Kompromisslose Sicherheit für Ihre Compliance-Anforderungen

Sicherheit

Datenspeicherung

Physische Speicherung

AWS (Amazon Web Services) ist verantwortlich für die physische Sicherheit der Infrastruktur. AWS ist so konzipiert, dass es nicht nur wirklich skalierbare Cloud-Lösungen ermöglicht, sondern auch die höchsten Sicherheitsanforderungen erfüllt.

Die Daten werden auf Servern einer Einrichtung gespeichert, die ISO 27001, ISO 27017, ISO 27018 sowie SOC 1, SOC 2 und SOC 3 , -zertifiziert sind. Um einen vollständigen Überblick über die Compliance-Programme zu erhalten, klicken Sie hier

Standort

Alle Daten und Backups werden bei AWS in Frankfurt gespeichert. Die Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um die Datenverfügbarkeit sicherzustellen.

Verschaffen Sie sich einen Überblick über die Perimeter-Schicht, die Infrastrukturschicht, die Datenschicht und die Umweltschicht der Rechenzentren. klicken Sie hier

Verschlüsselung

Alle Daten werden während der Übertragung und im Ruhezustand verschlüsselt. Dies gewährleistet die Datenintegrität, da die Daten während der Übertragung nicht beschädigt oder verändert werden können, die Privatsphäre, da die Daten nicht von Dritten abgehört werden können, und die Authentifizierung, da der Endkunde sicher sein kann, dass die Seite, mit der er verbunden ist, tatsächlich unsere ist.

Während der Übertragung

Daten, die sich in der Übertragung befinden, werden mit TLS (Transport Layer Security) verschlüsselt. Es werden nur TLS-Versionen ab 1.2 unterstützt, alle anderen Versionen sind blockiert.

Im Ruhezustand

Wann immer Daten auf einer Festplatte gespeichert werden, z. B. in einer Datenbank, werden sie mit AES (256 Bit) verschlüsselt. Dies verhindert das Auslesen der Daten, falls eine physische Festplatte in einem Rechenzentrum gestohlen wird.

Patch-Management

Bei Formalize priorisieren wir Sicherheit und hohe Verfügbarkeit, indem wir, wo immer möglich, von AWS verwaltete Dienste nutzen. Diese Dienste werden von AWS kontinuierlich gepatcht und gewartet. Für bestimmte nicht von AWS verwaltete Dienste setzen wir jedoch strenge Patch-Management-Prozesse ein, um die Sicherheit weiterhin zu gewährleisten.

Datensicherung

Häufigkeit der Backups

Regelmäßige Backups werden durchgeführt, um sicherzustellen, dass Kundendaten nicht verloren gehen. Backups werden in täglichen Intervallen erstellt (die Backups verfallen nach 35 Tagen) und in wöchentlichen Intervallen (die Backups verfallen nach 85 Tagen).

Für Dienste, die nicht von AWS verwaltet werden, wie unsere Jump Box, werden Patches täglich gescannt und angewendet. Darüber hinaus ist unsere Jump Box in einem privaten Netzwerk gesichert, das für den Zugriff eine Zwei-Faktor-Authentifizierung erfordert und alle Verbindungen für eine bessere Überwachung protokolliert.

Bestimmte Dienste, wie unsere Webservices, werden gemeinsam von AWS und Formalize verwaltet. Diese werden kontinuierlich gescannt und gepatcht, um Sicherheit und Leistung zu gewährleisten.

Backup-Sicherheit

Alle Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um Datenverlust zu verhindern. Eine Verfügbarkeitszone besteht aus einem oder mehreren separaten Rechenzentren mit redundanter Stromversorgung, Netzwerkinfrastruktur und Konnektivität. Alle Backups sind nach den gleichen Standards geschützt wie die Produktionsumgebung.

Protokollierung

Formalize legt großen Wert auf Protokollierung und verfügt über eine umfangreiche Protokollierung in der gesamten Anwendung. Wir arbeiten kontinuierlich an der Verbesserung unserer Protokollierung. Die Protokollierung erfolgt auf vier verschiedenen Ebenen: Login-Ereignisse usw., Validierungsfehler, Fehlerprotokollierung, DNS-Flow-Protokolle usw.

Systemüberwachung und Eindringungserkennung

Wir nutzen AWS GuardDuty, einen intelligenten Bedrohungserkennungsdienst, der kontinuierlich nach bösartigen oder unautorisierten Aktivitäten in unserem Netzwerk sucht. Es fungiert als unser primäres Network Intrusion Detection System (NIDS). Administratoraktivitäten und DNS-Abfrageprotokolle werden ebenfalls protokolliert und auf potenziellen Missbrauch analysiert. Weitere Informationen zu GuardDuty finden Sie hier.

Um unsere Abwehr zu verstärken, nutzen wir AWS WAF. Dieser Dienst hilft dabei, bösartige Webanfragen zu überwachen und abzuwehren und bietet eine zusätzliche Schutzschicht gegen Hacking-Versuche. Für weitere Details klicken Sie hier.

Sicherer Entwicklungslebenszyklus

Ein sicherer Entwicklungslebenszyklus (Secure Development Lifecycle, SDLC) ist ein Prozess, der sicherstellt, dass Sicherheit von Anfang an in die Software integriert wird. Unser SDLC umfasst verschiedene Sicherheitsaktivitäten, die in jeder Phase unseres Entwicklungsprozesses durchgeführt werden. Diese Aktivitäten helfen uns, potenzielle Sicherheitslücken zu finden und zu beheben sowie zu verhindern, dass neue entstehen.

Es werden mehrere wichtige Lebenszyklusaktivitäten durchgeführt, darunter die Erstellung und Freigabe in kleinen Schritten, die Verwaltung technischer Schulden, Richtlinien für Drittanbieterpakete, das Scannen nach geleakten Geheimnissen, Versionskontrolle, Schwachstellenprüfung, Kryptographiestandards, Metriken und Protokollierung, Entwicklerschulungen, Tests sowie die Trennung von Umgebungen.

Schwachstellenmanagement

Bei Formalize nehmen wir Sicherheit ernst, indem wir robuste Schwachstellenmanagement-Praktiken einsetzen, um unsere Infrastruktur zu schützen und uns kontinuierlich zu verbessern.

Schwachstellenvermeidung

Um unsere Angriffsfläche zu minimieren, betreiben wir einen einzigen öffentlichen Einstiegspunkt zu unserer API, der durch eine Web Application Firewall (WAF) geschützt ist. Diese Firewall blockiert effektiv gängige Bedrohungen wie Cross-Site-Scripting (XSS) und Remote Code Execution (RCE). Unsere Infrastruktur basiert auf Alpine Linux, das ein minimales und sicheres Betriebssystem bietet. Darüber hinaus sind unsere Webserver so konzipiert, dass sie als schreibgeschützte Container betrieben werden, die alle 15 Minuten oder während Deployments aktualisiert werden, um sicherzustellen, dass Malware in unserer Umgebung nicht bestehen kann.

Zusätzlich zu diesen präventiven Maßnahmen setzen wir auf Managed Services, um die Sicherheit zu erhöhen und das Risiko von Konfigurationsfehlern zu minimieren. Diese Managed Services bieten automatische Patches, die die Integrität unserer Infrastruktur weiter stärken. Der Datenbankzugriff ist streng geregelt, erfordert eine Zwei-Faktor-Authentifizierung (2FA) und ist ausschließlich auf genehmigte Nutzer innerhalb unseres Netzwerks beschränkt.

Schwachstellen-Scanning

Bei Formalize setzen wir umfassende Schwachstellenscan-Praktiken ein, um potenzielle Sicherheitsrisiken in unseren Systemen proaktiv zu identifizieren und zu beheben. Unsere Scan-Maßnahmen umfassen Code-Abhängigkeiten, Container und Server sowie unsere gesamte Infrastruktur und das Netzwerk.

Schwachstellenscans für Code-Abhängigkeiten werden täglich durchgeführt. Dies erfolgt mithilfe von vier verschiedenen Tools: öffentliche CVEs, private Schwachstellendatenbanken, Open-Source-Abhängigkeiten mit XSS (Cross-Site-Scripting) und Open-Source-Abhängigkeiten mit RCE (Remote Code Execution).

Container- und Serverscans werden kontinuierlich und bei jedem Code-Push durchgeführt. Diese Scans konzentrieren sich auf die Erkennung von Schwachstellen in Betriebssystempaketen innerhalb unserer auf Alpine Linux basierenden Umgebung. Öffentliche CVEs und private Schwachstellendatenbanken werden für die Scans verwendet. Zum Beispiel können sie veraltete Versionen von OpenSSL identifizieren, die potenzielle Risiken wie Buffer Overflow oder RCE (Remote Code Execution) darstellen könnten.

Unsere Infrastruktur- und Netzwerkscans erfolgen alle 18 Stunden und entsprechen strengen Standards, darunter den Anforderungen des CIS (Center of Internet Security), PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) sowie den grundlegenden Sicherheitsbestimmungen unseres Hosting-Anbieters. Diese Scans sind darauf ausgelegt, Fehlkonfigurationen wie unverschlüsselte Queues oder das Fehlen einer Zwei-Faktor-Authentifizierung für administrative Benutzer zu identifizieren.