Die Sicherheit Ihrer Daten ist unsere höchste Priorität sowohl auf technischer als auch auf organisatorischer Ebene.
Zur Koordinierung unserer Sicherheitsmaßnahmen haben wir ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 implementiert, das regelmäßig durch externe Audits überprüft wird.
Wir verarbeiten keine Kreditkartendaten auf unseren Servern. Alle Kartendaten werden direkt von unseren unterstützten Zahlungsdienstleistern entgegengenommen. Unseren Teil der Dienstleistung (Hosting und Entwicklung des Webshops) lassen wir extern nach dem PCI DSS Standard zertifizieren. Bei anderen Zahlungsarten stellen wir sicher, dass Ihre Daten stets verschlüsselt übertragen werden und nur soweit nötig gespeichert werden.
pretix wurde von Anfang an mit Datenschutz im Blick gestaltet. Wir sammeln nur Daten, die wir brauchen. Wir geben private Daten nicht an dritte Parteien weiter und wir machen transparent, welche Daten wir haben.
Unsere Server akzeptieren nur verschlüsselte Verbindungen. Die von uns eingesetzte Verschlüsselungstechnologie ist aktuell und wird von SSL Labs mit A+ bewertet. Kommunikation zwischen unseren Servern ist ebenfalls mit üblichen Verschlüsselungsverfahren wie SSH oder Wireguard geschützt.
Wir speichern Passwörter mit einer Methode, die auf Argon2 beruht. Passwörter und Schlüssel werden aus unseren Logs herausgefilter. Login-Informationen werden immer über TLS übertragen. Wir unterstützen Zwei-Faktor-Authentfizierung mit TOTP und WebAuthn als zusätzliche Sicherheitsmaßnahme für Ihren Veranstalterzugang. Mit unserer Team-Funktion können Sie detailliert einstellen, wer auf welche Daten Zugriff hat.
Der Großteil unseres Programmcodes ist Open Source und auf GitHub einsehbar. Dadurch können Sie leichter nachvollziehen, dass wir halten, was wir versprechen. Wenn Sie dem von uns betriebenen Dienst trotzdem nicht vertrauen, können Sie pretix mit unserer Community oder Enterprise Edition auf eigenen Servern betreiben.
Unsere Server werden automatisch und kontinuierlich auf korrektes Verhalten, intakte Firewalls, aktuelle Software und normale Performancewerte geprüft.
Unser System ist voll redundant und erholt sich selbstständig vom Ausfall eines beliebigen Servers. Als Teil unseres Notfallplans erstellen wir regelmäßig automatisch Backups von allen Daten. Backups werden verschlüsselt in einem getrennten Rechenzentrum gespeichert und nach drei Monaten automatisch gelöscht.
Bei der Entwicklung von pretix halten wir uns an bekannte Standards der Softwareindustrie. Externe Beiträge sowie alle auf unserer Infrastruktur installieren Plugins werden von unserem Team ausführlich nach Sicherheitskriterien geprüft.
Gegen viele der verbreitetesten Sicherheitslücken schützen wir uns, indem wir für Datenbankzugriffe, Authentifizierung und Sitzungsmanagement auf ein bekanntes und sicherheitsbewusstes Webframework zurückgreifen.
Wir nutzen das Potential moderner Browser zum Schutz unserer User voll aus, zum Beispiel durch konsequente Verwendung einer Content Security Policy.
Wenn Sie eine Sicherheitslücke in unserer Software oder unseren Servern entdecken, bitten wir Sie, uns privat darüber zu informieren. Unternehmen Sie auf der Suche nach Sicherheitslücken keine Schritte, die die Verfügbarkeit unseres Dienstes oder die Daten unserer Kunden beeinträchtigen.
Bitte kontaktieren Sie uns unter security@pretix.eu mit allen möglichen Details. Bitte geben Sie uns angemessen Zeit, das Problem zu beheben, bevor Sie Ihren Fund veröffentlichen. Wenn Sie Ihre E-Mail verschlüsseln möchten, finden Sie weiter unten unseren GPG-Schlüssel.
Wir sind zu klein, um ein formales Bug-Bounty-Programm anzubieten, aber wenn Sie ein ernstes Sicherheitsproblem in unserem Dienst finden, werden wir einen Weg finden, uns erkenntlich zu zeigen.
Für verschlüsselte Kommunikation können Sie diesen Schlüssel verwenden.