Informationssicherheit

Unsere Maßnahmen im Überblick

Physische Sicherheit

Einrichtungen

Alle Daten werden auf Servern in Einrichtungen gehostet, die eine ISO 27001 Zertifizierung vorweisen. Ihre Daten sind physisch und logisch von denen anderer Kunden getrennt. Alle Rechenzentren weisen redundante Stromversorgungen auf (USV und Notstromgenerator).

Sicherheit vor Ort

Die Rechenzentren verfügen über Sicherheitszonen, Sicherheitspersonal rund um die Uhr, Videoüberwachung im Außenbereich, Individuelle Identifizierung durch elektronische Zugangskontrollen und Alarmanlagen.

Überwachung

Alle Systeme, vernetzten Geräte und Schaltkreise im Produktionsnetzwerk werden kontinuierlich durch Flexperto überwacht. Physische Sicherheit und Stromversorgung werden vom Provider der jeweiligen Einrichtung überwacht.

Standort

Flexperto und unsere Subdienstleister nutzen prinzipiell Rechenzentren in Deutschland oder anderen Ländern innerhalb Europas. Co-Browsing kann vollständig innerhalb deutscher Rechenzentren angeboten werden. In Ausnahmefällen, für gewisse Funktionalitäten wie z.B. Omni-Channel-Messaging über Consumer Messaging, kommen ebenfalls Dienstleister außerhalb Europas zum Einsatz.

Netzwerksicherheit

Schutz

Unser Netzwerk ist durch Firewalls, Best-in-Class-Routertechnologie, abgesicherten HTTPS-Transport über öffentliche Netzwerke, regelmäßige Audits und Network-Intrusion-Detection- und/oder Prevention-Technologien (IDS/IPS) geschützt, die es auf bösartigen Traffic und Netzwerkattacken überwachen bzw. diese blockieren.

Architektur

Unsere Netzwerksicherheitsarchitektur besteht aus mehreren Sicherheitszonen. Sensiblere Systeme, wie Datenbankserver, befinden sich in der vertrauenswürdigsten Zone. Andere Systeme befinden sich je nach Funktion, Informationsklassifizierung und Risiko in Zonen, die ihrer Sensibilität entsprechen. Abhängig von der jeweiligen Zone kommen zusätzliche Sicherheitsüberwachungs- und Zugangskontrollen zum Einsatz. DMZs finden zwischen dem Internet und intern zwischen den unterschiedlichen Vertrauenszonen Anwendung.

Web Application Firewalls (WAF) und Monitoring

Die wichtigsten Ein- und Ausgangspunkte für Anwendungsdatenflüsse werden mit Web Application Firewalls überwacht. Die Systeme sind so konfiguriert, dass Alarme ausgelöst werden, wenn Vorfälle und Werte die festgelegten Schwellen überschreiten, und verwenden regelmäßig aktualisierte Signaturen, die auf neuen Bedrohungen basieren. Hierzu gehört auch die Systemüberwachung rund um die Uhr.

Threat-Intelligence-Programm

Flexperto nimmt an mehreren Threat-Intelligence-Programmen teil. Wir überwachen unsere Systeme auf Bedrohungen, die in diesen Threat-Intelligence-Netzwerken gemeldet werden, und ergreifen Maßnahmen basierend auf unseren Risiken und unserem Exponierungsgrad.

Logischer Zugriff

Der Zugriff auf das Flexperto Production Network basiert explizit auf dem Need-to-know-Prinzip und dem Prinzip der geringsten Rechte und wird laufend überprüft. Zum Zugriff auf das Flexperto Production Network sind mehrere Authentifizierungsfaktoren erforderlich.

Verschlüsselung

Data-in-Transit-Verschlüsselung

Die Kommunikation zwischen Ihnen und den Flexperto Servern wird durch HTTPS und Transport Layer Security (TLS) über öffentliche Netzwerke verschlüsselt. TLS wird auch zur Verschlüsselung von E-Mails unterstützt.

Data-at-Rest-Verschlüsselung

Alle Kunden von Flexperto profitieren vom Schutz durch Data-at-Rest-Verschlüsselung für die Offsite-Speicherung von Anhängen sowie von kompletten täglichen Backups.

Aktuelle TLS Cyphers

Von Flexperto werden folgende TLS Cyphers verwendet:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Sie können diese hier überprüfen:

https://www.ssllabs.com/ssltest/analyze.html?d=team.Flexperto.com

Verfügbarkeit und Kontinuität

Verfügbarkeit

Flexperto verwaltet eine öffentlich zugängliche Systemstatus-Webseite, die Details zur Systemverfügbarkeit und den Verlauf von Servicevorgängen enthält.

Redundanz

Flexperto verwendet Service-Clustering und Netzwerkredundanzen, um einzelne Fehlerquellen zu vermeiden. Unsere strikte Sicherungsstrategie gewährleistet, dass Service Data in primären und sekundären Systemen und Anlagen aktiv repliziert wird. Unsere Co-Location-Datenbanken werden auf hochmodernen Speichereinheiten mit mehreren Servern pro Datenbankcluster gespeichert.

Disaster Recovery

Unser Disaster Recovery (DR) -Programm stellt sicher, dass unsere Dienste verfügbar bleiben oder im Katastrophenfall leicht wiederhergestellt werden können. Dies wird durch Erstellen einer robusten technischen Umgebung, sowie durch Erstellen von Notfallwiederherstellungsplänen und Testen erreicht.

Backups

Flexperto verwendet eine Backup-Richtlinie für 3 Generationen, die bis zu 3 Kopien wichtiger Dateien enthält. Sicherungen werden über eine dedizierte Netzwerkschnittstelle erstellt und wiederhergestellt, um den produktionsbezogenen Datenverkehr nicht zu beeinträchtigen.

Sichere Entwicklung

Sicherheitskontrollen

Unsere Entwicklung basiert auf Paketen von Drittanbietern, die aktiv und automatisch auf Sicherheitslücken und Schwachstellen geprüft werden. Das in unserer Plattform verwendete Framework verfügt über inhärente Kontrollen, um die Gefährdung durch Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) und SQL Injections (SQLi) zu reduzieren, unter anderem mit Fokus auf OWASP Top 10.

Code Reviews

Kein Quellcode wird Teil der Codebasis, es sei denn, er wird von mindestens zwei anderen Ingenieuren geprüft und genehmigt, was eine sehr hohe Codequalität gewährleistet und Fehler in einem sehr frühen Stadium des Anwendungsintegrationsprozesses erkennen kann.

Quality Assurance (QA)

Unsere hochqualifizierte QA-Abteilung überprüft, prüft, identifiziert und behebt Sicherheitslücken in unserem bereits von Entwicklern geprüften Code und Anwendung.

100% Test Coverage

Ein großer Teil der Dienste der Flexperto-Plattform wird vollständig von Komponententests abgedeckt.

Getrennte Umgebungen

Test- und Staging-Umgebungen sind physisch und logisch von der Produktionsumgebung getrennt. In den Entwicklungs- oder Testumgebungen werden keine tatsächlichen Servicedaten verwendet.

Code-Qualitätsanalyse

Wir verwenden eine Reihe von Tools, um die Codequalität sicherzustellen und den Code dynamisch zu analysieren, um unsere Codierungsstandards und -regeln zu erfüllen.

Anwendungsschwachstellen

Dynamische Schwachstellenprüfungen

Wir setzen eine Reihe von qualifizierten Sicherheitstools von Drittanbietern ein, um unsere Plattform kontinuierlich nach Sicherheitslücken zu scannen

Statische Codeanalyse

Die Quellcode-Repositories unserer Plattform werden kontinuierlich durch unser integriertes statisches Analyse-Tool auf Sicherheitsfragen überprüft.

Produktsicherheitsfunktionen

Authentifizierungsoptionen

Die Flexperto-Plattform bietet einen einfachen Mechanismus zur Kennwortauthentifizierung. Single Sign-On (SSO) mit SAML zur sicheren und einfachen Integration in Ihren Dienstanbieter (Facebook, Twitter, Google usw.) ist ebenfalls möglich.

Single-Sign-On (SSO)

Mit Single Sign-On (SSO) können Sie Benutzer in Ihren eigenen Systemen authentifizieren, ohne dass Sie zusätzliche Anmeldeinformationen für Ihre Flexperto-Instanz eingeben müssen. Es werden SAML (Security Assertion Markup Language) unterstützt.

Konfigurierbare Kennwortrichtlinie

Die Flexperto-Plattform stellt benutzerdefinierte Kennwortregeln für Benutzer bereit. Nur Administratoren können die Kennwortsicherheitsstufe ändern. Mindestlänge, Buchstaben, Ziffern und Sonderzeichen sind einige der anwendbaren Regeln.

Sichere Speicherung von Credentials

Flexperto befolgt bewährte Verfahren für die Speicherung sicherer Anmeldeinformationen, indem Kennwörter niemals in einem für Menschen lesbaren Format und nur als Ergebnis eines sicheren, salted One-Way-Hashes gespeichert werden. Für das Hashing von Passwörtern und Token verwenden wir Salted SHA256-Hashes.