Unsere Sicherheitsplattform beruht auf Kontrollen, die wir zum Schutz von Kundendaten in unseren Dienst integriert haben.
Wir bewerten Risiken, beurteilen unsere Kontrollen und werten potenzielle Bedrohungen regelmäßig aus. Diese Informationen nutzen wir, um unseren Kontroll-Framework, der von Richtlinien und Verfahren bis zu Verschlüsselungsprotokollen reicht, zu aktualisieren.
In unseren Systemen werden üblicherweise folgende Datentypen gespeichert:
Die Vertraulichkeit und Integrität von Kundendaten ist unsere wichtigste unternehmerische Aufgabe. Wir unternehmen alle wirtschaftlich und fachlich vernünftigen Maßnahmen, um den höchstmöglichen Standard aufrechtzuerhalten, den unsere Kunden von uns und auch von sich selbst erwarten würden.
Wir führen eine starke Verschlüsselung aller übertragenen und gespeicherten Daten durch. Die Verschlüsselung übertragener Daten wird durch den Branchenstandard TLS (Transport Layer Security) durchgeführt, wobei nur die stärksten Verschlüsselungsalgorithmen wie AES (erweiterter Verschlüsselungsstandard) mit Schlüssellängen von bis zu 256 Bit unterstützt werden. Die Verschlüsselung gespeicherter Daten erfolgt durch die AWS-Verschlüsselung, die ebenfalls den AES-Verschlüsselungsalgorithmus mit starken 256-Bit-Schlüsseln nutzt.
Durch die Verwendung von TLS 1.2 wird ein verschlüsselter Kommunikationskanal zwischen dem Webbrowser eines Endbenutzers und dem HighBond-Dienst aufgebaut. Somit wird die Vertraulichkeit und Integrität aller Datenübertragungen von einem bis zum anderen Ende der Übertragung sichergestellt.
Der AES-Verschlüsselungsalgorithmus ist breit anerkannt und durch weltweite Organisationen als Branchenstandard für die Regierung, das Militär und betriebliche Anwendungen genehmigt.
AES-256-Bit-SSL-Verschlüsselung wird von den meisten Browsern unterstützt. Falls Ihr Browser die Verschlüsselung AES 256 Bit TLS nicht unterstützt, können Sie nicht auf den HighBond-Dienst und zugehörige Komponenten zugreifen.
Alle E-Mails von unserer Plattform werden, falls verfügbar, über TLS-verschlüsselte Kanäle übertragen. Wenn der E-Mail-Server des Empfängers TLS nicht unterstützt, werden E-Mails über die standardmäßige unverschlüsselte Verbindung zugestellt.
Verfahren der Verschlüsselung von Daten, die zwischen dem Webserver und dem Webbrowser ausgetauscht werden
Webbrowser | Unterstützt |
---|---|
Android 4.0.4 und später | |
Chrome / OS X | |
Firefox 31.3.0 ESR/ Win 7 und später | |
Firefox 37 / OS X und später | |
Internet Explorer 11 / Win 7 | |
Internet Explorer 11 / Win 8.1 | |
IE Mobil 10 / Win Phone 8.0 und später | |
Safari OS X 10.6.8 und später | |
Safari iOS 8 und später |
Wenn sich Kunden entscheiden, Daten in der Ergebnisse-App als ein Nachweis im Rahmen von Kontrolltests oder zur weiteren Überprüfung während der Risikominderung zu veröffentlichen, enthalten sowohl ACL Analytics als auch Analytics Exchange eine Hashfunktion, die Endbenutzer des Kunden auf sensible Datenfelder anwenden können, wie beispielsweise
Die Hashfunktion ermöglicht Kunden, sensible Datenfelder, die in unseren Dienst hochgeladen werden, kryptografisch zu schützen. Hashwerte sind durch eine kryptografische unidirektionale Funktion geschützt, die nicht umgekehrt werden kann. Dadurch bleiben sensible Daten während der Speicherung und der weiteren Verarbeitung vertraulich.
Benutzerkennwörter werden nie gespeichert. Ein starker Kryptografiealgorithmus wird verwendet, um nicht umkehrbare Zeichenfolgen zu erstellen, die als Kennwort-Hashes bezeichnet werden. Die gespeicherten Hashes weisen für einen Angreifer, selbst wenn er sie finden kann, keinen Wert auf. Der Algorithmus verwendet einen langen, zufälligen Wert, der als Salt bezeichnet wird. Er unterscheidet sich für jeden Benutzer und stellt sicher, dass auf Basis der vorherigen Berechnung der Kennwort-Hashes ein Schutz vor Attacken besteht.
Der Ablauf eines Kennworts ist eine Sicherheitsfunktion, die den unautorisierten Zugriff auf unseren Dienst einschränkt.
Wenn Sie die Kennwortablauffunktion einsetzen, sollten Sie folgendes beachten:
Anmerkung
Die Mindestdauer sind 7 Tage, bevor ein Kennwort ablaufen kann. Die Obergrenze ist nicht limitiert.
Unser Dienst beinhaltet Sicherheitseinstellungen, die bestimmen, ob die Kennwörter die Komplexitätsanforderungen erfüllen. Die Anforderungen an die Komplexität werden durchgesetzt, wenn Sie Ihr Kennwort in Launchpad ändern oder zurücksetzen.
Kennwörter müssen die folgenden Anforderungen erfüllen:
Anmerkung
Kennwörter dürfen Sonderzeichen enthalten.
Wenn Sie sich bei unserer Plattform anmelden oder ein Token zur Verwendung in einer anderen Anwendung generieren, stehen Ihnen bis zu fünf Versuche zur Verfügung, um Ihr Kennwort einzugeben.
Nach fünf Versuchen, wird reCAPTCHA angezeigt. reCAPTCHA ist ein Dienst, der Websites vor Spam und Missbrauch schützt, indem der Benutzer aufgefordert wird, eine Abfolge aus Zeichen und Zifferen als Beleg dafür einzugeben, dass es sich um einen Menschen handelt.
Eine Sitzung ist der Zeitraum zwischen An- und Abmeldung eines Benutzers einer Applikation. Sitzungen sind für alle HighBond-SaaS-Module global, d.h. Sie verwenden dieselbe Sitzungsanmeldung für die Strategie-, Projekte-, Ergebnisse- oder Berichte-App. Ihre Sitzung läuft ab, wenn Sie für einen bestimmten Zeitraum, der von einem Kontoadministrator festgelegt wurde, inaktiv sind.
Anmerkung
Der Sitzungsablauf gilt nicht für die mobile App, ACL Analytics oder Analytics Exchange.
Beim Erstellen einer neuen Organisation wird als Standardwert für den Ablauf einer Sitzung 60 Minuten festgelegt. Sitzungen von Benutzern mit Zugriff auf mehr als eine Organisation sind nur für den jeweils kürzesten Zeitraum gültig, der für die Organisationen festgelegt wurde, auf die der jeweilige Benutzer Zugriff hat.
Wenn Sie die Sitzungsablauffunktion einsetzen, sollten Sie folgendes beachten:
Der Einsatz von IP-Zulassungslisten ermöglicht Organisationen, ein oder mehrere IP-Adressen (Internet Protocol) oder IP-Adressbereiche einzurichten, von denen aus Benutzer auf die Organisation zugreifen können. IP-Zulassungslisten können als zusätzliche Komponente eines mehrstufigen Authentifizierungsverfahrens über die Eingabe der Passwort-Zugangsdaten hinaus eingesetzt werden, um sicherzustellen, dass lediglich autorisierte Benutzer Zugriff auf die Organisation erhalten.
Der Einsatz von IP-Zulassungslisten wirkt sich lediglich auf unsere Anwendungen aus, wenn diese mit Cloud-Daten interagieren, einschließlich:
Wenn Sie IP-Zulassungslisten einsetzen, sollten Sie Folgendes beachten:
Anmerkung
Um zu verhindern, dass sich Kontoadministratoren selbst aus ACL GRC aussperren, können Kontoadministratoren keinen IP-Adressbereich festlegen, der nicht mit ihrer aktuellen IP-Adresse korrespondiert.
Hinweis
Um die Vorgaben der IP-Zulassungsliste Ihrer Organisation zu erfüllen, können Sie sich mit Ihrem Laptop oder mobilen Gerät über das VPN (Virtual Private Network) Ihrer Organisation anmelden, um auf unseren Service zuzugreifen.
Rollen definieren die Zugriffsrechte, die einem Benutzer für den Zugriff auf Cloud-Daten gewährt werden. Zugriffsrechte können Aufgaben umfassen, wie z.B. Einstellungen verwalten sowie Daten hinzufügen, bearbeiten und löschen. Einem Benutzer können unterschiedliche Rollen für verschiedene Module zugewiesen werden.
Sie müssen den Zugriff aller Ihrer lizenzierten Benutzer über eine designierte Kontoadministratorrolle bereitstellen. Dabei müssen Sie festlegen, welche Benutzer Zugriff erhalten und in welchem Maß der Zugriff unter Berücksichtigung der geschäftlichen Bedürfnisse und der geltenden Compliance-Richtlinien notwendig ist.
Je nachdem, wie Ihre Organisation den logischen Zugriff verwaltet, können Sie einen zentralisierten Ansatz nutzen. Dabei ernennen Sie Ihre IT-Abteilung als Kontoadministrator und gestatten ihr die Verwaltung des allgemeinen Benutzerzugangs.
Alternativ können Sie einen dezentralisierteren Ansatz verwenden. Hierbei kann die Führung eines jeweiligen Sicherheitszentrums die Zugriffssteuerung durch Benutzeranwendungsrollen verwalten, die den Vorgaben der IT-Abteilung oder aufsichtsrechtlichen Sicherheitsvorgaben entsprechen.
Weitere Informationen zu Rollen und Berechtigungen finden Sie unter den folgenden Themen: