Ein sicheres Erlebnis – ausgelegt auf Wachstum

BetterUp ist eine Plattform, die rein auf Einladung basiert. Bestimmte Personen, die manuell hinzugefügt werden, werden per Link eingeladen. Diese Mitglieder können auf die BetterUp-Plattform zugreifen und eine CSV-Datei hochladen, um weitere Teilnehmer einzuladen.

BetterUp benötigt von den Mitgliedern für den Zugang zur Plattform die Angabe von Vorname, Nachname und E-Mail-Adresse. Die Mitglieder, die sich für die Nutzung unserer mobilen App entscheiden, müssen ihre Handynummern angeben. Viele unserer Kunden stellen uns auch Informationen wie Titel, Abteilung und Standort zur Verfügung. Das ist nur eine repräsentative Auswahl und keine umfassende Liste.

BetterUp unterstützt drei Methoden zum Hochladen von Daten:

1. Eine befugte Person kann die erforderlichen Daten hochladen und anhängen.
2. Eine befugte Person kann die Datei manuell an den zugewiesenen Bereitstellungsmanager senden/weiterleiten oder ein Helpdesk-Ticket eröffnen.
3. BetterUp kann von Fall zu Fall dabei helfen, eine sichere Dateiübertragung wie S-FTP einzurichten.
4. BetterUp unterstützt individuelle Integrationen mit HRIS-Systemen wie Workday.

BetterUp-Daten werden bei der Übertragung und Speicherung mit branchenüblichen Verfahren verschlüsselt. Dazu gehören AES-256- und TLS-Verschlüsselungscodes. Die Verschlüsselungsschlüssel werden sicher und mit eingeschränktem Zugriff unter Verwendung von Key Management Services (KMS) gespeichert, die vollständig von AWS verwaltet werden.
 
BetterUp ist ein mehrinstanzfähiges System und unterstützt kein Bring-Your-Own-Key (BYOK) für Kunden. Die erweiterte Verschlüsselung wird auf verschiedenen Ebenen der Anwendungsinfrastruktur angewendet und kann Festplatten-, Anwendungs- und Datenbankverschlüsselung umfassen.

BetterUp hat eine Richtlinie zu Datenlöschung und Medienlöschung, Standards und Richtlinien etabliert. Das Vorliegen dieser Richtlinien und die damit verbundenen Kontrollen wurden von einem unabhängigen Prüfer im Rahmen des SOC 2 Typ II-Berichts bestätigt. BetterUp löscht, auf die schriftliche Anfrage des Kunden zur Datenlöschung, die Daten des Kunden von allen BetterUp-Speichermedien, einschließlich Speicherdiensten bei Cloud-Anbietern, innerhalb von dreißig (30) Tagen nach der Anfrage. Sofern keine anderweitigen Anweisungen vorliegen oder nach geltendem Recht vorgeschrieben, bewahrt BetterUp die Daten für sieben (7) Jahre auf. Auf Anfrage stellt BetterUp dem Kunden ein Protokoll oder eine Kopie der Daten, die gelöscht wurden, zur Verfügung.
 
Cloud-basierte Medien (AWS): Wenn AWS feststellt, dass ein Datenträger das Ende seiner Nutzungsdauer erreicht hat oder ein Hardware-Fehler auftritt, wendet AWS die im Department of Defense (DoD) 5220.22-M („National Industrial Security Program Operating Manual“) oder NIST SP 800-88 („Guidelines for Media Sanitization“) beschriebenen Verfahren an, um die Daten im Rahmen des Stilllegungsprozesses zu vernichten. Weitere Informationen finden Sie auf der AWS-Website: 
 https://aws.amazon.com/compliance/data-center/controls/

Die BetterUp-Plattform setzt auf Drittanbieter und Dienste wie AWS, Heroku und TokBox. Weitere Informationen dazu finden Sie im SOC 2 Typ II-Bericht Abschnitt III C und H. Sofern keine anderweitigen Anweisungen vorliegen oder nach geltendem Recht vorgeschrieben,, bewahrt BetterUp die Daten für sieben (7) Jahre auf.

Die Kundendaten werden in den Vereinigten Staaten gehostet. Auf Kundenwunsch kann das Datenhosting in Frankfurt erfolgen.

BetterUp ist eine mehrinstanzfähige Plattform. Die Kundendaten werden logisch mithilfe von Anwendungscode, rollenbasierten Zugriffssteuerungen und verschiedenen anderen Methoden getrennt. Die Produktionsumgebung von BetterUp wird im Private Space von Heroku gehostet (auch bekannt als Mikro-Segment).

Ja. BetterUp hat mehrere Kunden, die ADFS, Azure oder Okta für die SSO-Integration (Single Sign-On) nutzen.

BetterUp unterstützt die standardmäßige SAML 2.0-Integration für die Authentifizierung. Für Kunden, die SAML nicht verwenden, werden die Passwörter mit sicheren Algorithmen wie BCrypt verschlüsselt.

Nein. BetterUp unterstützt das RBAC-Modell und die fein abgestuften Berechtigungen sind in die Anwendung integriert. Wenn Kunden eine Rollenänderung wünschen, müssen sie ein Ticket einreichen.

Kunden können einen Antrag auf Kontokündigung per E-Mail an das BetterUp-Supportteam unter  support@betterup.co stellen.

BetterUp hat das Offboarding für unsere internen Arbeitskräfte und Auftragnehmer automatisiert.

BetterUp setzt auf die Prinzipien der geringsten Berechtigungen, um den Zugang auf einer Need-to-know-Basis zu beschränken. Der Zugriff auf Kundendaten ist auf eine bestimmte Gruppe von Personen beschränkt, die für bestimmte Aufgaben zuständig sind, wie z. B. Kundenbetreuer, Einsatzleiter und Produktionssupportingenieure. Die BetterUp-Plattform nutzt das Modell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). Die fein abgestuften Berechtigungen sind in die Anwendung integriert, um das RBAC-Modell zu ermöglichen.

BetterUp überprüft vierteljährlich den Zugriff auf die BetterUp-Plattformen und die verwalteten Ressourcen. So ist sichergestellt,dass der Zugriff der Mitarbeiter angemessen ist. Alle Probleme, die als Ergebnis der Überprüfung identifiziert werden, werden kommuniziert und behoben.

Ja. BetterUp nutzt die NIST 800-63b-Richtlinien zur Authentifizierung von Mitarbeitern und Coaches, die direkten Zugriff auf BetterUp-eigene und verwaltete Ressourcen haben. Mitarbeiter und Coaches müssen die Multi-Faktor-Authentifizierung (MFA) für wichtige Anwendungen und privilegierten Zugriff verwenden.

Ja, BetterUp hat eine SIEM-Lösung der nächsten Generation im Einsatz.

Ja. BetterUp hat eine DLP-Lösung der nächsten Generation.

BetterUp erfasst Zugriffs- und Prüfprotokolle über den Zugriff auf kritische Informationssysteme. BetterUp überprüft diesen Zugang vierteljährlich.

Nein. BetterUp ist ein mehrinstanzfähiges System. Die Protokolle werden nicht allen Kunden zur Verfügung gestellt.

Ja. BetterUp hat eine externe Agentur beauftragt, für alle Mitarbeitenden eine Hintergrundüberprüfung unter Berücksichtigung der lokal geltenden Vorschriften durchzuführen. Der Anbieter und die Berichte werden von der Personalabteilung verwaltet. Die Hintergrundüberprüfung umfasst folgende Punkte:

1. Eine Identitätsprüfung
2. Eine Überprüfung des Strafregisters
3. Nachweis von Bildungsabschlüssen oder anderen behaupteten Fähigkeiten
4. Eine Ausschlussprüfung, sofern erforderlich
5. Überprüfung der Berechtigung zur Beschäftigung anhand von Arbeitserlaubnissen oder ähnlichen Dokumenten
6. Überprüfung früherer Arbeitszeugnisse
7. Nachweis der angegebenen Beschäftigungsdaten für die letzten fünf (5) Jahre

Dritte sind verpflichtet, im Rahmen von Dienstleistungsverträgen Hintergrundüberprüfungen für ihre Mitarbeiter durchzuführen.

Die Informationssicherheitspolitik, Standards und Richtlinien von BetterUp werden auf einer Confluence-Seite veröffentlicht, die für alle Arbeitskräfte zugänglich ist. Alle Mitarbeitenden, Coaches und internen Auftragnehmer mit logischem Zugriff auf BetterUp-Systeme müssen bei ihrer Einstellung und danach jährlich eine Acceptable Use Policy (AUP) anerkennen.
 
Alle Mitglieder der BetterUp-Belegschaft (einschließlich des Managements) müssen ein verpflichtendes Schulungsprogramm zum Sicherheitsbewusstsein durchlaufen, das folgende Aspekte abdeckt:

1. Schulungen zur Umsetzung und Einhaltung des Informationssicherheitsprogramms;
2. Förderung einer sicherheitsbewussten Kultur, und zwar durch regelmäßige Kommunikation der Geschäftsleitung mit den Mitarbeitenden.

Darüber hinaus ist die BetterUp-Belegschaft verpflichtet, jährlich Schulungen zum Thema Datenschutz, sexuelle Belästigung und Ethik zu absolvieren.

Ja, externe Bewertungen erfolgen mindestens einmal jährlich.

Das Hosting von BetterUp erfolgt in der AWS-Region US East und in Frankfurt. Die Produktionsumgebung wird in einem privaten Bereich (Mikrosegment) gehostet, der von Heroku, einem Salesforce-Unternehmen, verwaltet wird. Heroku ist für das Gateway (Firewall, VPC etc.) und die Infrastruktur (OS, AMI, DB-Instanz etc.) verantwortlich. BetterUp nutzt die Dienste von AWS und Heroku für die Datensicherung. AWS und Heroku halten SOC 2- und ISO 27001-Zertifizierungen. BetterUp hat eine unabhängige Drittpartei beauftragt, jährlich Penetrationstests für Anwendungen und statische Codeanalysen unter Verwendung der OWASP Top Ten durchzuführen. Ein zusammenfassender Bericht mit einem Status der als mittel und höher eingestuften Schwachstellen kann auf schriftlichen Antrag unter NDA mit den Kunden geteilt werden.

Nein. BetterUp ist ein mehrinstanzfähiges System. Die betroffenen Kunden werden bei bestätigten Sicherheitsverstößen benachrichtigt.

Nein. BetterUp bietet kein separates SLA für die Reaktion auf Sicherheitsvorfälle. Weitere Informationen können Sie den SLAs für den Kundensupport entnehmen.

Kunden können unsere Plattform bei Bedarf unter https://status.betterup.co/ überwachen. Über denselben Link können Kunden auch die Betriebszeiten in der Vergangenheit abrufen. BetterUp hat einen renommierten unabhängigen Drittanbieter beauftragt, unsere Business Impact Analysis (BIA) durchzuführen und uns dabei zu helfen, Wiederherstellungspunkte und Wiederherstellungszeitziele (RPO/RTO) festzulegen. Das Vorliegen dieser Informationen wurde von unseren unabhängigen Prüfern auch im SOC 2 Typ II-Bericht bestätigt.

Nein. BetterUp speichert keine Anmeldedaten. BetterUp verwendet ein Refresh-Token, um die Sitzung aktiv zu halten.

Nein. Jedes Mitglied, das Zugang zum Apple Store und/oder Google Play Store hat, kann die mobile BetterUp-App herunterladen.

Ja. BetterUp-eigene und verwaltete Laptops sind verschlüsselt.

Ja. Mitarbeitende, Coaches und interne Auftragnehmer von BetterUp sind verpflichtet, eine Acceptable Use Policy (AUP) zu akzeptieren.

BetterUp setzt Falcon als AV-Lösung der nächsten Generation ein.

Ja. Geräte, die sich im Besitz von BetterUp befinden und verwaltet werden, wie z. B. Laptops, werden sieben (7) Mal oder oder mit einer gleichwertig sicheren Methode gelöscht.

Nein. BetterUp ist ein mehrinstanzfähiges System und BYOK wird derzeit nicht unterstützt.

BetterUp verwendet das vollständig verwaltete KMS von AWS.

Ja, die BetterUp-Plattform setzt Drittanbieter und Dienste wie AWS, Heroku und TokBox ein. Weitere Informationen können Sie Abschnitt III C und H des SOC 2 Typ II-Berichts entnehmen. BetterUp nutzt Lösungen von Drittanbietern, um die Sicherheitslage unserer wichtigsten Anbieter fortlaufend zu überwachen.

Ja. Wir bieten Service Level Agreements in unseren Verträgen/Vereinbarungen.

Das Customer-Care-Team von BetterUp kann auf die meisten Anliegen und Fragen selbst eingehen und bei Bedarf Probleme eskalieren. Dieses Team ist rund um die Uhr verfügbar.