Diese Sicherheitsrichtlinie beschreibt die Maßnahmen, Verfahren und Richtlinien, die Guardey befolgt, um die Sicherheit von Daten und Systemen zu gewährleisten. Diese Richtlinie gilt für alle Mitarbeiter, Auftragnehmer und Dritte, die Zugriff auf die Systeme und Daten von Guardey haben.
Guardey zielt darauf ab:
• Die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu schützen.
• Unbefugten Zugriff und Bedrohungen zu verhindern.
• Relevante Gesetze, Vorschriften und Industriestandards einzuhalten.
• Least Privilege: Zugriff wird nur auf die notwendigen Daten und Systeme gewährt.
• Verantwortlichkeit: Jeder innerhalb von Guardey ist für die Einhaltung der Sicherheitsmaßnahmen verantwortlich.
• Identifikation und Authentifizierung: Alle Benutzer müssen sich über Multi-Faktor-Authentifizierung (2FA) per E-Mail authentifizieren. Single Sign-On (SSO) über Microsoft wird ebenfalls genutzt, um den Zugriff zu optimieren und abzusichern.
• Autorisierung: Guardey verwendet ein rollenbasiertes Zugriffssteuerungsmodell (RBAC), das Organisationseinheiten, Benutzerkonten und Benutzergruppen regelt.
• Kontoverwaltung: Die Erstellung, Pflege und Löschung von Konten folgen streng definierten Verfahren.
• Verschlüsselung: Alle Daten während der Übertragung sind mit TLS geschützt.
• Datenklassifizierung: Daten werden basierend auf ihrer Sensibilität klassifiziert und entsprechend behandelt.
• Backups: Tägliche Backups der Datenbank werden erstellt und verschlüsselt in mehreren Regionen innerhalb unseres Hostings gespeichert. Im Falle eines Verlusts von Produktionsdaten können diese Backups zur Wiederherstellung der Daten verwendet werden.
• Firewall: Guardey nutzt die Cloudflare Web Application Firewall (WAF), um Anwendungen vor Angriffen zu schützen.
• Netzwerksegmentierung: Eine dedizierte Produktionsumgebung wird aufrechterhalten, wodurch sichergestellt wird, dass Kundendaten niemals in Nicht-Produktionssystemen gespeichert oder verarbeitet werden.
• Intrusion Detection: Kontinuierliche Überwachung und Protokollierung der Netzwerkinfrastruktur zur Erkennung und Verhinderung unbefugter Zugriffe.
• Entwicklungsrichtlinien: Entwickler befolgen Sicherheitsrichtlinien und Best Practices für sichere Programmierung.
• Sichere Anwendungsentwicklung: Alle unsere Codeänderungen werden von einem zweiten Entwickler und mittels CI auf Qualität, Fehler und Schwachstellen überprüft.
Anschließend werden die Änderungen in einer Pre-Production-Umgebung erneut überprüft. Wenn alles ordnungsgemäß funktioniert, kann einer unserer Administratoren die Änderung genehmigen, woraufhin ein automatischer Rollout der Änderung in der Produktionsumgebung erfolgt.
• Schwachstellenmanagement: Regelmäßige Scans und Updates zur Identifizierung und Behebung von Schwachstellen.
• Sicherheitstests: Regelmäßige Penetrationstests und Code-Reviews.
• Rechenzentren: Die Daten von Guardey werden in sicheren Rechenzentren in den Niederlanden (EU) gehostet, um den EU-Datenschutz- und -Privatsphäre-Vorschriften zu entsprechen. Diese Rechenzentren nutzen physische Zugangsbeschränkungen, Überwachungssysteme und Umweltschutzmaßnahmen.
• Zugang zu physischen Standorten: Nur autorisiertes Personal hat Zugang zu sensiblen Bereichen.
• Incident Response Plan: Detaillierte Verfahren zur Meldung und Bearbeitung von Sicherheitsvorfällen.
• Kommunikation: Definierte interne und externe Kommunikationsprotokolle während Vorfällen.
• Forensik: Untersuchung und Analyse von Vorfällen zur Ermittlung von Ursachen und Auswirkungen.
• Überwachungstools: Guardey setzt verschiedene Überwachungstools ein, um Änderungen an seiner Infrastruktur zu überwachen und zu verwalten.
• Protokollierung: Alle Änderungen und Aktionen innerhalb der Guardey-Umgebung werden akribisch protokolliert. Alarme werden basierend auf der Schwere oder dem potenziellen Einfluss von Änderungen generiert.
• Datenlöschung: Kunden sind für ihre Daten verantwortlich und können Guardey anweisen, alle ihre Daten gemäß den geltenden Gesetzen zu löschen, es sei denn, Vorschriften schreiben eine Aufbewahrung vor.
• Qualys SSL Labs: Guardey verfügt über eine A-Bewertung.
• Regulatorische Compliance: Guardey stellt sicher, dass alle Sicherheitsmaßnahmen den relevanten Gesetzen und Vorschriften, wie der DSGVO, entsprechen.
• Überprüfung und Aktualisierungen: Diese Richtlinie wird regelmäßig überprüft und aktualisiert, um sicherzustellen, dass sie mit sich ändernden Bedrohungen und Technologien im Einklang bleibt.
• Überwachung und Durchsetzung: Guardey überwacht und setzt die Einhaltung dieser Richtlinie bei allen beteiligten Parteien durch.
Bei Guardey praktizieren wir, was wir predigen. Als Unternehmen, das Security Awareness Training durch wöchentliche Nano-Learning-Sessions anbietet, stellen wir sicher, dass alle unsere Mitarbeiter ebenfalls intensiv mit unserem eigenen Produkt geschult werden. Dies hält unser Team nicht nur über die neuesten Sicherheitspraktiken auf dem Laufenden, sondern demonstriert auch unser internes Engagement für Sicherheit. Unsere Mitarbeiter nehmen an diesen ansprechenden und informativen Trainingseinheiten teil, wodurch Security Awareness stets präsent ist.