Informationssicherheitsrichtlinien und -prozesse formen das Rückgrat unseres Informationssicherheitsprogramms. Galvanizes Sicherheitsrichtlinien formulieren die Grundsätze und die Richtung der Organisation, weisen Rollen und Verantwortlichkeiten für Informationssicherheit zu und delegieren diese, etablieren Kontrollziele und demonstrieren Einsatz und Rechenschaftspflicht aller Beteiligten, einschließlich Mitarbeiter, Geschäftspartner und Kunden.
Unsere Lösung wird durch zahlreiche Betriebs- und Sicherheitsrichtlinien, -standards und -verfahren in den folgenden Bereichen unterstützt:
Wir verwalten die allgemeine Anwendungsinfrastruktur und unsere Kunden verwalten die Endnutzersicherheit sowie die Zugriffskontrolle auf ihr eigenes System. Dies wird als gemeinsames Verantwortungsmodell bezeichnet und setzt sich zusammen aus:
Kunden sind nicht nur dafür verantwortlich, ihre Datensicherheit zu gewährleisten, sie müssen auch die geltenden ordnungspolitischen Vorgaben oder Datenschutzgesetze einhalten. Unsere Kunden verfügen über uneingeschränktes Eigentum ihrer Benutzerzugriffssteuerung und verwalten selbst ihren gesamten Datenzyklus, angefangen mit der Entscheidung, welche Daten in das System gelangen, wie lange diese Daten vorgehalten werden, welche Daten gelöscht werden und wer auf diese Daten zugreifen kann.
Neben der von Amazon bereitgestellten physischen Sicherheit und Hardwaresicherheit verfügen wir auch über ein robustes Umfeld der Informationssicherheit, um sicherzustellen, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten unseren hohen Standards und den hohen Ansprüchen unserer Kunden genügt.
Amazon ist der größte Anbieter von Datenspeicher und Computing weltweit. Das Unternehmen ist für die physische Einrichtung und die physische Infrastruktur der Serverhardware, des Netzwerks und der zugehörigen Dienste von HighBond sowie für das Hosting der Kundendaten verantwortlich.
Unsere Firmenzentrale befindet sich in einer Gemeinschaftseinrichtung. Außerhalb der Geschäftszeiten ist der Gebäudeeingang abgeschlossen und zusätzlich ist das Objekt durch einen Wachdienst geschützt. In Bereichen mit hohem Verkehrsaufkommen und an gefährdeten Stellen befinden sich deutlich sichtbare Sicherheitskameras.
An den Türen von Galvanize benötigt man für den Zutritt einen Sicherheitsausweis. Alle Mitarbeiter, Lieferanten und Besucher müssen stets einen deutlich erkennbaren Sicherheitsausweis tragen. Alle Türen verfügen über einen Alarm. Unser Sicherheitsdienst und die Polizei werden verständigt, falls eine Störung erkannt wird. Der physische Zugang wird in jedem Quartal geprüft, obwohl in unserem Gebäude keine Kundendaten gespeichert sind.
Wir verwenden für die interne Administration das Prinzip der geringsten Zugriffsrechte. Mitarbeiter, die einen administrativen Zugriff benötigen, müssen diesen über ein Ticketsystem beantragen. Bevor der Zugriff gewährt wird, muss der Antrag durch das leitende Management erteilt werden.
Der administrative Zugriff auf alle Anwendungen wird Mitarbeitern nur auf Grundlage ihrer Jobverantwortlichkeit gewährt. Der Zugriff auf das Produktionssystem und auf interne Anwendungen wird sofort entfernt, nachdem einem Mitarbeiter gekündigt wurde oder nachdem der Vertrag eines Subunternehmers ablief.
Vierteljährlich sind der Director of Information Technology, der Chief Technology Officer und unser Information Security Specialist für eine Überprüfung der Zugriffsrechte und eine Behandlung der notwendigen Änderungen und zugehörigen Genehmigungen verantwortlich.
Unsere Kunden sollten über Kontrollen verfügen, die den Zugriff einzelner Personen auf das Konto nach Bedarf beschränken. Kontrollen sollten die Zugriffsgenehmigung von Einzelpersonen vor der Einrichtung von Benutzern innerhalb des Systems einschließen und auch die Entziehung der Anmeldeberechtigungen von Benutzern, falls diese einen Zugriff nicht mehr benötigen oder falls Anmeldeinformationen oder andere sensible Informationen kompromittiert wurden.
Unsere Plattform beinhaltet mehrere Funktionen, die Kunden in ihrer Verantwortung der Steuerung des Systemzugriffs von Endbenutzern unterstützen. Beispiele hierfür sind:
Die Produktionsdatenbanken befinden sich auf Amazon RDS. RDS gestattet keinen Zugriff auf die Datenbankserver über die standardmäßige Schnittstelle des Datenbankprotokolls hinaus.
Die Erstellung und Konfiguration der RDS-Datenbank erfolgt durch unser DevOps-Team durch programmierte Infrastruktur und die AWS-Verwaltungsoberfläche.
Wir verfügen über einen robusten Vorfallsreaktionsplan, um prompt und effektiv auf Vorfälle reagieren zu können, falls sich diese auf die Systemumgebung auswirken. Dieser Plan soll sowohl potenzielle Schäden minimieren, die sich aus einer Datenschutzverletzung ergeben, als auch sicherstellen, dass die durch eine Datenschutzverletzung betroffenen Parteien ordnungsgemäß informiert werden und erfahren, wie sie sich selbst schützen können.
Das Vorfallsreaktionsteam (Security Incident Response Team, SIRT) ist dafür verantwortlich, auf Vorfälle zu reagieren, diese zu steuern und Sicherheitsuntersuchungen durchzuführen. Dies beinhaltet alle Aspekte der Kommunikation, einschließlich der Entscheidung, wie, wann und wem Feststellungen mitzuteilen sind. Die Beilegung identifizierter Sicherheitsvorfälle bleibt die Verantwortung der Unternehmen oder Systemeigentümer der betroffenen Anlagen.
Bei einem Vorfall werden Benachrichtigung zeitnah an die betroffenen Parteien gesendet.
Ein Sicherheitsverstoß bei Galvanize durchläuft die vier Phasen des folgenden Diagramms. In jeder dieser Phasen werden spezifische Maßnahmen ergriffen, um Probleme zu adressieren und sicherzustellen, dass Kunden und Mitarbeiter angemessene Benachrichtigungen und Anweisungen erhalten.
Galvanize hat zur Vorbereitung auf Vorfälle die folgenden wichtigen Schritte ergriffen:
Wir überwachen und untersuchen alle Ereignisse und Berichte zu auffälligen oder unerwarteten Aktivitäten und verfolgen diese im Rahmen eines internen Ticketing-Systems.
Nach entsprechender Bestätigung eines Vorfalls, wird die Analyse eingeleitet, dem Vorfall ein Schweregrad zugewiesen und das ausgestellte Ticket wird entsprechend eskaliert.
In Abhängigkeit von dem Schweregrad und dem Vorfalltyp holt das Vorfallsreaktionsteam (SIRT) Informationen ein und analysiert diese, gegebenenfalls unter Einbezug forensischer Experten, um die Ursachen und Auswirkungen sowie die Art und sämtliche andere relevanten Informationen über den Vorfall zu ermitteln.
Um die Auswirkung eines Vorfalls einzuschränken, weitere Schäden zu verhindern und die betroffenen System wiederherzustellen, kann das Vorfallsreaktionsteam (SIRT) während dieser Phase verschiedene Schritte ergreifen:
Nachdem eine Vorfall beigelegt wurde, führt das Vorfallsreaktionsteam (SIRT) die folgenden Aktivitäten durch, um eine ständige Optimierung zu gewährleisten:
In allen Phasen des Anwendungsentwicklungsprozesses ist die Sicherheit eine Toppriorität.
Bei Galvanize bauen wir Sicherheit in unsere Software ein. Empfohlene Vorgehensweisen zur sicheren Programmierung werden strikt befolgt. Übliche Sicherheitsrisiken der Anwendungsschicht, einschließlich die Top-10-Sicherheitsrisiken von OWASP, werden in allen Phasen des Softwareentwicklungszyklus adressiert. Hierbei werden branchenübliche Gegenmaßnahmen ergriffen, wie beispielsweise eine explizite Säuberung aller Benutzereingaben sowie die Verwendung von parametrisierten Abfragen und sicheren Bibliotheken.
Alle Programmänderungen werden kontrolliert und genehmigt. Sie müssen eine strikte Überprüfung durch Kollegen sowie Qualitätssicherungstests durchlaufen, bevor sie ins Produktionsumfeld gelangen.
Wir verwenden branchenführende Entwicklungspraktiken wie Paarprogrammierung und Codeüberprüfung sowie Integrationstools für automatisierte Tests, was eine statische Codeanalyse zu Sicherheitszwecken beinhaltet.
Es wurden mehrere Stagingumgebungen zur Vereinfachung manueller und automatisierter Tests errichtet. Darüber hinaus wurde eine formalisierte und unabhängige Qualitätssicherungsfunktion etabliert, die strukturierte Tests durchführt, sobald eine Funktion, eine Fehlerkorrektur oder eine riskantere Änderung innerhalb unserer Umgebung eingeführt wird.
Als agiles Entwicklungsunternehmen verfügen wir über Prozesse und Tools, um Änderungen rückgängig zu machen, falls diese im Betrieb zu Problemen führen.
Für das Programmmanagement ist das DevOps-Team in unserem kanadischen Firmensitz zuständig. Diese Gruppe pflegt die Server (Bereitstellung, Sicherungen, Betriebssystem-Updates und -Patches, Protokollierung und Überwachung) und beaufsichtigt die Entwicklung aller Änderungen unseres Forschungs- und Entwicklungsteams (F&E) bis in die Produktion. Sie stellt dabei sicher, dass unser Änderungsmanagementprozess befolgt wird.
DevOps und F&E arbeiten eng zusammen, um die hohe Qualität unserer Software sicherzustellen, sie weisen jedoch unterschiedliche Aufgaben auf.
Wir verfügen über Verfahren, Kontrollen und Überwachungsschritte, um sicherzustellen, dass eine Aufgabentrennung zwischen den Definitions-, Entwurfs-, Erstellungs-, Test- und Bereitstellungsphasen des Softwarelebenszyklus existiert.
Wir nutzen auch eine Überwachung durch Drittunternehmen für die Entwicklung, den Test und die Produktion, um Laufzeitfehler zu erkennen und die Performance zu überwachen. Zahlreiche Beteiligte sind also über die Entwicklung bzw. etwaige Fehler informiert.
Um die Sicherheit und Integrität unserer Endpunkte und Daten zu gewährleisten, wurden die folgenden Schlüsselkontrollen für alle Laptops und Workstations innerhalb der Forschungs- und Entwicklungsumgebung etabliert:
Wir unterhalten ausschließlich zur Verwaltung des Quellcodes ein Quellcode-Repository. Das Quellcode-Repository ist eine vollständige Kopie des Quellcodes (einschließlich des gesamten Versionsverlaufs).
Die Redundanz innerhalb unseres Quellcode-Repositorys verringert Risiken für die Systemverfügbarkeit aufgrund eines Verlusts von Quellcode beträchtlich. Dieses Repository wird regelmäßig gesichert.
Die Geschäftsleitung entwickelte Richtlinien und Verfahren zur Kontrolle und Verwaltung von Änderungen unserer Portionssysteme.
Wir nutzen getrennte Entwicklungs-, Test- und Produktionsumgebungen. Sämtliche Programmänderungen werden in einer Entwicklungsumgebung und einer Integrationsumgebung getestet, bevor sie formal in einer Stagingumgebung akzeptiert und danach innerhalb der Produktionsumgebung bereitgestellt werden.
Das Bereitstellungssystem ist in der Lage, bereitgestellte Änderungen rückgängig zu machen. Selbst wenn also ein Problem erst nach der Bereitstellung festgestellt werden sollte, kann die Produktionsanwendung schnell und effizient wieder in einen stabilen Zustand zurückgeführt werden.
Änderungen in Notfällen erfordern denselben Test- und Genehmigungsprozess wie herkömmliche Änderungsanträge. Um sicherzustellen, dass das Produktionsproblem so schnell wie möglich behoben wird, können diese Maßnahmen jedoch retroaktiv für die migrierte Änderung der Produktionsumgebung durchgeführt und dokumentiert werden.
Kundenprobleme können dem Kundendienst von Galvanize über Supporttickets mitgeteilt werden.
Die Person, welche die Anfrage erhält, wird versuchen, das Problem sofort zu beheben oder an eine geeignete Person weiterzuleiten und den Lösungsablauf zu dokumentieren.
Probleme von Kunden können auch automatisch durch Fehlermeldungen auf Ebene der Anwendungsschicht identifiziert werden. Sobald ein Fehler in einer Anwendung auftritt, erstellt das Programm automatisch eine E-Mail-Benachrichtigung. Nach dem Erhalt der Benachrichtigung wird ein Ticket verwendet, um die Lösung des Fehlers nachzuverfolgen.
Zusätzlich zu internen Sicherheitstests nutzen wir auch Penetrationtests unabhängiger Dritter, um den HighBond-Dienst auf Sicherheitsrisiken zu testen.
Diese Tests werden von einer Organisation mit Spezialisierung auf Softwaresicherheit durchgeführt. Sie werden verwendet, um die HighBond-Umgebung auf Sicherheitsrisiken zu untersuchen, wie beispielsweise Cross-Site Scripting, Einschleusung von SQL-Befehlen, Sitzungs- und Cookie-Management.
Wir stellen sicher, dass ausnutzbare Sicherheitsrisiken zeitgerecht auf Basis ihrer Schwere und ihrer möglichen Auswirkungen behoben werden. Eine Kopie des aktuellsten Penetrationtests kann nach Unterzeichnung einer Geheimhaltungsvereinbarung angefordert werden.
Wir nutzen einen unabhängigen Drittanbieter, um Scans von Webanwendungen und automatische Sicherheitstests durchzuführen.
Vor einem Produktions-Release werden Scans aller Anwendungen auf Sicherheitsschwächen durchgeführt.
Alle Feststellungen werden unmittelbar eskaliert und zeitgerecht bereinigt. Falls ein hohes Sicherheitsrisiko identifiziert wird, werden alle sonstigen betrieblichen Tätigkeiten sofort eingestellt und die Bereinigung des Sicherheitsrisikos wird als Toppriorität des gesamten Unternehmens betrachtet.
Sicherheitsbereich |
Beschreibung |
---|---|
Porterkennung |
Identifiziert und ordnet offene Ports über das Produktionsnetzwerk hinweg zu. |
Scan der Netzwerkdienste auf Sicherheitsrisiken |
Entdeckt, identifiziert und überwacht Netzwerkgeräte, findet nicht autorisierte Geräte oder identifiziert unberechtigte Dienste. |
Netzwerkerkennung |
Fragt jeden Dienst auf jedem verfügbaren Port ab, um exakt herauszufinden, welche Software läuft und wie sie konfiguriert ist. Dies wird mit der Datenbank bestehender Sicherheitsrisiken abgeglichen und es werden dienstspezifische Tests gestartet. |
Scan der Webanwendungen auf Sicherheitsrisiken |
Überprüft alle HTTP-Dienste und virtuellen Domains auf die Existenz potenziell gefährlicher Module, Konfigurationseinstellungen, CGIs und sonstiger Skripts sowie standardmäßig installierter Dateien. Die Website wird dann durchlaufen, was Flash-Links und kennwortgeschützte Seiten beinhaltet, um Formulare und andere potenziell gefährliche interaktive Elemente zu finden. Diese werden dann auf verschiedene Arten ausgeführt. Dadurch sollen Sicherheitsrisiken auf Anwendungsebene erkannt werden, wie Codeenthüllung, Cross-Site-Scripting und Einschleusung von SQL-Befehlen. |
Falls Sie sich entschließen, Ihr Abonnement zu kündigen, werden wir den Zugriff auf das System um zusätzliche 30 Tage verlängern, damit Sie Daten kopieren oder extrahieren können, die Sie aufbewahren möchten. Sobald Sie Ihre Daten extrahiert haben, haben Sie die Möglichkeit und die Verantwortung, einen Teil oder sämtliche Ihrer verbleibenden Daten innerhalb des Systems zu löschen.
Auf schriftliche Anforderung wird Galvanize das Kundensystem und alle Dateninhalte nach der Extrahierung vernichten. Falls 90 Tage ohne eine schriftliche Aufforderung zur Vernichtung des Kundensystems verstrichen sind, behält sich Galvanize das Recht vor, das Kundensystem zur Freisetzung von Systemressourcen zu vernichten.