Prefer English websites? We've got you covered!
pretix

Sicherheit bei pretix

ISMS nach ISO 27001

Die Sicherheit Ihrer Daten ist unsere höchste Priorität sowohl auf technischer als auch auf organisatorischer Ebene.

Zur Koordinierung unserer Sicherheitsmaßnahmen haben wir ein Informations­sicherheits­management­system (ISMS) nach ISO/IEC 27001 implementiert, das regelmäßig durch externe Audits überprüft wird.

Zertifikat herunterladen

Zertifiziert nach ISO/IEC 27001

Zahlungsdaten

Wir verarbeiten keine Kreditkarten­daten auf unseren Servern. Alle Kartendaten werden direkt von unseren unterstützten Zahlungsdienstleistern entgegengenommen. Unseren Teil der Dienstleistung (Hosting und Entwicklung des Webshops) lassen wir extern nach dem PCI DSS Standard zertifizieren. Bei anderen Zahlungsarten stellen wir sicher, dass Ihre Daten stets verschlüsselt übertragen werden und nur soweit nötig gespeichert werden.

Zertifikat herunterladen

Zertifiziert nach PCI DSS

Datenschutz fest eingebaut

pretix wurde von Anfang an mit Datenschutz im Blick gestaltet. Wir sammeln nur Daten, die wir brauchen. Wir geben private Daten nicht an dritte Parteien weiter und wir machen transparent, welche Daten wir haben.

Mehr zu Datenschutz bei pretix

Verschlüsselung

Unsere Server akzeptieren nur verschlüsselte Verbindungen. Die von uns eingesetzte Ver­schlüssel­ungs­technologie ist aktuell und wird von SSL Labs mit A+ bewertet. Kommunikation zwischen unseren Servern ist ebenfalls mit üblichen Ver­schlüssel­ungs­verfahren wie SSH oder Wireguard geschützt.

Authentifizierung

Wir speichern Passwörter mit einer Methode, die auf Argon2 beruht. Passwörter und Schlüssel werden aus unseren Logs herausgefilter. Login-Informationen werden immer über TLS übertragen. Wir unterstützen Zwei-Faktor-Au­thentfi­zierung mit TOTP und WebAuthn als zu­sätz­liche Sicher­heits­maßnahme für Ihren Ver­anstalter­zugang. Mit unserer Team-Funktion können Sie detailliert einstellen, wer auf welche Daten Zugriff hat.

Open Source

Der Großteil unseres Programmcodes ist Open Source und auf GitHub einsehbar. Dadurch können Sie leichter nachvollziehen, dass wir halten, was wir versprechen. Wenn Sie dem von uns betriebenen Dienst trotzdem nicht vertrauen, können Sie pretix mit unserer Community oder Enterprise Edition auf eigenen Servern betreiben.

Automatische Backups und Monitoring

Unsere Server werden automatisch und kontinuierlich auf korrektes Verhalten, intakte Firewalls, aktuelle Software und normale Performancewerte geprüft.

Unser System ist voll redundant und erholt sich selbstständig vom Ausfall eines beliebigen Servers. Als Teil unseres Notfallplans erstellen wir regelmäßig automatisch Backups von allen Daten. Backups werden verschlüsselt in einem getrennten Rechenzentrum gespeichert und nach drei Monaten automatisch gelöscht.

Software-Sicherheit

Bei der Entwicklung von pretix halten wir uns an bekannte Standards der Softwareindustrie. Externe Beiträge sowie alle auf unserer Infrastruktur installieren Plugins werden von unserem Team ausführlich nach Sicherheitskriterien geprüft.

Gegen viele der verbreitetesten Sicherheitslücken schützen wir uns, indem wir für Datenbankzugriffe, Authentifizierung und Sitzungsmanagement auf ein bekanntes und sicherheitsbewusstes Webframework zurückgreifen.

Wir nutzen das Potential moderner Browser zum Schutz unserer User voll aus, zum Beispiel durch konsequente Verwendung einer Content Security Policy.

Research and Disclosure

Wenn Sie eine Sicherheitslücke in unserer Software oder unseren Servern entdecken, bitten wir Sie, uns privat darüber zu informieren. Unternehmen Sie auf der Suche nach Sicherheitslücken keine Schritte, die die Verfügbarkeit unseres Dienstes oder die Daten unserer Kunden beeinträchtigen.

Bitte kontaktieren Sie uns unter security@pretix.eu mit allen möglichen Details. Bitte geben Sie uns angemessen Zeit, das Problem zu beheben, bevor Sie Ihren Fund veröffentlichen. Wenn Sie Ihre E-Mail verschlüsseln möchten, finden Sie weiter unten unseren GPG-Schlüssel.

Wir sind zu klein, um ein formales Bug-Bounty-Programm anzubieten, aber wenn Sie ein ernstes Sicherheitsproblem in unserem Dienst finden, werden wir einen Weg finden, uns erkenntlich zu zeigen.

Liste sicherheitsrelevanter Vorfälle und ihrer Entdecker

2024

2023

2022

2020

2019

2018

2017

Unser GPG-Schlüssel

Für verschlüsselte Kommunikation können Sie diesen Schlüssel verwenden.

Noch Fragen?
+49 6221 32177-50 Mo-Fr 09:00-17:00 Uhr