Cloud Security Policy | TimeTec
Cloud Security-Politik
 
Academia
TimeTec zahlt ernsthafte Aufmerksamkeit auf Sicherheitsfragen und prüft alle gemeldeten Schwachstellen. Diese Seite erklärt TimeTec Praxis für mögliche Schwachstellen in Aspekten unserer Cloud-Services adressieren.
ISO 27001

DIN ISO/IEC 27001 ist eine Norm für das IT-Sicherheitsmanagement, die bewährte Methoden und umfassende Sicherheitskontrollen definiert. Diese Zertifizierung basiert auf der Entwicklung und Implementierung eines strengen Sicherheitsprogramms. Hierzu zählt auch die Entwicklung und Implementierung eines Informationssicherheits-Managementsystems (ISMS), das festlegt, wie TimeTec die Sicherheit kontinuierlich auf ganzheitliche und umfassende Weise verwaltet. Dieser allgemein anerkannte internationale Sicherheitsstandard beinhaltet folgende Anforderungen:
Systematisches Bewerten unserer IT-Sicherheitsrisiken unter Berücksichtigung der Auswirkungen von Bedrohungen und Schwachstellen für das Unternehmen.
   
Entwerfen und Umsetzen einer umfassenden Palette von IT-Sicherheitskontrollen und anderer Formen des Risikomanagements zum Bewältigen von Sicherheitsrisiken für Unternehmen und Architektur.
   
Einführen eines allumfassenden Managementprozesses, um zu gewährleisten, dass die IT-Sicherheitskontrollen unsere IT-Sicherheitsvorgaben durchgängig erfüllen.


Das Unternehmen hat am 8. März 2018 erfolgreich das ISO / IEC-Informationssicherheits-Managementsystem (ISMS) erworben.
Penetrationstest

TimeTec arbeitet mit einem externen Cyber-Sicherheitsspezialisten zusammen, um einen Penetrationstest (Black Box & White Box für Web und Mobile Application ) durchzuführen, der sich auf echte Sicherheits- und Compliance-Probleme für das TimeTec Cloud System konzentriert.
Ein Penetrationstest oder ein Stift-Test, ist ein Versuch, die Sicherheit der IT-Infrastruktur zu bewerten, indem sicher Schwachstellen auszunutzen versuchen. Diese Schwachstellen können in Betriebssystemen, Service und Anwendungsfehler, falsche Konfigurationen vorhanden sind, oder riskante Endbenutzerverhalten. Solche Bewertungen sind auch nützlich, um die Wirksamkeit von Abwehrmechanismen bei der Validierung, sowie End-User die Einhaltung von Sicherheitsrichtlinien. Ein Penetrationstest helfen, festzustellen, ob ein System verwundbar ist, angreifen, wenn die Abwehrkräfte ausreichend waren, und die Abwehrkräfte (falls vorhanden) der Test besiegt.

Das Unternehmen führt jährlich Penetrationstests für unsere Lösungen für ein besseres Schwachstellenmanagement durch. Wir verpflichten uns, alle festgestellten Schwachstellen zu minimieren, um ein optimales Sicherheitsniveau zu gewährleisten. Die Ergebnisse dieser Tests sind streng vertraulich und alle Anfragen zur Einholung der Testberichte müssen an uns gerichtet werden . begleitet von der Unterzeichnung einer NDA, wobei die Veröffentlichung der Berichte streng nach unserem Ermessen liegt.

Download NDA
Unter Verwendung von 2-Faktor-Authentifizierung (2FA) in TimeTec

zum Schutz Ihrer TimeTec Konten Zur Erhöhung der Sicherheit empfehlen wir Ihnen, 2-Faktor-Authentifizierung (2FA) konfigurieren. 2FA sorgt für zusätzliche Sicherheit, weil es den Benutzern benötigt eine eindeutige Authentifizierungscode von einem zugelassenen Authentifizierungsgerät einzugeben. Das Streben unserer Benutzer Ruhe zu bieten, arbeiten wir mit namhaften Drittanbieter - Google Authenticator die Sicherheitsstufe Ihres TimeTec Konto zu verbessern. Dieses 2-Faktor-Authentifizierung verbessert auf jeden Fall die Sicherheit, da bei der Unterzeichnung 2 Dinge benötigen - einen Code erzeugt durch die Google Authenticator Mobile App zusätzlich zu Ihrem Konto Kennwort ein.
Sie haben Fragen zu den 2FA - gehen zu http://www.timetecta.com/2step
HTTPS:

Die gesamte Kommunikation in und aus unserer TimeTec Cloud-Plattform wird über https erfolgt. „Hypertext Transfer Protocol Secure (HTTPS) ist ein Kommunikationsprotokoll für die sichere Kommunikation über ein Computernetz, mit besonders breiten Einsatz im Internet. “
Amazon AWS:

In dem Bemühen, alle Ihre Daten, um sicherzustellen, sicher aufbewahrt wir eine der besten Namen in Server und Cloud Computing verwenden, Amazon AWS PaaS, „Platform as a Service “. Technisch gesehen sichern wir unsere Daten mit den folgenden Sicherheitsdienste.
TimeTec nutzt AWS Dienstleistungen, die ISO 27001 und PCI-DSS-L1-zertifiziert:

• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web Services Relational Database Service (RDS)
• Amazon Web Services Elastic Load Balancing (ELB)
• Amazon Web Services Identity und Access Management (IAM)
• Amazon Web Services Elastic Block Storage (EBS)
• Amazon Web Service Einfacher E-Mail-Service (SES)
• Amazon Web Services Cloudfront
• Amazon Web Services Route 53
• Amazon Web Services Cloudwatch + Amazon Simple Notification Service (SNS)
• Amazon Web Services VPC
• Amazon Web Services Standard-Schild gegen DDoS-Attacken zu verteidigen
Berichte zu Schwachstellen

Melden vermuteter Schwachstellen
Wenn Sie , dass TimeTec Ressourcen vermuten auf verdächtige Aktivitäten verwendet werden, können Sie es zu uns berichten hier. Damit wir effektiv auf Ihren Bericht reagieren zu können, geben Sie bitte alle Trägermaterial, die nützlich sein würde, uns zu verstehen, die Art und die Schwere der Verwundbarkeit zu helfen.

Alle Informationen, die Sie in diesem Prozess mit TimeTec teilen werden vertraulich behandelt innerhalb TimeTec Team und werden nicht an Dritte weitergegeben werden, ohne Ihre Erlaubnis zu erhalten.

TimeTec den vorgelegten Bericht zu überprüfen, werden wir dann auf Sie reagieren, Erhalt des Berichts anerkannt, und die nächsten Schritte in dem Prozess zu skizzieren.
Analyse durch TimeTec
TimeTec arbeiten, um die gemeldete Sicherheitsanfälligkeit zu überprüfen, sobald der Bericht empfangen wird. Wenn Sie weitere Informationen benötigen zu validieren oder das Problem zu simulieren, wird TimeTec mit Ihnen zusammenarbeiten, um es zu erhalten. Wenn die erste Untersuchung abgeschlossen ist, werden die Ergebnisse zusammen mit einem Plan für die Auflösung und die Veröffentlichung an Sie geliefert werden.
Basisinformationen über TimeTec Bewertungsprozess Hinweis:
1. Produkte von Drittanbietern - Wenn die Verwundbarkeit eines Dritten Produkt berührt, TimeTec benachrichtigt beteiligt sich die Partei. Wir werden auch weiterhin zwischen Ihnen und dem Dritten zu koordinieren; Ihre Identität wird nicht an den Dritten ohne Ihre Zustimmung weitergegeben werden.
   
2. Bestätigung der Nicht-Vulnerabilities - Wenn das Problem nicht validiert werden kann, oder nicht zu finden ist ein Fehler in TimeTec Produkt zu sein, werden wir die Informationen mit Ihnen teilen.
   
  TimeTec möchte, dass Sie über unsere Fortschritte auf dem Laufenden halten, wie wir Ihre gemeldete Sicherheitsproblem untersuchen und / oder zu mildern. Sie erhalten eine nicht-automatisierte Antwort auf Ihre erste Kontakt innerhalb von 24 Stunden bestätigt den Eingang Ihres gemeldete Sicherheitsanfälligkeit erhalten. Sie werden Fortschritte Updates von uns mindestens alle fünf Werktagen.
Die öffentliche Bekanntmachung
Gegebenenfalls wird TimeTec mit Ihnen öffentliche Zustellung eines validierten Verwundbarkeit zu koordinieren. Wir würden es vorziehen, dass unsere jeweiligen Offenlegungen gleichzeitig gebucht werden.

Um unsere Kunden zu schützen, fordert TimeTec Ihre Mitarbeit keine Informationen über eine mögliche Anfälligkeit für nicht veröffentlichen oder in einer öffentlichen Einrichtung teilen, bis wir recherchiert haben, hat, und befasste sich mit der gemeldete Sicherheitsanfälligkeit und informiert Kunden, wenn nötig.

Wir bitten auch respektvoll, von Ihnen zu veröffentlichen oder teilen alle Daten zu unseren Kunden gehören, zu verzichten. eine gültige gemeldete Sicherheitsanfälligkeit Adressierung ist ein ziemlich langer Prozess, und es wird auf die Schwere der Verwundbarkeit und den betroffenen Systemen variieren.
Bericht wurde ein Sicherheitsproblem

Wenn Sie ein Sicherheitsforscher sind und Sie glauben , dass Sie ein Sicherheitsproblem in einem der TimeTec die Leistungen gefunden haben, geben Sie bitte Ihre Erkenntnisse zu E-Mail security@timeteccloud.com
Wenn Sie nicht eine Sicherheitslücke berichtet, sind wir nicht in der Lage, um Ihre Nachricht zu reagieren. Es können Ihre Probleme zu beheben:
 
 1. Für unbekannten, verdächtigen oder Betrügerische Einkäufe, Bestellungen oder Kreditkartentransaktionen, Suspicious Kennwortänderungen, Kontoänderungen oder möglichen Betrug bitte an sales@timeteccloud.com
   
 2. Für andere TimeTec Fragen kontaktieren support@timeteccloud.com