Vertrauen und Sicherheit

Sicherheit und Vertraulichkeit sind das Produkt.

Übergeben Sie uns Ihre Daten und wissen Sie genau, wie sie gehostet, isoliert, verschlüsselt und geführt werden. Nach ISO 27001:2022 zertifiziert und von global tätigen Banken genutzt.

Isoliert und verschlüsselt, unter der Rechtsordnung Singapurs.

Wo Ihre Daten liegen

Gehostet in Singapur, durchgehend verschlüsselt

Canopy läuft auf gehärteter Cloud-Infrastruktur in Singapur. Ihre Daten werden in dem Moment verschlüsselt, in dem sie Ihre Hand verlassen, und bleiben im Ruhezustand verschlüsselt, in einem Netzwerk, das so wenig wie möglich nach aussen preisgibt.

Verschlüsselt bei der Übertragung

Jede Verbindung und jede Datenübertragung ist standardmässig über TLS verschlüsselt, vom Hochladen eines Auszugs oder einem Bank-Feed bis hin zur Plattform.

Verschlüsselt im Ruhezustand

Alle gespeicherten Daten sind mit moderner Verschlüsselung geschützt, sodass sie selbst auf der Speicherebene unlesbar bleiben.

Ein minimaler, bewachter Perimeter

Datenverkehr gelangt über eine verwaltete Firewall herein, bei der nur die notwendigen Ports geöffnet sind, mit optionaler IP-Freigabe. Alles Übrige liegt in einem privaten internen Netzwerk.

Nur zur Illustration
Isolierung und Vertraulichkeit

Ihre Daten, abgeschottet und privat

Vertraulichkeit ist keine Einstellung, die man aktiviert. Sie ist die Art, wie die Plattform gebaut ist und wie sich das Unternehmen verhält.

Datenbank-Isolierung pro Mandant

Die Daten jedes Mandanten liegen in einer eigenen, isolierten und verschlüsselten Datenbank, sodass die Informationen eines Mandanten niemals mit denen eines anderen vermischt werden.

Rollenbasierter Zugriff

Ein striktes konto- und rollenbasiertes Zugriffsmodell sorgt dafür, dass Personen nur das sehen, was ihre Rolle erlaubt, nach dem Prinzip der geringsten Rechte.

Wir nennen unsere Mandanten nie

Family Offices und Banken sind ihrem Wesen nach diskret. Wir nennen niemals, wer unsere Mandanten sind, und wir legen weder Portfolios noch Bestände offen.

Ihre Daten sind keine Trainingsdaten

Wir verwenden Ihre Daten niemals, um gemeinsam genutzte AI-Modelle zu trainieren. AI ist opt-in und läuft ausschliesslich gegen Ihre isolierten Daten.

Aufbewahrung nach Ihren Vorgaben

Datenaufbewahrung, Sicherung und Löschung folgen dokumentierten Richtlinien, sodass Informationen nur so lange aufbewahrt werden, wie es angemessen ist.

Rechtsordnung Singapurs

Ihre Daten werden nach dem Recht Singapurs gehalten und geführt, im Einklang mit den MAS-Erwartungen an die Institutionen, die wir betreuen.

Das Sicherheitsframework

Ein dokumentiertes Programm, keine guten Absichten

Unsere Sicherheitsrichtlinien und -verfahren sind in acht Bereiche gegliedert, die Menschen, Systeme, Daten und Betrieb abdecken. Jede Mitarbeiterin und jeder Mitarbeiter, jeder Auftragnehmer und jeder Lieferant arbeitet nach denselben Standards.

Zugriff und Nutzung

Zulässige Nutzung, Zugriffskontrolle, BYOD und Passwortschutz.

Datenschutz

Aufbewahrung, Sicherung und Wiederherstellung, Verschlüsselung und Informationsklassifizierung.

Vorfall und Risiko

Vorfallmanagement, Notfallwiederherstellung, Risikomethodik und Korrekturmassnahmen.

Sicherheitsbetrieb

Virenschutz und Patch-Management, Protokollierung und Überwachung sowie Netzwerksicherheit.

Compliance und Audit

Compliance-Richtlinie, interne Revision und Management der Lieferantenbeziehungen.

Entwicklung und Änderung

Sichere Entwicklungspraktiken und kontrolliertes Änderungsmanagement.

Physisch und umgebungsbezogen

Absicherung von Einrichtungen gegen physische und umgebungsbedingte Bedrohungen.

Kommunikation und Schulung

Sicherheitsbewusstsein, Schulung und personelle Sicherheit.

Prüfung und Gewähr

Jedes Jahr von Aussenstehenden geprüft

Wir benoten unsere eigenen Arbeiten nicht. Unabhängige Fachleute und unsere Bankpartner prüfen uns in einem regelmässigen Zyklus.

Jährliche Penetrationstests

Unabhängige Penetrationstests durch Dritte finden und schliessen jedes Jahr Schwachstellen, bevor sie ausgenutzt werden können.

Unabhängige Beurteilungen

Externe Spezialisten führen API-Sicherheits- und Schwachstellenbeurteilungen durch, zusätzlich zu unserem eigenen internen Revisionsprogramm.

Zertifizierung nach ISO 27001:2022

Zertifiziert nach dem internationalen Standard für Informationssicherheitsmanagement, mit laufenden Überwachungsaudits.

Das Vertrauen der Banken

Von den Banken selbst geprüft

Global tätige Banken prüfen Canopy, bevor sie sich anbinden, und prüfen uns jedes Jahr erneut. Wir bestehen durchgängig, weshalb Bank-Datenfeeds von Institutionen aus aller Welt in Canopy fliessen. Unser ISO-Zertifikat, die Zusammenfassungen der Penetrationstests und die vollständige Sammlung der Sicherheitsrichtlinien und -verfahren stehen qualifizierten Interessenten während der Due Diligence unter NDA zur Verfügung.

100+
Direkte Bank-Feeds weltweit
Annual
Bestandene Bankaudits
250+
Angebundene Depotstellen
9 yrs
Im Produktivbetrieb

Sicherheitsfragen, beantwortet

Wo werden unsere Daten gehostet?

Canopy läuft auf gehärteter Cloud-Infrastruktur in Singapur. Ihre Daten werden nach dem Recht Singapurs gehalten und geführt, im Einklang mit den MAS-Erwartungen an die Institutionen, die wir betreuen.

Sind unsere Daten von denen anderer Mandanten isoliert?

Ja. Die Daten jedes Mandanten liegen in einer eigenen, isolierten und verschlüsselten Datenbank. Die Informationen eines Mandanten werden niemals mit denen eines anderen vermischt, und der Zugriff wird durch ein striktes konto- und rollenbasiertes Modell geregelt.

Sind die Daten verschlüsselt?

Ja. Alle Datenübertragungen sind standardmässig über TLS verschlüsselt, und alle gespeicherten Daten sind im Ruhezustand mit moderner Verschlüsselung geschützt, sodass sie selbst auf der Speicherebene unlesbar bleiben.

Sind Sie zertifiziert, und durch wen?

Canopy ist nach ISO 27001:2022 zertifiziert, dem internationalen Standard für Informationssicherheitsmanagement, mit laufenden Überwachungsaudits. Zudem sind wir auf die Erwartungen der Singapore MAS ausgerichtet.

Führen Sie Penetrationstests durch?

Ja. Unabhängige Penetrationstests durch Dritte werden jedes Jahr durchgeführt, zusammen mit externen API- und Schwachstellenbeurteilungen sowie unserem eigenen internen Revisionsprogramm, sodass Probleme proaktiv gefunden und behoben werden.

Verwenden Sie unsere Daten, um AI zu trainieren?

Nein. Wir verwenden Ihre Daten niemals, um gemeinsam genutzte AI-Modelle zu trainieren. AI ist opt-in und läuft ausschliesslich gegen Ihre eigenen isolierten Daten.

Können wir Ihre Sicherheitsberichte vor der Unterzeichnung einsehen?

Ja. Unser ISO-Zertifikat, die Zusammenfassungen der Penetrationstests und die vollständige Sammlung der Sicherheitsrichtlinien und -verfahren stehen qualifizierten Interessenten während der Due Diligence unter NDA zur Verfügung.

Was geschieht bei einem Sicherheitsvorfall oder einem Ausfall?

Wir unterhalten dokumentierte Verfahren für Vorfallmanagement und Notfallwiederherstellung, mit Protokollierung und Überwachung zur Erkennung von Anomalien sowie geprüften Wiederherstellungsplänen, um den Betrieb wiederherzustellen und Daten zu schützen.

Get started

Leiten Sie dies an Ihr Sicherheitsteam weiter

Wir führen Ihre IT-, Risiko- und Compliance-Teams durch Hosting, Isolierung und unsere Kontrollen und stellen die Dokumentation unter NDA zur Verfügung.