COMPLIANCE Regeln zu Sicherheitsrichtlinien

Zahlreiche Kunden und Benutzer vertrauen platinus CONSULTING ihre Projektdaten an. Sicherheit und Schutz der Daten unserer Benutzer genießen bei uns höchste Priorität. Wir tun alles, um sicherzustellen, dass Benutzerdaten sicher verwaltet werden. platinus nutzt moderne Technologien für Internetsicherheit. Die vorliegenden Sicherheitsrichtlinien sollen unsere Sicherheitsinfrastruktur und unsere Sicherheitspraktiken darlegen, damit Sie sich davon überzeugen können, dass Ihre Daten angemessen geschützt werden. Weitere Informationen zu unserem Umgang mit Daten finden Sie in unserer Datenschutzrichtlinie.

.

Benutzersicherheit

  1. Benutzerauthentifizierung: Die Benutzerdaten in unseren Datenbanken werden anhand von kontobasierten Zugriffsregeln logisch getrennt. Die Benutzerkonten haben eindeutige Benutzernamen und Passwörter, die bei jeder Anmeldung eines Benutzers eingegeben werden müssen. platinus generiert ein Sitzungscookie lediglich deswegen, um für die Dauer der aktuellen Sitzung verschlüsselte Authentifizierungsinformationen aufzuzeichnen. Das Benutzerpasswort wird nicht im Sitzungscookie abgelegt.
  2. Passwörter: Für Passwörter von Benutzeranwendungen gelten Mindestanforderungen an die Komplexität. Salting und Hashing erfolgen jeweils individuell für jedes Passwort.
  3. Single Sign-On: Für die Konten zur Zusammenarbeit im Team unterstützt platinus die Active Directory Domain Services (ADDS) und bei Bedraf auch die SAML 2.0-Integration. So kontrollieren Sie den Zugriff unternehmensweit und können zur Verbesserung der Sicherheit Authentifizierungsrichtlinien festlegen.
  4. Datenverschlüsselung: Bestimmte sensible Benutzerdaten wie Kontopasswörter werden verschlüsselt gespeichert.
  5. Datenportabilität: platinus ermöglicht es Ihnen, Ihre Daten in einer Vielzahl von Formaten aus unserem System zu exportieren, damit Sie sie sichern oder in anderen Anwendungen verwenden können.
  6. Datenschutz: Wir haben eine umfangreiche Datenschutzrichtlinie, die transparent darlegt, wie wir unsere Daten verwalten. Dies betrifft die Nutzung Ihrer Daten, die Personen, für die wir sie freigeben, und die Speicherungsdauer.
  7. Datenspeicherung: Alle platinus-Benutzerdaten werden auf Servern in Österreich gespeichert. Für Cloud-Services werden die Daten bei den jeweiligen Service Providern gespeichert.

.

Physische Sicherheit – Zutrittsregelungen

Sämtliche Informationssysteme und die gesamte Infrastruktur von platinus werden in Rechenzentren gehostet. Diese Rechenzentren verfügen über alle nötigen physischen Sicherheitskontrollen, die heute von einem Rechenzentrum verlangt werden (z. B. Überwachung rund um die Uhr, Videoüberwachung, Besucherprotokollierung und Zugangsbeschränkungen). Die Geräte von platinus sind in Cages aufgestellt. Weitere Informationen hierzu finden Sie bei den jeweiligen Service Providern. Wenn Sie Informationen von den Service Providern benötigen, wenden Sie sich bitte direkt an diese.

.

Verfügbarkeit – Availability

  1. Konnektivität: Redundante IP-Netzwerkverbindungen mit jeweils separater Anbindung an mehrere Internetprovider werden von den Rechenzentren bereitgestellt.
  2. Stromversorgung: Die Server sind teilweise mit redundanten internen und externen Netzversorgungsgeräten ausgestattet. Die Rechenzentren verfügen über Reserveversorgungsgeräte: Bei Bedarf kann Strom von mehreren Netzverteilerstationen und Pufferbatterien beziehen.
  3. Betriebsdauer: Kontinuierliche Betriebsüberwachung mit sofortiger Eskalation an platinus-Mitarbeiter bei Ausfällen.
  4. Failover: Unsere Datenbank wird nicht in Echtzeit repliziert. Ein Failover ist in weniger als einem Tag möglich.
  5. Sicherungshäufigkeit: Sicherungen erfolgen täglich an mehreren geografisch verteilten Standorten.

.

Netzwerksicherheit

  • Tests: Systemfunktionalität und Änderungen an der Struktur werden in einer isolierten Sandbox-Testumgebung getestet. Zudem werden vor der Bereitstellung in aktiven Produktionssystemen Funktions- und Sicherheitstests durchgeführt.
  • Firewalls: Firewalls beschränken den Zugriff auf die Ports 80 (HTTP) und 443 (HTTPS).
  • Zugriffssteuerung: Das gesamte Systemmanagement erfolgt mithilfe von VPN, 2FA (Zwei-Faktor-Authentifizierung) und rollenbasiertem Zugriff. Die Maßnahmen werden durch autorisierte technische Mitarbeiter durchgesetzt.
  • Logging und Auditing: Zentrale Logsysteme erfassen und archivieren alle internen Systemzugriffe einschließlich fehlgeschlagener Authentifizierungsversuche.
  • Verschlüsselung bei der Übertragung: Standardmäßig nutzen wir zur Verschlüsselung des von Usern verursachten Traffics TLS (Transport Layer Security). Die gesamte übrige Kommunikation mit den Websites von platinus wird über TLS-Verbindungen gesendet, bei denen die Kommunikation sowohl durch Serverauthentifizierung als auch durch Datenverschlüsselung geschützt wird. Hierdurch wird gewährleistet, dass die übertragenen Benutzerdaten sicher, geschützt und nur den vorgesehenen Empfängern zugänglich sind. Auch unsere Anwendungsendpunkte nutzen ausschließlich TLS.  Ferner nutzen wir Forward Secrecy und unterstützen nur starke Schlüssel, um Datenschutz und Sicherheit zu erhöhen.

.

Management von Sicherheitslücken

  • Patching: Aktuelle Sicherheitspatches werden grundsätzlich für Betriebssysteme, Anwendungen und die Netzwerkinfrastruktur aufgespielt, um das Risiko von Sicherheitslücken möglichst gering zu halten.
  • Tests durch Drittanbieter: Unsere Umgebungen werden fortlaufend mit Sicherheitstools geprüft. Diese Tools sind so konfiguriert, dass sie die Anfälligkeit von Anwendungen und Netzwerk bewerten. Prüfungen des Patchstatus erfolgen dabei ebenso wie Tests auf grundlegende Fehlkonfiguration von Systemen und Websites.
  • Penetrationstests: Externe Organisationen führen auf Anfrage Penetrationstests durch.
  • Bug Bounty: Wir nehmen die Sicherheit unserer Plattformen sehr ernst! platinus betreibt ein privates Bug-Bounty-Programm, um zu gewährleisten, dass unsere Anwendungen kontinuierlich auf Sicherheitslücken geprüft werden.

.

Organisatorische und administrative Sicherheit

  • Datensicherheitsrichtlinien: Wir setzen interne Datensicherheitsrichtlinien ein, zu denen auch Incident-Response-Pläne gehören. Diese Richtlinien werden von uns regelmäßig geprüft und aktualisiert.
  • Mitarbeiterprüfung: Wir überprüfen den Hintergrund sämtlicher Leistungsträger und Partner im Rahmen der einschlägigen Gesetze.
  • Schulungen: Wir schulen unsere Leistungsträger und Partner in den Bereichen Sicherheit und Technologieeinsatz.
  • Dienstanbieter: Wir überprüfen unsere Dienstanbieter und verpflichten sie im Falle eines Umgangs mit den Daten unserer Benutzer vertraglich zu angemessener Vertraulichkeit und Sicherheit.
  • Zugriff: Maßnahmen zur Steuerung des Zugriffs auf sensible Daten in unseren Datenbanken, Systemen und Umgebungen sorgen dafür, dass dieser Zugriff auf das maximal notwendige Maß beschränkt wird.
  • Audit-Logs: Wir pflegen und überwachen Audit-Logs zu unseren Services und Systemen.

.

Softwareentwicklungspraktiken

  • Stack: Wir entwickeln unsere Projekte mit Standardsoftware und nutzen SQL Server, Windows und Ubuntu, Fedora sowie Docker.
  • Entwicklungspraktiken: Unsere Entwickler und Applikationsmanager orientieren sich an Best Practices und Branchenempfehlungen für sicheres Programmieren.
  • Bereitstellung: Die Codebereitstellung erfolgt mehrmals pro Monat. Hierdurch können wir zeitnah auf Bugs oder Sicherheitslücken reagieren, die in unserem Code gefunden wurden.

.

Konformität und Zertifizierungen

  • PCI: platinus ist derzeit PCI 3.1-konform.
  • HIPAA: platinus bietet erweiterte Sicherheitsfunktionen, die HIPAA-Anforderungen unterstützen. Weitere Informationen hierzu finden Sie auf der Seite zur HIPAA-Konformität.

.

Umgang mit Sicherheitsverstößen

Trotz größter Bemühungen ist kein Übertragungsverfahren im Internet und kein Verfahren zur elektronischen Speicherung von Daten hundertprozentig sicher. Wir können absolute Sicherheit nicht garantieren. Sobald jedoch platinus von einem Sicherheitsverstoß Kenntnis erlangt, benachrichtigen wir die betroffenen Benutzer, sodass sie entsprechende Schritte zu ihrem Schutz einleiten können. Unsere Benachrichtigungsverfahren bei Sicherheitsverstößen entsprechen unseren Verpflichtungen gemäß einschlägiger Branchenregelungen – und -standards, die von uns eingehalten werden. Zu den Benachrichtigungsverfahren gehören im Fall von Sicherheitsverstößen die Benachrichtigung per E-Mail sowie die Bekanntgabe auf unserer Website.

.

Wofür Sie verantwortlich sind

Die Sicherheit Ihrer Daten ist auch von Ihnen abhängig. Sie sind selbst für die Sicherheit Ihres Kontos zuständig, indem Sie ausreichend komplexe Passwörter verwenden und diese sicher verwahren. Ferner sollten Sie dafür Sorge tragen, dass Ihre eigenen Systeme ausreichend gesichert sind, damit sämtliche Auftragsdaten, die Sie auf Ihren Computer herunterladen, vor neugierigen Augen geschützt sind. Wir schützen die Übertragung von Auftragsdaten mit TLS, doch es liegt in Ihrer Zuständigkeit, die Verwendung und lokale Speicherung (auf Servern, Notebooks oder mobilen Endgeräten) erforderlichenfalls zu konfigurieren.

.

Kundenanfragen

Aufgrund der großen Zahl von Kunden und Usern, die unseren Service nutzen, können konkrete Fragen zur Sicherheit oder benutzerspezifische Sicherheitsformulare nur für solche Kunden bearbeitet werden, die im Rahmen eines platinus-Auftrages eine bestimmte Anzahl von Benutzerkonten anwenden. Wenn Ihr Unternehmen über eine große Anzahl möglicher oder bestehender Benutzer verfügt und Interesse an einer solchen Vereinbarung hat, informieren Sie sich bitte über die Zusammenarbeit im Team mit dem jeweilligen Projektmanager.

Letzte Aktualisierung: 15 Juli 2017.

Spread the love