Einführung
Dieses Dokument beschreibt die Maßnahmen und Anstrengungen von PlanRadar, um moderne und hohe Standards für Datensicherheit, Datenschutz und Serviceverfügbarkeit für unsere Software zu bieten.
Infrastruktur/Hosting
AWS-Whitepapers und Informationen
Konfigurationsmanagement
Wir folgen den Prinzipien der unveränderlichen Infrastruktur und Infrastruktur als Code. Im Falle eines Fehlers / Ausfalls kann das System auf der Grundlage seiner Vorlagen und des Quellcodes neu generiert werden. Wir verwenden Kubernetes und Argocd für die Verwaltung unserer Infrastruktur.
Hohe Verfügbarkeit / Skalierbarkeit
AWS sorgt dafür, dass unser System auf hohe Lastspitzen reagiert und automatisch mehr Ressourcen bereitstellt, wenn dies erforderlich ist. Unsere Kunden werden keine Leistungseinbußen erfahren.
DDOS-/Web-Schwachstellenschutz
Unsere Webanwendung ist durch das cloudflare Web-Proxy-System abgeschirmt und geschützt.
Software-Entwicklung
Implementierung
Unser System basiert auf modernen, robusten und kampferprobten Open-Source-Technologien. Unsere Webanwendung wird mit Ruby on Rails in einer aktuellen, von Sicherheitspatches unterstützten Version entwickelt. Unsere mobilen Clients werden in Java, Objective-C und .NET entwickelt.
Die gesamte Datenübertragung erfolgt über HTTPS / TLS und die Daten werden im Ruhezustand verschlüsselt (in unserer relationalen Datenbank und in unserem Objektspeicher). Alle Bilder, Pläne und Dokumente werden im hochgradig langlebigen Amazon S3 Speichersystem gespeichert.
OWASP
In unserer Implementierung folgen wir dem security by design principle.
TDD
Alle unsere Kernfunktionen werden mit der Methodik der testgetriebenen Entwicklung implementiert.
Maßnahmen zur Anwendungssicherheit
Die Anwendung wird durch mehrere Proxys und Loadbalancer geschützt. Wir haben die Möglichkeiten der Multifaktor-Authentifizierung, föderierte Anmeldung mit SAMl, benutzerdefinierte Passwortrichtlinien, begrenzte Anmeldeversuche, Benutzersperren bei falschen Anmeldeversuchen und eine detaillierte Konfiguration der Benutzerrechte.
Prozesse
Mitarbeiter
Alle unsere Mitarbeiter, insbesondere im Support und in der Technik, sind für das Thema Datenschutz / Sicherheit sensibilisiert und erhalten Schulungen und SOPs zum verantwortungsvollen Umgang mit den Daten unserer Kunden. Alle Mitarbeiter erhalten nur den minimal notwendigen Zugang zu unseren IT-Systemen. Kundendaten sind nur für ausgewählte Mitarbeiter zugänglich.
Management von Zwischenfällen
Sicherheits- und Datenschutzvorfälle werden an jedem Kontaktpunkt erfasst und dann an die zuständige Organisationseinheit weitergeleitet. Unsere Protokollierungssysteme erkennen Anomalien in der Systemnutzung und senden bei Bedarf automatische Alarme. Wir haben schriftliche Verfahren für die Wiederherstellung im Katastrophenfall und die Wiederherstellung von Sicherungskopien.
Zugang
Der Zugang zu den Verwaltungssystemen ist auf bestimmte VPNs beschränkt und durch eine 2-Faktor-Authentifizierung geschützt.
ISO/IEC 27001 Zertifizierung für Informationssicherheitsmanagement
Wir verfügen über eine ISO-Zertifizierung, die Sie hier einsehen können:
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.