Sie können auch das Klonen Ihrer Formulare deaktivieren oder eine Anmeldung für den Zugriff auf eine Antwort verlangen (dies ist standardmäßig über eindeutige URLs gewährleistet).

Wie kann ich meine Formulare noch sicherer machen?

Verschlüsseln Sie Ihre Formulare

Sie können Ihre Formulare leicht verschlüsseln, um sicherzustellen, dass die Antwortdaten in einem sicheren Format übertragen und gespeichert werden. JotForm verwendet beim Verschlüsseln Ihrer Formulardaten den RSA-2048-Algorithmus. Da Sie Ihren Verschlüsselungsschlüssel besitzen, sollten Sie ihn mit Vorsicht aufbewahren. Wenn Sie Ihren Schlüssel verlieren, ist es nicht mehr möglich, auf Ihre verschlüsselten Daten zuzugreifen.

Wenn Sie dieses Feature aktivieren und eine Antwort erhalten, werden von JotForm verschickte Benachrichtigungen keine Antwortdaten erhalten. Erfahren Sie hier mehr über die Verschlüsselung von Formularen.

Datei-Uploads werden von dieser Funktion nicht abgedeckt. Sie können über die Sicherheit von Datei-Uploads mehr in diesem diesem Beitrag nachlesen.

Bestimmen Sie den Datenschutz Ihrer Formulare und Daten

Der Zugang zu den Antworten eines Formulars ist geschützt und erfordert den Login in den Account, dem das Formular gehört. Eine einzelne Antwort kann jedoch angezeigt werden, wenn die unmöglich zu erratende URL dieser einzelnen Antwort bekannt ist. Wenn Sie mehr Sicherheit wollen, können Sie eine weitere Sicherheitsstufe durch einen erforderlichen Login einrichten.

Da Sie der alleinige Eigentümer Ihrer Formulare und Antworten sind, wird der Zugriff auf Ihre Daten nur mit Ihrer Erlaubnis gewährt, wenn Sie ein Integrationswidget und/oder eine App verwenden. Seien Sie versichert, dass wir Ihre Daten mit höchster Vertraulichkeit behandeln.

Speichern Sie Ihre europäischen Benutzerdaten auf EU-Servern

Sie können die Speicherung Ihrer Daten in der Europäischen Union (EU) im Tab Daten in Ihren Account-Einstellungen auswählen. Nach der Bestätigung werden Ihre Formulardaten auf unsere europäischen Server in Frankfurt, Deutschland, kopiert, die von Amazon Web Services betrieben werden. Sobald die Übertragung abgeschlossen ist, werden Sie bei der Anmeldung automatisch zu eu.jotform.com weitergeleitet. Sie müssen sich keine Sorgen über die Sicherheit Ihrer Daten machen. JotForm ist vollständig konform mit der allgemeinen Datenschutzverordnung der EU.

Mit JotForm Enterprise können Sie Geolocalization verwenden, um Ihre Daten in fast jedem Teil der Welt zu hosten. Da viele Länder - inklusive Australien - Gesetze haben, die dies erfordern, kann dies ein unverzichtbares Tool für Ihr globales Unternehmen sein.

Sichern Sie Ihre Daten

Sie können Ihre Daten mit einem einzigen Klick auf der Registerkarte "Daten" in Ihren Account-Einstellungen sichern. Wenn Sie einen Backup-Vorgang auslösen, beginnen wir mit der Vorbereitung einer einzelnen ZIP-Datei, die den HTML-Code für Ihre Formulare, einen CSV-Export Ihrer Formular-Antworten und alle hochgeladenen Dateien enthält.

Diese Backups können entweder heruntergeladen oder in unserer Datenbank gespeichert werden. Wenn Sie nur ein Backup Ihrer Formulare wünschen, ist es auch möglich, Ihren Quellcode im Form Builder im Zip-Format herunterzuladen und lokal zu speichern.

Schützen Sie Ihre Formulare vor Betrügern

JotForm bietet zwei verschiedene CAPTCHA-Alternativen an, um Bots das Ausfüllen Ihres Formulars zu erschweren und es für Benutzer trotzdem einfach zu halten. Sie können entweder ein einfaches CAPTCHA oder reCAPTCHA verwenden, wie von Google zur Verfügung gestellt.

Wir haben außerdem mehrere Prüfverfahren installiert, die während des Ausfüllvorgangs überprüfen, ob eine Antwort wirklich von einer Person stammt. Sollten Sie dennoch Spam erhalten, hilft Ihnen unser 24/7 Support-Team bei der Identifizierung und ermöglicht falls nötig eine Gutschrift auf Ihrem Account.

Als zusätzlichen Spam-Schutz können Sie auch die Antworten in Ihrem Formular einschränken, sodass nur eine Antwort von einer IP-Adresse oder einem Computer gesendet werden kann. Wenn Sie es bevorzugen, können Sie für einen besseren Schutz auch beides aktivieren. Darüber hinaus können Sie sich auch dafür entscheiden, Ihre Formulare zu einem bestimmten Zeitpunkt oder nach Erreichen einer bestimmten Antwortgrenze zu deaktivieren.

Service Level Agreements

JotForm hat eine nahezu perfekte Uptime-Ratio von 99,9 Prozent, sodass Sie jederzeit auf Ihre Daten zugreifen können. Hier können Sie den Betriebsstatus von JotForm in Echtzeit überprüfen. Unser JotForm Enterprise Service verspricht, die in Ihrem spezifischen Service Level Agreement (SLA) festgelegten Fehlerantwortraten, Lösungszeiten und Verfügbarkeitsquoten einzuhalten. Wenn diese Ziele nicht erreicht werden, erhalten Sie eine Teilrückerstattung, wie in Ihrem unterzeichneten Enterprise-Vertrag vereinbart.

Welche Maßnahme ergreifen wir für die Sicherheit Ihrer Daten?

Datenzentren

JotForm-Server sind in einer Cloud-basierten Architektur mit Google Cloud und Amazon Web Services (AWS) zusammengeschaltet. Die Rechenzentren von Google Cloud werden in Iowa (USA) gehostet. Die AWS-Rechenzentren befinden sich sowohl in Deutschland, Frankfurt (EU) als auch in den USA, Virginia (USA).

Google Cloud Server hosten unsere redundanten Anwendungs- und Datenserver in einer Active-Active-Konfiguration, sodass alle Daten auch kontinuierlich auf AWS Server repliziert werden. Dies bietet eine zusätzliche Plattformredundanz zu der bereits vorhandenen Redundanz durch mehrere Server innerhalb einer Plattform. Falls wir von unserer primären Plattform (Google Cloud) auf unsere sekundäre Plattform wechseln müssen, hilft uns diese Architektur bei einem schnellen und einfachen Wechsel.

Das Hosting von JotForm auf diesen großen Cloud-Plattformen bietet uns auch einige zusätzliche Vorteile bei der Implementierung von bewährten Sicherheitsverfahren in Bereichen wie Hardware-Lebenszyklusmanagement, physische Sicherheit und Netzwerkinfrastruktur. Unsere Server werden ständig aktualisiert und gepatcht.

Standorte dedizierter Server

Als Benutzer von JotForm Enterprise können Sie den physischen Standort Ihres dedizierten Cloud-Servers wählen und Ihre Daten an jedem beliebigen Ort der Welt hosten - dies ist besonders wichtig für die Einhaltung von Datenschutzbestimmungen und Standortanforderungen an Orten wie Australien, Kanada, Großbritannien und der EU. Unabhängig davon, ob Sie sich dafür entscheiden, Ihren Datenserver in der Nähe Ihres Wohnortes oder Ihrer Zielgruppe zu betreiben, profitieren Sie von besserer Sicherheit, Zuverlässigkeit und Standortlatenz. Nur Benutzer und Admins innerhalb Ihres Enterprise-Accounts werden auf Ihren Datenserver zugreifen können.

Backup Policy / Business Continuity

Wir replizieren (Backup in Echtzeit) Ihre Daten kontinuierlich zwischen mehreren Servern, die von unserem primären Dienstleister Google Cloud gehostet werden. Zusätzlich werden alle Daten auch mit AWS (unsere sekundäre Plattform) in Echtzeit synchronisiert. Wir machen stündliche Momentaufnahmen von allen unseren Daten. Jede Momentaufnahme wird 30 Tage lang in der Cloud gespeichert.

Single-Sign-On (SSO)

Mit einem JotForm Enterprise Account können Sie Single-Sign-On verwenden. Ein Login-Mechanismus eines Drittanbieters erhöht die Sicherheit, während die Zusammenarbeit Ihrer Mitarbeiter sich vereinfacht. Sie können sich weiterhin für Login-Methoden entscheiden, Nutzer Aktionen verfolgen und die Kontrolle über die Sicherheit Ihres Accounts behalten.

Mit JotForm Enterprise können Sie auch interne Formulare mit SSO-Schutz versehen. Benutzer müssen vor dem Aufruf Ihres Formulars authentifiziert werden. Auf diese Weise können Sie bei der Erfassung sensibler Mitarbeiterdaten sicherstellen, dass die Person, die das Formular abschickt, diejenige ist, für die sie sich ausgibt.

Förderung bester Programmierpraktiken

Neben der Implementierung von Funktionen, die die Sicherheit erhöhen, pflegen wir bewährte Verfahren im Backend, um die Sicherheit Ihres Kontos zu gewährleisten. Wir überwachen Sitzungen, um den Zugriff auf Ihren Account entsprechend einzuschränken, und haben JotForm so aufgebaut, dass jeder Account isoliert ist.

Wir haben Sicherheitsvorkehrungen getroffen, um häufige Angriffe aufzudecken, wie z.B. SQL-Injection und Cross-Site-Scripting. Am wichtigsten ist, dass wir unseren Code aktiv auf mögliche Sicherheitsbedenken hin überprüfen (zusätzlich zur Auswertung des gesamten Benutzer-Feedbacks), damit wir eventuelle Probleme lösen können, falls sie auftreten. Unsere Datenschutzerklärung zeugt von unserem Engagement, sicherzustellen, dass Ihre Daten nicht missbraucht werden.

Der gesamte entwickelte Code wird erst nach bestimmten Verfahren, einschließlich Tests auf Staging-Systemen, in die Produktionsumgebung eingeführt. Unser kontinuierliches Implementierungssystem und unser Entwicklungsprozess ermöglichen uns die schnelle Aktualisierung und das Einspielen von Patches, wann immer dies erforderlich ist.

Sicherheitsaudits

Es werden regelmäßig PCI-Scans durchgeführt, um jede Art von Schwachstelle der öffentlich zugänglichen Schnittstellen aufzudecken. Jedes Quartal werden interne und externe ASV-Tests (Approved Scanning Vendor) für PCI durchgeführt. Zusätzlich zu diesen PCI-Scans werden für JotForm periodisch Pen-Tests durchgeführt.

Wir haben auch ein Belohnungsprogramm (Bounty-Programm) für Bugs, bei dem wir externe Parteien für die Meldung von Schwachstellen belohnen, was sicherstellt, dass wir die Ersten sind, die davon erfahren. Wir beheben alle an unser Bug Bounty-Programm gemeldeten Probleme mit höchster Priorität in kürzester Zeit.

Netzwerksicherheit

Wir verfügen über ein externes Routing-Layer, das von CloudFlare bereitgestellt wird und eine grundlegende Filterung zur Handhabung und Verwaltung potenzieller DDoS-Angriffe (Denial of Service) bietet. Sicherheitsscans werden periodisch durchgeführt, wie im Kapitel Audits/VA/PT beschrieben. Unsere Server sind so konfiguriert, dass sie nur das für ihre Aufrechterhaltung erforderliche absolute Mindestmaß an Zugriff erlauben.

Alle unnötigen Benutzer, Protokolle und Ports werden deaktiviert und überwacht. Unsere Mitarbeiter können auf die Server nur über ein Virtual Private Network mit einer 2048-Bit-verschlüsselten Verbindung mit privaten Schlüsseln zugreifen. Zusätzlich zu den Sicherheitsdiensten von Drittanbietern überwacht unser erfahrenes Entwicklungsteam kontinuierlich jedes verdächtige Verhalten auf dem gesamten System.

Account Sicherheit

Alle Account-Informationen werden bei der Übertragung automatisch verschlüsselt. Wenn Sie Ihren Benutzernamen und Ihr Passwort nicht mit anderen teilen, haben nur Sie Zugang zu Ihren Formularen und Antworten. Mit JotForm Enterprise können Sie mehrere Nutzer zu Ihrem Account hinzufügen.

Anpassbare Sicherheitsoptionen

Ganz gleich, in welcher Branche Sie tätig sind, JotForm möchte Ihnen helfen, die perfekten Sicherheitskontrollen für Ihre Bedürfnisse zu entwickeln. Als Enterprise-Benutzer können Sie ganz einfach die Aktivierung, Deaktivierung oder das Hinzufügen spezifischer Sicherheitseinstellungen für Ihren dedizierten Server anfordern! Kontaktieren Sie unser Enterprise-Team, um mehr zu erfahren.

Fragen & Antworten

fragen zur formularsicherheit

  • Sind in den Formularen irgendwelche Sicherheitsfunktionen verfügbar?

    Ja. Ihre Formulare laufen über eine geschützte, 256-bit Secure Sockets Layer (SSL) Verbindung. Wenn Sie sich für die Verschlüsselung Ihrer Formulare entscheiden, werden die Antworten erst nach der Verschlüsselung mit RSA-2048 im Browser des Benutzers übermittelt und gespeichert. Zusätzlich können Sie weitere Maßnahmen für Datenschutz und Spam-Schutz aktivieren, die Sie im oberen Abschnitt unter "Wie kann ich meine Formulare noch sicherer machen?" finden können.

  • Speichern Sie alle verschlüsselten Formulardaten? Senden Sie Benachrichtigungen für verschlüsselte Formulare?

    Wenn Sie Ihre Formulare verschlüsseln möchten, werden die Antworten verschlüsselt übertragen und gespeichert. Datei-Uploads werden jedoch nicht verschlüsselt. Benachrichtigungs-E-Mails für diese Formulare können keine Antwortdaten enthalten und werden daher nicht verschlüsselt.

  • Sind unsere Daten bei der Übertragung und Speicherung geschützt, wenn wir Ihr System verwenden?

    Ja, wenn Sie Ihre Formulare verschlüsseln, werden Antwortdaten direkt im Internet Browser des Nutzers mit RSA 2048 verschlüsselt. Diese verschlüsselten Daten werden bei der Übertragung an unsere Server ein weiteres Mal durch 256 bit SSL Verschlüsselung geschützt. Bei Erreichung unserer Server werden die SSL Verschlüsselung aufgehoben und die Daten werden mit der RSA 2048 Verschlüsselung gespeichert.

  • Können Suchmaschinen meine Formulardaten indexieren?

    JotForm hält Suchmaschinen davon ab, Antworten zu indexieren. Benutzer können auch den Zugang zu Antworten auf ihre eigenen Konten beschränken, wenn sie dies wünschen, und ihre Antworten für die Öffentlichkeit unzugänglich machen.

Fragen zum Datenschutz

  • Wie werden hochgeladene Dateien meiner Formulare gespeichert?

    Dateien, die in Ihre Formulare hochgeladen werden, sind mit einer sehr komplexen URL versehen. Nur Personen mit dieser URL können diese Dateien herunterladen. Wenn Sie jedoch eine erhöhte Sicherheit für Ihre Datei-Uploads wünschen, können Sie den Zugriff einschränken. Um diese Dateien herunterladen zu können, müssen Sie beispielsweise in Ihrem JotForm-Account im selben Browser angemeldet sein. Hier können Sie mehr über diese Funktion erfahren.

  • Welche Backups führen Sie durch? Welche Backup Regelungen gibt es für Cloud Storage?

    Wir replizieren (Backup in Echtzeit) Ihre Daten kontinuierlich zwischen mehreren Servern, die von unserem primären Dienstleister Google Cloud gehostet werden. Darüber hinaus werden alle Daten auch auf AWS (unserer sekundären Plattform) in Echtzeit repliziert. Wir machen stündlich Momentaufnahmen aller unserer Daten. Die Momentaufnahmen werden 30 Tage lang in der Cloud-Umgebung gespeichert.

  • Verarbeitet Ihre Organisation Kreditkartentransaktionen oder -informationen? Wenn ja, sind Sie PCI DSS-konform?

    JotForm ist PCI DSS Service Provider Level 1 konform, die höchste Sicherheitsstufe, die Sie als Unternehmen, das Zahlungen von Kreditkarten einzieht und diese integriert, erreichen können. Das bedeutet, dass die meisten Zahlungen über die eigenen Seiten der Zahlungsanbieter abgewickelt werden. Für PayPal Pro, Authorize.Net, Worldpay US und PayJunction werden Kreditkartendaten über unsere PCI Server verarbeitet aber in keiner Weise gespeichert. Hier erfahren Sie mehr.

  • Was sind JotForms Sicherheitsstandards (HTTPS / Verschlüsselung)?

    Standardmäßig verwendet JotForm den Verbindungsstandard TLSv1.2 zusätzlich zur SHA256/RSA-Verschlüsselung für HTTPS. Für die Verschlüsselung von Antworten verwendet JotForm 2048 Bit RSA-Schlüssel.

  • Wie verhindern Sie XSS und SQL Injections?

    Wir wenden bewährte Praktiken an, um solche Sicherheitslücken zu verhindern, und wir überprüfen unseren Code aktiv auf mögliche Sicherheitsbedenken. Darüber hinaus werten wir alle Benutzerrückmeldungen und Berichte über das Bounty-Programm in der kürzest möglichen Zeit aus.

  • Welche Sicherheitsmaßnahmen werden gegen betrügerische Angriffe eingesetzt?

    Wir verwenden CloudFlare zum Schutz vor Spam, Phishing und DDOS-Angriffen und OSSEC zur Erkennung von Eindringlingen und zur Überwachung unserer Server.

  • Wer hat Zugang zu den gesammelten Informationen in unserer Datenbank bei JotForm?

    Unsere Server haben einen eingeschränkten Zugang auf Netzwerk- und Authentifizierungsebene. Auf Netzwerkebene ist nur eine begrenzte Anzahl von VPN-Zugangspunkten erlaubt, und die restlichen Verbindungsanfragen werden von unserer Firewall vollständig blockiert. Auf der Authentifizierungsebene haben nur das Entwicklungsbetriebsteam sowie unser CTO und CEO Berechtigungen für den Zugriff auf diese Server.

  • Führen Sie interne oder externe Untersuchungen auf Schwachstellen oder Belastungstests durch?

    Ja. Zusätzlich zu internen und externen PCI-Scans, werden regelmäßig Belastungstests (Pentests) für JotForm durchgeführt. Wir haben außerdem ein Belohnungsprogramm, in dem Außenstehende Schwachstellen melden können. In unserem obigen Abschnitt über Sicherheitsaudits können Sie mehr darüber erfahren.

  • Wie sieht die Richtlinie Ihres Unternehmens in Bezug auf die Passwort-Komplexität aus?

    Wir haben keine Vorschriften zur Komplexität von Passwörtern. Die Passwörter werden mit Salt und SHA-256 verschlüsselt.

  • Verfügt Ihr Unternehmen über eine Richtlinie zur Erkennung von Eindringlingen?

    JotForm verfügt über HIDS (Host Intrusion Detection System) auf den Anwendungsservern und NIDS (Network Intrusion Detection System) in den Entwicklungsinstanzen. Zusätzlich werden PCI-Intrusion-Detection-Richtlinien angewendet, wie von den PCI-Richtlinien vorgeschrieben.

  • Welche Art von Sorgfaltsprüfung wird bei Mitarbeitern Ihrer Organisation durchgeführt?

    Alle JotForm-Mitarbeiter müssen zum Zeitpunkt der Einstellung ein strenges Auswahlverfahren durchlaufen. Zusätzlich müssen alle Mitarbeiter eine Geheimhaltungsvereinbarung (NDA) unterzeichnen und sind an diese gebunden.

Fragen zu Datenzentren

  • Welche Zertifikate sind in Bezug auf Datensicherheit, Datenvertraulichkeit, sichere Übertragung von Daten usw. verfügbar? Ein SOC 2-Konformitätsbericht?

    Alle Rechenzentren, in denen wir unsere Server hosten, erfüllen Sicherheitsstandards auf höchstem Niveau. Unsere primäre Plattform ist Google Cloud, und sie entspricht SSAE16 / ISAE 3402 Typ II, SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Cloud-Sicherheit), ISO 27018 (Cloud-Datenschutz), PCI DSS v3.2 und HIPAA. Sie können mehr über die Google Cloud Compliance auf https://cloud.google.com/security/compliance erfahren.

    Unsere Zweitplattform ist Amazon Web Services (AWS) und erfüllt die Anforderungen von SOC1, SOC2, SOC3, ISO 27001, ISO 27017 (Cloud Security), ISO 27018 (Cloud Privacy), PCI DSS Level 1 und HIPAA. Weitere Informationen zur Compliance von AWS finden Sie unter https://aws.amazon.com/compliance/. Wenn Sie weitere Informationen über die Sicherheit unserer Rechenzentren benötigen, füllen Sie bitte dieses Anfrageformular aus.

  • Wo ist das Datenzentrum? Haben Sie In-House Server?

    Wir verwenden zwei verschiedene Cloud-Plattformen, um unsere Server zu hosten. Unsere primäre Plattform ist Google Cloud, und das Rechenzentrum befindet sich in Iowa, USA. Die Server der sekundären Plattform werden in den Rechenzentren von Amazon Web Services (AWS) gehostet und befinden sich sowohl in der EU als auch in den USA. Das AWS-Rechenzentrum für die EU befindet sich in Frankfurt, Deutschland, und das AWS-Rechenzentrum für die USA befindet sich in Virginia, USA. Wir haben keine internen Server.

  • Was ist ein Server Failover?

    Unsere Server werden gemäß einer Richtlinie für höchste Verfügbarkeit verwaltet und sind innerhalb der Google Cloud redundant. Sie werden auch in einer zweiten Cloud-Plattform (AWS) repliziert, wodurch ein Wechsel zu einer zweiten Plattform innerhalb einer Stunde ohne Datenverlust möglich ist.

  • Werden Ihre Systeme auf Sicherheitslücken getestet?

    Ja, unsere Systeme werden regelmäßig gegen externe und interne Gefahren getestet.

×