Sicherheitsüberblick

Einleitung

Vtiger-Informationen und Informationssysteme sind wertvolle Vermögenswerte und müssen geschützt werden. Dies wird erreicht, indem geeignete Sicherheitsrahmen für das Management von Risiken für Vtiger implementiert und die Geschäftskontinuität sichergestellt werden, indem Sicherheitsvorfälle verhindert und deren potenzielle Auswirkungen verringert werden.

Organisatorische Sicherheit

Richtlinien und Verfahren werden domänen- und geschäftsprozessübergreifend definiert und implementiert. Die Richtlinien werden verwendet, um Kontrollen zu testen und die Vertraulichkeit, Verfügbarkeit und Integrität von Vtiger-Informationen und Informationsressourcen zu schützen.

Mitarbeiterprüfung

Jeder Mitarbeiter wird überprüft, bevor er offiziell in das Unternehmen eintritt. Vtiger beschäftigt einen externen Drittanbieter, um die Hintergrundüberprüfung durchzuführen, einschließlich der Überprüfung von Strafregistern, etwaigen früheren Beschäftigungsunterlagen und des Bildungshintergrunds.

Training und Bewusstsein

Inhalte zum Sicherheitsbewusstsein werden in verschiedenen Teams erstellt und verbreitet, um sicherzustellen, dass die Mitarbeiter von Vtiger über Richtlinien zur Informationssicherheit, neu auftretende Bedrohungen und gemeinsame Angriffsmethoden informiert sind. Darüber hinaus werden Sicherheitsbewusstseins-Sitzungen durchgeführt, um das Bewusstsein für Bedrohungen, Sicherheitspraktiken und Unternehmensrichtlinien zu schärfen.

Physische Sicherheit

Die Unternehmenssicherheit von Vtiger ist für den Schutz der Vermögenswerte von Vtiger an physischen Standorten verantwortlich. Vtiger überwacht die Räumlichkeiten mit CCTV-Kameras. Abhängig von den Anforderungen für diesen Standort ist bis zu einem bestimmten Zeitraum Sicherungsmaterial verfügbar. Der Zugang zu den Räumlichkeiten wird unter Verwendung der Biometrie- und Schlüsselkartenidentifikation gewährt.

Bei Cloud-Ressourcen (wie AWS, DigitalOcean, OVH) sind Cloud-ISPs dafür verantwortlich, die Assets zu sichern und angemessene Sicherheitskontrollen aufrechtzuerhalten. Weitere Informationen dazu, wie die Sicherheitskontrollen des Internetdienstanbieters beschrieben werden hier.

Betriebssicherheit

Diese Praktiken konzentrieren sich auf die Überwachung von Echtzeit-Kommunikationssystemen auf aktive Bedrohungen und Verfahren, um Informationssysteme zu schützen.

Protokollierung und Überwachung

Infrastruktur und Anwendungen werden rund um die Uhr mit proprietären und Enterprise-Tools überwacht. Wir überwachen den internen Verkehr in unserem Netzwerk sowie die Nutzung von Geräten und Terminals. Wir zeichnen Ereignisprotokolle, Überwachungsprotokolle, Fehlerprotokolle, Administratorprotokolle und Bedienerprotokolle auf. Diese Protokolle werden auf Anomalien und Vorfälle analysiert. Diese Protokolle werden sicher in einer isolierten Kapazität gespeichert.

Schwachstellenanalyse

Vtiger setzt außerdem ein Sicherheitsteam ein, um Schwachstellen in unserer Software zu ermitteln und zu beheben, und bietet unseren Mitgliedern der breiteren Community für Softwaresicherheit Anreize, Schwachstellen zu identifizieren und zu melden.

Sicherungskopie

Vtiger erstellt täglich Datenbank- und Dateisicherungen für jede Kundeninstanz. Diese Sicherung wird auf einem separaten Server gespeichert, um das Risiko eines Hardwarefehlers zu vermeiden. Im Falle eines solchen Fehlers kann der Daten- und Servicezugriff innerhalb von 8 Stunden wiederhergestellt werden.

Sicherheitspatches

Vtiger führt vorbeugende Wartungsarbeiten durch, um sich vor potenziellen Schwachstellen zu schützen, indem Patches bereitgestellt werden, sobald sie intern entwickelt oder anderweitig verfügbar werden.

Datensicherheit

Daten sind der Schlüssel zum Geschäft. Um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten jederzeit zu gewährleisten, befolgen wir strenge Richtlinien, die sich auf unsere Architektur, Entwicklung und den Betrieb beziehen.

Ingenieurspraktiken

Die Entwicklungsteams befolgen die Richtlinien für die sichere Codierung sowie die manuelle Überprüfung / Überprüfung des Codes, bevor er in der Produktion eingesetzt wird.

Die Richtlinien für die sichere Codierung basieren auf OWASP-Standards und werden entsprechend implementiert, um vor allgemeinen Bedrohungen und Angriffsmethoden (wie SQL-Injection, Cross Site Scripting) innerhalb der Anwendungsschicht zu schützen.

Datenisolation

Vtiger folgt einer Single-Tenant-Architektur, daher wird jeder Instanz ein eigener separater Bereich zugewiesen. Diese Instanzen kennen keine anderen Instanzen und werden daher separat ausgeführt.

Verschlüsselung

Auf der Durchreise

Alle zwischen Ihrem Browser und den Servern von Vtiger übertragenen Daten sind mit dem Industriestandard TLS 1.2 / 1.3 gesichert. Dies umfasst Webapps, API, mobile Apps und den Zugriff auf IMAP / POP / SMTP-E-Mail-Clients.

Wir haben sichere Konfigurationen wie PFS (Perfect Forward Secrecy) und HSTS (HTTP Strict Transport Security Header) für den gesamten Webverkehr aktiviert. Dies erfordert, dass der Browser nur über einen verschlüsselten Kommunikationskanal eine Verbindung herstellt.

 Im Ruhezustand

Speicherfestplatten aller Server werden mit der Verschlüsselung auf Festplattenebene verschlüsselt.

Kundendaten, die vertrauliche Felder verwenden, werden mit dem 256-Bit-Advanced Encryption Standard (AES) verschlüsselt. Für die Schlüsselverwaltung verwenden wir den AWS Key Management Service (KMS).

Backups werden mit AES-256 in AWS S3 verschlüsselt.

Vorratsdatenspeicherung und -löschung

Wir speichern Kundendaten, solange sie aktive Abonnenten des Dienstes sind. Im Falle einer Stornierung oder Inaktivität stellen die folgenden Regeln die Datenentsorgung sicher.

Bei Testkonten, die kein kostenpflichtiges Abonnement starten, werden die Daten 12 Tage nach Ende der Testversion gelöscht.

Bei bezahlten Konten, die storniert werden, werden die Daten 90 Tage nach dem Kündigungsdatum des Kontos gelöscht.

Bei bezahlten Konten mit einem Zahlungsausfall wird das Konto innerhalb von 15-Tagen gesperrt und nach 90-Tagen geschlossen. Alle Daten werden 1 eine Woche nach Kontoauflösung gelöscht.

Bei kostenlosen Konten werden Daten nach 60 Tagen Inaktivität gelöscht.

Die für die Rechnungserstellung verwendeten Rechnungsdaten werden für geschäftliche Zwecke 7 Jahre lang aufbewahrt.

Datenort

Die Server von Vtiger befinden sich in den Vereinigten Staaten, Großbritannien, der Europäischen Union (Irland, Frankfurt), Australien, Singapur, Japan und Indien. Der Server, auf dem Ihre Daten gespeichert werden, hängt von der Region ab, in der Sie sich zum Zeitpunkt des Starts Ihrer kostenlosen Vtiger-Testversion befinden.

Incident Management

Prozess, der die Aktivitäten einer Organisation beschreibt, um Gefahren zu identifizieren, zu analysieren und zu korrigieren, um ein zukünftiges Wiederauftreten zu verhindern. Wenn ein Vorfall nicht bewältigt wird, kann er zu einem Notfall, einer Krise oder einer Katastrophe eskalieren.

Reporting

Vtiger erstellt täglich Datenbank- und Dateisicherungen für jede Kundeninstanz. Diese Sicherung wird auf einem separaten Server gespeichert, um das Risiko eines Hardwarefehlers zu vermeiden. Im Falle eines solchen Fehlers kann der Daten- und Servicezugriff innerhalb von 8 Stunden wiederhergestellt werden.

Engagierte Teams sind dafür verantwortlich, verschiedene Vorfälle in der für Sie zutreffenden Umgebung zu untersuchen. Wir befolgen die obligatorischen Maßnahmen zur Behandlung und Meldung. Wir verfolgen die Grundursache des Problems und treffen Vorsichtsmaßnahmen, um dies in Zukunft zu vermeiden. Weitere Maßnahmen und Kontrollen werden eingeführt, um ähnliche Situationen abzumildern.

Benachrichtigung über Verstöße

Wenn auf Serviceebene ein Verstoß festgestellt wird, benachrichtigt Vtiger seine Kunden und die betroffenen Behörden innerhalb von 72 Stunden nach der Feststellung.