Sicherheit

Unsere Aufgabe

Die Aufgabe von SafetyCulture ist es, Unternehmen dabei zu unterstützen, durch innovative mobile Produkte sicherere und hochwertigere Arbeitsplätze auf der ganzen Welt zu schaffen. Wir tun dies durch unsere führende Software-as-Service (SaaS) Anwendung SafetyCulture (iAuditor). Diese Produkte werden von ca. 75.000 Unternehmen auf der ganzen Welt in zahlreichen Branchen in den verschiedensten Einsatzbereichen genutzt.

Wir sind stolz darauf, dass SafetyCulture als ein weltweit führender Anbieter von Produkten zur Förderung von Sicherheit und Qualität geschätzt wird, und wir wissen, wie wichtig unsere Rolle ist, wenn es darum geht, unseren Kunden zu helfen, ihren täglichen Betrieb zu optimieren.

Wir sehen unsere Vorgehensweise bei der Cybersicherheit als eine wichtige tragende Säule, um unseren Status als führendes Unternehmen in diesem Bereich aufrechtzuerhalten, und dieser Inhalt gibt einen Überblick darüber, wie wir Cybersicherheit als Unternehmen angehen.

Übersicht

SafetyCulture verfügt über ein aktives, robustes und ständig verbessertes Cybersicherheitsprogramm, um die Sicherheit unseres Unternehmens und der von uns angebotenen Produkte zu gewährleisten. Das Cybersicherheitsprogramm von SafetyCulture setzt eine Reihe von Kontrollen auf technischer und betrieblicher Ebene ein, um sicherzustellen, dass wir über einen effektiven Defense-in-Depth-Ansatz zum Schutz vor Cyberangriffen verfügen und die von unserer SaaS-Anwendung SafetyCulture (iAuditor) verarbeiteten Daten sichern.

Zu den wichtigsten Funktionen gehören:

  • Ein Sicherheitsprogramm, das sich an den Best-Practice-Standards der Branche orientiert, einschließlich der Verwendung von Cloud-Plattformen, die mit etablierten Sicherheitsbenchmarks wie ISO27001 und SOC 2 konform sind.
  • Ein Fokus auf die richtigen Grundlagen, in der Erkenntnis, dass die Sicherheitsgrundlagen nach wie vor entscheidend sind. Dies beinhaltet:
    • Den Einsatz von robusten Mechanismen, um sicherzustellen, dass der Zugriff auf die Systeme und Kundendaten von SafetyCulture sorgfältig kontrolliert wird.
    • Die Verschlüsselung der von uns gehaltenen Kundendaten (sowohl bei der Übertragung als auch im Speicher).
    • Die Sicherstellung, dass wir zeitnah Patches innerhalb unserer IT-Umgebung und für unsere Produkte anwenden, um die Möglichkeit zu minimieren, dass Schwachstellen von Cyber-Angreifern ausgenutzt werden.
    • Aktives Überwachen und Testen unserer IT-Umgebung und Produkte auf neu auftretende Schwachstellen und deren Behebung als Priorität.
    • Ein fest definierter Prozess, unterstützt von einem engagierten Team, um im Falle eines Sicherheitsvorfalls effektive Unterstützung und Maßnahmen bereitzustellen.
  • Die Anwendung von Due Diligence, um sicherzustellen, dass unsere Service-Provider die Industriestandards in Sachen Sicherheit erfüllen. Wir wissen, dass sich die Sicherheit unserer Partner direkt auf uns und unsere Kunden auswirkt, daher wählen wir sehr sorgfältig aus, mit wem wir zusammenarbeiten.

Der folgende Inhalt gibt einen Überblick über die verschiedenen Bestandteile unseres Sicherheitsprogramms.

Organisatorische Sicherheitspraktiken

Unser Sicherheitsansatz konzentriert sich auf die Ausrichtung an empfohlenen Best Practices in anerkannten Standards wie den NIST, ISO27001 & SOC Frameworks.

Sicherheitsführung

SafetyCulture verfügt über eine Reihe von dokumentierten Richtlinien und Verfahren, die unseren Ansatz zur Sicherheit als Organisation definieren. Diese Richtlinien und Verfahren werden allen Mitarbeitern mitgeteilt und mindestens einmal jährlich (und häufiger, wenn wesentliche Änderungen erforderlich sind) überprüft und aktualisiert, um sicherzustellen, dass unser Sicherheitsansatz aktuell bleibt.

Wir konzentrieren uns darauf, die Verantwortlichkeit für die Sicherheit im gesamten Unternehmen zu gewährleisten. Zu diesem Zweck haben wir ein Informationssicherheits-Managementforum mit wichtigen Interessenvertretern aus dem gesamten SafetyCulture-Bereich eingerichtet, das sich regelmäßig trifft, um sicherheitsrelevante Angelegenheiten zu überprüfen und zu diskutieren und alle Entscheidungen zu treffen, die Einfluss auf unseren Ansatz zur Cybersicherheit haben.

Zugang zu internen Systemen und Cloud-Plattformen

Wir stellen sicher, dass der Zugang zu Systemen in unserer IT-Umgebung, einschließlich der von uns genutzten Cloud-Plattformen, auf Mitarbeiter beschränkt ist, die diesen Zugang speziell für ihre Arbeit benötigen.

Alle Administratorzugriffe erfordern eine Multi-Faktor-Authentifizierung und Mitarbeiter, die auf unser System zugreifen, müssen eine zugelassene VPN-Lösung verwenden.

Die Zugriffsberechtigungen auf unsere Systeme werden regelmäßig für jeden einzelnen Mitarbeiter überprüft und zeitnah angepasst. Als Teil unseres Off-Boarding-Prozesses werden alle Zugriffe auf Systeme und Dienste für ausscheidende Mitarbeiter gesperrt.

Sicherheit von Drittanbietern

Wir überprüfen sorgfältig die Sicherheitspraktiken von Dritten, die wir beauftragen – anfänglich und fortlaufend, um sicherzustellen, dass ihre Praktiken den Branchenstandards entsprechen und mit unseren eigenen Datenschutz- und Sicherheitsrichtlinien und -verfahren konform sind. Wenn eine dritte Partei Zugang zu unseren Systemen benötigt, stellen wir sicher, dass der Zugang speziell auf den Zweck beschränkt ist, für den sie beauftragt wurde.

Da Amazon Web Services (AWS) einer unserer wichtigsten Anbieter ist, arbeiten wir mit ihm nach dem Shared Responsibility Model für Sicherheit und Compliance zusammen, um sicherzustellen, dass die Verantwortung für Sicherheitsfragen klar definiert ist. AWS ist von einer großen Anzahl der neuesten Industriestandards akkreditiert und erfüllt diese – weitere Informationen finden Sie hier: https://aws.amazon.com/artifact.

Für die Verarbeitung von Finanz- und Kreditkartendaten nutzt SafetyCulture mehrere Partner (Chargify, eWay und Stripe), deren Sicherheitspraktiken mit dem Payment Card Industry Data Security Standard (PCI-DSS) konform sind.

Netzwerksicherheit

Die Unternehmensnetzwerke von SafetyCulture sind mit Firewalls sowie IDS & IPS-Technologie am Netzwerkperimeter (bereitgestellt durch speziell verwaltete Cisco-Sicherheitsgeräte) geschützt, damit wir jeglichen böswilligen Datenverkehr erkennen und uns davor schützen können.

Für unsere Cloud-basierten Plattformen nutzen wir in erster Linie Amazon Web Services (AWS), die eine mehrschichtige Strategie zum Schutz vor externen Angriffen bieten. Auf Infrastrukturebene setzt AWS Strategien wie Zugriffskontrolle für Netzwerkgeräte, Datentrennung durch Firewalls und virtuelle private Clouds ein, um böswilligen Datenverkehr herauszufiltern, und nutzt umfangreiche Protokollierung und Überwachung, um netzwerkbasierte Angriffe zu verhindern. Auf Anwendungsebene nutzen wir die Vorteile von AWS Web Application Firewall und AWS Shield, um webbasierte und Denial-of-Service (DoS)-Angriffe auf unsere Produkte zu verhindern.

Logging & Überwachung

SafetyCulture nutzt ein zentralisiertes Protokollierungssystem, das Audit-Ereignisse für Anwendungszugriffe enthält. Diese Protokolle werden 90 Tage lang aufbewahrt. Wir verwenden auch Amazon ELB-Protokolle, um Service-Zugriffsanfragen (erfolgreich oder nicht) zu verfolgen. Die in AWS gespeicherten Protokolle können nicht geändert werden und der Zugriff ist auf diejenigen beschränkt, die ihn für ihre Rollenanforderungen benötigen.

Wir wissen, wie wichtig es ist, Protokolle regelmäßig zu überprüfen, um böswillige Benutzeraktivitäten zu erkennen und potenzielle Schwachstellen in unseren Produkten zu identifizieren; wir haben eine automatisierte Überwachung eingerichtet, die uns auf bestimmte Arten von potenziell böswilligen Ereignissen innerhalb unserer globalen Infrastruktur aufmerksam macht.

Training zum Sicherheitsbewusstsein

Alle Mitarbeiter von SafetyCulture durchlaufen regelmäßige Trainingseinheiten zum Sicherheitsbewusstsein für technische und nicht-technische Rollen. Bei Bedarf werden auch Sicherheitstrainingsmaterialien für einzelne Mitarbeiter entwickelt, um sicherzustellen, dass sie für die spezifischen sicherheitsorientierten Rollenanforderungen gerüstet sind.

Patching und Schwachstellenmanagement

Das Patching unserer IT-Umgebung ist eine der grundlegendsten Maßnahmen, die wir ergreifen, um uns vor einem möglichen Sicherheitsverstoß zu schützen. Um dies zu erreichen:

  • Verwenden wir AWS System Manager, um regelmäßig Patches für unsere Cloud-basierte Infrastruktur bereitzustellen.
  • Verwenden wir Geräteverwaltungslösungen, um sicherzustellen, dass wichtige Patches so schnell und effizient wie möglich installiert werden.
  • Stellen wir Patches für die kritischsten Schwachstellen zuerst bereit, wobei die Patches für erste Tests in unserer Nicht-Produktionsumgebung bereitgestellt werden, bevor sie schnell in der gesamten IT-Umgebung verbreitet werden.

Schutz der Kundendaten

SafetyCulture nimmt die Sicherheit der Daten unserer Kunden sehr ernst. Wir ergreifen eine Reihe von Maßnahmen, um sicherzustellen, dass die Kundendaten sorgfältig geschützt werden.

Einschränkung des Datenzugriffs

SafetyCulture ergreift eine Reihe von Maßnahmen, um Kundendaten vor unangemessenem Zugriff oder Verwendung durch Unbefugte (entweder extern oder intern) zu schützen. Kundendaten werden nur in unserer Produktionsumgebung gespeichert, und der Zugriff auf diese Daten durch SafetyCulture-Mitarbeiter ist nur auf die Mitarbeiter beschränkt, die den Zugriff zur Erfüllung ihrer regulären Aufgaben benötigen. Der Zugriff auf Kundendaten wird mit Hilfe von Zugriffskontroll- und Authentifizierungstools (einschließlich der Verwendung von Zwei-Faktor-Authentifizierung) verwaltet, die von Amazon Web Services und unseren anderen Cloud-Partnern bereitgestellt werden.

Kundendaten werden nur für Zwecke verwendet, die mit der Erbringung der vertraglichen Leistungen vereinbar sind, wie z.B. die Behebung von technischen Supportanfragen. Alle Details finden Sie in der SafetyCulture Datenschutzerklärung, die Sie hier finden: https://safetyculture.com/legal/privacy-policy/.

In dem seltenen Fall, dass Mitarbeiter des SafetyCulture-Supports auf den gesamten Datenbestand eines bestimmten Kunden zugreifen müssen, wird SafetyCulture immer die Zustimmung des Kunden einholen, bevor auf diese Daten zugegriffen wird.

Wir speichern oder zwischenspeichern keine Finanzdaten von Kunden, die in Verbindung mit der Abrechnung über die SafetyCulture-Plattform verwendet werden, und unsere Mitarbeiter haben keinen direkten Zugriff auf Zahlungsdaten.

Physischer Zugriff auf Kundendaten

Alle Kundendaten werden auf einer Infrastruktur gehostet, die von Amazon Web Services zur Verfügung gestellt wird, die die physische Sicherheit ihrer Standorte unter Verwendung von Best-Practice-Kontrollen der Branche aufrechterhalten, wie auf ihrer Sicherheits- und Compliance-Website beschrieben, die Sie hier finden: https://aws.amazon.com/architecture/security-identity-compliance/.

An unseren physischen Geschäftsstandorten werden keine Kundendaten gespeichert.

Verschlüsselung von Daten

SafetyCulture verfügt über Mechanismen, die sicherstellen, dass die Daten unserer Kunden sowohl im Speicher als auch während der Übertragung geschützt sind. Im Speicher werden alle in den Systemen gespeicherten Kundendaten mit AES-256 verschlüsselt, wobei die Schlüssel über den Key Management Service von Amazon Web Services verwaltet werden. Alle Daten werden sicher gespeichert und unterliegen den Sicherheitsrichtlinien und -verfahren von AWS.

Um Daten während der Übertragung zu schützen, verwendet SafetyCulture Transport Layer Security (TLS) und setzt einen Mindeststandard von TLS v1.2 mit 128-Bit-Chiffrierschlüsseln ein. Wir unterstützen Verbindungen mit bis zu 256-Bit-Chiffre-Schlüsseln für die Verwendung einer Advanced Encryption Standard (AES)-Chiffre.

Sicherungen von Daten

Die Daten von SafetyCulture werden in regelmäßigen Abständen auf verschiedenen verschlüsselten Datenspeicherlösungen von Amazon Web Services gesichert. Die Backups werden auf mehrere AWS-Einrichtungen innerhalb der vom Kunden gewählten Region dupliziert.

Der Zugriff auf die Datensicherungen ist nur bestimmten Mitarbeitern von SafetyCulture vorbehalten, sofern dieser Zugriff im Rahmen ihrer Funktionen erforderlich ist.

Löschen und Vernichten von Daten

Unsere Kundendaten werden grundsätzlich bei Amazon Web Services gespeichert und unterliegen den dortigen Lösch- und Vernichtungsverfahren. Diese Verfahren beinhalten einen sicheren Prozess zur logischen Löschung ausgedienter Medien. Die gelöschten Medien werden anschließend überprüft, um die erfolgreiche Zerstörung der Daten sicherzustellen.

Jede SafetyCulture-eigene Hardware, die vertrauliche Daten enthält – einschließlich SafetyCulture-Backups – wird vor dem Recycling einer logischen Datenvernichtung nach Industriestandard unterzogen. Wenn möglich, verwendet SafetyCulture eine AES-256 GCM-Verschlüsselung auf allen digitalen Kopien.

Sicherung unserer Produkte

Wir sind uns bewusst, dass die meisten Kunden ihre erste Erfahrung mit SafetyCulture über unser Hauptprodukt SafetyCulture (iAuditor) machen werden. Die Sicherheit ist ein wichtiger Bestandteil der Entwicklung und des Betriebs dieses Produkts, wie im Folgenden erläutert wird.

Praktiken zur sicheren Software-Entwicklung

Als Teil unseres Produktentwicklungsprozesses wird jede Code- und Infrastrukturänderung vor der Freigabe der Änderung in die Produktion überprüft. Diese Überprüfung beinhaltet die Einhaltung der Best Practices für Sicherheit. Außerdem trennen wir unsere Entwicklungs-, Test- und Produktionsumgebungen.

Änderungskontrolle

Alle Änderungen an SafetyCulture-Produkten werden während ihrer Entwicklung aktiv getestet, um sicherzustellen, dass die Auswirkungen auf die Endbenutzer vor dem Einsatz bewertet werden, und alle wesentlichen Änderungen werden in die Produktions-Release-Notes aufgenommen.

SafetyCulture setzt Systeme zur Änderungsverfolgung und Versionskontrolle ein, um Änderungen an der Codebasis oder Konfiguration unserer Produkte aktiv zu überwachen und zu verwalten. Wir verwenden auch Amazon CloudTrail, um alle zugrunde liegenden Konfigurationsänderungen an der Cloud-Plattform zu verfolgen, auf der unsere Produkte betrieben werden.

Schwachstellenidentifizierung & Patch Management

Wir arbeiten intensiv daran, die Anzahl der Schwachstellen in unseren Produkten zu minimieren, und wir wissen, dass es wichtig ist, vorbeugende Schritte zu unternehmen, um sicherzustellen, dass wir alle Schwachstellen so schnell wie möglich beheben. Zu diesem Zweck testet und überwacht SafetyCulture aktiv die Sicherheitslücken in unseren Anwendungen. Wir betreiben ein privates Bug-Bounty-Programm in Anerkennung der Tatsache, dass eine Gemeinschaft unabhängiger Sicherheitsforscher, die einen Anreiz haben, unsere Produkte laufend zu testen, um mögliche Probleme zu identifizieren, nur dazu dient, die Sicherheit unserer Produkte zu stärken.

Wenn eine Schwachstelle identifiziert wird (intern oder extern), wird das Problem nachverfolgt und nach dem potenziellen Gefährdungsgrad für unsere Kunden priorisiert. Bei kritischen Problemen kann dies bedeuten, dass unsere Entwickler rund um die Uhr arbeiten, bis das Problem behoben ist.

Patches für Probleme werden durch einen kontinuierlichen Integrationsprozess (CI/CD) entwickelt, in die Produktionsumgebung freigegeben und so schnell wie möglich angewendet.

Umgang mit Sicherheitsvorfällen

Während wir unser Möglichstes tun, um Sicherheitsvorfälle zu verhindern, sind wir uns bewusst, dass wir auch darauf vorbereitet sein müssen, mit diesen Vorfällen umzugehen, sollten sie auftreten, um die möglichen Auswirkungen auf unsere Kunden und SafetyCulture zu minimieren.

Wir haben eine Reihe von Maßnahmen ergriffen, darunter:

  • Ein dokumentiertes Incident Management Verfahren, das unseren Prozess für den Umgang mit der Vertraulichkeit, Integrität und Verfügbarkeit unserer IT-Umgebung und Anwendungen definiert.
  • Ein engagiertes Team von SafetyCulture-Mitarbeitern, das über Ozeanien, die USA und Südostasien verteilt ist, um während eines Vorfalls Unterstützung zu leisten.
  • Disaster-Recovery-Pläne und Notfallstrategien, die ausgeführt werden können, um die Kontinuität des Betriebs während eines Vorfalls aufrechtzuerhalten. Dazu gehört die Nutzung mehrerer geografischer Verfügbarkeitszonen über Amazon Web Services und die Duplizierung von Daten über mehrere Systeme in jeder Zone. Dies gewährleistet einen kontinuierlichen Datenzugriff bei Vorfällen, die die Systemverfügbarkeit beeinträchtigen, und bietet Datenredundanz im Falle von System- oder Datenspeicherausfällen.

SafetyCulture benachrichtigt die betroffenen Kunden unverzüglich über schwere Vorfälle, die sich auf die Verfügbarkeit der SafetyCulture-Dienste oder -Daten auswirken, sowie über alle Vorfälle, die die Vertraulichkeit und Integrität der Benutzerdaten gemäß unserer SafetyCulture-Datenschutzerklärung beeinträchtigen.

Abschließender Kommentar

SafetyCulture betrachtet Cybersicherheit als einen grundlegenden Teil unseres Geschäfts und der Produkte, die wir Unternehmen auf der ganzen Welt zur Verfügung stellen. Obwohl die von uns eingesetzten Kontrollen und Maßnahmen weit über das hinausgehen, was hier behandelt wird, dient der vorliegende Inhalt dazu, ein Gesamtverständnis des vielschichtigen Ansatzes, den wir verfolgen, und unseres Engagements für die Sicherheit zu vermitteln.

Wenn Sie Fragen zum Inhalt haben oder weitere Informationen über unseren Ansatz zu Support, Sicherheit oder Datenschutz benötigen, kontaktieren Sie uns bitte unter den folgenden Kontaktdaten:

support@safetyculture.com

security@safetyculture.com

privacy@safetyculture.com