Sicherheitsrichtlinien

Die nachstehenden Sicherheitsrichtlinien gelten für unsere Dienste

header image

Sicherheitsrichtlinien

Sicherheit ist eine der wichtigsten Prioritäten für uns, da sie für Ihre Produkterfahrung von grundlegender Bedeutung ist. Wir sind bemüht, die Daten Ihrer Anwendung zu schützen, wodurch die Anfälligkeit von Systemen beseitigt wird und die Kontinuität des Zugangs garantiert ist.

Wir verwenden eine Vielzahl von Technologien und Dienstleistungen, um Ihre Daten vor unbefugtem Zugriff, Weitergabe, Nutzung und Verlust zu schützen.

Offenlegung von Sicherheitslücken

Wenn Sie eine Sicherheitslücke oder ein Sicherheitsproblem mit einem Shiftbase-Produkt melden möchten, wenden Sie sich bitte an info@shiftbase.com. Fügen Sie den Beweis “Proof of concept”, eine Liste der verwendeten Tools (einschließlich Versionen) und die Ausgabe der Tools zu. Wir nehmen alle Enthüllungen sehr ernst. Nachdem die Warnmeldungen eingegangen sind, überprüfen wir schnell jede Sicherheitslücke, bevor wir die erforderlichen Maßnahmen ergreifen, um das Problem zu beheben. Nach der Überprüfung senden wir regelmäßige Statusaktualisierungen, wenn die Probleme behoben sind.

Infrastruktur und Netzwerksicherheit

Physische Zugangskontrolle
Wir hosten auf der Google Cloud Plattform. Die Google-Datencenter verfügen über ein mehrstufiges Sicherheitsmodell mit umfassenden Sicherheitsfunktionen wie zum Beispiel:

• Kundenspezifische elektronische Zugangskarten
• Alarme
• Zugangsbarrieren für Fahrzeuge
• Umgebungssicherheit
• Metalldetektoren
• Biometrie

Zitat Google Security Whitepaper: “The data center floor features laser beam intrusion detection. Data centers are monitored 24/7 by high-resolution interior and exterior cameras that can detect and track intruders. Access logs, activity records, and camera footage are reviewed in case an incident occurs. Data centers are also routinely patrolled by professional security guards who have undergone rigorous background checks and training.”

Wir haben keinen physischen Zugriff auf Rechenzentren, Server, Netzwerkgeräte oder Google-Speicher.

Logische Zugangskontrolle
Shiftbase ist der zugewiesene Administrator seiner Infrastruktur in Google Cloud Plattform und nur autorisierte DifferentLab-Administratoren haben die Berechtigung, um die Infrastruktur nach Bedarf zu konfigurieren, mit einer Zwei-Faktor-Authentifizierung.

Externe Prüfung
Die Google Cloud Plattform wird regelmäßig an verschiedenen, externen,unabhängigen Prüfungen unterzogen und bietet die Überprüfung der Konformitätsprüfungen für seine Rechenzentren, Infrastruktur und Betriebe. Dies umfasst unter anderem die SSAE 16-konforme SOC 2-Zertifizierung und die ISO 27001-Zertifizierung.

Intrusion Detection and Prevention System
Ungewöhnliche Netzwerkmuster oder verdächtiges Verhalten gehören zu unseren größten Problemen beim Hosten und Verwalten der Infrastruktur. Ein Intrusion Prevention System, abgekürzt IPS, ist in der Lage, Angriffe auf Netzwerke oder Computersysteme zu erkennen und automatische Abwehrmaßnahmen zu ergreifen. Es sorgt für einen zusätzlichen Schutz.

Die Intrusion Detection and Prevention-Systeme (IDS / IPS) von Google Cloud Plattform und CloudFlare basieren, sowohl auf Signatur-Sicherheit, als auch auf Algorithmus-Sicherheit, um Verkehrsmuster zu identifizieren, die bekannten Angriffsmethoden ähneln.

IDS/IPS beinhaltet eine genaue Kontrolle der Größe und Zusammensetzung der Angriffsfläche durch intelligente Erkennung an den Dateneingabepunkten.

IDS/IPS werden ständig weiterentwickelt und neue Technologien werden eingesetzt, um gefährliche Situationen automatisch und im ausreichendem Umfang auszuschließen und abzuwehren.

Geschäftskontinuitäten und Notfallwiederherstellung

High Availability (Hochverfügbarkeit)
Jede Komponente unseres Services verfügt über redundante Servers, die auf mehrere Rechenzentren verteilt sind (z.B. mehrere Lastverteiler, Webserver, Back-Ups).

Geschäftskontinuität
Wir machen täglich Sicherungskopien der Datenbank, die wir verschlüsselt in verschiedenen Regionen der Google Cloud Platform speichern. Bei Verlust von Produktionsdaten können wir die Daten aus diesen Sicherungen (Back-Ups) wiederherstellen.

Notfallwiederherstellung
Bei einem Ausfall der gesamten Region, starten wir eine Duplikat-Umgebung in einer andere Region innerhalb der Google Cloud Platform. Sollte die gesamte Google Cloud nicht verfügbar sein, wechseln wir zu einer Alternative.

Data Flow (Datenfluss)
Ihre Daten können über eine sichere HTTPS-Verbindung verwaltet und über unsere Benutzeroberfläche und REST-APIs angezeigt werden.

Auf Wunsch, können wir mit externen Anwendungen verknüpfen, so dass Sie Daten aus unserem System mit Daten aus Ihren anderen Systemen zusammenfügen können.

Datensicherheit und Datenschutz

Datenverschlüsselung
Alle Daten auf unseren Servern werden während der Speicherung automatisch verschlüsselt.

Die Google Cloud Platform speichert und verwaltet kryptographische Schlüssel in ihrem redundanten und weltweit verteilten Schlüsselverwaltungsdienst. Sollte also ein Eindringling jemals auf eine der physischen Speichereinrichtungen zugreifen, könnten die darin enthaltenen Daten noch immer nicht, ohne die Schlüssel, entschlüsselt werden, wodurch die Informationen zu einem nutzlosen Durcheinander zufälliger Zeichen werden.

Die Verschlüsselung während der Speicherung ermöglicht auch Kontinuitätsmaßnahmen wie Back-Ups und Infrastrukturverwaltung, ohne die Sicherheit und den Datenschutz von Daten zu beeinträchtigen.Wir senden Daten nur über HTTPS-Transportschicht Sicherheit (TLS) mit verschlüsselten Verbindungen für zusätzliche Sicherheit bei der Datenübertragung von und zur Anwendung.

Aufbewahrung und Entfernung von Daten
Wir bewahren Ihre Daten auf, solange wir mit Ihnen ein Übereinkommen haben.

Systemprotokolle werden für 7 Tage gespeichert.

Wir werden alle Ihre Daten 30 Tage nach Beendigung Ihrer Vereinbarung mit uns löschen und alle Datenbank-Backups werden 60 Tage nach dem Löschen Ihrer Daten auch automatisch gelöscht.

Daten können über unsere REST-API und unsere Benutzeroberfläche entfernt und / oder angepasst werden.

Anwendungssicherheit
Multi-Faktor-Authentifizierung
Neben der Anmeldung mit einer Kombination aus E-Mail und Passwort bieten wir auch eine Multi-Faktor-Authentifizierung (MFA) an und dadurch wird dem Login eine zusätzliche Sicherheitsebene hinzugefügt, und zwar mithilfe des One-time Password Algorithmus (TOTP).

Up-to-date Software
Wir empfehlen allen unsere Kunden um die Up-to-date-Software zu verwenden. Damit ist gemeint, dass sowohl das Betriebssystem, als auch der Internetbrowser mit einer aktuellen Version und mit den neuesten Sicherheitsupdates ausgestattet sein müssen.

REST-API-Authentifizierung (API-Schlüssel)
Unsere REST-API verwendet persönliche Authentifizierungs-Token oder einen API-Schlüssel zur Authentifizierung. Diese Token werden über einen Auth-Header gesendet, um den Zugriff auf die REST-API zu überprüfen.

Email Sicherheit
Ein Teil unseres Services ist das Versenden von E-Mails. Sender Policy Framework (SPF) ist ein System, dass das Fälschen von E-Mail-Adressen verhindert und eingehende Spam-Mails minimiert. Wir haben SPF-Einträge über unseren Domain Name Service (DNS) und domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC) für E-Mails eingerichtet, um die Möglichkeit von Phishing-Betrug zu verhindern.

Benutzerverwaltung
Die Benutzerverwaltung ist ein zentraler Bestandteil der Sicherheit und Verwaltung und der erste Schritt zur Sicherung Ihrer Daten.

Ihr Konto ist unterteilt in Standorte, Abteilungen und Teams. Die Autorisierungen der Benutzer kann über Rollen auf Abteilungsebene festgelegt werden. Sie können die Rollen und Zugangsrechte in der Benutzeroberfläche verwalten, sodass Sie angeben können, wer was tun darf.

Secure Application Development (Anwendungsentwicklung)
Shiftbase verwendet Continuous Delivery (CD), was bedeutet, dass alle Codeänderungen in einer schnellen Reihenfolge aufgezeichnet, getestet, übertragen und wiederholt werden. Eine kontinuierliche Bereitstellungsmethode, die durch Überprüfungen von Codeänderungen, kontinuierliche Integration (CI) und automatisiertes Debugging ergänzt wird, verringert die Wahrscheinlichkeit eines Sicherheitsproblemes erheblich und verbessert die Reaktionszeit, sowie die effektive Behebung von Fehlern und Schwachstellen.

Unternehmenssicherheit

Risikomanagement
Alle unsere Codeänderungen werden von einem zweiten Entwickler und über CI auf Qualität, Fehler und Schwachstellen überprüft. Danach werden die Änderungen in einer Testumgebung erneut überprüft. Wenn alles einwandfrei funktioniert, genehmigt einer unserer Administratoren die Änderung und danach erfolgt eine automatisierte Einführung der Änderung in die Produktionsumgebung.

Sicherheitsrichtlinie
Wir führen intern eine Reihe von Dokumenten, die zusammengefasst die Sicherheitsrichtlinien für die Organisation bilden. Diese werden ständig ergänzt, aktualisiert und jährlich auf Lücken überprüft.

Sicherheitstraining
Alle neuen Mitarbeiter erhalten Onboarding- und Systemschulungen, einschließlich inschließlich Umgebungs- und Berechtigungseinstellungen, sowie eine Bewertung der Sicherheitsrichtlinien.

Alle Entwickler bewerten die Sicherheitsrichtlinie im Rahmen des Onboarding und werden gebeten, die Richtlinie durch interne Dokumentation zu überprüfen und dazu beizutragen. Wichtige Updates werden allen Mitarbeitern per E-Mail mitgeteilt.