Dokument  »

Grundsätze der Sicherheit

1. Allgemeines

Allgemeine Bedingungen
Rechtliche Informationen
Vertraulichkeitspolitik

2. GDPR

Cookies
DPA
Behandlungsblatt
Nachfolgende Subunternehmer

3. Sicherheit

Grundsätze der Sicherheit

4. Formen

Kontakt-Formular
Erstellung eines Benutzerkontos
Ressourcen hochladen
v1.4 - 29. Dezember 2024

Dieses Dokument beschreibt, wie Signitic die im Dokument des National Cyber Security Center (NCSC) sowie in der ANSSI SecNumCloud dargelegten Sicherheitsprinzipien erfüllt, einschließlich der Verantwortung von Signitic (dem Dienstanbieter) und der Verantwortung des Kunden.

DATENSCHUTZ BEI DER ÜBERTRAGUNG

Alle Daten, die zwischen Signitic-Diensten übertragen werden, werden mithilfe starker Verschlüsselungsprotokolle übertragen. Signitic unterstützt die neuesten empfohlenen Secure Cipher Suites zur Verschlüsselung des gesamten Datenverkehrs während der Übertragung, einschließlich der Verwendung von TLS 1.2-Protokollen, AES256-Verschlüsselung und, soweit möglich, SHA2-Signaturen.

SCHUTZ UND RESILIENZ VON VERMÖGENSWERTEN

Alle Kundendaten befinden sich vollständig in unserer AWS-Produktionsumgebung.

Der Datenstandort ist eu-west-3a, eu-west-3b und eu-west-3c in Paris (FRANKREICH).

Signitic erbringt Dienstleistungen gemäß den für sie als Dienstanbieter geltenden Gesetzen.

Kunden schließen einen Vertrag mit Signitic SAS, einem französischen Unternehmen.

Die folgenden Kategorien von Kundendaten werden in einem Rechenzentrum in Frankreich gespeichert:

  • Dateien (Bilder)
  • Daten (Benutzer, Vorlagen usw.)
  • Daten, die für die Analyse und Messung der Servicequalität verwendet werden, z. B. Zeitungen (desinfizierte Zeitungen).

Alle Kundendaten befinden sich vollständig in unserer AWS-Produktionsumgebung. Der physische Schutz wird vollständig von AWS gewährleistet, das über eine breite Palette von Zertifizierungen und Sicherheitsüberprüfungen für seine physische Sicherheit verfügt. Weitere Sicherheitsdaten für AWS-Rechenzentren finden Sie hier.

Standardmäßig schützt Signitic Kundendaten im Rahmen seiner wichtigsten Sicherheitskontrollen. Signitic definiert Richtlinien und Standards, nach denen Medien ordnungsgemäß gereinigt werden müssen, wenn sie nicht mehr verwendet werden.

Der Signitic-Host ist dafür verantwortlich, Daten von den Festplatten zu löschen, die für die Verwendung von Signitic reserviert sind, bevor sie wiederverwendet werden.

Significtic Hosts müssen sicherstellen, dass die Hardware verantwortungsbewusst entsorgt wird.

Signitic nutzt die von seinem Hosting-Anbieter bereitgestellten Dienste, um den Produktionsbetrieb auf drei verschiedene physische Standorte zu verteilen. Diese drei Standorte befinden sich in derselben geografischen Region, schützen den Service von Signitic jedoch vor Verbindungsverlusten, der elektrischen Infrastruktur und anderen häufigen Ausfällen, die für jeden Standort spezifisch sind. Weniger

Produktionstransaktionen werden zwischen diesen verschiedenen Standorten repliziert, um die Verfügbarkeit des Signitic-Service im Falle eines standortspezifischen katastrophalen Ereignisses zu gewährleisten.

Signitic verwaltet außerdem eine vollständige Sicherungskopie der Produktionsdaten an einem entfernten Standort, der weit vom Standort der Hauptbetriebsumgebung entfernt ist. Vollständige Backups werden an diesem Remote-Standort mindestens einmal täglich aufgezeichnet, und Transaktionen werden kontinuierlich aufgezeichnet. Signitic testet Backups mindestens vierteljährlich, um sicherzustellen, dass sie erfolgreich wiederhergestellt werden können. Unsere Hosting-Anbieter bieten zusätzliche physische Belastbarkeit.

TRENNUNG ZWISCHEN BENUTZERN

Signitic wird in einer Amazon Web Services Virtual Private Cloud (VPC) gehostet. Es handelt sich um eine Multi-Tenant-Lösung, bei der Daten logisch getrennt sind. Jeder API-Aufruf auf allen Ebenen des Tech-Stacks verwendet eine AccountID als Primärschlüssel. Wenn sich ein Benutzer bei Signitic anmeldet, werden die Anmeldeinformationen in unserer Benutzerdatenbank überprüft. Dadurch wird sichergestellt, dass alle Benutzeranrufe an das richtige Konto weitergeleitet werden. Eine logische Trennung stellt sicher, dass Kunden nur auf ihre eigenen Daten zugreifen können und auf die von niemand anderem.

STEUERUNGSRAHMEN

Das Significtic Security Team unter der Leitung unseres technischen Managers ist für die Implementierung und Verwaltung unseres Sicherheitsprogramms verantwortlich. Der technische Manager wird von Mitgliedern des Sicherheitsteams von Signitic sowie von Sicherheitsspezialisten der Muttergesellschaft unterstützt, die sich auf Sicherheitsarchitektur, Produktsicherheit, Unternehmenssicherheitsabläufe, Produktionssicherheit sowie Risiko und Compliance konzentrieren.

Signitic hat auch einen Datenschutzbeauftragten (DPO). Um unseren Datenschutzbeauftragten zu kontaktieren, senden Sie bitte eine E-Mail an dpo@signitic.com.

Signitic überwacht, verifiziert und verbessert ständig das Design und die betriebliche Wirksamkeit seiner Sicherheitskontrollen. Diese Aktivitäten werden regelmäßig von akkreditierten externen Gutachtern und vom internen Team von Signitic durchgeführt.

BETRIEBSSICHERHEIT

Das Github-Management-Tool wird verwendet, um die Produktionsserver von Signitic während ihres gesamten Lebenszyklus zentral zu verwalten und sicherzustellen, dass grundlegende Sicherheitskonfigurationen konsistent auf allen Servern angewendet werden.

Das Team bewertet die Risiken und Auswirkungen der neu gemeldeten Sicherheitslücke auf die Produktionsumgebung von Signitic und legt entsprechend der Schwachstellenmanagement-Richtlinie von Signitic geeignete Strategien zur Behebung fest.

Der Host von Signitic, Amazon Web Services (AWS), ist für das Patchen und Korrigieren von Infrastrukturfehlern sowie für die Wartung der Infrastrukturkonfiguration verantwortlich. Weitere Informationen finden Sie im AWS-Modell der gemeinsamen Verantwortung.

Signitic unterhält ein internes Schwachstellen-Management-Programm, um Probleme zu identifizieren und zu beheben. Signitic führt Schwachstellenscanner ein, die auf interne und externe Endpunkte abzielen.

Signitic überwacht Server, Workstations und Mobilgeräte, um einen umfassenden Überblick über den Sicherheitsstatus seiner Geschäfts- und Produktionsinfrastruktur zu erhalten und zu analysieren. Administratorzugriffe, die Verwendung privilegierter Befehle und Systemanrufe auf allen Servern im Signitic-Produktionsnetzwerk werden aufgezeichnet. Die Protokollanalyse wird, soweit möglich, automatisiert, um potenzielle Probleme zu erkennen und Warnmeldungen auszulösen. Alle Produktionsprotokolle werden in einem separaten Netzwerk gespeichert, auf das nur das betreffende Personal zugreifen kann.

Signitic hat Richtlinien und Verfahren eingeführt, um auf potenzielle Vorfälle zu reagieren. Die Verfahren definieren die Arten von Ereignissen, die im Rahmen des Reaktionsprozesses auf Vorfälle behandelt werden sollten, und kategorisieren sie nach ihrem Schweregrad. Im Falle eines Vorfalls werden die betroffenen Kunden von unserem Team per E-Mail benachrichtigt. Die Verfahren zur Reaktion auf Vorfälle werden mindestens einmal im Jahr getestet und aktualisiert.

ENTWICKLUNG UND TEAMSICHERHEIT

Signitic stellt sicher, dass alle, die bei Signitic arbeiten, die Zuverlässigkeitsüberprüfungen durchgeführt werden, bevor sie mit der Arbeit beginnen. Diese Aktivitäten werden innerhalb der gesetzlichen Grenzen der örtlichen Gerichtsbarkeit durchgeführt.

Der Zugriff auf Kundendaten ist auf eine ausgewählte Gruppe von Ingenieuren beschränkt. Falls ein Mitarbeiter entlassen wird oder das Unternehmen verlässt, sperrt Signitic so schnell wie möglich jeglichen Zugriff auf das System (immer innerhalb von 24 Stunden).

Kunden sind dafür verantwortlich, ihre eigenen Mitarbeiter zu rekrutieren und zu schulen sowie den Benutzern die richtigen Rollen zuzuweisen.

Die Betriebssicherheit bei Signitic beginnt mit unserem sicheren Entwicklungszyklus, der sicherstellt, dass alle neu veröffentlichten Funktionen vor der Produktivfreigabe überprüft werden. Signitic führt jährlich Intrusionstests in Weiß-, Grau- und Blackbox-Ausführung durch.

SICHERHEIT DER LIEFERKETTE

Signitic-Subunternehmer (externe Anbieter, die Kundendaten verarbeiten) werden vom Risiko- und Compliance-Team von Signitic bewertet, um sicherzustellen, dass sie in ihren jeweiligen Umgebungen angemessene Sicherheitskontrollen anwenden. Für den Fall, dass Signitic einen weiteren Subunternehmer beauftragt, führen die Mitarbeiter von Signitic im Rahmen des Due-Diligence-Prozesses Sicherheitsüberprüfungen durch. Signitic führt jährliche Risikobewertungen von Subunternehmern durch, um sicherzustellen, dass diese ihre Sicherheits- und Compliance-Maßnahmen angemessen einhalten.

IDENTITÄT UND AUTHENTIFIZIERUNG

Signitic bietet Kunden Steuerelemente zur Verwaltung ihrer Benutzer und Administratorbenutzer.

Kunden, die sich an unseren Kundensupport (Support) wenden, werden automatisch identifiziert.

Kunden sind für die Integration und Verwaltung ihres Identitätsanbieters (für Single Sign-On und Provisioning) sowie für die Zuweisung von Rollen in Signitic verantwortlich.

Signitic verwendet eine rollenbasierte Zugriffskontrolle, und jede Rolle hat ihre eigene Berechtigungs- und Zugriffsebene.

Kunden sind für die Verwaltung der Administratorkonten verantwortlich, die für die Installation der mit Signitic verbundenen Anwendungen verwendet werden.

Kunden sind für die Integration und Verwaltung ihres Identitätsanbieters (für Single Sign-On und Provisioning) sowie für die Integration und den Ausschluss von Benutzern (Mitglieder und Gäste) verantwortlich.

SAML-basiertes Single Sign-On (SSO) ermöglicht Mitgliedern den Zugriff auf Signitic über einen Identitätsanbieter.

Für Benutzer, die sich über SSO authentifizieren, ist Ihr Identitätsanbieter für die Durchsetzung der Passwortrichtlinie verantwortlich.

Für Benutzer, die sich über eine E-Mail-Adresse authentifizieren, muss das Passwort mindestens acht Zeichen enthalten, einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl, ein Sonderzeichen. Der Schutz vor „Brute-Force“ -Angriffen wird auf jeden Anmeldeversuch mit einem Passwort angewendet (temporäres und dann permanentes Verbot).

EXTERNER SCHNITTSTELLENSCHUTZ

Signitic richtet alle Zugriffskontrolllisten (ACLs), Sicherheitsgruppen und Ports/Protokolle/Dienste so ein, dass standardmäßig alles verweigert und ausnahmsweise zugelassen wird. Dadurch wird sichergestellt, dass Signitic unseren Kunden nur die entsprechenden Schnittstellen zur Verfügung stellt, die für die Nutzung des Dienstes erforderlich sind, ohne die Angriffsfläche unnötig zu erweitern. Wir verwenden Scanner und automatisierte Tools, um zu überprüfen, ob diese Ressourcen ordnungsgemäß geschützt sind.

Kunden sind für die Integration und Verwaltung ihres Identitätsanbieters (für Single Sign-On und Provisioning), das Ein- und Aussteigen von Benutzern (Mitgliedern und Gästen) und die Zuweisung von Rollen in Signitic verantwortlich.

SICHERE VERWALTUNG DER DIENSTE

Das Konzept der geringsten Rechte wird auf alle Signitic-Systeme angewendet, da sie alle in der Lage sind, Berechtigungen auf der Grundlage eines definierten Profils zu erweitern. Signitic verwendet ein rollenbasiertes Zugriffskontrollmodell (RBAC), um Systembenutzern Zugriff zu gewähren.

Mitarbeiter von Signitic, die Zugriff auf die Produktionsumgebung, interne Tools und Kundendaten haben, werden halbjährlich überprüft, um sicherzustellen, dass ihr Zugriff auf ihre beruflichen Rollen und Verantwortlichkeiten angemessen ist. Jede Anomalie (Benutzer benötigen keinen Zugriff mehr) wird entsprechend behandelt.

Für den Zugriff auf die Signitic-Produktionsumgebung müssen Benutzer mithilfe von SSH-Schlüsseln und einer Zwei-Faktor-Authentifizierung eine Verbindung zu einem Host herstellen.

Kunden sind dafür verantwortlich, Administratorkonten zu verwalten und ihren Benutzern die Nutzungsbedingungen für den Zugriff mitzuteilen.

Signitisch+33 4 69 96 99 76hello@signitic.com
Ein Konto erstellen
Franzose
Lösungen
Für die DSIFür MarketingFür den Handel
Integrationen
Google WorkspaceMicrosoft 365Marktplatz
Ressourcen
vCardEreignissePositive GruppeAlternativenKomparativeTarifeSicherheit
Rechtliche Informationen
|
Allgemeine Bedingungen
|
Cookies
|
DPA
|
Vertraulichkeitspolitik
|
Status