Jotform Sichere Online-Formulare
Jotforms guter Ruf beruht auf unserer Fähigkeit, allen Benutzern höchste Formularsicherheit zu bieten.
Warum ist Jotform sicher?
Sicherheit und Datenschutz haben für uns oberste Priorität. Sie können sich darauf verlassen, dass wir alle notwendigen Vorkehrungen getroffen haben, um Ihnen einen Online-Formularservice mit einem hohen Maß an Sicherheit zur Verfügung zu stellen.
Wie können Sie Ihre Formulare noch sicherer machen?
Es gibt mehrere Optionen für die Formularsicherheit in Jotform. So können Sie ganz einfach den gewünschten Grad an Datenschutz und Sicherheit für Ihre Formulare festlegen.
Sie haben die Möglichkeit, Ihre Daten innerhalb der Europäischen Union (EU) zu speichern, indem Sie die entsprechende Einstellung im Tab Daten Ihrer Kontoeinstellungen aktivieren. Nach Ihrer Bestätigung werden Ihre Formulardaten auf unsere Server in Frankfurt, Deutschland, übertragen, die von Google Cloud betrieben werden. Nach Abschluss der Übertragung werden Sie automatisch auf eu.jotform.com weitergeleitet. Die Sicherheit Ihrer Daten steht für uns an erster Stelle, daher erfüllt Jotform vollständig die Anforderungen der Datenschutz-Grundverordnung (DSGVO) der EU.
Mit Jotform Enterprise können Sie die Geolokalisierung nutzen, um Formulardaten auf Servern in fast jedem Teil der Welt zu hosten. Da dies in vielen Ländern, darunter auch Australien, gesetzlich vorgeschrieben ist, kann dies ein unschätzbares Tool für global agierende Unternehmen sein.
Sie können Ihre Daten mit einem einzigen Klick auf dem Tab Daten in Ihren Kontoeinstellungen sichern. Wenn Sie einen Sicherungsvorgang auslösen, bereiten wir eine einzelne ZIP-Datei vor, die den HTML-Code für Ihre Formulare, einen CSV-Export Ihrer Antworten und alle hochgeladenen Dateien enthält.
Diese Backups können entweder heruntergeladen oder in unserer Datenbank gespeichert werden. Wenn Sie nur Ihre Formulare sichern möchten, ist es auch möglich, den Quellcode im Zip-Format herunterzuladen und auf Ihrem lokalen Speicherplatz zu speichern, und zwar über die Veröffentlichungsoptionen.
Jotform bietet zwei verschiedene CAPTCHA-Varianten, um Bots das Ausfüllen Ihres Formulars zu erschweren und es gleichzeitig für die Benutzer des Formulars einfach zu halten. Sie können entweder ein einfaches CAPTCHA oder das von Google angebotene reCAPTCHA verwenden.
Wir haben außerdem mehrere Code-Checks in den Antwortprozess integriert, um sicherzustellen, dass die Antwort von einer echten Person stammt. Sollte dennoch Spam durchkommen, hilft unser 24/7 Support-Team dabei, die Ursache zu ermitteln und Ihrem Konto gegebenenfalls Guthaben gutzuschreiben. Zum Schutz vor Spam können Sie auch die Antworten auf Ihr Formular einschränken, so dass nur eine Antwort von einer IP-Adresse oder einem Computer gesendet werden kann. Sie können auch beide Optionen aktivieren, um sich noch besser zu schützen. Sie können auch festlegen, dass Ihre Formulare zu einem bestimmten Zeitpunkt oder nach Erreichen einer bestimmten Anzahl von Antworten deaktiviert werden.
Welche anderen Maßnahmen ergreifen wir zum Schutz Ihrer Daten?
Wenn es um Formularsicherheit, Verfügbarkeit und hohe Leistung geht, gehen wir einen Schritt weiter. Wir arbeiten hart an der Sicherheit unserer Dienste.
Die Server von Jotform sind in einer Cloud-basierten Architektur mit Google Cloud und Amazon Web Services (AWS) untergebracht. Die Rechenzentren von Google Cloud befinden sich in Iowa (USA) und Frankfurt (Deutschland, EU). Die AWS-Rechenzentren befinden sich in Virginia (USA) und Frankfurt (Deutschland, EU).
Google Cloud Server hosten unsere redundanten Anwendungs- und Datenserver in einer Active-Active-Konfiguration, und alle Daten werden zu Sicherungszwecken stündlich auf AWS-Server repliziert. Dies bietet Redundanz auf Plattformebene zusätzlich zu der Redundanz, die durch mehrere Server innerhalb einer einzigen Plattform erreicht wird. Wenn wir von der primären Plattform (Google Cloud) auf die sekundäre Plattform (AWS) wechseln müssen, hilft uns diese Architektur, einen Ausfall auf Plattformebene zu beheben. Alle Daten bleiben in der Region, d. h. EU-Daten befinden sich immer in der EU.
Das Hosting von Jotform auf diesen großen Cloud-Plattformen bietet uns auch einige zusätzliche Vorteile durch die Implementierung bewährter Sicherheitspraktiken in Bereichen wie Hardware Lifecycle Management, physische Sicherheit und Netzwerkinfrastruktur. Unsere Server werden regelmäßig aktualisiert und gepatcht.
Mit einem Jotform Enterprise-Konto können Sie Single Sign-on (SSO) aktivieren, um die Sicherheit zu erhöhen und gleichzeitig die Zusammenarbeit Ihrer Mitarbeiter zu fördern. Wählen Sie aus mehreren Anmeldemethoden, verfolgen Sie Benutzeraktionen und behalten Sie die Kontrolle über die Sicherheit Ihres Kontos.
Jotform Enterprise unterstützt die SAML-Benutzerauthentifizierung und gängige SSO-Lösungen wie Active Directory, Okta, Google und OneLogin. Multi-SSO ermöglicht es Ihnen, Benutzer über mehrere Identity Provider gleichzeitig zu authentifizieren, wie z. B. Google und Microsoft. Dies erhöht die Flexibilität und Sicherheit für dezentralisierte Teams und Organisationen mit unterschiedlichen Authentifizierungsanforderungen.
Verwenden Sie SSO, um interne Formulare mit Jotform Enterprise zu schützen. Mit SSO müssen sich Benutzer authentifizieren, bevor sie Formulare anzeigen oder ausfüllen können, wodurch sichergestellt wird, dass sensible Mitarbeiterdaten sicher erfasst werden.
Zusätzlich zur Implementierung von Sicherheitsfunktionen halten wir im Hintergrund Best Practices ein, um die Sicherheit Ihres Kontos zu gewährleisten. Wir überwachen Sitzungen, um den Zugriff auf Ihr Konto angemessen einzuschränken, und haben Jotform so aufgebaut, dass jedes Konto isoliert ist.
Wir haben Schutzmaßnahmen eingerichtet, um häufige Angriffe wie SQL-Injection und Cross-Site-Scripting zu erkennen. Am wichtigsten ist jedoch, dass wir unseren Code aktiv auf potenzielle Sicherheitsprobleme überprüfen (zusätzlich zur Auswertung aller Nutzerrückmeldungen), damit wir auftretende Probleme sofort beheben können. Unsere Datenschutzerklärung zeigt, wie sehr wir uns dafür einsetzen, dass Ihre Daten nicht missbraucht werden.
Der gesamte entwickelte Code wird erst nach bestimmten Verfahren, einschließlich Tests auf Staging-Systemen, in der Produktionsumgebung bereitgestellt. Unser kontinuierliches Bereitstellungssystem und unser Entwicklungsprozess ermöglichen es uns, unser System bei Bedarf schnell zu aktualisieren und zu patchen.
PCI Scans werden regelmäßig durchgeführt, um jede Art möglicher Sicherheitslücken der öffentlich zugänglichen Schnittstellen zu erkennen. Jedes Quartal werden interne und externe ASV (Approved Scanning Vendor) Tests für PCI durchgeführt. Zusätzlich zu diesen PCI Scans werden in regelmäßigen Abständen Pen-Tests für Jotform durchgeführt.
Wir haben auch ein Bug Bounty-Programm eingerichtet, bei dem wir Außenstehende für das Melden von Sicherheitslücken bezahlen, was sicherstellt, dass wir als Erste davon erfahren. Wir beheben alle Probleme, die uns über das Bug Bounty-Programm gemeldet werden mit höchster Priorität in kürzestmöglicher Zeit.
Wir verfügen über ein externes Routing-Layer, das von CloudFlare bereitgestellt wird und eine grundlegende Filterung zur Handhabung und Verwaltung potenzieller DDoS-Angriffe (Denial of Service) bietet. Sicherheitsscans werden periodisch durchgeführt, wie im Kapitel Audits/VA/PT beschrieben. Unsere Server sind so konfiguriert, dass sie nur das für ihre Aufrechterhaltung erforderliche absolute Mindestmaß an Zugriff erlauben.
Alle unnötigen Benutzer, Protokolle und Ports werden deaktiviert und überwacht. Unsere Mitarbeiter können auf die Server nur über ein Virtual Private Network mit einer 2048-Bit-verschlüsselten Verbindung mit privaten Schlüsseln zugreifen. Zusätzlich zu den Sicherheitsdiensten von Drittanbietern überwacht unser erfahrenes Entwicklungsteam kontinuierlich jedes verdächtige Verhalten auf dem gesamten System.
FAQ
-
Sind alle Formulare mit Sicherheitsfunktionen ausgestattet?
Ja. Ihre Formulare werden über eine geschützte 256-Bit-SSL-Verbindung (Secure Sockets Layer) gesichert. Wenn Sie Ihre Formulare verschlüsseln, sind die Antworten durch Ihr persönliches Passwort geschützt. Darüber hinaus können Sie zusätzliche Datenschutz- und Spamschutzmaßnahmen aktivieren, wie im Abschnitt „Wie können Sie Ihre Formulare noch sicherer machen?“ erläutert.
-
Speichern Sie alle verschlüsselten Formulardaten? Senden Sie Benachrichtigungen für verschlüsselte Formulare?
Wenn Sie Ihre Formulare verschlüsseln möchten, werden Ihre Antworten verschlüsselt übertragen und gespeichert. Die Benachrichtigungs-E-Mails für diese Formulare sind nicht verschlüsselt und enthalten daher keine Antwortdaten.
-
Sind meine Daten sowohl bei der Übertragung als auch im Datenspeicher geschützt, wenn ich Ihr System verwende?
Ja, wenn Sie Ihr Formular verschlüsseln, werden Ihre Antwortdaten während der Übertragung zu unserem Server mit einer 256-Bit-SSL-Verschlüsselung verschlüsselt. Sobald die Daten unseren Server erreicht haben, wird die SSL-Verschlüsselung entschlüsselt und Ihre Daten werden verschlüsselt auf unserem Server gespeichert. Nur der Inhaber des Verschlüsselungskennworts kann auf Ihre Formulardaten zugreifen.
-
Können Suchmaschinen meine Formulardaten indexieren?
Jotform hält Suchmaschinen davon ab, Antworten zu indexieren. Benutzer können auch den Zugang zu Antworten auf ihre eigenen Konten beschränken, wenn sie dies wünschen, und ihre Antworten für die Öffentlichkeit unzugänglich machen.
-
Wie werden hochgeladene Dateien meiner Formulare gespeichert?
Für Dateien, die in Ihre Formulare hochgeladen werden, wird eine hochkomplexe URL generiert. Diese Dateien können nur von Personen heruntergeladen werden, die über diese URL verfügen. Wenn Sie für Ihre Uploads ein höheres Sicherheitsniveau wünschen, können Sie den Zugang einschränken, indem Sie für den Download eine Anmeldung bei Jotform verlangen. Lesen Sie mehr über diese Sicherheitsfunktion.
-
Verarbeitet Ihre Organisation Kreditkartentransaktionen oder -informationen? Wenn ja, sind Sie PCI DSS-konform?
Jotform ist nach dem Payment Card Industry Data Security Standard (PCI DSS) als Service Provider der Stufe I zertifiziert, der höchstmöglichen Sicherheitsstufe für Unternehmen, die Kreditkartenzahlungen verarbeiten. Obwohl die meisten Zahlungen über die Websites der Zahlungsdienstleister erfolgen, werden Kreditkarteninformationen für Dienste wie PayPal Payments Pro, Authorize.net, Worldpay US und PayJunction auf unseren PCI-konformen Servern verarbeitet, aber nicht gespeichert.
-
Was sind Jotforms Sicherheitsstandards (HTTPS / Verschlüsselung)?
Standardmäßig verwendet Jotform den Verbindungsstandard TLSv1.2 zusätzlich zur SHA256/RSA-Verschlüsselung für HTTPS. Für die Verschlüsselung von Antworten verwendet Jotform 2048 Bit RSA-Schlüssel.
-
Wie verhindern Sie XSS und SQL Injections?
Wir wenden Best Practices an, um solche Sicherheitslücken zu verhindern, und wir überprüfen unseren Code aktiv auf potenzielle Sicherheitsrisiken. Darüber hinaus werten wir alle Benutzerrückmeldungen und Bug Bounty-Programm-Meldungen in kürzester Zeit aus.
-
Welche Sicherheitsmaßnahmen werden gegen betrügerische Angriffe eingesetzt?
Wir verwenden CloudFlare zum Schutz vor Spam, Phishing und DDOS-Angriffen und OSSEC zur Erkennung von Eindringlingen und zur Überwachung unserer Server.
-
Wer hat Zugang zu den gesammelten Informationen in unserer Datenbank bei Jotform?
Unsere Server haben einen nach Netzwerk und Authentifizierungsebene beschränkten Zugriff. Auf Netzwerkebene ist nur eine begrenzte Anzahl von VPN-Zugangspunkten erlaubt, und der Rest der Verbindungsanfragen wird von unserer Firewall vollständig blockiert. Auf der Authentifizierungsebene haben nur das Development Operations-Team und unser CTO und CEO Berechtigungen für den Zugriff auf diese Server.
-
Führen Sie interne oder externe Untersuchungen auf Sicherheitslücken oder Belastungstests durch?
Neben internen und externen PCI-Scans führen wir regelmäßig Penetrationstests durch und betreiben ein Bug-Bounty-Programm, über das externe Experten Sicherheitslücken melden können. Erfahren Sie mehr über unsere Sicherheitspraktiken in unserem Blog oder im Abschnitt Sicherheitsaudits.
-
Wie sieht die Richtlinie Ihres Unternehmens in Bezug auf die Passwort-Komplexität aus?
Wir haben keine Richtlinie zur Passwortkomplexität. Passwörter werden mit Salt und SHA-256 verschlüsselt.
-
Verfügt Ihr Unternehmen über eine Richtlinie zur Erkennung von Eindringlingen?
Jotform verfügt über HIDS-Instanzen (Host Intrusion Detection System) auf den Anwendungsservern und NIDS-Instanzen (Network Intrusion Detection System) in den Entwicklungsbüros. Darüber hinaus werden gemäß den PCI-Anforderungen Richtlinien zur Erkennung von Angriffen angewendet.
-
Welche Art von Sorgfaltsprüfung wird bei Mitarbeitern Ihrer Organisation durchgeführt?
Alle Jotform-Mitarbeiter müssen zum Zeitpunkt der Einstellung ein strenges Auswahlverfahren durchlaufen. Zusätzlich müssen alle Mitarbeiter eine Geheimhaltungsvereinbarung (NDA) unterzeichnen und sind an diese gebunden.
-
Welche Datensicherheitsmaßnahmen hat Ihr Datenzentrum? Gibt es Zertifikate in Bezug auf Datensicherheit, Datenvertraulichkeit, sichere Übertragung von Daten? Ist Ihr Rechenzentrum SOC 2-konform?
Alle Rechenzentren, in denen wir unsere Server hosten, erfüllen die höchsten Sicherheitsstandards. Unsere primäre Plattform ist Google Cloud, die den Standards SSAE16 / ISAE 3402 Type II, SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27017 (Cloud Security), ISO 27018 (Cloud Privacy) und PCI DSS v3.2 entspricht. Google Cloud ermöglicht auch die Einhaltung von HIPAA. Weitere Informationen zur Compliance von Google Cloud finden Sie unter https://cloud.google.com/security/compliance.
-
WO ist das Datenzentrum? Haben Sie hauseigene Server?
Jotform nutzt Google Cloud und AWS für alle Hosting-Anforderungen unserer Rechenzentren und unterhält keine internen Server. Eine aktuelle Liste der Cloud-Hosting-Standorte finden Sie im Abschnitt .
-
Werden Ihre Systeme auf Sicherheitslücken getestet?
Ja, unsere Systeme werden regelmäßig gegen externe und interne Gefahren getestet.