Datenschutz bei HubSpot stützt sich auf 2 Säulen: Zum einen Tools und Funktionen, die es Unternehmen ermöglichen Compliance-Anforderungen zu erfüllen. Zum anderen achtet HubSpot selbst auf eine Sicherheitsinfrastruktur, die auf höchste Datensicherheit ausgelegt ist. Beide Säulen werden wir in diesem Beitrag beleuchten.
Erste Säule: Compliance-Anforderungen erfüllen mit HubSpot
Ob DSG oder die komplexere DSGVO – mit HubSpot können Unternehmen mühelos beide Anforderungen erfüllen. Die Funktion «DSGVO-konforme Löschung» ermöglicht es, (Kunden-)Daten dauerhaft zu löschen, da Kontakte laut DSGVO nicht nur das Recht auf Auskunft über die von Unternehmen über sie gespeicherten Daten haben, sondern auch das Recht, deren dauerhafte Löschung anzufordern.
Cookie-Banner lassen sich für beliebige Datenschutzvorgaben und Regionen implementieren, und das sogar zeitgleich. Je nachdem, ob User aus der Schweiz oder Europa auf deine Website zugreifen, kann das passende Cookie-Banner ausgespielt und Einwilligungen eingeholt oder ‹nur› informiert werden. Unternehmensintern können Mitarbeitenden Zugriffsrechte zugewiesen werden, um sicherzustellen, dass Daten nur von jenen gesehen werden, die sie benötigen.
Für (E-Mail-)Abonnements bzw. Formulareinsendungen ist es in HubSpot möglich, Opt-ins nachzuverfolgen, um sicherzustellen, dass für alle Kontakte die rechtliche Grundlage zur Kommunikation gegeben ist. Formulare lassen sich so einrichten, dass diese Grundlage für neue Kontakte vorhanden ist. Für ältere Kontakte können Unternehmen gezielt nachträglich noch Freigaben einholen.
Zweite Säule: Sicherheit bei HubSpot selbst
Im Folgenden wird es detaillierter, für alle, die es genauer haben möchten. Für jene, denen das zu spezifisch ist, haben wir diese Punkte am Ende des Blogbeitrags noch einmal zusammengefasst: Zur Zusammenfassung springen.
1. Sicherheit durch massgeschneiderte Software-Lösung
HubSpot ist ein komplexes Tool. Durch seinen Anspruch, in erster Linie ein All-in-One Marketing- und Salestool zu sein, übertrifft der Funktionsumfang bei weitem den Standard anderer CMS wie WordPress. Doch genau hier liegt auch HubSpots Stärke. Das Unternehmen hat definierte Sicherheits- und Datenschutzstandards und implementiert nur dann etwas Neues, wenn es diesen Standards gerecht werden kann. Auch andere CMS bieten von Haus aus eine hohe Sicherheit; diese sinkt jedoch signifikant mit der Anzahl installierter externer Plugins. Hinzu kommt, dass Unternehmen sich nicht aktiv um Updates bemühen müssen, um diese Sicherheitsstandards zu halten, da HubSpot als Website Hoster für Updates und Sicherheit sorgt. Welche Features das Managed Hosting durch HubSpot – insbesondere hinsichtlich Performance, Sicherheit und Monitoring – mit sich bringt kann hier im Detail nachgelesen werden
2. Sicherheit durch «Defense-in-Depth»-Ansatz
IT-Dienstleister und Admins haben vielleicht bereits mit dem Kopf genickt. Für alle anderen: «Defense-in-Depth» ist ein Sicherheitskonzept, das mehrere Schichten von Schutzmassnahmen einsetzt, um ein System zu sichern. Es geht darum, verschiedene Verteidigungslinien zu haben, sodass wenn eine versagt, andere noch Schutz bieten. Beispiele sind:
-
Physischer Schutz: Zugangskontrollen und Überwachung.
-
Netzwerkschutz: Firewalls und Sicherheitsprogramme.
-
Endgeräteschutz: Antiviren- und Antimalware-Software.
-
Anwendungsschutz: Sicherer Programmcode und regelmässige Updates.
-
Datenschutz: Verschlüsselung von Daten.
Dieses Sicherheitskonzept wird bei HubSpot stetig weiterentwickelt. Zudem hält sich HubSpot nicht nur an gesetzliche Bestimmungen, sondern beachtet tatsächliche Bedrohungsanalysen, sowie das OWASP Top 10 und die CIS Critical Security Controls.
3. Sicherheit durch Privatsphäre
Alle Daten, die du bei HubSpot speicherst, bleiben auch bei HubSpot und werden weder an andere User weitergegeben noch an Dritte verkauft.
4. Sicherheit durch Hosting
Standardmässig wird HubSpot bei AWS in den USA gespeichert. Seit 2021 haben HubSpot Nutzende jedoch auch die Möglichkeit ihre Daten im EU-Rechenzentrum in Frankfurt am Main zu speichern. HubSpots Cloudanbieter müssen mindestens über die Zertifizierungen SOC 2 Typ II und ISO 27001 verfügen.
Hosting in der Schweiz ist leider noch nicht möglich. HubSpot ist sich des Wunsches vieler Unternehmen jedoch bewusst, regionaler hosten zu wollen, und arbeitet laut eigener Aussage daran, diese Möglichkeit zeitnah anzubieten.
5. Sicherheit durch sichere Datenübertragung
Sensible Interaktionen werden mit den TLS-Protokollen 1.2 oder 1.3 und mindestens 2.048-Bit-Schlüsseln verschlüsselt. Gespeicherte Daten, sowohl für physische und virtualisierte, als auch langfristige Speicherlösungen werden mit AES-256-Verschlüsselung geschützt.
6. Sicherheit durch zweistufige Authentifizierung oder SSO
Natürlich ist auch der Einsatz von mehrstufiger Authentifizierung (MFA/2FA) möglich und dringend empfohlen. Die Aktivierung bei den einzelnen Usern lässt sich als Admin prüfen, erzwingen und zurücksetzen. Mit Empfehlungen für Administratoren in HubSpot beschäftigen wir uns bereits ausführlich in unserem Blogbeitrag «Datensicherheit in HubSpot priorisieren!»
Darüber hinaus können Unternehmen auch eine SSO-basierte Anmeldung für ihre Mitarbeitenden einrichten.
7. Sicherheit durch Öffentlichkeit
Im HubSpot Trust Center ist es möglich die SOC 2, SOC 3, SAQ-A und andere Berichte einzusehen. Auch die neusten Penetrationstest-Zusammenfassungen stehen Interessierten dort als Download zur Verfügung.
Zusammenfassung:
HubSpot bietet umfassende Sicherheit durch massgeschneiderte Softwarelösungen, einen mehrschichtigen "Defense-in-Depth"-Ansatz, strengen Datenschutz, sichere Hosting-Optionen, verschlüsselte Datenübertragung, zweistufige Authentifizierung und öffentliche Sicherheitsberichte. HubSpot speichert Daten standardmässig bei AWS in den USA, bietet aber auch die Möglichkeit in der EU zu hosten. Die Plattform hält sich an hohe Sicherheitsstandards und -zertifizierungen und veröffentlicht Sicherheitsberichte und Penetrationstestergebnisse im HubSpot Trust Center.
