Hauptnavigation überspringen
Seiteninhalt

Eventbrite-Sicherheitsrichtlinien


PCI-konform

Eventbrite erfüllt sowohl als Händler als auch als Dienstleistungsanbieter die Anforderungen von PCI-DSS 3.2.1 Level 1.

  • Als PCI-kompatibler Dienstleister mit Visa und Mastercard registriert.
  • Regelmäßige Audits durch einen Qualified Security Assessor (Coalfire, Inc.)
  • Besteht interne und externe Anwendungs- und Netzwerkeindringungstests durch unabhängige Sicherheitsunternehmen
  • Monatliche Prüfungen durch einen Approved Scanning Vendor (ASV)
  • Ein PCI-Kompatibilitätsnachweis kann auf Anfrage heruntergeladen werden.
  • Eventbrite beschäftigt ein funktionsübergreifendes Team für die Überwachung der PCI-Konformität.


SOC-konform


  • Die Eventbrite Systems and Organization Controls-Berichte (SOC) sind unabhängige Untersuchungsberichte von Drittanbietern, die erläutern, wie Eventbrite wichtige Kontrollen und Ziele zur Einhaltung von Branchenstandards implementiert.
  • Bericht zu Sicherheit, Verfügbarkeit und Vertraulichkeit bei Eventbrite, verfügbar zum Download.

Compliance-Dokumente

Die folgenden Dokumente sind öffentlich zugänglich. Die Gültigkeit für Ihr Gelände muss von Ihren Auditoren beurteilt/bestätigt werden.


Datenschutz

Eventbrite verfügt über ein umfassendes Datenschutzprogramm. Das bedeutet für uns, dass wir ständig prüfen, ob wir über die Vorgaben des Gesetzgebers oder der zuständigen Regulierungsbehörden hinaus noch mehr für den Datenschutz tun können und sollten.

  • Wir verkaufen keinerlei persönliche Daten unserer Kunden an Dritte.
  • Wir haben ein eigenes Rechts- und Sicherheitsteam, das sich ausschließlich mit Fragen des Datenschutzes und der Datensicherheit beschäftigt.
  • Wir nehmen am EU-US-Datenschutzschild-Rahmenprogramm teil und halten uns an die entsprechenden Vereinbarungen. Weitere Informationen zu unserer Teilnahme am Datenschutzschild erhalten Sie in unseren Informationen zum EU-US-Datenschutzschild.
  • Unsere Datenschutzrichtlinien finden Sie unter eventbrite.ch/privacypolicy.

Hosting-Umgebung

Die Produktionssysteme von Eventbrite werden von Amazon EC2 gehostet.


Web- und Mobilanwendungsumgebung

Ziel von Eventbrite ist es, sichere Systeme zu konstruieren, zu bauen und zu pflegen.

  • Alle Anwendungen werden regelmäßig auf häufige Sicherheitslücken, inklusive der OWASP-Top-10, geprüft.
  • Die Mitarbeiter werden regelmäßig zu Fragen der sicheren Programmierung geschult. Die Schulungen sind für alle technischen Mitarbeiter Pflicht.
  • Auf mobilen Geräten dürfen keine Kreditkarteninformationen gespeichert werden.
  • Die Verwendung von Verschlüsselungstechniken bei der Speicherung und Übertragung sensibler Informationen wird durch das Eventbrite-Sicherheitsteam regelmäßig auditiert.
  • Alle Web- und Mobilanwendungen werden im Wesentlichen von einem eigenen, in Vollzeit arbeitenden "In-house"-Technikerteam entwickelt, getestet, bereitgestellt und gepflegt.

Verschlüsselung

Eventbrite nutzt starke Verschlüsselungsmethoden und Schlüsselverwaltungsverfahren, um den Schutz Ihrer vertraulichen Daten zu gewährleisten.

  • Die Kreditkarteninformationen werden bei der Übertragung innerhalb unserer Systeme mit branchenüblichen starken Kryptografieprotokollen wie AES und TLS verschlüsselt.
  • Der Zugriff auf die Website und APIs von Eventbrite ist über ein von Digicert ausgestelltes 256-Bit-SSL-Zertifikat abgesichert.
  • Kreditkarteninformationen werden nach der Autorisierung der Transaktion nicht weiter gespeichert.
  • Der Zugang zu den Verschlüsselungsschlüsseln ist auf die kleinstmögliche Zahl von Eventbrite-Mitarbeitern beschränkt.

Unsere Organisation

Eventbrite hat Maßnahmen ergriffen, um seine Mitarbeiter gründlich zu prüfen.

  • Sämtliche Mitarbeiter müssen Referenzen vorweisen, werden geschult und müssen sich anderen Personalprüfungen unterziehen. Bei bestimmten Mitarbeitern wird darüber hinaus auch ihr persönlicher Hintergrund geprüft.
  • Bei Eventbrite ist ein Schulungsprogramm zur Informationssicherheit in Kraft, das den PCI-DSS-Normen entspricht und dem Massachusetts Privacy Law (201 CMR 17) unterliegt.
  • Das Unternehmen beschäftigt kompetente Sicherheitsexperten als Vollzeitkräfte.
  • Mitarbeiter müssen schriftlich ihre Rollen und Verantwortlichkeiten hinsichtlich des Schutzes und der Vertraulichkeit von Benutzerdaten anerkennen.

Reaktion auf Vorfälle

Wir gehen zwar nicht davon aus, dass unsere Systeme versagen, wissen aber auch, dass kein Computersystem zu 100 Prozent sicher ist.

  • Falls die Integrität eines Eventbrite-Informationssystems verletzt werden sollte, tritt ein detaillierter "Incident Response"-Plan in Kraft.
  • Der "Incident Response"-Plan wird von Zeit zu Zeit auf Wirksamkeit getestet.
  • Die Sicherheitssysteme und Warneinrichtungen von Eventbrite werden rund um die Uhr überwacht.

Nachforschungen und Offenlegung von Daten

Wenn Sie eine Schwachstelle bei den Informationssystemen von Eventbrite entdecken, melden Sie sie bitte zunächst an uns!

  • Versuchen Sie nicht, Eventbrite, seinen Nutzern oder den Daten der Kunden Schaden zuzufügen.
  • Geben Sie Eventbrite ausreichend Zeit, das Problem zu lösen, bevor Sie Ihre Erkenntnisse öffentlich machen.
  • Nutzen Sie für die Meldung die E-Mail-Adresse security@eventbrite.com.
  • Ob sich ein bestimmtes Problem hierfür qualifiziert, erfahren Sie in den FAQs zur Meldung von Sicherheitsvorfällen.
  • Geben Sie uns möglichst ausführliche Informationen und lassen Sie uns wissen, welche Schritte wir unternehnen müssen, um das Problem zu reproduzieren.
  • Anerkennung durch Nennung auf der Eventbrite Security Wall of Fame
  • Wenn Sie Ihre E-Mail verschlüsseln möchten, verwenden Sie den folgenden Eventbrite Security-eigenen GPG-Schlüssel:
Key ID: 351AC626
Key Type: RSA
Key Size: 4096
Fingertprint: 1809 8001 2CFF E338 E92D  8723 9CA7 08B5 351A C626
Email: security@eventbrite.com

-----BEGIN PGP PUBLIC KEY BLOCK-----

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
=j7+z

-----END PGP PUBLIC KEY BLOCK-----