Dataveiligheid
Privacy en architectuur in cloud-gebaseerde services
  Download PDF
Inleiding: alle wegen leiden naar cloud

De wereld verstevigt nu de golven van technologische ontwrichting in bijna alle sectoren en in het epicentrum van dit alles zijn in de cloud geïntegreerde oplossingen ter vervanging van de bestaande technologiestacks die de wereld momenteel gebruikt. De transformatie en innovatie in deze cloud computing- en smart mobility-periode gaat snel, vanuit verschillende richtingen en gebeurt meer dan ooit. Omdat cloud-business en omgeving belangrijk zijn, moeten organisaties van tevoren strategieën opstellen, zich echt bezighouden met klantbetrokkenheid en snel reageren om te blijven overleven, omdat het ondernemen van cloud-oplossingen u niet de luxe van tijd geeft om na te denken, te reflecteren en aan te passen. Aan het begin van het millennium konden technologiebedrijven tien jaar sparen, nu is de snelheid van verandering teruggebracht tot slechts enkele maanden. De wereldwijde waarde van cloudoplossingen wordt geschat op meer dan 3,5 biljoen USD en daarmee worden technologiebedrijven uitgedaagd met een ander gigantisch obstakel in de vorm van beveiligingsproblemen die optreden als gevolg van de exponentiatie van kwetsbaarheden en bedreigingen samen met technologische overgangen. Om die reden moeten cloudproviders beschikken over haalbare strategieën om ervoor te zorgen dat beveiligingsproblemen adequaat en op de juiste manier worden aangepakt om de bedrijfscontinuïteit te waarborgen.
TimeTec is een gerenommeerd wereldwijd merk dat cloud-gebaseerde oplossingen levert voor beveiliging en workforce management voor verschillende industrieën over de hele wereld. Als een cloudgebaseerde systeemontwikkelaar heeft TimeTec aan de volgende vereisten voldaan met het belangrijkste doel: het vertrouwen van de klant in ons merk behouden.


19 Kernbeveiligingsproblemen die cloud-ontwikkelaars moeten leveren

Klantvertrouwen is van het grootste belang bij het opbouwen en ondersteunen van een cloudbedrijf en een provider moet zich inzetten voor het realiseren en onderhouden van het systeem door een sterk beveiligings- en privacyprogramma te bieden dat de gegevensbescherming van de klant voor alle oplossingen waarborgt, inclusief gegevens die van klanten zijn ontvangen via het aangeboden aanbod. Diensten.
  1. Architectuur en gegevenssegregatie
Services die in cloud worden geëxploiteerd en aangeboden, moeten deel uitmaken van een multitenant-architectuur waarbij toegang tot klantgegevens alleen kan worden bekeken op basis van een door het bedrijf toegewezen autorisatie. Het biedt een effectieve logische gegevensscheiding via unieke werknemersidentificatie die toegang biedt tot de informatie op basis van rolprivileges. Gegevenssegregatie moet worden uitgevoerd door afzonderlijke omgevingen te voorzien voor verschillende functies, dwz voor testen en productie.
  2. Controle van de verwerking
Dit geeft de stroom terug aan de klant en zorgt ervoor dat de gegevens alleen worden verwerkt wanneer de klant dit instrueert. Gedurende de gehele keten van verwerkingsactiviteiten en de naleving van de geïmplementeerde maatregelen moeten deze worden onderworpen aan audits.
  3. Audits en certificeringen
Op minimaal een jaarlijkse basis moeten alle aangeboden services beveiligingsbeoordelingen door intern personeel doorlopen, inclusief beoordeling van de kwetsbaarheid van de infrastructuur en beoordelingen van de applicatiebeveiliging.
  4. Beveiligingslogboeken
Alle systemen die worden gebruikt voor het overbrengen van de Aangeboden Diensten, inclusief besturingssystemen, logboekinformatie naar hun respectievelijke logboekvoorziening van het toepassingssysteem of een gecentraliseerde syslog-server (voor netwerksystemen), zullen worden bewaard om veiligheidsbeoordelingen en -analyse mogelijk te maken, en systeem- en toepassingslogboeken zullen worden bewaard voor een minimale periode van zestig (60) dagen.
  5. Beveiligingsmaatregelen
De aangeboden diensten die via de internetbrowser of mobiele app beschikbaar worden gesteld, moeten een verscheidenheid aan beveiligingsfuncties hebben die kunnen worden geconfigureerd. Deze besturingselementen omvatten, maar zijn niet beperkt tot het volgende:
 
•  Gebruikers-ID's als unieke gebruikers-ID's om ervoor te zorgen dat activiteiten kunnen worden getraceerd naar het individu.
•  Het gebruik van reCaptcha-besturingselementen om toegang uit te dagen na verschillende opeenvolgende mislukte inlogpogingen.
•  Om een ​​gebruikerssessie te beëindigen na een periode van inactiviteit.
•  Om de wachtwoordlengte te regelen.
•  Om te voldoen aan de complexiteitsvereisten voor wachtwoorden.
  6. Beveiligingsbeleid en -procedures
De aangeboden services moeten worden beheerd in overeenstemming met de volgende beleidsregels en procedures om de beveiliging te verbeteren:
 
•  Gebruikerswachtwoorden worden bewaard met behulp van een gezouten hash-indeling en worden niet ongecodeerd verzonden.
•  Gebruikerstoegangslogboekitems worden bijgehouden met datum, tijd, uitgevoerde URL of entiteits-ID, bewerking uitgevoerd (bekeken, bewerkt, enz.) En bron-IP-adres. Merk op dat het bron-IP-adres mogelijk niet beschikbaar is als NAT (Network Address Translation) of PAT (Port Address Translation) door een klant of zijn ISP wordt gebruikt.
•  Logs worden opgeslagen in een beveiligde centrale host om geknoei te voorkomen.
•  Wachtwoorden worden niet vastgelegd.
  7. Intrusion Detection
De Aangeboden Services moeten worden gemonitord op ongeoorloofde inbraken via netwerkgebaseerde indringingsdetectiemechanismen door de ontwikkelaar of de derde partij die voor die taak is toegewezen. De gegevens die door de webbrowser van gebruikers worden verzameld (bijvoorbeeld apparaattype, schermresolutie, tijdzone, versie van het besturingssysteem, browsertype en -versie, systeemlettertypen, geïnstalleerde browserinvoegtoepassingen, geactiveerde MIME-typen, enz.) Kunnen worden geanalyseerd op beveiligingsdoeleinden om frauduleuze authenticaties te voorkomen en om ervoor te zorgen dat de Aangeboden Diensten goed functioneren.
  8. Incidentbeheer
Een provider moet het beleid en de procedures voor beveiligingsincidentbeheer handhaven en meldt getroffen klanten zonder onnodige vertraging van ongeoorloofde openbaarmaking van hun respectieve klantgegevens door de ontwikkelaar of diens agenten waarvan de ontwikkelaar kennis krijgt, voor zover wettelijk toegestaan.
  9. Gebruikersauthenticatie
Alle toegang tot de Aangeboden Diensten via internetbrowser, mobiele app of via API vereist een combinatie van een geldig gebruikers-ID en wachtwoord die tijdens het verzenden via HTTPS worden gecodeerd. Nadat de authenticatie succesvol is, wordt een willekeurige sessie-ID gegenereerd en opgeslagen in de browser van de gebruiker om de sessiestatus te behouden en bij te houden.
  10. Fysieke beveiliging
Als de productie datacenters die worden gebruikt om de gedekte Services aan te bieden, worden afgehandeld door een externe Services, dient u de informatie over de Security Processe bekend te maken, zoals deze: AWS Security Whitepaper.pdf
  11. Betrouwbaarheid en back-up
Alle netwerkcomponenten, load balancers, webservers en applicatieservers zijn geconfigureerd in een redundante configuratie. Alle klantgegevens die worden ingediend bij de betreffende Services worden opgeslagen op een primaire databaseserver met geautomatiseerde back-up met behulp van point-in-time herstelfuncties. Alle dagelijkse AMI-back-ups worden ten minste twee dagen bewaard en de wekelijkse AMI-back-up wordt ten minste één maand bewaard.
  12. Noodherstel
De productiesystemen van de Aangeboden Services moeten worden beschermd door een meertrapsrampherstelplan dat voorziet in back-up van kritieke gegevens en services. Er bestaat een uitgebreid systeem van herstelprocessen om bedrijfskritieke systemen binnen de kortst mogelijke tijd weer online te brengen. Herstelprocessen voor database, beveiliging, systeembeheer en netwerkconfiguratie en gegevens bieden een routekaart voor personeel om processen beschikbaar te maken na een serviceonderbreking.
  13. Virussen
De Aangeboden Diensten zullen niet scannen op virussen die zouden kunnen worden opgenomen in bijlagen of andere gegevens die door Klanten in de Aangeboden Diensten worden geüpload. Geüploade bijlagen worden niet uitgevoerd in de Aangeboden Diensten en zullen daarom de online Aangeboden Diensten niet beschadigen of compromitteren op grond van het bevatten van een virus.
  14. Gegevenscodering
De Aangeboden Services moeten door de industrie geaccepteerde encryptieproducten gebruiken om Klantgegevens en communicatie te beschermen tijdens verzendingen tussen een klantennetwerk en de gedekte Services, waaronder 128-bit TLS Certificaten en 2048-bit RSA openbare sleutels op zijn minst.
  15. Teruggave van klantgegevens
Klantgegevens die aan de Aangeboden Diensten worden verstrekt, worden op verzoek aan de Klant geretourneerd.
  16. Verwijderen van klantgegevens
Na beëindiging van de Aangeboden Diensten kunnen klanten verzoeken om Klantgegevens die zijn ingediend bij de Aangeboden Diensten, te verwijderen en dit proces is onderworpen aan toepasselijke wettelijke vereisten. Klantgegevens die zijn opgeslagen in de infrastructuur voor de Aangeboden Services, worden dienovereenkomstig verwijderd.
  17. Gevoelige gegevens
Belangrijk: de volgende soorten gevoelige persoonlijke gegevens mogen niet worden ingediend bij de AangebodenServices: financiële informatie (zoals creditcard- of bankpasnummers, gerelateerde beveiligingscodes of wachtwoorden en bankrekeningnummers); informatie met betrekking tot de fysieke of mentale gezondheid van een persoon; en informatie met betrekking tot het verstrekken of betalen van gezondheidszorg. Voor de duidelijkheid zijn de voorgaande beperkingen niet van toepassing op financiële informatie die aan de ontwikkelaar wordt verstrekt met het oog op het controleren van de financiële kwalificaties van en het incasseren van betalingen van zijn klanten.
  18. Analyse
Een ontwikkelaar kan het gebruik van de Aangeboden Diensten volgen en analyseren met het oog op beveiliging en de ontwikkelaar helpen bij het verbeteren van zowel de Aangeboden Diensten als de gebruikerservaring bij het gebruik van de Aangeboden Diensten.

Een ontwikkelaar kan anonieme gebruiksgegevens delen met zijn serviceproviders om de ontwikkelaar te helpen bij het volgen, analyseren en verbeteren. Bovendien kan de ontwikkelaar dergelijke anonieme gebruiksgegevens op geaggregeerde basis delen in de normale gang van zaken in onze onderneming; we kunnen bijvoorbeeld informatie openbaar delen om trends over het algemene gebruik van onze services te laten zien.

  19. Integratie of interoperation met andere services
Een ontwikkelaar die services aanbiedt, kan integreren of samenwerken met andere services die door de ontwikkelaar of door derden worden geleverd. De ontwikkelaar zou ook op veel platforms en functies kunnen voorzien die de gebruikers in staat stellen om over de producten te leren, deel te nemen aan community's, applicaties van derden te verbinden en deel te nemen aan pilots, tests en beoordelingen, die buiten het bereik van deze documentatie vallen. Communicatie met gebruikers die deelnemen aan dergelijke platforms en functies op een manier die consistent moet zijn met de Privacyverklaring. Daarnaast kan de ontwikkelaar contact opnemen met gebruikers om transactionele informatie over de aangeboden Services te verstrekken; bijvoorbeeld via de accountmanager of via door het systeem gegenereerde e-mailberichten. De ontwikkelaar moet klanten en gebruikers de mogelijkheid bieden om dergelijke berichten te deactiveren of te weigeren.

Als cloud-gebaseerde systeemontwikkelaar heeft TimeTec aan de bovenstaande vereisten voldaan met het belangrijkste doel, om het vertrouwen van de klant te behouden. De documentatie over beveiliging, privacy en architectuur voor services die door TimeTec worden geleverd, is beschikbaar op de website van TimeTec Cloud.

Check cloud-gebaseerde oplossingen van TimeTec op
www.timeteccloud.com