Sicherheit der Organisation

Wir haben ein Informationssicherheitsmanagementsystem (ISMS) implementiert, das unsere Sicherheitsziele sowie die Risiken und deren Reduzierungen für alle interessierten Parteien berücksichtigt. Wir verwenden strenge Kriterien und Verfahren, die Sicherheit, Verfügbarkeit, Verarbeitung, Integrität und Vertraulichkeit der Kundendaten umfassen.

Überprüfungen der Vorgeschichte von Mitarbeitern und Partnern

Jeder Mitarbeiter oder Partner è einem Überprüfungsprozess seiner Vergangenheit unterzogen. Wir ziehen renommierte externe Agenturen hinzu, um diese Kontrolle in unserem Namen durchzuführen. Wir tun dies, um die Strafregister, die vorherigen Berufserfahrungen, falls vorhanden, und die Bildungsabschlüsse zu überprüfen. Bis diese Kontrolle durchgeführt wird, werden dem Mitarbeiter oder Partner keine Tätigkeiten zugewiesen, die Risiken für die Benutzer darstellen könnten.

Sicherheitsbewusstsein

Jeder Mitarbeiter oder Partner unterschreibt bei der Einstellung eine Geheimhaltungsvereinbarung und eine Richtlinie für akzeptable Nutzung, danach nimmt er an Schulungen zu Informationssicherheit, Datenschutz und Compliance teil. Darüber hinaus bewerten wir das Ausbildungsniveau des Mitarbeiters oder Partners durch Tests und Quizze, um festzustellen, welche Themen weiter vertieft werden müssen. Wir bieten Schulungen zu spezifischen Aspekten der Sicherheit an, die der Mitarbeiter oder Partner je nach seiner Rolle benötigen könnte. Wir bilden unsere Mitarbeiter und Partner kontinuierlich in den Bereichen Informationssicherheit, Datenschutz und Compliance in unserer internen Community aus, auf die unsere Mitarbeiter und Partner regelmäßig zugreifen, um sich ständig über die Sicherheitspraktiken der Organisation auf dem Laufenden zu halten. Außerdem organisieren wir interne Veranstaltungen, um das Bewusstsein zu schärfen und Innovationen im Bereich Sicherheit und Datenschutz zu fördern.

Teams, die sich der Sicherheit und dem Datenschutz widmen

Wir verfügen über dedizierte Teams für Sicherheit und Datenschutz, die unsere Sicherheits- und Datenschutzprogramme implementieren und verwalten. Diese Teams entwerfen und verwalten unsere Verteidigungssysteme, entwickeln Überprüfungsprozesse für die Sicherheit und überwachen ständig unsere Netzwerke, um verdächtige Aktivitäten zu erkennen. Sie bieten spezifische Beratungsdienste und Richtlinien für das Fachgebiet an unsere Designteams.

Interne Überprüfung und Konformität

Wir verfügen über ein dediziertes Compliance-Team, das die Verfahren und Richtlinien von Framework360 überprüft, um sie an die Standards anzupassen und festzustellen, welche Kontrollen, Prozesse und Systeme erforderlich sind, um die Standards zu erfüllen. Dieses Team führt außerdem regelmäßige interne Prüfungen durch und erleichtert unabhängige Kontrollen und Bewertungen durch Dritte. Für weitere Details siehe unser Compliance-Portfolio.

Endpoint-Sicherheit

Alle Arbeitsstationen, die den Mitarbeitern und Partnern zur Verfügung gestellt werden, führen eine aktualisierte Version des Betriebssystems aus und sind mit Antivirensoftware ausgestattet. Sie sind so konfiguriert, dass sie unseren Sicherheitsstandards entsprechen, die verlangen, dass alle Arbeitsstationen korrekt konfiguriert, mit angewendeten Patches installiert und von den Endpoint-Management-Lösungen von Framework360 überwacht werden. Diese Arbeitsstationen sind standardmäßig sicher, da sie so konfiguriert sind, dass sie ruhende Daten verschlüsseln, über komplexe Passwörter verfügen und sich bei Inaktivität sperren. Die mobilen Geräte, die für geschäftliche Zwecke verwendet werden, sind im Mobile Device Management-System registriert, um sicherzustellen, dass sie unseren Sicherheitsstandards entsprechen.

Physische Sicherheit im Arbeitsumfeld

Wir kontrollieren den Zugang zu unseren Ressourcen (Gebäude, Infrastrukturen und Einrichtungen), der den Verbrauch, den Eintritt und die Nutzung umfasst, über Zutrittskarten. Wir stellen Mitarbeitern, Auftragnehmern, Lieferanten und Besuchern verschiedene Zutrittskarten zur Verfügung, die den Zugang nur für die spezifischen Zwecke des Betretens der Einrichtungen ermöglichen. Das Team der Personalabteilung legt spezifische Zwecke für die Rollen fest und verwaltet sie. Wir führen Zugangsprotokolle, um Anomalien zu identifizieren und zu beheben.

Überwachung

Wir überwachen alle Ein- und Ausgänge an all unseren Standorten, in allen unseren Business Centern und Rechenzentren über CCTV-Kameras, die gemäß den lokalen Vorschriften verteilt sind. Eine Sicherungskopie der Aufnahmen ist für einen bestimmten Zeitraum verfügbar, abhängig von den spezifischen Anforderungen der Einrichtung.

Infrastruktur-Sicherheit Netzwerksicherheit

Unsere Sicherheits- und Netzwerküberwachungstechniken sind darauf ausgelegt, mehrere Schutz- und Verteidigungsebenen bereitzustellen. Wir verwenden Firewalls, um unbefugte Zugriffe auf unser Netzwerk und unerwünschten Datenverkehr zu verhindern. Unsere Systeme sind in separate Netzwerke unterteilt, um sensible Daten zu schützen. Die Systeme, die die Test- und Entwicklungsaktivitäten unterstützen, werden in einem separaten Netzwerk gehostet im Vergleich zu den Systemen, die die Produktionsinfrastruktur von Framework360 unterstützen. Wir überwachen den Zugang zur Firewall mit strenger und regelmäßiger Planung. Ein Netzwerktechniker überprüft täglich alle Änderungen an der Firewall. Darüber hinaus werden diese Änderungen alle drei Monate analysiert, um die Regeln zu aktualisieren und zu überprüfen. Das engagierte Team unseres Network Operations Center überwacht die Infrastruktur und Anwendungen, um etwaige Unstimmigkeiten oder verdächtige Aktivitäten zu erkennen. Alle kritischen Parameter werden kontinuierlich über unser proprietäres Tool überwacht, und Benachrichtigungen werden bei jeder anomalem oder verdächtigen Aktivität in unserer Produktionsumgebung ausgelöst.

Netzredundanz

Alle Komponenten unserer Plattform sind redundant. Wir verwenden eine verteilte Netzwerkarchitektur, um unser System und unsere Dienste vor möglichen Serverfehlern zu schützen. In diesem Fall können die Benutzer wie gewohnt weiterarbeiten, da ihre Daten und die Dienste Framework360 weiterhin verfügbar sein werden. Darüber hinaus nutzen wir mehrere Switches, Router und Sicherheits-Gateways, um die Redundanz auf Geräteebene sicherzustellen. Auf diese Weise werden Ausfälle an einzelnen Punkten des internen Netzwerks vermieden.

Prävention von DDoS-Angriffen

Wir nutzen Technologien von etablierten und zuverlässigen Dienstleistern, um DDoS-Angriffe auf unsere Server zu verhindern. Diese Technologien bieten mehrere Funktionen zur Minderung von DDoS-Angriffen, um Unterbrechungen durch schädlichen Verkehr zu vermeiden und gleichzeitig guten Verkehr zu ermöglichen. Auf diese Weise sind unsere Websites, unsere Anwendungen und unsere APIs immer verfügbar und leistungsfähig.

Fortgeschrittene Serversicherheit

Alle Server, die für Entwicklungs- und Testaktivitäten bereitgestellt werden, werden gehärtet (indem ungenutzte Ports und Konten deaktiviert, Standardpasswörter entfernt usw.). Das Basisbetriebssystem-Image ist mit einer integrierten Serverhärtung ausgestattet, und das Image dieses Betriebssystems wird auf den Servern bereitgestellt, um die Konsistenz zwischen den Servern zu gewährleisten.

Erkennung und Prävention von Eindringlingen

Unser Intrusion Detection Mechanismus protokolliert hostbasierte Signale auf einzelnen Geräten und netzwerkbasierte Signale von Überwachungspunkten innerhalb unserer Server. Der administrative Zugriff, die Verwendung privilegierter Befehle und Systemaufrufe auf allen Servern unseres Produktionsnetzwerks werden aufgezeichnet. Die Regeln und die Intelligenz der Maschinen, die auf diesen Daten basieren, bieten den Sicherheitstechnikern Warnungen über mögliche Vorfälle. Auf Anwendungsebene haben wir unser proprietäres WAF, das auf Whitelist- und Blacklist-Regeln basiert. Auf Ebene des Internetdienstanbieters (ISP) wurde ein mehrschichtiger Sicherheitsansatz mit Scrubbing, Netzwerk-Routing, Geschwindigkeitsbegrenzung und Filterung implementiert, um Angriffe auf allen Ebenen zu bekämpfen, vom Netzwerk bis zur Anwendung. Dieses System gewährleistet sauberen Verkehr, einen zuverlässigen Proxy-Service und sofortige Meldung möglicher Angriffe. 

Datensicherheit Sicherheit von Anfang an

Alle Änderungen und neuen Funktionen unterliegen einer Änderungsmanagementrichtlinie, um sicherzustellen, dass alle Änderungen an den Anwendungen vor der Implementierung in die Produktionsumgebung genehmigt werden. Unser Softwareentwicklungszyklus (SDLC) erfordert die Einhaltung der Richtlinien für sicheres Codieren sowie das Screening von Codeänderungen auf potenzielle Sicherheitsprobleme mit unseren Code-Analysewerkzeugen, Schwachstellenscannern und manuellen Überprüfungsprozessen. Unser robustes Sicherheitsframework, das auf den OWASP-Standards basiert und auf Anwendungsebene implementiert ist, bietet Funktionen zur Reduzierung von Bedrohungen wie SQL-Injection, Cross-Site-Scripting und DOS-Angriffen auf Anwendungsebene.

Datenisolierung

Unser Framework verteilt und verwaltet den Speicherplatz in der Cloud für unsere Kunden. Die Daten zur Unterstützung jedes einzelnen Kunden sind logisch von den Daten anderer Kunden getrennt, indem eine Reihe sicherer Protokolle im Framework verwendet werden. Dies stellt sicher, dass keine der Daten zur Unterstützung der Kunden für einen anderen Kunden zugänglich ist. Die Unterstützungsdaten werden auf unseren Servern gespeichert, wenn du unsere Dienste nutzt. Deine Daten gehören dir und nicht Marketing Studio. Wir teilen diese Daten nicht mit Dritten ohne deine Zustimmung.

Verschlüsselung In Transit: Alle Kundendaten, die über öffentliche Netzwerke an unsere Server übertragen werden, sind durch strenge Verschlüsselungsprotokolle geschützt. Wir verlangen die Verwendung von Transport Layer Security (TLS 1.2/1.3) mit komplexen Verschlüsselungsschlüsseln für alle Verbindungen zu unseren Servern, einschließlich Webzugriff, API-Zugriff, mobile Apps und Zugriff auf IMAP/POP/SMTP-E-Mail-Clients. Dies gewährleistet eine sichere Verbindung, indem es die Authentifizierung beider Parteien in der Verbindung und die Verschlüsselung der zu übertragenden Daten ermöglicht. Darüber hinaus verwenden unsere E-Mail-Dienste standardmäßig opportunistisches TLS. TLS verschlüsselt und stellt E-Mails sicher zu, wodurch das Abfangen zwischen den Mailservern reduziert wird, bei denen die Peer-Dienste dieses Protokoll unterstützen. Wir bieten vollständige Unterstützung für Perfect Forward Secrecy (PFS) mit unseren verschlüsselten Verbindungen, was uns garantiert, dass selbst im Falle einer zukünftigen Kompromittierung keine vorherigen Kommunikationen entschlüsselt werden können. Wir haben die HTTP Strict Transport Security (HSTS)-Header in allen unseren Webverbindungen aktiviert. Dies weist alle modernen Browser an, sich nur über eine verschlüsselte Verbindung mit uns zu verbinden, selbst wenn auf unserer Website die URL einer unsicheren Seite eingegeben wird. Darüber hinaus sind im Web alle unsere Authentifizierungscookies als sicher gekennzeichnet.

Im Ruhezustand: Die inaktiven sensiblen Kundendaten werden mit dem Advanced Encryption Standard (AES) mit 256 Bit verschlüsselt. Die ruhenden verschlüsselten Daten variieren je nach den gewählten Dienstleistungen. Wir besitzen und verwalten die Schlüssel über unseren internen Key Management Service (KMS). Wir bieten zusätzliche Sicherheitsebenen, indem wir die Verschlüsselungsschlüssel der Daten mit Master-Schlüsseln verschlüsseln. Die Master-Schlüssel und die Verschlüsselungsschlüssel der Daten sind physisch getrennt und auf verschiedenen Servern mit eingeschränktem Zugang gespeichert.

Datenaufbewahrung und -entsorgung

Wir speichern die Daten in deinem Konto für den Zeitraum, in dem du dich entscheidest, Framework360 zu nutzen. Nachdem du dein Benutzerkonto bei Framework360 geschlossen hast, werden deine Daten während der nächsten Reinigung aus der aktiven Datenbank gelöscht, die alle 6 Monate durchgeführt wird. Die aus der aktiven Datenbank gelöschten Daten werden nach 1 Monat aus den Backups entfernt. Ein geprüfter und autorisierter Anbieter führt die Entsorgung der unbrauchbaren Geräte durch. Bis dahin klassifizieren wir sie und bewahren sie an einem sicheren Ort auf. Alle Informationen, die sich in den Geräten befinden, werden vor der Entsorgung gelöscht.

Gestione delle vulnerabilità

Wir verfügen über einen dedizierten Prozess zur Verwaltung von Sicherheitsanfälligkeiten, der eine aktive Scansuche nach Bedrohungen für die Sicherheit durchführt, indem er eine Kombination aus zertifizierten Drittanbieter-Scannertools und internen Tools verwendet, mit automatisierten Aktivitäten und der Durchführung manueller Penetrationstests. Darüber hinaus prüft unser Sicherheitsteam aktiv eingehende Sicherheitsberichte und überwacht öffentliche Mailinglisten, Blog-Beiträge und Wikis, um Sicherheitsvorfälle zu identifizieren, die sich auf die Unternehmensinfrastruktur auswirken könnten. Im Falle der Identifizierung einer zu behebenen Sicherheitsanfälligkeit wird diese protokolliert und erhält eine Priorität basierend auf ihrer Schwere sowie einen Eigentümer. Wir identifizieren zudem die damit verbundenen Risiken und überwachen die Sicherheitsanfälligkeit bis zu ihrer Behebung, indem wir Patches auf anfällige Systeme anwenden oder entsprechende Kontrollen durchführen.

Schutz vor Malware und Spam

Wir scannen alle Benutzerdaten mit unserem automatisierten Scansystem, das entwickelt wurde, um die Verbreitung von Malware im Framework360 Ökosystem zu verhindern. Unsere maßgeschneiderte Anti-Malware-Engine erhält regelmäßige Updates von externen Bedrohungsintelligenzquellen und scannt Dateien auf der Suche nach Blacklist-Signaturen und gefährlichen Mustern. Darüber hinaus gewährleistet unsere proprietäre Erkennungs-Engine in Kombination mit Techniken des maschinellen Lernens den Schutz der Kundendaten vor Malware. Framework360 unterstützt das DMARC-Protokoll (Domain-based Message Authentication, Reporting, and Conformance) als Methode zur Vermeidung von Spam. DMARC verwendet SPF und DKIM, um zu überprüfen, ob Nachrichten authentisch sind. Wir nutzen auch unsere proprietäre Erkennungs-Engine, um Missbrauch der Framework360 Dienste zu identifizieren, z.B. Phishing- und Spam-Aktivitäten. Außerdem haben wir ein engagiertes Anti-Spam-Team für die Überwachung von Signalen aus der Software und das Management von Missbrauchsbeschwerden.

Backup

Wir führen tägliche inkrementelle Backups und wöchentliche vollständige Backups unserer Datenbanken für die Rechenzentren (DC) von Framework360 durch. Die Backup-Daten im DC werden am selben Ort gespeichert und mit dem AES-Algorithmus mit 256 Bit verschlüsselt. Die Daten werden im tar.gz-Format archiviert. Alle Backup-Daten werden für 1 Monat aufbewahrt. Wenn ein Kunde während der Aufbewahrungsfrist eine Wiederherstellung der Daten anfordert, stellen wir die Daten wieder her und machen sie mit sicherem Zugang verfügbar. Die Wiederherstellungszeiten der Daten hängen von der Größe und der Komplexität der Daten ab. Um die Sicherheit der Backup-Daten zu gewährleisten, wird auf den Backup-Servern ein redundantes Array unabhängiger Festplatten (RAID) verwendet. Alle Backups werden regelmäßig geplant und überwacht. Im Falle eines Fehlers wird eine neue Ausführung gestartet und das Problem sofort behoben. Wir empfehlen dringend, regelmäßige Backups der Daten zu planen, indem Sie diese aus den jeweiligen Diensten Framework360 exportieren und lokal in Ihrer Infrastruktur speichern.

Notfallwiederherstellung und Dienstkontinuità

Die Anwendungsdaten werden in einem resilienten Speicher gespeichert, der in den Rechenzentren repliziert wird. Die Daten im primären DC werden nahezu in Echtzeit im sekundären repliziert. Im Falle eines Ausfalls des primären DC übernimmt das sekundäre DC die Kontrolle und die Abläufe erfolgen reibungslos mit minimalem oder gar keinem Zeitverlust. Beide Zentren sind mit mehr als einem ISP ausgestattet. Wir verfügen über Systeme zur Notstromversorgung, Temperaturkontrolle und Brandverhütung sowie physische Maßnahmen zur Gewährleistung der Geschäftskontinuität. Diese Maßnahmen helfen uns, die Resilienz sicherzustellen. Neben der Datenredundanz haben wir einen Plan zur Geschäftskontinuität für unsere Hauptoperationen, wie Unterstützung und Management der Infrastruktur.

Incident Management Hinweis

Wir haben ein Team, das sich mit dem Management von Vorfällen beschäftigt. Wir informieren Sie über die Vorfälle in unserer Umgebung, die Sie betreffen, und weisen Sie auf die Maßnahmen hin, die Sie möglicherweise ergreifen müssen. Wir überwachen und lösen die Vorfälle mit den entsprechenden Korrekturmaßnahmen. Wo anwendbar, verpflichten wir uns, die notwendigen Beweise in Form von Anwendungsprotokollen und Überprüfungen für die Vorfälle, die Sie betreffen, zu identifizieren, zu sammeln, zu erwerben und bereitzustellen. Darüber hinaus implementieren wir Kontrollen, um ähnliche Situationen zu vermeiden. Wir reagieren mit höchster Priorität auf Sicherheits- oder Datenschutzvorfälle, die von Benutzern an assistenza@marketingstudio.it gemeldet werden. Bei allgemeinen Vorfällen informieren wir die Benutzer über unsere Blogs, Foren und sozialen Medien. Bei spezifischen Vorfällen eines einzelnen Benutzers oder einer Organisation benachrichtigen wir die betroffene Partei per E-Mail (unter Verwendung ihrer primären E-Mail-Adresse oder der des Administrators der Organisation, die in unserem System registriert ist).

Verletzungsbenachrichtigung

In der Eigenschaft als Verantwortliche für die Datenverarbeitung informieren wir die zuständige Aufsichtsbehörde über eine Verletzung innerhalb von 72 Stunden nach deren Feststellung, gemäß der Datenschutz-Grundverordnung (DSGVO). Je nach spezifischen Anforderungen benachrichtigen wir auch die Kunden, falls erforderlich. In der Eigenschaft als Auftragsverarbeiter informieren wir die betroffenen Verantwortlichen für die Datenverarbeitung ohne unangemessene Verzögerungen.

Lieferanten- und Drittanbieterverwaltung

Wir bewerten und qualifizieren unsere Lieferanten gemäß unserer Richtlinie zur Lieferantenverwaltung. Wir integrieren neue Lieferanten, nachdem wir ihre Servicebereitstellungsprozesse verstanden und Risikobewertungen durchgeführt haben. Wir ergreifen die angemessenen Maßnahmen, um unsere Sicherheitsposition aufrechtzuerhalten, indem wir Vereinbarungen treffen, die von den Lieferanten verlangen, die Verpflichtungen hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität einzuhalten, die wir gegenüber unseren Kunden eingegangen sind. Wir überwachen das tatsächliche Funktionieren der Prozesse und der Sicherheitsmaßnahmen der Organisation durch regelmäßige Überprüfungen der Kontrollen.

Kontrollen für die Sicherheit des Kunden

Bisher haben wir beschrieben, was wir tun, um unseren Kunden Sicherheit auf verschiedenen Ebenen zu gewährleisten. Im Folgenden sind die Dinge aufgeführt, die Sie als Kunde tun können, um Sicherheit zu gewährleisten:

  • Wähle ein einzigartiges, komplexes Passwort und schütze es.
  • Verwenden Sie die Authentifizierung mit mehreren Faktoren.
  • Verwenden Sie die neuesten Versionen von Browsern und mobilen Betriebssystemen sowie aktualisierten mobilen Anwendungen, um sicherzustellen, dass die Patches zum Schutz vor Sicherheitsanfälligkeiten angewendet werden und die neuesten Sicherheitsfunktionen genutzt werden.
  • Ergreifen Sie angemessene Vorsichtsmaßnahmen beim Teilen von Daten aus unserer Cloud-Umgebung.
  • Ordne deine Informationen in persönliche oder sensible Daten und kennzeichne sie entsprechend.
  • Überwachen Sie die mit Ihrem Konto verbundenen Geräte, aktive Web-Sitzungen und den Zugriff von Drittanbietern, um Anomalien in den Aktivitäten Ihres Kontos zu erkennen und entsprechende Rollen und Berechtigungen zu verwalten.
  • Sei dir bewusst über Phishing- und Malware-Bedrohungen, achte auf unbekannte E-Mail-Adressen, Websites und Links, die deine sensiblen Informationen ausnutzen könnten, indem sie sich als Framework360 oder andere Dienste, denen du vertraust, ausgeben.

Abschluss

Die Sicherheit deiner Daten è ein Recht von dir und eine endlose Mission für Marketing Studio. Wir werden weiterhin hart arbeiten, um deine Daten sicher zu halten, wie wir es immer getan haben. Bei weiteren Fragen zu diesem Thema schreibe uns an die Adresse assistenza@marketingstudio.it.   

Möchtest du lernen, wie man Framework360 verwendet?

Tritt der Gruppe bei
Sieh dir die Tutorials an.

Gefällt dir diese Seite? Diese Webseite è wurde mit Framework360 erstellt.

Allgemeine Geschäftsbedingungen SicherheitAnti-Spam-InformationenArten von MissbrauchUrheberrechtsverletzungRegelung zur MitgliedschaftPrivatsphäreCookie-RichtlinieGDPR-Präferenzen

  • Italiano
  • English
  • Français
  • Deutsch
  • Español
  • Dutch
  • Português

Marketing Studio Srl Unipersonale © Alle Rechte vorbehalten.
P.IVA/C.F 12717710011 - Corso Re Umberto 8, 10121 Torino (TO) - REA 1311172 - Stammkapital € 10.000,00 I.V.