Umfang Sicherheit Support

Transkript

1

2 Acrolinx Enterprise Hosting Acrolinx Enterprise Hosting ermöglicht es Ihnen, die Acrolinx-Plattform in einer sicheren und skalierbaren Umgebung einzusetzen, ohne Zeit, Ressourcen und Ausgaben in eine eigene Infrastruktur zu investieren. Zusammen mit Amazon Web Services (AWS EC2) und Managed Services von Datapipe bietet die Acrolinx-Lösung eine globale Reichweite, erweiterten Schutz und eine flexible Nutzung, die Sie je nach Bedarf skalieren können. Die Lösung umfasst: Umfang Sicherheit Support Acrolinx On-Premise Edition 24/7 Managed Services Zertifizierung nach ISO Application Monitoring Tägliches Backup über Nacht, 45 Tage Aufbewahrung, 4 Stunden Wiederherstellungszeit Verfügbarkeit: 99,8 % (exkl. Wartungsfenster) Rechenzentren in Oregon, Irland, North California, North Virginia, São Paulo, Frankfurt, Tokio, Singapur und Sydney SSL-gesicherte Datenübertragung Web Application Firewall Antivirus Erweiterte Sicherheitsoptionen: verschlüsselte Datenspeicherung, verschlüsselte Backups, Intrusion Detection System, wöchentliches Vulnerability Assessment, Event Management mit Log Manager, erweiterte Änderungskontrolle, kontinuierliche Auditierung Supportzeiten nach Wahl: Mo Fr 9 18 Uhr CET/CEST oder Mo Fr 7 17 Uhr EST/ EDT, mit Ausnahme der gesetzlichen Feiertage in Berlin Reaktionszeit von 4 Stunden bei dringenden Fällen Reaktionszeit von 1 Tag bei normalen Fällen

3 Lösungsdetails SKALIERBARKEIT SICHERHEIT Zertifizierung nach ISO Acrolinx hat sich mit dem globalen Managed Services Provider Datapipe zusammengeschlossen, um auf der Infrastruktur der Amazon Web Services (AWS EC2) Hosting Services für unsere Software-Plattform anzubieten, die nach dem Stand der Technik gesichert sind. Datapipe hat eine Zertifizierung gemäß ISO 27001, die sowohl 24/7 Managed und Co-Location Hosting Services abdeckt als auch vorherrschende Best Practices des IT-Servicemanagements, die Personen, Prozesse und Anlagen betreffen. Datapipe übernimmt die Inbetriebnahme sowie die Wartung der Acrolinx-Applikation. Die Amazon Web Services (AWS) sind ebenfalls ISO zertifiziert. Bitte beachten Sie: Acrolinx erfüllt die höchsten technischen Standards für Softwareentwicklung, ist aber nicht ISO zertifiziert. Bei unseren gehosteten Lösungen setzen wir unsere Software jedoch mittels der Managed Services von Datapipe ein. Der ISO-zertifizierte Anbieter Datapipe verwaltet die Acrolinx-Plattform im Auftrag von Acrolinx und seinen Kunden gemäß Standard Operating Procedures (SOPs). Damit halten alle Parteien, die Zugang zu Kundendaten haben, den ISO Standard ein. Malware-Schutz Der Malware Protection Service von Datapipe liefert proaktiven Schutz gegen immer ausgeklügeltere und gezieltere Cyber-Bedrohungen, ohne dabei viele Server-Ressourcen zu verbrauchen. Der Dienst arbeitet schnell und im Hintergrund, sodass Sie sich auf wesentliche Aufgaben konzentrieren können. Zur proaktiven Erkennung von sich ständig verändernden Bedrohungen setzt Datapipes Malware Protection Service fortschrittliche Heuristiken ein. Datapipe konfiguriert Anti-Malware-Agenten, die Systeme aktiv nach Malware durchsuchen. Wenn Malware erkannt wird, versucht Datapipe automatisch, infizierte Dateien zu säubern oder in Quarantäne zu stellen. Der Anti-Malware-Agent leitet alle Ereignisse direkt an eine zentrale, von Datapipe verwaltete Konsole weiter, die täglich von der Datapipe-Sicherheitsabteilung überprüft wird. Wenn Malware entdeckt wird, die eine Eskalation erfordert, analysiert Datapipe die Situation und kontaktiert den Kunden gemäß zuvor festgelegter Eskalationsverfahren.

4 Web Application Firewall (WAF) Für den Service der Web Application Firewall (WAF) nutzt Datapipe die SecureSphere Web Application Firewall von Imperva, um Webangriffe und damit verbundene, kostspielige Datenlecks und Ausfallzeiten zu verhindern. SecureSphere WAF kombiniert automatische Anwendungslernfunktionen mit aktualisierten Schutzrichtlinien und Signaturen aus dem Imperva Application Defense Center. Während der ersten Inbetriebnahme der WAF arbeitet das Sicherheitsteam von Datapipe direkt mit dem Kunden, um Feineinstellungen der WAF vorzunehmen und sie nahtlos in Applikationen zu integrieren. Ein sicheres Onboarding sorgt dafür, dass die WAF dem Kunden maximalen Schutz bietet. Dazu zählt unter anderem die Konfiguration der WAF für die Analyse bestimmter Webseiten, Entschlüsselung von SSL-Traffic, Whitelisting und/oder Blockieren von IP-Adressen, Reputationsanalysen und Geoblocking. Kunden können blockierte Sicherheitsbedrohungen schnell anhand von grafischen Berichten analysieren, die via versendet werden

5 ERWEITERTE SICHERHEITSOPTIONEN Erweiterte Änderungskontrolle Die Änderungskontrolle ist ein formaler Prozess, um sicherzustellen, dass Änderungen an einem System oder Gerät in kontrollierter und koordinierter Weise durchgeführt werden. Das Ziel ist, unerwünschte Auswirkungen und generelle Sicherheitsrisiken zu reduzieren. Datapipe integriert die folgenden notwendigen internen Verfahren, um die Änderungskontrolle in einer regulierten und sicheren Umgebung zu verfolgen: Dokumentation der Auswirkungen, Dokumentation aller Änderungsfreigaben durch autorisierte Personen, Funktionstests zum Nachweis, dass die Änderung sich nicht negativ auf die Sicherheit des Systems auswirkt, sowie Back-out-Verfahren. und -minderung zu empfehlen. Bei Vorfällen, die eine Eskalation rechtfertigen, kontaktiert Datapipe den Kunden gemäß zuvor festgelegter Eskalationsverfahren. Intrusion Detection Datapipes Intrusion Detection Service verbindet Alert Logics Threat Manager mit einer benutzerdefinierten Vorfallsreaktion. Eine passive Appliance analysiert den Client-Netzwerk-Traffic in physischen oder Cloud-Umgebungen und übermittelt Sicherheitsvorfälle sicher an Alert Logic zur Analyse verdächtiger Muster. Wenn durch die Ereigniskorrelation ein Event Management mit Log Review Für seinen Event Management Service nutzt Datapipe die Log Manager und LogReview Services von Alert Logic, um Log-Daten nahtlos über physische und Cloud-Umgebungen hinweg zu sammeln, zu normieren und zu überprüfen. Durch eine intuitiv zu bedienende Enterprise-Webkonsole inklusive Echtzeit-Log-Viewer, benutzerdefinierten Warnmeldungen, vorkonfigurierten Berichten und leistungsfähigen Analysetools sind alle Log-Daten auf einen Blick verfügbar. Log-Daten werden mindestens ein Jahr lang sicher aufbewahrt. Die Plattform ist gegen Verluste, unberechtigte Zugriffe oder Modifikationen geschützt und in Rechenzentren untergebracht, die nach SSAE 16 Typ II geprüft sind. LogReview wird täglich von automatisierten intelligenten Systemen und zertifizierten Sicherheitsfachleuten von Alert Logic durchgeführt. Dabei werden Ihre Log-Daten auf potenzielle Sicherheitsvorfälle wie Kontosperrungen, fehlgeschlagene Anmeldungen, neue Superuser-Accounts und unzulässige Zugriffsversuche analysiert. Wenn ein potenzieller Sicherheitsvorfall entdeckt wird, legt Alert Logic einen Log Review Case an und arbeitet direkt mit dem Sicherheitsteam von Datapipe zusammen, um Aktionen zur Risikoeindämmung

6 Vorfall oder eine verdächtige Netzwerkaktivität entdeckt wird, ermittelt das rund um die Uhr verfügbare ActiveWatch-Team von Alert Logic umgehend die Schwere der Bedrohung, um Sicherheitsüberprüfungen zu priorisieren. Zertifizierte Sicherheitsexperten arbeiten direkt mit dem Sicherheitsteam von Datapipe zusammen, um für alle erkannten Bedrohungen Aktionen zur Risikoeindämmung und -minderung zu empfehlen. Bei Vorfällen, die eine Eskalation rechtfertigen, kontaktiert Datapipe den Kunden gemäß zuvor festgelegter Eskalationsverfahren. Auf Wunsch implementiert Datapipe automatische Sperren durch eine Integration in die Netzwerkfirewall des Kunden. Zusätzlich kann Datapipe eine regelmäßige Approved Scanning Vendor (ASV) Schwachstellenanalyse der Umgebung anbieten. Vulnerability Assessment Für den Vulnerability Assessment Service nutzt Datapipe Nexpose Enterprise von Rapid7, um ein effektives Schwachstellen-Management zu gewährleisten und relevante Bedrohungen aufzudecken. Eine automatisierte Asset-Klassifizierung und Risiko-Priorisierung zeigen Ihnen Schwachstellen auf und lassen Sie Risiken priorisieren und effektiv verwalten. Das intelligente Scanning-System emuliert von Angreifern genutzte Techniken, um mit dem Wissen über frühere Exploits zusätzliche Schwachstellen zu identifizieren. So gelangen Sie zu einer umfassenderen Risikobewertung. Mit einem nicht-invasiven internen Scanner konfiguriert Datapipe wöchentliche Scans, um die Lösung von Kunden auf Sicherheitsbedrohungen zu überprüfen. Aktuelle und vergangene Scan-Ergebnisse können über Datapipes Enterprise-Webkonsole abgerufen werden. Über die Enterprise-Konsole können Sie zudem PDF-Berichte generieren, Ausnahmen für Schwachstellen einreichen und einsehen, On-Demand-Scans durchführen und sich einen schnellen Überblick über Risiken in der gesamten Umgebung verschaffen. Bei Support-Bedarf richten Sie sich an das geschulte Personal von Datapipe, das Ihnen bei der Behebung von Schwachstellen sowie beim Erstellen von Ausnahmen für Scan-Ergebnisse weiterhilft. Der Vulnerability Assessment Service von Datapipe hilft Ihnen, interne und/oder regulatorische Compliance-Anforderungen zu erfüllen. Kontinuierliche Auditierung Für den Configuration Assessment Service setzt Datapipe sowohl zur Verwaltung von Systemrichtlinien als auch für das Integritätsmanagement Tripwire Enterprise ein. Tripwire gewährleistet die kontinuierliche Integrität der Sicherheitskonfigurationen und die vollständige Sichtbarkeit aller Änderungen. Das File Integrity Monitoring (FIM) macht alle Änderungen auf Client-Systemen sichtbar. Änderungsattribute enthalten Information darüber, welche kritischen Datei- und Registrierungsänderungen wann und wie erfolgten. Datapipe konfiguriert Tripwire-Agenten so, dass diese mindestens einmal am Tag nach Änderungen suchen und Kunden sowie das Datapipe-Sicherheitspersonal bei einem Fund sofort benachrichtigen. Die detaillierten Änderungsberichte enthalten einen kompletten Audit-Trail der Änderung, sodass Sie schnell feststellen können, ob die Änderung autorisiert war oder überprüft werden muss. Durch spezifische Regelsets für jedes Betriebssystem kann Datapipe sich bei den Audits auf jeweils kritische Änderungsbereiche konzentrieren. Darüber hinaus können Kunden weitere kritische Dateispeicherorte bestimmen, die mit in die Überwachungs- und Warnungsabläufe einbezogen werden. Im Zuge der kontinuierlichen Auditierung implementiert Datapipe branchenübliche Benchmarks wie zum Beispiel den Payment Card Industry Data Security Standard (PCI DSS) und Center for Internet Security (CIS) und passt Ihre Systemkonfiguration entsprechend an. Das gehärtete System überprüft Tripwire mindestens einmal pro Woche auf Compliance-Verletzungen. Wenn die Sicherheitsrichtlinien des Systems von der Baseline abweichen, wird ein detaillierter Störungsbericht mit empfohlenen Gegenmaßnahmen versendet.

7 Support Um Ihren Erfolg zu sichern, bietet Acrolinx globale Support-Optionen. Unsere Service-Level- Commitments basieren auf den folgenden Prioritäten: Dringende Priorität Hohe Priorität Normale Priorität Geringe Priorität Eine Störung, die den Gebrauch der Software in einer Produktionsumgebung komplett oder größtenteils verhindert, sodass Sie nicht arbeiten können. Die Störung unterbricht Ihre Geschäftsabläufe und es gibt keinen Workaround. Eine Störung, die sich schwerwiegend auf den Gebrauch der Software in einer Produktionsumgebung auswirkt. Ein Großteil des Unternehmens kann die Software nicht nutzen. Die Software funktioniert, aber die Störung führt zu erheblichen Einschränkungen, für die es keinen Workaround gibt. Eine Störung, durch die die Software in einer Produktionsoder Entwicklungsumgebung partiell, nicht aber in kritischem Ausmaß, ausfällt. Die Störung hat mittlere bis geringe Auswirkungen auf Ihren Betrieb. Ihr Betrieb funktioniert weiterhin, gegebenenfalls auch durch einen Workaround. Eine generelle Frage zum Gebrauch, Meldung eines Dokumentationsfehlers, Empfehlung für zukünftige Produktverbesserung oder -änderung. Es bestehen geringe bis mittlere Auswirkungen auf Ihren Betrieb oder die Leistung oder Funktionalität Ihres Systems. Reaktionszeit (max.): 4 Stunden Reaktionszeit (max.): 1 Arbeitstag Reaktionszeit (max.): 1 Arbeitstag Reaktionszeit (max.): 5 Arbeitstage

8