数据安全

系统基础设施

在Metalshub，我们相信强烈的分离： 我们的服务器托管在专用的硬件上 - 硬件不与其他方共享，只有我们可以访问我们的系统。我们的生产平台，我们的网站和我们的内部服务使用独立的硬件。服务器位于德国，在物理上和逻辑上都受到保护，防止访问，同时受到持续监控。该数据中心定期接受审计，并获得了ISO 27001认证。

服务器

我们所有的服务器都受到多重防火墙的保护，并有一个自动的DDoS（分布式拒绝服务）保护。此外，我们的入侵检测系统会自动阻止显示可疑行为的IP地址（例如，不成功的登录尝试）。与安全有关的日志文件不断被自动扫描，并每周进行人工审查。与安全有关的操作系统更新会立即自动应用。

访问控制和培训

对我们服务器的访问仅限于基于RSA-Key的认证（不是用密码登录）。绝对最低数量的员工（目前为两名）和任何外部人士都没有对我们的服务器进行管理访问。

我们使用一个基于角色的访问控制系统，以确保每个员工只能访问作为其工作一部分的绝对需要的数据。另外，所有相关员工都定期接受IT安全方面的培训。

加密

每次向我们发送数据时，我们都会对其进行加密。我们使用行业标准的安全套接字层（SSL）协议，提供数据加密、信息完整性和服务器认证。我们为所有的域名和子域名启用HTTP严格传输安全（HSTS）。我们的SSL配置在著名的Qualys SSL实验室审计中获得了A+评级。

内部数据安全

我们使用一个非常严格的基于角色的访问系统来控制哪些员工可以访问哪些数据，并坚持数据最小化原则，即员工只能根据他们的角色访问所需的数据。此外，我们所有的员工在他们的雇佣合同中都有一个保密条款。违反这一条款可能会导致终止雇佣关系和可能的法律诉讼。

软件开发

每一个代码变更都要经过审查，并在部署到我们的暂存环境之前需要批准。阶段性审查后，这些变化被部署到我们的生产服务器。每个版本都会自动和手动测试功能、漏洞、基于认证/授权的数据分离以及其他与安全相关的问题。