Sicherheit
Zuletzt aktualisiert: 27. Juli 2021
Optimizely hat mehrere technische und organisatorische Maßnahmen ergriffen, um Anwendungen von Optimizely zu schützen. Auf dieser Seite finden Sie eine Beschreibung unserer aktuellen Sicherheitsmaßnahmen.
Organisationsstruktur
Das Trust Team unterstützt bei Optimizely Programme für Sicherheit, Datenschutz und Compliance. Das Trust Team besteht aus einem Compliance-Manager und einem Leiter für Sicherheitstechnik, die dem Beauftragten für Informationssicherheit unterstellt sind.
Kontrolle
Risikomanagement
Das Sicherheitsteam führt regelmäßige Risikobewertungen anhand einer Methodik durch, die auf den Leitlinien der ISO 27005:2018 für Informationssicherheits-Risikomanagement basiert. Die Hauptrisiken werden identifiziert und Pläne zur Risikobehandlung erstellt. Die Risikobewertung, die Auswahl der Hauptrisiken und die Risikobehandlungspläne werden überprüft und der Fortschritt vom Security Governance Board verfolgt.
Zugangsschutz
Authentifizierung
Optimizely erfordert eine Authentifizierung für den Zugriff auf alle Anwendungs-Eingangspunkte, einschließlich Web und API, mit Ausnahme derer, die öffentlich zugänglich sein sollen.
Sichere Kommunikation von Anmeldedaten
Optimizely verwendet derzeit TLS zur Übertragung von Authentifizierungsdaten an Optimizely-Produkte.
Passwortverwaltung
Unsere Prozesse sind darauf ausgelegt, Mindestanforderungen an Passwörter für Optimizely-Produkte durchzusetzen. Wir verwenden die folgenden Anforderungen und Sicherheitsstandards für Endbenutzer-Passwörter im Optimizely Service:
- Passwörter müssen mindestens 8 Zeichen lang sein und eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Symbolen enthalten
- Mehrfachanmeldungen mit falschem Benutzernamen oder Passwort führen zu einem gesperrten Konto, das deaktiviert wird, um einen Brute-Force- Login zu verhindern, aber nicht so lange, dass es legitime Nutzer daran hindert, die Anwendung zu nutzen
- E-Mail-basierte Links zum Zurücksetzen des Passworts werden nur an eine zuvor registrierte E-Mail-Adresse eines Benutzers mit einem temporären Link gesendet
- Optimizely begrenzt die Zahl der Anmeldeversuche von derselben E-Mail-Adresse
- Optimizely verhindert die Wiederverwendung von kürzlich genutzten Passwörtern
Passwort-Hashing
Passwörter für Endbenutzerkonten, die im Optimizely Service gespeichert werden, werden mittels Salt auf Basis branchenüblicher Verfahren per Zufallsprinzip gehasht.
Zwei-Schritt-Verifizierung
Erhöhen Sie die Sicherheit Ihrer Optimizely-Konten, indem Sie bei der Anmeldung eine zweite Authentifizierungsstufe hinzufügen. Anstatt sich nur auf ein Passwort zu verlassen, erfordert die zweistufige Verifizierung die Eingabe eines temporären Codes, auf den Sie über Ihr Mobiltelefon zugreifen, und soll Ihnen dabei helfen:
- Ihre Website und Ihre Mobile App zu schützen, wenn Ihr Optimizely -Passwort gestohlen wird
- eine zusätzlich Sicherheitsebene gegen Phishing-Attacken auf Passwörter hinzuzufügen
- die von Ihrem Unternehmen festgelegten Sicherheitsrichtlinien einzuhalten
Single Sign-on
Optimizely ermöglicht Ihnen die Implementierung von Single Sign-on (SSO) über SAML 2.0, ein offenes Standarddatenformat für den Austausch von Authentifizierungs- und Autorisierungsinformationen. So kann sich Ihr Team mit den vorhandenen Zugangsdaten Ihres Unternehmens bei Optimizely anmelden. SSO ist nur in ausgewählten Paketen verfügbar. Bitte prüfen Sie auf Ihrem Bestellformular, ob Sie berechtigt sind.
Session-Management
Jedes Mal, wenn sich ein Benutzer beim Optimizely Service anmeldet, weist ihm das System eine neue, eindeutige Sitzungskennung zu. Sie besteht aus 64 Bytes zufälliger Daten und wurde zum Schutz vor einem Brute-Force-Angriff entwickelt.
Session-Timeout
Optimizely -Produkte erzwingen harte und durch Inaktivität ausgelöste Session-Timeouts, die eine erneute Authentifizierung für den API- und direkten Webanwendungszugang erfordern.
Abmeldung
Bei der Abmeldung vom Optimizely Service löscht das System die Sitzungscookies vom Client und macht die Sitzungskennungen auf den Servern von Optimizely ungültig.
Netzwerk- und Übertragungskontrollen
Optimizely überwacht und aktualisiert seine Kommunikationstechnologien regelmäßig mit dem Ziel, die Netzwerksicherheit zu gewährleisten.
SSL/TLS
Standardmäßig wird die gesamte Kommunikation Ihrer Endnutzer und Besucher auf Optimizely-Produkten mit branchenüblicher Verschlüsselungstechnologie verschlüsselt. Optimizely verwendet derzeit Transport Layer Security (TLS) und aktualisiert Cipher Suites und Konfigurationen, wenn Schwachstellen entdeckt werden.
Netzwerksicherheit
Optimizely aktualisiert regelmäßig das Schema der Netzwerkarchitektur und behält den Überblick über den Datenfluss zwischen den Systemen. Firewallregeln und Zugangsbeschränkungen werden regelmäßig auf ihre Eignung hin überprüft.
Sicherheit der Infrastruktur
Optimizely verwendet ein Intrusion Detection System (IDS), ein Security Incident Event Management (SIEM)-System und andere Sicherheitsüberwachungstools auf Produktionsservern, die Optimizely-Produkte hosten. Die Meldungen dieser Tools werden an das Sicherheitsteam von Optimizely weitergeleitet, das über einen Incident-Management-Plan verfügt, um alle identifizierten Vorfälle zu untersuchen, zu isolieren und zu entschärfen.
Zugangsprotokolle
Optimizely führt detaillierte Zugangssprotokolle über unsere Infrastruktur und Produkte, die auf Ereignisse mit Auswirkungen auf die Sicherheit und Verfügbarkeit überprüft werden. Protokolle werden zu forensischen Zwecken mindestens sechs Monate lang aufbewahrt.
Datenvertraulichkeit und Auftragssteuerungen
Interner Zugriff auf Daten
Der Zugriff auf Ihre bei Optimizely gespeicherten Daten ist auf Mitarbeiter und Auftragnehmer beschränkt, die diese Informationen brauchen, um ihre Aufgaben wahrzunehmen. Zum Beispiel, um Kundensupport zu bieten, die Infrastruktur zu pflegen, das Produkt zu verbessern oder zu verstehen, wie sich eine technische Änderung auf eine bestimmte Gruppe von Kunden auswirkt.
Optimizely verlangt derzeit die Verwendung von Single Sign-on, sicheren Passwörtern und der Zwei-Schritt-Verifizierung für alle Mitarbeiter, die auf Produktionsdaten zugreifen.
Auftragssteuerungen
Optimizely hat mehrere Kontrollmechanismen für Mitarbeiter eingeführt, um den Schutz Ihrer Daten zu gewährleisten:
- Alle Mitarbeiter und Auftragnehmer von Optimizely müssen Vertraulichkeitsvereinbarungen unterzeichnen, bevor sie Zugang zu unseren Produktionssystemen erhalten.
- Alle Optimizely-Mitarbeiter sind verpflichtet, zum Zeitpunkt ihrer Einstellung an einer Sicherheits- und Datenschutzschulung sowie einer jährlichen Schulung zum Thema Sicherheit und Datenschutz teilzunehmen.
- Der Zugriff von Mitarbeitern und Auftragnehmern auf Produktionssysteme, die Ihre Daten enthalten, wird protokolliert und geprüft.
- Gegen Mitarbeiter von Optimizely, die ihren Zugang zu Kundendaten missbraucht haben, werden disziplinarische Maßnahmen eingeleitet, die bis zur Kündigung reichen können.
- Alle Optimizely-Mitarbeiter werden vor ihrer Einstellung einer Hintergrundüberprüfung unterzogen, sofern dies gesetzlich zulässig ist.
Sicherheit im Engineering
Übersicht über die Produktsicherheit
Die Software-Sicherheitspraktiken von Optimizely werden anhand von branchenüblichen Sicherheitsmodellen gemessen – derzeit das Building Security In Maturity Model (BSIMM). Der Software Development Life Cycle (SDLC) für unsere Dienstleistungen umfasst viele Aktivitäten zur Erhöhung der Sicherheit:
- Festlegung von Sicherheitsanforderungen
- Design (Threat Modeling, Bedrohungsanalyse und Überprüfung des Sicherheitsdesigns)
- Entwicklungskontrollen (statische Analyse und manuelle Peer-Code-Überprüfung)
- Tests (dynamische Analyse, Bug-Bounty-Programm und Sicherheitsschwachstellenbewertung durch Dritte)
- Wir nutzen derzeit Unit-, Integrations- und End-to-End-Tests, falls erforderlich, um Regressionen aufzufangen
- Bereitstellungskontrollen (wie Change-Management und Canary-Release-Verfahren)
Optimizely -Software wird nach den geltenden OPWASP-Standards entwickelt, geprüft und getestet.
Code-Bewertungen
Von Optimizely entwickelte Software wird kontinuierlich überwacht und anhand von Prozessen getestet, die darauf ausgelegt sind, Schwachstellen proaktiv zu identifizieren und zu beheben. Wir führen regelmäßig durch:
- Automatisierte Quellcode-Analyse zum Auffinden häufiger Fehler
- Peer-Review aller Codes vor der Überführung in die Produktion
- Manuelle Quellcode-Analyse sicherheitsrelevanter Codebereiche
- Jährlich durchgeführte Sicherheitsbewertungen und Penetrationstests von Drittanbietern
Bug-Bounty-Programm
Optimizely bietet derzeit ein Bug-Bounty-Programm an, um das Melden von Sicherheitsproblemen mit unserem Produkt zu fördern. Fehler können über das Programm oder per E-Mail an [email protected]gemeldet werden.
Verfügbarkeitskontrollen
Disaster Recovery
Die Infrastruktur des Optimizely Service ist so konzipiert, dass Serviceunterbrechungen aufgrund von Hardwareausfällen, Naturkatastrophen oder anderen Katastrophen minimiert werden. Das Angebot umfasst:
- Hochmoderne Cloud-Anbieter: Wir nutzen Azure, Google Compute Cloud und Amazon Web Services – denen Tausende von Unternehmen die Speicherung und Bereitstellung ihrer Daten anvertrauen.
- Datareplikation: Um die Verfügbarkeit im Katastrophenfall zu gewährleisten, können wir Daten sowohl innerhalb von Rechenzentren als auch über mehrere Rechenzentren hinweg replizieren, je nach Anforderungen an die Ausfallsicherheit.
- Back-ups: Wir führen häufig Back-ups der über Optimizely Services gespeicherten Daten durch. Die Back-ups werden regelmäßig auf Unversehrtheit geprüft.
- Kontinuitätsplan:Wir haben einen Kontinuitätsplan für jede Art von Betriebsstörung. Unser Team ist global aufgestellt und kann Ressourcen verlagern, falls uns regionale Probleme bei der Bereitstellung von Dienstleistungen oder Support beeinträchtigen.
- Sicherheit: Wir schränken unsere Sicherheit während Disaster Recovery-Maßnahmen nicht ein.
Reaktion auf Vorfälle
Optimizely verfügt über einen Störfallplan, mit dem wir umgehend und systematisch auf etwaige sicherheits- und verfügbarkeitsrelevante Störfälle reagieren können. Der Störfallplan wird regelmäßig getestet und optimiert.
Trennungskontrollen
Datentrennung
Optimizely trennt alle Kundendaten und bietet leistungsstarke programmatische und Zugangskontrollen, um Ihre Daten logisch von denen anderer Kunden zu isolieren.
Benutzerfunktionen
Die Produkte von Optimizely bieten Ihnen die Möglichkeit, den Zugriff auf Ihre Daten und Konfigurationen durch die Definition der Benutzerfunktionen zu beschränken. Sie können den Benutzern Zugang zu Ihrem Konto gewähren, ohne allen Teammitgliedern die gleichen Berechtigungen einzuräumen. Diese Benutzerberechtigungsebenen sind besonders hilfreich, wenn mehrere Personen an demselben Projekt arbeiten.
Physische Sicherheit
Optimizely nutzt branchenführende Cloud-Plattformen (Azure, Google Compute Cloud und Amazon Web Services), um seine Produktionsdienstleistungen anzubieten. Diese Cloud-Provider bieten einen hohen Industriestandard an physischer Sicherheit. Der Zugang zu diesen Rechenzentren ist auf autorisiertes Personal beschränkt, das durch biometrische Identitätskontrollen überprüft wird. Zu den physischen Sicherheitsmaßnahmen für diese Rechenzentren gehören Wachpersonal vor Ort, Videoüberwachung und zusätzliche Maßnahmen zum Schutz vor Einbrüchen. Wir verlassen uns auf die Nachweise Dritter zur physischen Sicherheit. Innerhalb unserer Anlagen setzen wir eine Reihe von dem Branchenstandard entsprechenden physischen Sicherheitskontrollen ein. Wir schulen unsere Mitarbeiter und Auftragnehmer, um die physische Sicherheit ihrer Vermögenswerte unabhängig von ihrem Standort zu schützen.
Zusätzliche Bedingungen
Wenn Sie weitere Fragen zur Umsetzung dieser Sicherheitsmaßnahmen haben, lesen Sie bitte dieKnowledge Base. Unsere Sicherheitsmaßnahmen werden ständig weiterentwickelt, um mit der sich wandelnden Sicherheitslandschaft Schritt zu halten. Daher werden wir diese Seite von Zeit zu Zeit aktualisieren, um diese technischen und organisatorischen Änderungen zu berücksichtigen. Bitte schauen Sie regelmäßig vorbei, um sich über unsere neuesten Maßnahmen zu informieren. Wie immer unterliegt die Nutzung des Optimizely Service den Geschäftsbedingungen und Haftungsausschlüssen in unseren Servicebedingungen .