Säkerhet

Optimizely har infört flera tekniska och organisatoriska åtgärder som utformats för att skydda Optimizelys applikationer. På den här sidan beskrivs våra nuvarande säkerhetsåtgärder.

Organisationsstruktur

Trust Team hanterar Optimizelys olika program för säkerhet, integritet och regelefterlevnad. Teamet består av en Manager of Compliance och en Director of Security Engineering som rapporterar till Chief Information Security Officer. 

Styrning

Riskhantering 

Säkerhetsgruppen utför periodiska riskbedömningar med hjälp av en metod som bygger på riktlinjerna i ISO 27005: 2018 – Riskhantering för informationssäkerhet. De största riskerna identifieras och riskhanteringsplaner tas fram. Riskbedömningen, bedömning av stora risker och planerna för riskbehandling granskas och framstegen följs  upp av Security Governance Board. 

Åtkomstkontroller 

Verifiering 

Optimizely kräver autentisering för åtkomst till alla applikationsingångar, inklusive webb och API, förutom de som är avsedda att vara publika. 

Säker kommunikation av inloggningsuppgifter

Optimizely använder för närvarande TLS för att överföra autentiseringsuppgifter till Optimizelys produkter. 

Lösenordshantering 

Genom processer som är utformade för att upprätthålla minimikraven på lösenord för använder vi följande krav och säkerhetsstandarder för slutanvändarlösenord i Optimizely-tjänsten: 

• Lösenordet måste vara minst 8 tecken långt och innehålla både stora och små bokstäver samt siffror och symboler 
• Flera inloggningar med fel användarnamn eller lösenord resulterar i ett låst konto, som inaktiveras för att förhindra brute-force-inloggning, men inte tillräckligt länge för att förhindra att legitima användare ska kunna använda applikationen 
• E-postbaserade länkar för återställning av lösenord skickas endast till en användares förregistrerade e-postadress med en tillfällig länk 
• Optimizely begränsar flera inloggningsförsök från samma e-postadress 
• Optimizely förhindrar återanvändning av nyligen använda lösenord 

Hashade lösenord 

Lösenord till slutanvändarkonton som lagras på Optimizely Service hashas med ett slumpmässigt salt i enlighet med branschstandard.  

Tvåstegsverifiering 

Öka säkerheten för dina Optimizely-konton genom att lägga till tvåstegsverifiering vid inloggning. Istället för att förlita dig på ett lösenord, så kräver tvåstegsverifiering att du även anger en tillfällig kod som du får tillgång till via din mobiltelefon och som är avsedd att hjälpa dig att: 

• Skydda din webbplats och mobilapplikation om ditt  Optimizely-lösenord  stjäls 
• Lägga till ytterligare ett säkerhetslager mot lösenordsattacker genom nätfiske, så kallad phishing 
• Följa riktlinjerna i företagets säkerhetspolicy 

Single sign-on 

Optimizely låter dig implementera Single Sign-On (SSO) via SAML 2.0, ett öppet standardformat för utbyte av autentiserings- och auktoriseringsinformation. Detta gör att ditt team kan logga in på Optimizely med sina befintliga företagsuppgifter. SSO är endast tillgängligt i vissa utvalda paket, kontrollera ditt beställningsformulär för att se om du är kvalificerad. 

Sessionshantering 

Varje gång en användare loggar in i Optimizely Service tilldelar systemet dem en ny, unik sessionsidentifierare som består av 64 bytes slumpmässig data som är utformad för att skydda mot brute force-attacker. 

Sessionstimeout 

Optimizelys produkter har tvingande tidsgränser för hårda och inaktiva sessioner som kräver omautentisering för API och direkt webbapplikationsåtkomst. 

Logga ut 

När du loggar ut från Optimizely Service är systemet utformat för att radera sessionscookies från klienten och ogiltigförklara sessionsidentifierare på Optimizelys servrar.

Nätverks- och överföringskontroller 

Optimizely övervakar och uppdaterar regelbundet sin kommunikationsteknik med målet att tillhandahålla högsta nätverkssäkerhet. 

SSL/TLS 

Som standard krypteras all kommunikation från slutanvändare och besökare på Optimizely-produkter med hjälp av krypteringsteknik som uppfyller branschstandard. Optimizely använder för närvarande Transport Layer Security (TLS) och uppdaterar krypton och konfigurationer när sårbarheter upptäcks. 

Nätverkssäkerhet 

Optimizely uppdaterar regelbundet nätverksarkitekturen och upprätthåller en ständigt kontroll över dataflöden mellan system. Regler för brandväggar och åtkomstbegränsningar granskas regelbundet med avseende på lämplighet. 

Infrastruktursäkerhet 

Optimizely använder Intrusion Detection System (IDS), Security Incident Event Management (SIEM) och andra säkerhetsövervakningsverktyg på produktionsservrar som är värdar för Optimizelys produkter. Meddelanden från dessa verktyg skickas till Optimizelys säkerhetsteam, som har en incidenthanteringsplan för att undersöka, isolera och dämpa effekten av eventuella identifierade händelser. 

Åtkomstloggar 

Optimizely sparar detaljerade åtkomstloggar för infrastruktur och produkter som granskas med avseende på händelser som påverkar säkerhet och tillgänglighet. Loggen sparas i minst sex månader för kriminaltekniska ändamål. 

Datasekretess och jobbkontroller 

Intern åtkomst till data 

Åtkomsten till de data som lagras av Optimizely är begränsad till de anställda och entreprenörer som behöver känna till informationen för att kunna utföra sina arbetsuppgifter. Exempel kan vara att ge kundsupport, underhålla infrastruktur, förbättra produkter eller förstå hur en konstruktionsförändring påverkar en grupp kunder. 

Optimizely kräver för närvarande användning av single sign-on, starka lösenord och tvåstegsverifiering för att anställda ska få tillgång till produktionsdata.  

Jobbkontroller 

Optimizely har implementerat flera kontroller av anställda för att skydda  dina data: 

• Alla Optimizely-medarbetare och leverantörer måste skriva under sekretessavtal innan de får tillgång till våra produktionssystem. 
• Alla Optimizely-medarbetare måste genomgå säkerhets- och integritetsutbildning vid anställningstillfället samt genomgå årlig säkerhets- och integritetsutbildning. 
• Anställdas och entreprenörers åtkomst till produktionssystem som innehåller dina data loggas och granskas.
• Optimizely har rätt att utfärda disciplinära åtgärder, inklusive, men inte begränsat till, uppsägning om medarbetare befunnits missbruka tillgång till kunddata.
• Optimizely-medarbetare genomgår en bakgrundskontroll före anställning där det är tillåtet enligt lag. 

Säkerhet inom teknik 

Produktsäkerhetsöversikt 

Optimizelys säkerhetsrutiner för programvara mäts med hjälp av säkerhetsmodeller i enlighet med branschstandard – för närvarande  Building Security In Maturity Model (BSIMM).  Programvaruutvecklingens livscykel (SDLC) för våra tjänster omfattar många aktiviteter som syftar till att främja säkerheten: 

• Definiera säkerhetskrav 
• Design (hotmodellering, hotanalys  och säkerhetsgranskning) 
• Utvecklingskontroller (statisk analys och manuell peer code review) 
• Testning (dynamisk analys, Bug Bounty-program och sårbarhetsbedömningar från tredje part) 
• Vi använder för närvarande enhets-, integrations- och end-to-end-tester, i förekommande fall, för att fånga upp regressioner 
• Driftsättningskontroller (till exempel ändringshantering och lansering till små grupper) 

Optimizely-programvaran  är utformad, granskad och testad enligt tillämpliga OWASP-standarder. 

Kodbedömning 

Programvara utvecklad av Optimizely övervakas och testas kontinuerligt med hjälp av processer som är utformade för att proaktivt identifiera och åtgärda sårbarheter. Vi genomför regelbundet: 

• Automatiserad analys av källkod utformad för att hitta vanligt förekommande fel 
• Peer review av alla koder innan de flyttas till produktionen 
• Manuell källkodsanalys av säkerhetskänsliga områden i koden 
• Årliga utvärderingar och penetrationstester av applikationssäkerhet från tredje part 

Bug Bounty-program 

Optimizely erbjuder för närvarande ett  Bug Bounty-program  för att uppmuntra rapportering av säkerhetsproblem i vår produkt. Buggar kan rapporteras via programmet eller via e-post på [email protected]. 

Tillgänglighetskontroller 

Katastrofåterställning 

Optimizely Service-infrastrukturen  är utformad för att minimera avbrott i tjänsten på grund av hårdvarufel, naturkatastrofer eller andra katastrofer. Bland funktionerna finns: 

• Toppmoderna molnleverantörer: Vi använder Azure, Google Compute Cloud och Amazon Web Services – som tusentals andra företag förlitar sig på när de lagrar data i molnet.  
• Datareplikering:  För att säkerställa tillgängligheten vid händelse av en katastrof kan vi  replikera data både inom och över flera datacenter beroende på kraven på resiliens. 
• Säkerhetskopiering:Vi säkerhetskopierar regelbundet data som lagras via Optimizely Services. Säkerhetskopieringar testas regelbundet med avseende på integritet.  
• Kontinuitetsplan:Vi kontinuitetsplanerar för alla typer av driftstörningar. Vårt team är globalt och kan flytta resurser om regionala problem skulle störa vår förmåga att tillhandahålla tjänster eller support.
• Säkerhet:  Vi försämrar inte vår säkerhet under katastrofåterställning.   

Incidentrespons 

Optimizely har en incidenthanteringsplan som är utformad för att snabbt och systematiskt reagera på säkerhets- och tillgänglighetsincidenter. Incidenthanteringsplanen testas och förfinas regelbundet. 

Segregationskontroller 

Dataseparation 

Optimizely segregerar  all kunddata och tillhandahåller kraftfulla program- och åtkomstkontroller  för att logiskt isolera dina data från andra kunders. 

Användarroller 

Optimizelys produkter  ger dig möjlighet att begränsa åtkomsten till dina data och din konfiguration genom att definiera användarroller.  Du kan bjuda in användare till ditt konto utan att ge alla teammedlemmar samma behörighetsnivåer. Dessa behörighetsnivåer är särskilt användbara när flera personer arbetar i ett och samma projekt. 

Fysisk säkerhet 

Optimizely använder branschledande molnplattformar (Azure, Google Compute Cloud och Amazon Web Services) för att hosta sina produktionstjänster. Dessa molntjänster ger en hög nivå av fysisk säkerhet enligt branschstandard.  Åtkomsten till dessa datacenter är begränsad till endast behörig personal, vilket verifieras genom biometriska verifieringsåtgärder. Fysiska säkerhetsåtgärder för dessa datacenter inkluderar lokala säkerhetsvakter, videoövervakning och ytterligare intrångsskydd. Vi förlitar oss  på deras tredjepartsintyg om fysisk säkerhet. På våra anläggningar använder vi ett antal fysiska säkerhetskontroller av industristandard. Vi utbildar våra anställda och entreprenörer till att skydda deras tillgångars säkerhet oavsett var de befinner sig. 

Ytterligare villkor 

Om du har ytterligare frågor om implementeringen av någon av dessa säkerhetsåtgärder, konsultera kunskapsdatabasen. Våra säkerhetsåtgärder utvecklas ständigt för att hålla jämna steg med det föränderliga säkerhetslandskapet, så vi kan därför komma att uppdatera den här sidan för att återspegla tekniska och organisatoriska förändringar. Besök oss  ofta för att se våra senaste åtgärder. Som alltid gäller villkoren och friskrivningsklausulerna för användning av Optimizely Service i våra användarvillkor .