Einleitung
Vtiger-Informationen und Informationssysteme sind wertvolle Vermögenswerte und müssen geschützt werden. Dies wird erreicht, indem geeignete Sicherheitsrahmen für das Management von Risiken für Vtiger implementiert und die Geschäftskontinuität sichergestellt werden, indem Sicherheitsvorfälle verhindert und deren potenzielle Auswirkungen verringert werden.
Organisatorische Sicherheit
Richtlinien und Verfahren werden domänen- und geschäftsprozessübergreifend definiert und implementiert. Die Richtlinien werden verwendet, um Kontrollen zu testen und die Vertraulichkeit, Verfügbarkeit und Integrität von Vtiger-Informationen und Informationsressourcen zu schützen.
Mitarbeiterprüfung
Jeder Mitarbeiter wird überprüft, bevor er offiziell in das Unternehmen eintritt. Vtiger beschäftigt einen externen Drittanbieter, um die Hintergrundüberprüfung durchzuführen, einschließlich der Überprüfung von Strafregistern, etwaigen früheren Beschäftigungsunterlagen und des Bildungshintergrunds.
Training und Bewusstsein
Inhalte zum Sicherheitsbewusstsein werden in verschiedenen Teams erstellt und verbreitet, um sicherzustellen, dass die Mitarbeiter von Vtiger über Richtlinien zur Informationssicherheit, neu auftretende Bedrohungen und gemeinsame Angriffsmethoden informiert sind. Darüber hinaus werden Sicherheitsbewusstseins-Sitzungen durchgeführt, um das Bewusstsein für Bedrohungen, Sicherheitspraktiken und Unternehmensrichtlinien zu schärfen.
Physische Sicherheit
Die Unternehmenssicherheit von Vtiger ist für den Schutz der Vermögenswerte von Vtiger an physischen Standorten verantwortlich. Vtiger überwacht die Räumlichkeiten mit CCTV-Kameras. Abhängig von den Anforderungen für diesen Standort ist bis zu einem bestimmten Zeitraum Sicherungsmaterial verfügbar. Der Zugang zu den Räumlichkeiten wird unter Verwendung der Biometrie- und Schlüsselkartenidentifikation gewährt.
Bei Cloud-Ressourcen (wie AWS, DigitalOcean, OVH) sind Cloud-ISPs dafür verantwortlich, die Assets zu sichern und angemessene Sicherheitskontrollen aufrechtzuerhalten. Weitere Informationen dazu, wie die Sicherheitskontrollen des Internetdienstanbieters beschrieben werden HIER.
Betriebssicherheit
Diese Praktiken konzentrieren sich auf die Überwachung von Echtzeit-Kommunikationssystemen auf aktive Bedrohungen und Verfahren, um Informationssysteme zu schützen.
Protokollierung und Überwachung
Infrastruktur und Anwendungen werden rund um die Uhr mit proprietären und Enterprise-Tools überwacht. Wir überwachen den internen Verkehr in unserem Netzwerk sowie die Nutzung von Geräten und Terminals. Wir zeichnen Ereignisprotokolle, Überwachungsprotokolle, Fehlerprotokolle, Administratorprotokolle und Bedienerprotokolle auf. Diese Protokolle werden auf Anomalien und Vorfälle analysiert. Diese Protokolle werden sicher in einer isolierten Kapazität gespeichert.
Schwachstellenanalyse
Vtiger setzt außerdem ein Sicherheitsteam ein, um Schwachstellen in unserer Software zu ermitteln und zu beheben, und bietet unseren Mitgliedern der breiteren Community für Softwaresicherheit Anreize, Schwachstellen zu identifizieren und zu melden.
Sicherungskopie
Vtiger erstellt täglich Datenbank- und Dateisicherungen für jede Kundeninstanz. Diese Sicherung wird auf einem separaten Server gespeichert, um das Risiko eines Hardwarefehlers zu vermeiden. Im Falle eines solchen Fehlers kann der Daten- und Servicezugriff innerhalb von 8 Stunden wiederhergestellt werden.
Sicherheitspatches
Vtiger führt vorbeugende Wartungsarbeiten durch, um sich vor potenziellen Schwachstellen zu schützen, indem Patches bereitgestellt werden, sobald sie intern entwickelt oder anderweitig verfügbar werden.
Datensicherheit
Daten sind der Schlüssel zum Geschäft. Um die Vertraulichkeit, Verfügbarkeit und Integrität der Daten jederzeit zu gewährleisten, befolgen wir strenge Richtlinien, die sich auf unsere Architektur, Entwicklung und den Betrieb beziehen.
Ingenieurspraktiken
Die Entwicklungsteams befolgen die Richtlinien für die sichere Codierung sowie die manuelle Überprüfung / Überprüfung des Codes, bevor er in der Produktion eingesetzt wird.
Die Richtlinien für die sichere Codierung basieren auf OWASP-Standards und werden entsprechend implementiert, um vor allgemeinen Bedrohungen und Angriffsmethoden (wie SQL-Injection, Cross Site Scripting) innerhalb der Anwendungsschicht zu schützen.
Datenisolation
Vtiger folgt einer Single-Tenant-Architektur, daher wird jeder Instanz ein eigener separater Bereich zugewiesen. Diese Instanzen kennen keine anderen Instanzen und werden daher separat ausgeführt.
Verschlüsselung
Auf der Durchreise
Alle zwischen Ihrem Browser und den Servern von Vtiger übertragenen Daten sind mit dem Industriestandard TLS 1.2 / 1.3 gesichert. Dies umfasst Webapps, API, mobile Apps und den Zugriff auf IMAP / POP / SMTP-E-Mail-Clients.
Wir haben sichere Konfigurationen wie PFS (Perfect Forward Secrecy) und HSTS (HTTP Strict Transport Security Header) für den gesamten Webverkehr aktiviert. Dies erfordert, dass der Browser nur über einen verschlüsselten Kommunikationskanal eine Verbindung herstellt.
Im Ruhezustand
Speicherfestplatten aller Server werden mit der Verschlüsselung auf Festplattenebene verschlüsselt.
Kundendaten, die vertrauliche Felder verwenden, werden mit dem 256-Bit-Advanced Encryption Standard (AES) verschlüsselt. Für die Schlüsselverwaltung verwenden wir den AWS Key Management Service (KMS).
Backups werden mit AES-256 in AWS S3 verschlüsselt.
Vorratsdatenspeicherung und -löschung
Wir speichern Kundendaten, solange sie aktive Abonnenten des Dienstes sind. Im Falle einer Stornierung oder Inaktivität stellen die folgenden Regeln die Datenentsorgung sicher.
Bei Testkonten, die kein kostenpflichtiges Abonnement starten, werden die Daten 12 Tage nach Ende der Testversion gelöscht.
Bei bezahlten Konten, die storniert werden, werden die Daten 90 Tage nach dem Kündigungsdatum des Kontos gelöscht.
Bei bezahlten Konten mit einem Zahlungsausfall wird das Konto innerhalb von 15-Tagen gesperrt und nach 90-Tagen geschlossen. Alle Daten werden 1 eine Woche nach Kontoauflösung gelöscht.
Bei kostenlosen Konten werden Daten nach 60 Tagen Inaktivität gelöscht.
Die für die Rechnungserstellung verwendeten Rechnungsdaten werden für geschäftliche Zwecke 7 Jahre lang aufbewahrt.
Datenort
Die Server von Vtiger befinden sich in den USA, Großbritannien, der Europäischen Union (Irland, Frankfurt), den Vereinigten Arabischen Emiraten, Australien, Singapur, Japan und Indien. Der Server, auf dem Ihre Daten gespeichert werden, hängt von der Region ab, in der Sie sich zum Zeitpunkt des Starts Ihrer kostenlosen Vtiger-Testversion befinden.
Incident Management
Prozess, der die Aktivitäten einer Organisation beschreibt, um Gefahren zu identifizieren, zu analysieren und zu korrigieren, um ein zukünftiges Wiederauftreten zu verhindern. Wenn ein Vorfall nicht bewältigt wird, kann er zu einem Notfall, einer Krise oder einer Katastrophe eskalieren.
Reporting
Vtiger erstellt täglich Datenbank- und Dateisicherungen für jede Kundeninstanz. Diese Sicherung wird auf einem separaten Server gespeichert, um das Risiko eines Hardwarefehlers zu vermeiden. Im Falle eines solchen Fehlers kann der Daten- und Servicezugriff innerhalb von 8 Stunden wiederhergestellt werden.
Engagierte Teams sind dafür verantwortlich, verschiedene Vorfälle in der für Sie zutreffenden Umgebung zu untersuchen. Wir befolgen die obligatorischen Maßnahmen zur Behandlung und Meldung. Wir verfolgen die Grundursache des Problems und treffen Vorsichtsmaßnahmen, um dies in Zukunft zu vermeiden. Weitere Maßnahmen und Kontrollen werden eingeführt, um ähnliche Situationen abzumildern.
Benachrichtigung über Verstöße
Wenn auf Serviceebene ein Verstoß festgestellt wird, benachrichtigt Vtiger seine Kunden und die betroffenen Behörden innerhalb von 72 Stunden nach der Feststellung.