Skip to main content
Skip table of contents

Hinweise zur sicheren Nutzung der API-Dienste und Integration der Videosprechstundenlösung

Einleitung

Diese Hinweise richten sich an technische Ansprechpartner von Partnerunternehmen, Integratoren und API-Nutzern. Sie enthalten Empfehlungen für die sichere Anbindung und Nutzung unserer SaaS- und API-Services.

Sichere API- und Systemkonfiguration

  • Machen Sie sich vor der Nutzung der API mit dieser intensiv vertraut (siehe API-Doku)

  • API-Schlüssel und Tokens dürfen ausschließlich serverseitig gespeichert werden (nie clientseitig oder in Frontend-Code).

  • Beschränken Sie API-Zugriffe nach dem Prinzip „Least Privilege“.

Rollen- und Rechtekonzept

  • Nutzen Sie nur jene Benutzerrollen, die für Ihre Integration tatsächlich erforderlich sind.

  • Vermeiden Sie risikobehaftete Rollenkombinationen (z. B. gleichzeitiger administrativer und operativer Zugriff).

  • Dokumentieren und überprüfen Sie mindestens jährlich alle Berechtigungen.

Audit-Logs, Monitoring & Fehlerbehandlung

  • API-Zugriffe und administrative Aktionen werden im Rahmen des Audit-Loggings protokolliert.

  • Bei mehrfachen fehlerhaften Versuchen können Zugänge automatisch gesperrt werden.

Schwachstellenmanagement & Updates

  • Änderungen an API-Versionen werden vorab angekündigt.

  • Deprecations werden mit ausreichender Vorlaufzeit kommuniziert.

  • Sicherheitsrelevante Fixes werden unmittelbar ausgerollt und dokumentiert.

  • Partner werden über sicherheitsrelevante Ereignisse direkt informiert.

  • Aktuell bekannte Schwachstellen werden im Schwachstellenregister dokumentiert und regelmäßig aktualisiert

Technische Mindestanforderungen

  • HTTPS-Verbindungen mit aktuellen TLS-Versionen (mind. TLS 1.2)

  • Moderne Cipher Suites (keine bekannten unsicheren Algorithmen)

  • Kompatible Integrationsumgebungen gemäß Dokumentation

Verantwortlichkeiten

Wir als Anbieter übernehmen:

  • Betrieb, Sicherheit und Patchmanagement der Plattform

  • Bereitstellung von API-Dokumentation, Release Notes und Sicherheitsinformationen

Partner übernehmen:

  • Schutz eigener Systeme, Integrationen und Endpunkte

  • Sichere Speicherung und Verwaltung von API-Tokens

  • Einhaltung des Rollen- und Rechtekonzeptes

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close