Sicherheit und Datenschutz
Uns ist bewusst, dass du uns wertvolle Daten anvertraust. Deshalb nehmen wir das Thema Datensicherheit besonders ernst. In diesem Abschnitt erläutern wir unsere Verfahren, Protokolle und Programme für den Datenschutz. 🔒
Notions Konzept zur Datensicherheit
Zugriffsüberwachung: Notion hat die Protokollierung auf allen kritischen Systemen aktiviert. Die Protokolle umfassen fehlgeschlagene/erfolgreiche Protokolle, Anwendungszugriff, Änderungen durch Admins und Systemänderungen. Die Protokolle werden von unserer SIEM-Lösung (Observability and Security Incident Event Management) für die Protokollaufnahme und automatisierte Protokollierungs-/Warnfunktionen aufgenommen.
Backups aktiviert: Notion wird von AWS gehostet und speichert Kundendaten mithilfe unterschiedlicher Datenbanken. AWS bietet standardmäßig eine langlebige Infrastruktur zum Speichern wichtiger Daten und ist auf eine Haltbarkeit von 99,9 % der Objekte ausgelegt. Automatisierte Backups aller Kunden- und Systemdaten sind aktiviert, und die Daten werden mindestens täglich gesichert. Die Backups werden auf die gleiche Weise verschlüsselt wie die Live-Produktionsdaten. Sie werden überwacht und angezeigt.
Datenlöschung: Die Kund/-innen von Notion sind für ihre Daten verantwortlich.Jede/-r Kund/-in ist für die Informationen verantwortlich, die er/sie erstellt, verwendet, speichert, verarbeitet und zerstört. Kund/-innenen von Notion haben die Möglichkeit, die Löschung von Daten anzufordern oder die Löschung selbst vorzunehmen, wenn Daten nicht den behördlichen oder gesetzlichen Aufbewahrungspflichten unterliegen. Weitere Informationen findest du in unserer Datenschutzrichtlinie und in den Zusatzbestimmungen zur Datenverarbeitung .
Verschlüsselung im Ruhezustand: Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt. Die Kundendaten werden verschlüsselt, wenn sie sich in den internen Netzwerken von Notion befinden, sowie im Ruhezustand in Cloud-Speichern, Datenbanktabellen und Backups.
Verschlüsselung während der Übertragung: Während der Übertragung gesendete Daten werden mit TLS 1.2 oder höher verschlüsselt.
Physische Sicherheit: Notion nutzt für das Hosting unserer Anwendung Amazon Web Services (AWS) und delegiert alle physischen Sicherheitskontrollen für das Rechenzentrum an AWS. Weitere Informationen zu den physischen Sicherheitskontrollen von AWS findest du hier.
Anwendungssicherheit
Responsible Disclosure: Notion unterhält ein Bug-Bounty-Programm. Mehr Infos findest du in unserer Richtlinie zu Responsible Disclosure.
Codeanalyse: Die Sicherheits- und Entwicklungsteams von Notion führen Bedrohungsmodelle und sichere Designüberprüfungen für neue Releases und Updates durch. Nach der Fertigstellung des Codes für wichtige neue Funktionen führen wir Code-Audits, Code-Reviews und Sicherheitsscans für unsere Codebasis durch.
Softwareentwicklungszyklus (SDLC): Notion verwendet einen definierten SDLC, um sicherzustellen, dass Code sicher geschrieben wird. Während der Designphase werden für neue Releases und Updates Sicherheitsbedrohungsmodelle und Sicherheitsdesignüberprüfungen durchgeführt. Nach der Fertigstellung des Codes für wichtige neue Funktionen führen wir Code-Audits durch, arbeiten mit Anbietern zusammen oder unternehmen einen internen Penetrationstest und führen Sicherheitsscans für unsere Codebasis durch. Nach dem Start führen wir Bug-Bounties durch und nutzen ein Programm zum Management von Sicherheitslücken, um schwerwiegende Sicherheitsprobleme zu beheben. Weitere Informationen findest du in unserem Whistic-Sicherheitsprofil.
Berechtigungsverwaltung: Notion verwendet einen Key Management Service (KMS) eines Drittanbieters, der automatisch die Schlüsselgenerierung, Zugriffskontrolle, sichere Speicherung, Sicherung und Rotation der Schlüssel verwaltet. Die kryptografischen Schlüssel werden auf der Grundlage der geringsten Zugriffsrechte bestimmten Rollen zugewiesen. Die Schlüssel werden jedes Jahr automatisch ausgetauscht. Die Verwendung der Schlüssel wird überwacht und protokolliert.
Schwachstellen- und Patch-Management: Notion führt kontinuierlich Schwachstellenscans und Paketüberwachungen bei allen infrastrukturbezogenen Hosts und den Produkten des Unternehmens durch. Externe und interne Dienste werden regelmäßig gepatcht. Alle entdeckten Probleme werden je nach Schweregrad in der Notion-Umgebung behandelt und behoben.
Web Application Firewall (WAF): Alle öffentlichen Endpunkte nutzen eine verwaltete Web Application Firewall, um Versuche zur Ausnutzung gängiger Schwachstellen zu verhindern.
Unternehmenssicherheit
Personalschulungen: Sicherheitsschulungen sind während des Einführungsprozesses der Mitarbeiter/-innen und danach jährlich erforderlich. Die Mitarbeiter/-innen müssen außerdem den Verhaltenskodex und die Sicherheitsrichtlinie von Notion lesen und anerkennen.
HR-Sicherheit: Notion führt bei der Einstellung von Mitarbeiter/-innen in Übereinstimmung mit den örtlichen Gesetzen und Vorschriften Hintergrundüberprüfungen durch.
Incident Response: Notion verfügt über einen Incident Management Plan, der Schritte zur Vorbereitung, Identifizierung, Eindämmung, Untersuchung, Beseitigung, Wiederherstellung und Nachbereitung enthält. Dieser Plan wird mindestens einmal jährlich überprüft und getestet.
Interne Bewertungen: Bei Notion werden mindestens einmal jährlich interne Sicherheitsaudits durchgeführt.
Internes SSO: Die Multi-Faktor-Authentifizierung (MFA) ist für alle Mitarbeiter/-innen von Notion erforderlich, um sich beim Identitätsanbieter von Notion anzumelden.
Bei der Bereitstellung unserer Dienste arbeiten wir mit bestimmten Unternehmen und Systemanbietern zusammen. Diese wurden im Vorfeld sorgfältig auf ihre Sicherheitsverfahren hin überprüft. Näheres entnehmen Sie bitte unserer Liste der Auftragsverarbeiter.
Amazon VPC (Virtual Private Cloud) ermöglicht uns die Umsetzung detaillierter Netzwerkkontrollen und Sicherheitsvorkehrungen.
Für unser AWS-Konto nutzen wir Amazon CloudTrail in den Bereichen Governance, Compliance, Betriebs- und Risikoprüfung.
Unser Partner Latacora ist ein weltweit führender Experte für Cybersicherheit und Risikobegrenzung. Das Unternehmen erbringt Dienstleistungen wie Penetrationstests, Software-Sicherheitsprüfungen, Sicherheitsschulungen und Schwachstellenschutz in unserem Auftrag.
SOC 2 ist ein Sicherheitsprotokoll, das auf den Trust Services Criteria des US-Branchenverbands AICPA beruht.
Diese Seite dient lediglich zur Information. Sie kann von Notion jederzeit geändert werden.
FAQs
What data do we process?
Notion is committed to your safety and privacy. For detailed information on the data we process, please refer to our Data Processing Addendum.
If we decide to leave Notion, what happens to our data?
You can delete your data through two methods:
Use the instructions on this help page.
Sending an email to team@makenotion.com.
If you accidentally deleted your data, please contact team@makenotion.com.
For information around how long Notion will maintain data, please refer to the Data Protection Addendum.
If there was a disaster with Notions Systems and my Notion Instance was impacted, how does Notion restore itself?
Notion performs daily automated backups of all customer and system data to protect against loss due to unforeseen events across separate availability zones in AWS US West-2.
We have a dedicated Business Continuity Plan and Disaster Recovery Plan for these circumstances, and our Disaster Recovery Plan is tested at least annually to ensure Notion will recover from a disruption resulting from a disaster.
Can Notion employees access our information?
Notion employees will only ever access your data for the purposes of troubleshooting problems or recovering content on your behalf. Please refer to our Data Access Consent for further information.
Können andere meine Seiten sehen?
Deine Daten sind in Notion rundum geschützt. Versucht jemand, sich ohne entsprechende Zugriffsberechtigungen Zugang zu deinem Workspace zu verschaffen, wird eine Seite mit einem Hinweis auf fehlende Zugangsberechtigungen angezeigt.
Mit dem Befehl Im Web teilen im Teilen-Menü oben rechts kannst du die Seite im Web veröffentlichen. So kann jede Person mit dem entsprechenden Link auf die Seite zugreifen. Diese Funktion ist standardmäßig deaktiviert.
Wenn du einen Workspace freigibst, sind die Seiten für alle oder nur für einen bestimmten Personenkreis sichtbar. Dies hängt von den Berechtigungseinstellungen im Teilen-Menü oben rechts ab.
Bitte beachte, dass die Workspace-Besitzer/-innen auf deine Inhalte zugreifen können, sofern du ein Konto in einem Enterprise-Workspace benutzt. Mehr dazu erfährst du in unseren Nutzungsbedingungen.
Weitere Informationen zu Freigaben und Berechtigungen findest du in diesem Hilfe-Artikel.
Kann ich meine Zustimmung zu Tracking und Analytik widerrufen?
Selbstverständlich! Dadurch wird jedoch auch der In-App-Support deaktiviert. Wenn du Hilfe benötigst, erreichst du uns aber weiterhin unter team@makenotion.com
Sende unserem Support einfach eine Nachricht, damit wir deinem Widerruf nachkommen können.
Why can I still access my uploaded files via the AWS URL without being logged in?
Your files are secure! You're looking at a signed URL that will expire after 24 hours.
Any files uploaded to Notion will remain secure private files. You'll notice they point to a URL that has secure.notion-static.com inside it.
For workspace exports, the link we email you will expire after 7 days.
My browser alerted me that Notion is using trackers. What do these trackers do?
We use tracking code in order to effectively run ads (for example, tracking a visit to our marketing site). We isolate this to a sandboxed iframe on a subdomain (aif.notion.so) — it's never activated on user pages.
No user content is exposed to any third-party service.
