Datensicherheit
Datenschutz und Architektur in Cloud-basierten Diensten
  PDF Herunterladen
Einleitung: Alle Straßen führen in die Cloud

Die Welt bremst jetzt die Wellen der technologischen Störungen in fast allen Branchen und im Mittelpunkt stehen Cloud-integrierte Lösungen, die die bestehenden Technologie-Stacks ersetzen, die die Welt derzeit nutzt. Die Transformation und Innovation in dieser Cloud-Computing- und Smart-Mobility-Phase geht aus verschiedenen Richtungen mit hoher Geschwindigkeit voran und erfolgt kontinuierlicher als je zuvor. Da es sich um ein Cloud-Geschäft und eine Cloud-Umgebung handelt, müssen sich Unternehmen im Voraus strategisch abstimmen, sich wirklich in die Kundenbindung einbringen und schnell reagieren, um überleben zu können, denn Cloud-Lösungen bieten nicht den Luxus der Zeit zum Nachdenken, Nachdenken und Anpassen. Zu Beginn des Jahrtausends konnten Technologieunternehmen 10 Jahre Zeit sparen, jetzt wurde die Änderungsgeschwindigkeit auf nur noch wenige Monate reduziert. Der globale Wert von Cloud-Lösungen wird auf über 3,5 Billionen US-Dollar geschätzt. Damit stehen Technologieunternehmen vor einem weiteren großen Hindernis in Form von Sicherheitsproblemen, die sich aus der Zunahme von Schwachstellen und Bedrohungen sowie technologischen Übergängen ergeben. Aus diesem Grund müssen Cloud-Anbieter über tragfähige Strategien verfügen, um sicherzustellen, dass Sicherheitsprobleme angemessen und ordnungsgemäß behandelt werden, um die Geschäftskontinuität zu gewährleisten.
TimeTec ist eine renommierte globale Marke, die Cloud-basierte Lösungen für Sicherheit und Workforce Management für verschiedene Branchen auf der ganzen Welt anbietet. Als Cloud-basierter Systementwickler hat TimeTec alle folgenden Anforderungen mit dem Hauptziel erfüllt, das Vertrauen der Kunden in unsere Marke zu erhalten.


19 Kernsicherheitsaspekte, die Cloud-Entwickler bereitstellen müssen

Das Vertrauen der Kunden ist für den Aufbau und die Aufrechterhaltung eines Cloud-Geschäfts von größter Bedeutung. Ein Anbieter muss diese Aufgabe durch ein starkes Sicherheits- und Datenschutzprogramm erfüllen, das den Datenschutz der Kunden über alle Lösungen einschließlich der von den Kunden über das Angebot erhaltenen Daten sicherstellt Dienstleistungen.
  1. Architektur und Datentrennung
Dienste, die in der Cloud betrieben und angeboten werden, müssen sich in einer mandantenfähigen Architektur befinden, wobei der Zugriff auf Kundendaten nur basierend auf einer vom Unternehmen zugewiesenen Berechtigung betrachtet werden kann. Es bietet eine effektive logische Datentrennung durch eindeutige Mitarbeiteridentifikation, die den Zugriff auf Informationen basierend auf Rollenprivilegien ermöglicht. Die Datentrennung muss durch Bereitstellung separater Umgebungen für verschiedene Funktionen, dh für Test und Produktion, erfolgen.
  2. Kontrolle der Verarbeitung
Dies gibt dem Kunden die Befugnis, sicherzustellen, dass die Daten nur auf Anweisung des Kunden verarbeitet werden, während der gesamten Kette der Verarbeitungstätigkeiten und die Einhaltung der durchgeführten Maßnahmen muss überprüft werden.
  3. Audits und Zertifizierungen
Mindestens einmal im Jahr müssen alle angebotenen Dienste Sicherheitsbewertungen durch interne Mitarbeiter durchlaufen, einschließlich der Analyse von Sicherheitslücken in der Infrastruktur und der Sicherheitsbewertung von Anwendungen.
  4. Sicherheitsprotokolle
Alle Systeme, die zur Übermittlung der angebotenen Dienste einschließlich der Betriebssysteme verwendet werden, Protokollinformationen zu ihrer jeweiligen Anwendungssystemprotokolleinrichtung oder einem zentralisierten Syslog-Server (für Netzwerksysteme) werden aufbewahrt, um Sicherheitsüberprüfungen und -analysen sowie System- und Anwendungsprotokolle zu ermöglichen mindestens sechzig (60) Tage aufbewahrt werden.
  5. Sicherheitskontrollen
Die angebotenen Dienste, die über den Internetbrowser oder die Mobile App zur Verfügung gestellt werden, müssen eine Vielzahl von Sicherheitsfunktionen aufweisen, die konfigurierbar sind. Diese Kontrollen umfassen, sind aber nicht beschränkt auf:
 
•  Benutzer-IDs als eindeutige Benutzer-IDs, um sicherzustellen, dass Aktivitäten zu der Person zurückverfolgt werden können.
•  Die Verwendung von reCaptcha Controls, um den Zugriff nach mehreren aufeinander folgenden fehlgeschlagenen Anmeldeversuchen zu fordern.
•  Um eine Benutzersitzung nach einem Zeitraum der Inaktivität zu beenden.
•  Um die Passwortlänge zu kontrollieren.
•  Um die Anforderungen an die Passwortkomplexität zu erfüllen.
  6. Sicherheitsrichtlinien und -verfahren
Die angebotenen Dienste müssen in Übereinstimmung mit den folgenden Richtlinien und Verfahren zur Verbesserung der Sicherheit betrieben werden:
 
•  Benutzerpasswörter werden in einem gesalzenen Hash-Format gespeichert und nicht unverschlüsselt übertragen.
•  Benutzerzugriffsprotokolleinträge werden beibehalten und enthalten Datum, Uhrzeit, ausgeführte URL oder Entitäts-ID, ausgeführte Operation (angezeigt, bearbeitet usw.) und Quell-IP-Adresse. Beachten Sie, dass die Quell-IP-Adresse möglicherweise nicht verfügbar ist, wenn NAT (Network Address Translation) oder PAT (Port Address Translation) von einem Kunden oder dessen ISP verwendet wird.
•  Protokolle werden auf einem sicheren zentralisierten Host gespeichert, um Manipulationen zu verhindern.
•  Passwörter werden nicht protokolliert.
  7. Angriffserkennung
Die angebotenen Dienste müssen mithilfe von netzwerkbasierten Einbruchserkennungsmechanismen vom Entwickler oder dem für diese Aufgabe zugewiesenen Dritten auf unbefugte Zugriffe überwacht werden. Die von den Webbrowsern der Benutzer gesammelten Daten (z. B. Gerätetyp, Bildschirmauflösung, Zeitzone, Betriebssystemversion, Browsertyp und -version, Systemschriftarten, installierte Browser-Plugins, aktivierte MIME-Typen usw.) können analysiert werden Sicherheitszwecke, um betrügerische Authentifizierungen zu verhindern und sicherzustellen, dass die angebotenen Dienste ordnungsgemäß funktionieren.
  8. Ereignisverwaltung
Ein Anbieter muss Richtlinien und Verfahren für die Verwaltung von Sicherheitsvorfällen einhalten und betroffene Kunden unverzüglich über unbefugte Offenlegung ihrer jeweiligen Kundendaten durch den Entwickler oder seine Agenten informieren, von denen der Entwickler im gesetzlich zulässigen Umfang Kenntnis erhält.
  9. Benutzerauthentifizierung
Jeder Zugriff auf die angebotenen Dienste über den Internetbrowser, die mobile App oder über die API erfordert eine Kombination aus einer gültigen Benutzerkennung und einem Passwort, die während der Übertragung über HTTPS verschlüsselt werden. Nach erfolgreicher Authentifizierung wird eine zufällige Sitzungs-ID generiert und im Browser des Benutzers gespeichert, um den Sitzungsstatus zu speichern und zu verfolgen.
  10. Physische Sicherheit
Wenn die Produktionsdatenzentren, die für die Bereitstellung der abgedeckten Dienste verwendet werden, von einem externen Dienst verarbeitet werden, erhalten Sie die Details zu den Sicherheitsfunktionen wie folgt: AWS Security Whitepaper.pdf
  11. Zuverlässigkeit und Backup
Alle Netzwerkkomponenten, Load Balancer, Webserver und Anwendungsserver werden in einer redundanten Konfiguration konfiguriert. Alle Kundendaten, die an die abgedeckten Dienste übermittelt werden, werden auf einem primären Datenbankserver mit automatischer Sicherung mithilfe von Point-in-Time-Wiederherstellungsfunktionen gespeichert. Alle Daily AMI-Backups werden für mindestens 2 Tage aufbewahrt, und das wöchentliche AMI-Backup wird mindestens einen Monat aufbewahrt.
  12. Disaster Recovery
Die Produktionssysteme von Offered Services müssen durch einen mehrstufigen Disaster Recovery-Plan geschützt werden, der die Sicherung kritischer Daten und Services ermöglicht. Es existiert ein umfassendes System von Wiederherstellungsprozessen, um geschäftskritische Systeme innerhalb kürzester Zeit wieder online zu bringen. Wiederherstellungsprozesse für Datenbank, Sicherheit, Systemadministration und Netzwerkkonfiguration und -daten bieten eine Roadmap für das Personal, um Prozesse nach einer Dienstunterbrechung verfügbar zu machen.
  13. Viren
Die angebotenen Dienste suchen nicht nach Viren, die in Anlagen oder anderen Daten enthalten sein können, die von Kunden in die angebotenen Dienste hochgeladen werden. Hochgeladene Anhänge werden in den Angebotenen Diensten nicht ausgeführt und beschädigen oder kompromittieren die Online-Angebotdienste nicht, da sie einen Virus enthalten.
  14. Datenverschlüsselung
Die angebotenen Dienste müssen branchenweit anerkannte Verschlüsselungsprodukte verwenden, um Kundendaten und -kommunikationen während Übertragungen zwischen dem Netzwerk eines Kunden und den abgedeckten Diensten zu schützen, einschließlich 128-Bit-TLS-Zertifikate und mindestens 2048-Bit-RSA-Public-Keys.
  15. Rückgabe von Kundendaten
Kundendaten, die an die angebotenen Dienste übermittelt werden, sind dem Kunden auf Anfrage zurückzugeben.
  16. Löschen von Kundendaten
Nach Beendigung der angebotenen Dienste können Kunden die Löschung von Kundendaten anfordern, die an die angebotenen Dienste übermittelt wurden. Dieser Prozess unterliegt den geltenden gesetzlichen Bestimmungen. Kundendaten, die in der Infrastruktur für die angebotenen Dienste gespeichert sind, werden entsprechend gelöscht.
  17. Sensible Daten
Wichtig: Die folgenden Arten von sensiblen persönlichen Daten dürfen nicht an die OfferedServices übermittelt werden: Finanzinformationen (wie Kredit- oder Debitkartennummern, zugehörige Sicherheitscodes oder Passwörter und Bankkontonummern); Informationen in Bezug auf die körperliche oder geistige Gesundheit einer Person; und Informationen in Bezug auf die Bereitstellung oder Bezahlung von Gesundheitsleistungen. Aus Gründen der Klarheit gelten die vorstehenden Einschränkungen nicht für Finanzinformationen, die dem Entwickler zur Verfügung gestellt werden, um die finanziellen Qualifikationen von Kunden zu überprüfen und Zahlungen von diesen einzuziehen.
  18. Analyse
Ein Entwickler kann die Verwendung der angebotenen Dienste aus Sicherheitsgründen verfolgen und analysieren und den Entwickler dabei unterstützen, sowohl die angebotenen Dienste als auch die Benutzererfahrung bei der Nutzung der angebotenen Dienste zu verbessern.

Ein Entwickler kann anonyme Nutzungsdaten mit seinen Dienstanbietern teilen, um den Entwickler bei solchen Nachverfolgungen, Analysen und Verbesserungen zu unterstützen. Darüber hinaus kann der Entwickler solche anonymen Nutzungsdaten im normalen Geschäftsverlauf aggregiert weitergeben. Zum Beispiel können wir Informationen öffentlich teilen, um Trends über die allgemeine Nutzung unserer Dienste aufzuzeigen.

  19. Integration oder Zusammenarbeit mit anderen Diensten
Ein Entwickler, der angebotene Dienste anbietet, kann andere Dienste, die vom Entwickler oder Dritten bereitgestellt werden, integrieren oder mit diesen zusammenarbeiten. Der Entwickler könnte auch auf vielen Plattformen und Funktionen bieten, die es den Benutzern ermöglichen, sich über die Produkte zu informieren, an Communities teilzunehmen, Anwendungen von Drittanbietern zu verbinden und an Pilotprojekten, Tests und Assessments teilzunehmen, die nicht in den Anwendungsbereich dieser Dokumentation fallen. Kommunikation mit Benutzern, die an solchen Plattformen und Funktionen teilnehmen, in einer Weise, die mit der Datenschutzerklärung übereinstimmen muss. Darüber hinaus kann der Entwickler Benutzer kontaktieren, um Transaktionsinformationen über die angebotenen Dienste bereitzustellen; zum Beispiel durch den Account Manager oder durch systemgenerierte E-Mail-Nachrichten. Der Entwickler muss Kunden und Benutzern die Möglichkeit bieten, solche Nachrichten zu deaktivieren oder zu deaktivieren.

Als Cloud-basierter Systementwickler hat TimeTec die oben genannten Anforderungen mit dem Hauptziel erfüllt, das Vertrauen der Kunden zu erhalten. Die Dokumentation von Security, Privacy und Architecture für die von TimeTec bereitgestellten Services ist auf der TimeTec Cloud Website verfügbar.

Checkout Cloud-basierte Lösungen von TimeTec bei
www.timeteccloud.com