Die Verweise auf Netstock im folgenden Abschnitt beziehen sich auf Netstock, das Unternehmen.
Die Kunden von Netstock genießen die folgende Sicherheit:
1. Transitsicherheit
Alle vom ERP-System vor Ort an unsere Comms-Server übertragenen Daten werden komprimiert. Diese Daten werden dann über das Secure FTP-Protokoll gesendet. Diese Daten werden während der Übertragung über Sitzungsschlüssel und symmetrische Verschlüsselung verschlüsselt. Die Software des ERP-Systems wird auf dem Comms-Server mit dem eindeutigen öffentlichen Schlüssel des Kunden authentifiziert. Der private Schlüssel wird niemals weitergegeben.
Der gleiche Prozess findet dann statt, um die Informationen vom Comms-Server an den entsprechenden Cloud-App-Server weiterzuleiten.
Weitere Informationen zur Datenübertragung finden Sie in der ERP Connector.
2. Sicherheit des Rechenzentrums
Netstock greift nur auf sichere, seriöse Hosting-Anbieter zurück. Wir nutzen nur Datenzentren mit Sicherheitszertifizierungen wie SOC 2 und/oder ISO 27001.
Datenzentren
Netstock arbeitet mit den folgenden Rechenzentrumsanbietern zusammen:
Die Daten unserer Kunden werden in den folgenden Rechenzentren untergebracht:
Nord Amerika
Linode - Newark, NJ
Linode - Fremont, CA
Linode - Atlanta, GA
Linode - Dallas, TX
Afrika und Europa
Linode - London, UK
Hetzner - Nürnberg, DE
Hetzner - Falkenstein, DE
Linode - Frankfurt, DE
Australien und Neuseeland
Linode - Tokio, JP
Linode - Sydney
Linode - Singapur
Hetzner - Nürnberg, DE
Hetzner - Falkenstein, DE
3. Sicherheit der Speicherung
Unsere Server befinden sich alle hinter Firewalls, für die strenge Regeln gelten.
Back-End-Anmeldungen bei unseren Servern können nur mit RSA-Schlüsseln und nicht über Passwörter erfolgen. Das bedeutet, dass der Zugang der Netstock-Mitarbeiter zu unseren Back-End-Servern jederzeit widerrufen werden kann.
Unsere Server werden vor Brute-Force-Angriffen geschützt, indem die IPs einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen automatisch für einen bestimmten Zeitraum gesperrt werden. Dies geschieht auf der Ebene der Firewall.
4. Netzwerk
Unsere Rechenzentren, in denen Ihre App gehostet wird, nutzen mehrere Internet-Carrier, die unabhängige Glasfaserverbindungen zum Rechenzentrum nutzen. Die Netzwerke in den Rechenzentren verfügen über redundante Router, Switches und Dienstanbieter. Mehrere Systeme können ausfallen, ohne die Betriebszeit oder Leistung zu beeinträchtigen.
Es sind verschiedene Sicherheitsvorrichtungen vorhanden, die den Netzverkehr überwachen und Anomalien erkennen und darauf reagieren.
5. Datenisolierung
Die Daten jedes Kunden sind von den Daten aller anderen Kunden vollständig isoliert, da sie in einer eigenen Datenbank gespeichert werden.
Ebenso greift jeder Kunde über eine eigene URL auf den Netstock-Service zu. Die Anmeldedaten eines Benutzers können niemals in der Netstock-Instanz eines anderen Kunden verwendet werden.
6. Zugang zu Kundendaten
In der App gibt es eine Einstellung, mit der Sie unserem Kundenerfolgsteam den Zugriff auf Ihre Instanz verweigern oder gewähren können. Wenn Sie diese Einstellung aktiviert lassen, um uns Zugang zu gewähren, generiert unser System jedes Mal, wenn unsere Kundenerfolgsteammitglieder Zugang zu Ihrer App benötigen, eine einmalige PIN und stellt diese bereit. Dieser OTP ist nur für einen begrenzten Zeitraum gültig. Unser Customer-Success-Team wird nur auf Ihre App zugreifen, um Ihnen Support zu bieten oder um auf ein Ticket zu reagieren, das Sie zur Unterstützung erstellt haben. Jeder Zugriff auf Ihre App-Instanz wird protokolliert, so dass Ihr vom Kunden ernannter Administrator diese Informationen jederzeit in den Protokollen einsehen kann.
7. Vertraulichkeit der Daten
Alle Netstock-Mitarbeiter unterzeichnen im Rahmen ihres Arbeitsvertrags eine Vertraulichkeitsklausel, mit der sie sich mit der gesetzlichen Verpflichtung zur Wahrung der Vertraulichkeit aller Kundendaten einverstanden erklären. Außerdem werden die Mitarbeiter in Bezug auf die Anforderungen und Praktiken des Datenschutzes geschult.
8. Aufbewahrung von Daten
Wenn ein Kunde sein Netstock-Abonnement kündigt, bewahren wir die Daten des Kunden drei Monate lang in einem Archiv auf. Dies ermöglicht eine einfachere Wiederaufnahme des Dienstes, falls dies gewünscht wird. Nach drei Monaten werden die Daten für immer gelöscht, auch von unseren Backup-Servern. Ein vollständiger Dump der Daten eines Kunden ist auf Anfrage innerhalb der drei Monate erhältlich.
9. Sicherungen (Backup)
Alle Daten auf allen Servern werden alle 24 Stunden gesichert. Vollständige Backups werden 14 Tage lang aufbewahrt.
Die Backups werden in einem geografisch getrennten Rechenzentrum gespeichert, so dass eine Katastrophe im Rechenzentrum nicht sowohl die Betriebsserver als auch die Backup-Server beeinträchtigt.
Da es sich bei Netstock nicht um ein unternehmenskritisches System handelt, bieten wir kein automatisches Failover auf Stand-by-Server an. Dies hält auch die monatlichen Kosten für unsere Kunden niedrig.
Die Backups werden verschlüsselt gespeichert und übertragen.
10. Verschlüsselung
Der gesamte Zugriff auf die Netstock-Instanz eines Kunden erfolgt über das https-Protokoll unter Verwendung sicherer TLS-Versionen. Unsere SSL-Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen unterzeichnet. Alle Anfragen an unsere Webanwendung sind gegen Cross-Site Request Forgery geschützt.
Dies bedeutet, dass Man-In-The-Middle-Angriffe äußerst schwierig durchzuführen sind. Niemand kann die Daten unserer Kunden während der Übertragung zu und von unseren Webservern lesen.
11. Kontosicherheit
In der App wird ein Passwortstärkeprüfer verwendet, um sicherzustellen, dass beim Erstellen und Zurücksetzen von Passwörtern keine schwachen Passwörter ausgewählt werden können.
Die Passwörter werden mit einem kryptografisch sicheren Algorithmus gehasht und gespeichert. Das bedeutet, dass selbst wenn die Passwort-Hashes in Erfahrung gebracht werden, sie nicht zur Anmeldung bei Netstock verwendet werden können.
Konten werden nach einer bestimmten Anzahl von Fehlversuchen für eine bestimmte Zeit gesperrt, um Brute-Force-Angriffe abzuschwächen. Der Administrator des Kunden hat die Möglichkeit, Benachrichtigungen über fehlgeschlagene Anmeldeversuche für die Benutzerkonten des Kunden zu erhalten, so dass diese Ereignisse bestätigt werden können, um festzustellen, ob die fehlgeschlagene Anmeldung auf eine rechtmäßige Nutzung oder auf böswillige Anmeldeversuche bei der App zurückzuführen ist.
Alle Sitzungen werden nach einer gewissen Zeit der Nichtnutzung automatisch abgemeldet, was dazu beiträgt, die unbefugte Nutzung eines angemeldeten Systems zu verhindern.
Die Zwei-Faktor-Authentifizierung ist verfügbar und kann aktiviert werden, um zusätzlichen Schutz für Ihr Konto zu bieten. Durch die Aktivierung der Zwei-Faktor-Authentifizierung wird sichergestellt, dass der Angreifer im Falle einer Kompromittierung Ihres Passworts nicht in der Lage ist, ohne den zweiten Faktor (Einmal-Pin) auf Ihr Konto zuzugreifen. Diese Funktion kann vom Administrator des Kunden aktiviert werden.
Der Zugang zu Support-Anwendungen, die persönliche oder vertrauliche Daten enthalten können, wird sorgfältig verwaltet. Wir haben Richtlinien und Verfahren für das Identitäts- und Zugriffsmanagement sowie eine Richtlinie und einen Standard für Passwörter formuliert. Damit soll sichergestellt werden, dass angemessene Sicherheitskontrollen für den Schutz der von unseren Mitarbeitern genutzten Konten festgelegt werden.
Die Verfahren für die Bereitstellung und Aufhebung von Zugängen sind formalisiert und erfordern, dass Anträge auf Zugangsänderungen eingereicht und genehmigt werden.
Unsere Mitarbeiter müssen ihre Zugangsdaten mit dem Passwortmanager des Unternehmens verwalten, den wir zu diesem Zweck bereitgestellt haben. Der Passwort-Manager speichert nicht nur die Zugangsdaten sicher, sondern generiert auch sichere Passwörter von ausreichender Komplexität und Länge und stellt sicher, dass die Passwörter nicht plattformübergreifend wiederverwendet werden.
12. Sicherheit bei der Webentwicklung
Die Sicherheit unseres Codes ist für uns sehr wichtig. Unsere App wird jährlich einem Penetrationstest durch einen renommierten Drittanbieter unterzogen.
Bei Änderungen in der Entwicklung führen wir SAST-Scans unseres Codes durch, bevor wir ihn in unsere Live-Umgebungen übertragen.
Wir haben eine Richtlinie und einen Standard für sichere Entwicklung formuliert, um sicherzustellen, dass die Sicherheit während des gesamten Entwicklungszyklus berücksichtigt wird.
Wir führen Sicherheitsprüfungen des Codes zusätzlich zu den Standardprüfungen durch.
Unsere Softwareentwickler müssen regelmäßig Schulungen zur sicheren Entwicklung absolvieren.
13. Änderungskontrolle
Wir haben eine Richtlinie, einen Standard und ein Verfahren zur Änderungskontrolle eingeführt, die sicherstellen, dass Änderungen formell protokolliert, überprüft, genehmigt und getestet werden, um die negativen Auswirkungen nicht verwalteter Änderungen zu verringern und die Qualität der Ergebnisse zu verbessern. Wir sind bestrebt, Ihnen einen Dienst zu bieten, der verfügbar ist und wie vorgesehen funktioniert.
14. Protokollierung und Überwachung
Die Protokollierung ist für alle Konten, Server, Anwendungen, Datenbanken und die Infrastruktur aktiviert, um sicherzustellen, dass alle Aktivitäten, Sicherheitsereignisse, Ausnahmen und Zugriffsmetriken protokolliert werden.
Es gibt eine Überwachung, um Anomalien zu erkennen und uns darüber zu informieren.
Kapazitätsmetriken werden überwacht und wir erhalten Warnmeldungen auf der Grundlage vordefinierter Schwellenwerte, damit wir schnell auf veränderte Anforderungen reagieren können. Dies gewährleistet eine optimale Leistung und Verfügbarkeit unserer App.
15. Sicherheitsüberwachung und Gefahrenabwehr
Wir haben Tools zur Sicherheitsüberwachung implementiert. Dazu gehören unter anderem die Erkennung von Eindringlingen, die Verhaltensanalyse, die Erkennung von Malware und Netzwerk-Firewalls. Dies gewährleistet eine frühzeitige Erkennung von bösartigen Aktivitäten und trägt zu unserer Reaktionsfähigkeit bei.
Für alle Systeme ist eine vollständige Protokollierung vorgesehen.
16. Reaktion auf Vorfälle
Wir haben Kapazitäten für die Reaktion auf Zwischenfälle entwickelt, einschließlich formeller Richtlinien, Verfahren und Schulungen für unsere Mitarbeiter, um sicherzustellen, dass wir in der Lage sind, Zwischenfälle schnell zu erkennen, Verluste und Zerstörungen zu minimieren, Schwachstellen, die ausgenutzt wurden, zu entschärfen und Dienste in angemessenen Zeiträumen wiederherzustellen. Ziel ist es, die Wahrscheinlichkeit und die Auswirkungen von Vorfällen zu verringern, die eintreten könnten oder bereits eingetreten sind.
Unser Plan zur Reaktion auf Zwischenfälle wird jährlich getestet.
17. Geschäftskontinuität und Wiederherstellung im Katastrophenfall
Wir haben Pläne zur Aufrechterhaltung des Geschäftsbetriebs und zur Wiederherstellung im Katastrophenfall festgelegt und dokumentiert, und diese Pläne werden regelmäßig getestet.
18. Lieferantenmanagement
Wir haben eine Richtlinie für die Informationssicherheit von Lieferanten und Verfahren zur Bewertung der Sicherheitskontrollen potenzieller und bestehender Lieferanten formell festgelegt. Wir wissen, wie wichtig es ist, die Sicherheit von Informationen in der gesamten Lieferkette zu gewährleisten, um das Risiko für unsere Kunden und uns zu verringern.
19. Schulungen zum Sicherheitsbewusstsein
Unsere Mitarbeiter erhalten regelmäßig Schulungen zum Thema Sicherheit, in denen sie lernen, wie sie sicher online arbeiten können, wie sie ihre Geräte sicher aufbewahren, wie sie Bedrohungen der Informationssicherheit erkennen und vermeiden können und wie sie unsere internen Sicherheitsrichtlinien einhalten können, die dazu dienen, Ihre Daten zu schützen.
Unsere Mitarbeiter werden auch darin geschult, Sicherheitsvorfälle zu erkennen und zu melden, um deren Auswirkungen und Schweregrad zu verringern.
20. Sicherheit der Mitarbeitergeräte
Wir haben eine Richtlinie zur Gerätesicherheit formuliert, die Sicherheitskontrollen für die Geräte der Mitarbeiter festlegt, einschließlich vollständiger Festplattenverschlüsselung, Virenschutz, Aktivierung der Firewall, automatische Bildschirmsperre und Patch-Management.
21. Sicherheit der Humanressourcen
Bei der Einstellung neuer Mitarbeiter beauftragen wir ein externes Unternehmen mit der Durchführung von Hintergrundüberprüfungen, um sicherzustellen, dass unsere Mitarbeiter die Qualifikationen und Erfahrungen besitzen, die sie vorgeben zu haben, und dass sie kein unnötiges Risiko für unsere Kunden oder unser Unternehmen darstellen.
Alle neuen Mitarbeiter durchlaufen einen umfassenden Einführungsprozess, der aus einer Sicherheitsschulung, der sicheren Konfiguration ihrer Geräte, der Einrichtung des firmeneigenen Passwortmanagers und der förmlichen Zustimmung zur Einhaltung unserer Sicherheitsrichtlinien besteht.
22. Risikomanagement
Wir verfolgen einen risikobasierten Sicherheitsansatz, der die fortlaufende Identifizierung, Bewertung und Abschwächung von Risiken für die Informationswerte des Unternehmens sicherstellt, um die Wahrscheinlichkeit und die Auswirkungen ihres Auftretens zu verringern.
23. Steuerung
Wir haben Richtlinien, Verfahren und Standards für die Informationssicherheit formell festgelegt. Diese werden den Mitarbeitern zur Verfügung gestellt, soweit sie für ihre jeweilige Funktion relevant sind.
Unsere Richtlinien, Verfahren und Standards werden jährlich überprüft, um sicherzustellen, dass sie relevant bleiben und dass sie in der Lage sind, sich ändernden Bedingungen und Bedrohungen gerecht zu werden.
Die Verantwortlichkeiten für die Informationssicherheit werden definiert, dokumentiert und den Mitarbeitern mitgeteilt.
24. Einhaltung von Vorschriften
Wir halten uns über die gesetzlichen Anforderungen auf dem Laufenden und führen Aktionspläne ein, um den Anforderungen gerecht zu werden, wenn sie entstehen und sich im Laufe der Zeit weiterentwickeln. Dies gilt unter anderem für den Schutz der Privatsphäre und den Schutz personenbezogener Daten.
25. Rechnungsprüfung
Wir verfügen über einen qualifizierten Innenrevisor, und es werden das ganze Jahr über interne Prüfungen durchgeführt.
26. Zertifizierung
Wir haben die Zertifizierung nach ISO 27001 erhalten. Unser Zertifikat wird Interessenten und Kunden auf Anfrage zur Verfügung gestellt.