Prefer English websites? We've got you covered!
pretix

Sicherheit bei pretix

Verschlüsselung

Unsere Server akzeptieren nur verschlüsselte Verbindungen. Die von uns eingesetzte Ver­schlüssel­ungs­technologie ist aktuell und wird von SSL Labs mit A+ bewertet. Kommunikation zwischen unseren Servern ist ebenfalls mit üblichen Ver­schlüssel­ungs­verfahren wie SSH oder IPsec geschützt.

Datenschutz fest eingebaut

pretix wurde von Anfang an mit Datenschutz im Blick gestaltet. Wir sammeln nur Daten, die wir brauchen. Wir geben private Daten nicht an dritte Parteien weiter und wir machen transparent, welche Daten wir haben.

Mehr zu Datenschutz bei pretix

Zahlungsdaten

Wir verarbeiten keine Kreditkarten­daten auf unseren Servern. Alle Kreditkartendaten werden direkt von unseren unterstützten Zahlungsdienstleistern wie Stripe oder Mollie entgegengenommen und von diesen in PCI-konfromen Systemen verarbeitet und gespeichert.

Bei anderen Zahlungsarten stellen wir sicher, dass Ihre Daten stets verschlüsselt übertragen werden und nur soweit nötig gespeichert werden.

Authentifizierung

Wir speichern Passwörter mit einer Methode, die auf einer vielfachen Anwendung von PBKDF2 beruht. Passwörter und Schlüssel werden aus unseren Logs herausgefilter. Login-Informationen werden immer über SSL übertragen. Wir unterstützen Zwei-Faktor-Au­thentfi­zierung mit TOTP oder and U2F als zu­sätz­liche Sicher­heits­maßnahme für Ihren Ver­anstalter­zugang. Mit unserer Team-Funktion können Sie detailliert einstellen, wer auf welche Daten Zugriff hat.

Automatische Backups und Monitoring

Unsere Server werden automatisch und kontinuierlich auf korrektes Verhalten, intakte Firewalls, aktuelle Software und normale Performancewerte geprüft.

Unser System ist voll redundant und erholt sich selbstständig vom Ausfall eines beliebigen Servers. Als Teil unseres Notfallplans erstellen wir regelmäßig automatisch Backups von allen Daten. Backups werden verschlüsselt in einem getrennten Rechenzentrum gespeichert und nach drei Monaten automatisch gelöscht.

Open Source

Der Großteil unseres Programmcodes ist Open Source und auf GitHub einsehbar. Dadurch können Sie leichter nachvollziehen, dass wir halten, was wir versprechen. Wenn Sie dem von uns betriebenen Dienst trotzdem nicht vertrauen, können Sie pretix mit unserer Community oder Enterprise Edition auf eigenen Servern betreiben.

Software-Sicherheit

Bei der Entwicklung von pretix halten wir uns an bekannte Standards der Softwareindustrie. Externe Beiträge sowie alle auf unserer Infrastruktur installieren Plugins werden von unserem Team ausführlich nach Sicherheitskriterien geprüft.

Gegen viele der verbreitetesten Sicherheitslücken schützen wir uns, indem wir für Datenbankzugriffe, Authentifizierung und Sitzungsmanagement auf ein bekanntes und sicherheitsbewusstes Webframework zurückgreifen.

Wir nutzen das Potential moderner Browser zum Schutz unserer User voll aus, zum Beispiel durch konsequente Verwendung einer Content Security Policy.

Research and Disclosure

Wenn Sie eine Sicherheitslücke in unserer Software oder unseren Servern entdecken, bitten wir Sie, uns privat darüber zu informieren. Unternehmen Sie auf der Suche nach Sicherheitslücken keine Schritte, die die Verfügbarkeit unseres Dienstes oder die Daten unserer Kunden beeinträchtigen.

Bitte kontaktieren Sie uns unter security@pretix.eu mit allen möglichen Details. Bitte geben Sie uns angemessen Zeit, das Problem zu beheben, bevor Sie Ihren Fund veröffentlichen. Wenn Sie Ihre E-Mail verschlüsseln möchten, finden Sie weiter unten unseren GPG-Schlüssel.

Wir sind zu klein, um ein formales Bug-Bounty-Programm anzubieten, aber wenn Sie ein ernstes Sicherheitsproblem in unserem Dienst finden, werden wir einen Weg finden, uns erkenntlich zu zeigen.

Liste sicherheitsrelevanter Vorfälle und ihrer Entdecker

2020

2019

2018

2017

Unser GPG-Schlüssel

Für verschlüsselte Kommunikation können Sie diesen Schlüssel verwenden.