‍

Alumio's Netzwerk- und Infrastruktursicherheit

Die iPaaS-Lösung von Alumio unterstützt alle Ihre Systemintegrationsprozesse - zwischen Cloud-Plattformen, Software-as-a-Service-Anwendungen und On-Premise-Systemen. Alumio ist eine private Cloud-Integrationsplattform, was bedeutet, dass unsere Standard-Editionen in einer Cloud-Umgebung betrieben werden, die in Ihrer lokalen Region innerhalb der Google Cloud Platform gehostet werden kann.

Die Integrationsplattform von Alumio als Service (iPaaS) läuft auf der Google Cloud-Infrastruktur, die Hosting in verschiedenen Regionen, einschließlich Ihrer, ermöglicht. Bitte klicken Sie hier auf das Whitepaper von Google, um mehr über die Sicherheit von Google zu erfahren, oder klicken Sie hier, um mehr über die Compliance-Zertifizierungen von Google zu erfahren.

‍

Alumio ist mit dem Elastic ELK Stack integriert, der Elasticsearch, Logstash und Kibana enthält. Elastic hat hohe Standards bezüglich Sicherheit und Compliance, um sicherzustellen, dass die höchstmöglichen Standards erreicht werden. Überprüfen Sie die Sicherheitsgrundsätze von Elastic und die Sicherheits- und Compliance-Standards.

Zuständigkeiten:

Amazon AWS ist verantwortlich für:

Infrastruktur
Server

Alumio ist verantwortlich für:

Anmeldung
Überwachung
Konfigurationsmanagement
Support

Elastic ist verantwortlich für:

Protokollierung über Elastic ELK Stack (Elasticsearch, Logstash, Kibana)

Ein Überblick über die Zertifizierung der (privaten) gehosteten Lösung von Alumio:

ISO 27001 | 27017 | 27018
SOC 1 | 2 | 3
MTCS (Singapur) Tier 3
BSI C5 Basic
CSA-Star
OSPAR
PCI
HIPAA
Spanien Esquema Nacional de Seguridad (ENS)

Download Zertifizierungen

Während der Bereitstellung verifiziert und authentifiziert das Rechenzentrum alle Inhalte vor der Aktivierung. Die Funktionen und die Plattform von Alumio senden niemals Daten an die angebundene Software von Drittanbietern, es sei denn, sie werden vom Benutzer explizit konfiguriert.

Alumio's Security Management System (ISMS)
Da wir Google Cloud Hosting Services nutzen, können wir uns auf Googles Cloud-Sicherheitsmaßnahmen zur Handhabung des ISMS verlassen, wie Sie auf Google lesen können.

Um dies zu gewährleisten, gibt es verschiedene Richtlinien. Die folgenden Richtlinien sind in unserem unternehmensinternen Wiki detailliert beschrieben, an die sich jeder, je nach Funktion und/oder Rolle, halten muss:

● Richtlinie zur akzeptablen Nutzung

● Zugriffskontrollpolitik

● Bring Your Own Device (BYOD) Richtlinie

● Geschäftskontinuitätsstrategie

● Sicherheitschef

● Vertraulichkeitserklärung

● Verfahren zum Management von Zwischenfällen

● Richtlinie zur Klassifizierung von Informationen

● Informationssicherheitspolitik

● Inventar der Vermögenswerte

● ISMS-Anwendungsbereich-Dokument

● Liste der befugten Personen

● Liste der rechtlichen, regulatorischen, vertraglichen und sonstigen Anforderungen

● Richtlinie für mobile Geräte und Telearbeit

● Betriebsverfahren für Informations- und Kommunikationstechnologie

● Passwort-Richtlinie

● Richtlinie über den Einsatz kryptographischer Kontrollen

● Verfahren für die Arbeit in Sicherheitsbereichen

● Methodik der Risikobewertung und Risikobehandlung

● Risikobewertung und Risikobehandlungsbericht

● Sichere Entwicklungspolitik

● Sicherheitsmanagement-Team

● Spezifikation der Anforderungen an das Informationssystem

● Erklärung zur Annahme der ISMS-Dokumente

● Erklärung zur Anwendbarkeit

● Sicherheitspolitik für Lieferanten

● Schulungs- und Sensibilisierungsplan

Anwendungs- und Plattformebene

‍

Der Rahmen

Das iPaaS von Alumio wird mit den besten Technologie-Frameworks und sicheren Softwareentwicklungsverfahren entwickelt. Alle Korrekturen, neuen Funktionen und Erweiterungen werden erst nach mehreren strengen Tests und einem strengen Test- und Überprüfungsprozess freigegeben. Unser Testprogramm besteht aus automatisierten Code-Tests in Bezug auf die Code-Qualität sowie aus manuellen Tests, bei denen jede Code-Zeile geprüft und von 2 erfahrenen Entwicklern getestet wird.

Entwicklung

Sicherheit durch Design

Die Ingenieure von Alumio entwickeln die Kernanwendung auf der Grundlage des Konzepts "Security-by-Design", für das wir unsere Ingenieure spezifiziert und geschult haben:

Unsere sicheren SDLC-Prozesse (Software Development Lifecycle) umfassen dokumentierte Sicherheitsanforderungen, Sicherheitsdesignprüfungen, Anwendungssicherheitstests und vollständige Penetrationstests.
Produktions- und Testumgebungen sind vollständig voneinander getrennt. Daten von Kunden oder andere datenschutzrelevante Informationen werden niemals in Test- oder Entwickler-Testumgebungen übertragen
Sicherheitstests werden nach jeder Veröffentlichung der OWASP Top 10 durchgeführt. Umfassende Schwachstellen- und Penetrationstests werden mindestens einmal jährlich durchgeführt.
Zusammenhängende Fehler werden immer mit höchster Priorität behandelt, und für alle größeren Fehler, die in die Produktion gelangen, wird eine Ursachenanalyse durchgeführt. Jede Pull-Anfrage für eine freizugebende Arbeit erfordert eine Code-Überprüfung, bei der mindestens zwei weitere (erfahrene) Entwickler hinzukommen.
Das Team, das am Kern von Alumio arbeitet, ist sehr auf sichere Praktiken bedacht und wird in der Lage sein, den geschriebenen Code angemessen zu überprüfen und Feedback zu geben. Wir automatisieren Sicherheitstests mit sensiolabs security checker.
Entwickler werden in sicheren Kodierungsverfahren geschult
Wir verwenden automatisierte DevOps-Sicherheitstools wie OWASP Zap und sensiolabs, um während der gesamten Entwicklungsphase auf Sicherheitslücken zu testen.

ISO- oder Informationssicherheits-Akkreditierungen für die Entwicklung

Alumio ist Teil der Youwe-Gruppe, die ISO27001-zertifiziert ist. Für das Hosting vertrauen wir auf die ISO von Google Cloud Services, die Sie hier nachlesen können: Google.

‍

Zugang zum iPaaS

Der Alumio-Zugang erklärt:

Rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC)
Unsere Mitarbeiter haben Zugriff auf der Grundlage von Benutzerrollen mit dem Konzept der geringsten Privilegien, so dass kein Zugriff auf eine Ebene gewährt wird, die in der "Rolle" nicht als erforderlich beschrieben ist.
Fernzugriffssicherheit
Der Fernzugriff ist nur nach einem 2FA-pflichtigen Anmeldeverfahren für den Anwendungszugang möglich. Für den Zugriff auf den Server wird dieser über Google SSO-Zugang eingerichtet.

IP Whitelisting
Sowohl Server als auch Anwendungszugriff sind nur möglich, wenn die IPs der Mitarbeiter in unserem Whitelisting-Server verfügbar sind.
Anbieter-Support-Zugang
Der Anbieter-Zugang basiert auf Google Cloud Security-Maßnahmen
Benutzerverfolgung
Alle Benutzer-Login-Aktionen werden protokolliert, wie Login-IDs (Benutzername-Fan-ID), Datum/Uhrzeit des letzten Logins, Ort des Logins (z.B.: IP-Adresse), Gerätekennung (z.B.: MAC-Adresse). Die Protokolle werden für einen Zeitraum von 8 Wochen an einen Ort mit einer speziellen Zugangsanforderung übertragen.
Regelmäßige Zugangskontrollen
Alumio hat einen Prozess eingerichtet, der regelmäßige Zugangskontrollen vorsieht. Dabei werden die Manager über Probleme beim Offboarding informiert, so dass Alumio seine Prozesse aktualisieren und die notwendigen Änderungen vornehmen kann. Schulungen und wann die Hilfe anderer in Anspruch genommen werden soll.

Alle Alumio-Mitarbeiter müssen einen Background-Check bestehen. Darüber hinaus müssen die Mitarbeiter in den Bereichen Technik, Dienstleistungen, Support und Betrieb (im Grunde alle, die Zugang zu sicherheitsrelevanten Bereichen haben) eine Multifaktor-Authentifizierung verwenden, um alle Anmeldeinformationen zu speichern und zu generieren, die für die Ausführung von Arbeitsaufgaben benötigt werden.

Mitarbeiter aus dem technischen Bereich, die Zugang zu den Produktionssystemen haben, müssen außerdem mindestens einmal jährlich eine Sicherheitsschulung unterschiedlichen Umfangs absolvieren. Alle unsere Mitarbeiter erhalten immer nur Zugang zu der minimalen Anzahl von Anwendungen oder Systemen, die sie zur Ausübung ihrer Tätigkeit benötigen.

‍

Datenspeicherung und Datenverarbeitung

‍

GDPR und andere Datenschutzvorschriften

Bitte konsultieren Sie die folgenden Seiten:

Standards für die Datensicherheit

Die gesamte Kommunikation zwischen Alumio und dem Rechenzentrum der Google Cloud erfolgt über HTTPS, Port 443, und ist mit mindestens SSL 256-bit verschlüsselt. Alumio stellt über seine Datenmappings und Transformer-Funktionen sicher, dass datenschutzsensible Daten unverschlüsselt übertragen werden müssen.

Standardeinstellungen:

Daten im Ruhezustand:
Es wird keine Verschlüsselung angewendet, der Zugriff auf Daten im Ruhezustand ist auf autorisierte Benutzer beschränkt.

Daten im Transit:
Gesichert je nach Situation, in der Regel durch HTTPS, SSH-Tunneling, VPN, etc.

Speicherung und Verarbeitung von Daten

Das iPaaS von Alumio bietet drei Möglichkeiten der Datenspeicherung:

Protokollierung
Transformationspfad
Lagerräume

In einigen Fällen speichert oder verarbeitet iPaaS personenbezogene sensible Daten, wie sie in DPA oder GDPR erwähnt werden. Die Arten von Daten, die verarbeitet oder gespeichert werden, sind in den Datenrouten vermerkt. Ein Bericht ist verfügbar oder kann vor Beginn des Mapping-Prozesses erstellt werden.

Automatisierte Übermittlung von Daten

Alumio überträgt automatisch die folgenden Informationen an das Google Cloud-Rechenzentrum:

Online-Status:

Der Alumio-Überwachungsdienst weiß nahezu in Echtzeit, wenn die Integrationsdienste offline gehen.

Informationen zur Verfolgung:

Alumio übermittelt Dateiname und Verzeichnis der verarbeiteten Dateien sowie die Anzahl der Erfolge/Fehlschläge und der Prozessausführungen.

Aktualisierungen des Integrationsprozesses:

Das Alumio prüft regelmäßig und wendet

Emails:

Alumio versendet zwar Gesundheits-E-Mails, aber nie im Namen eines Kunden.

Benutzerinitiierte Kommunikation von Daten

Auf Anfrage eines autorisierten Benutzers übermittelt iPaaS dem Alumio-Rechenzentrum Folgendes:

Protokollierungs- und Überwachungsinformationen
Informationen über die Ausführung eines Integrationsprozesses, einschließlich der Gesamtausführungszeit, der Protokollierung für jeden Schritt des Prozesses und Fehlermeldungen bei der Ausführung.

API-Daten oder Aufgaben (Alumio hatte Nachrichten über Routen = Aufgaben benannt) betreffende Protokolle werden 2 Wochen lang aufbewahrt. Serverbezogene Protokolle werden 1 Monat aufbewahrt. Beide sind je nach Bedarf konfigurierbar.

Export von Protokollen:
Alumio bietet die Möglichkeit, Serverprotokolle zu exportieren. Jeder autorisierte Benutzer kann aufgabenbezogene Protokolle bereitstellen.

Wir sichern vor Ort die folgenden Daten:

Datenbanken - täglich für bis zu einer Woche
Codebase - unbestimmt

Fehlerdetails
Eine detaillierte Fehlermeldung, die erklärt, welcher Fehler die fehlgeschlagene Ausführung eines Integrationsprozesses verursacht hat.

Durchsuchen von Konnektoren
Bei der Erstellung von Prozessen für bestimmte Konnektoren können Datenbankschemainformationen übertragen werden, um Feldzuordnungsregeln zu definieren. Es werden keine eigentlichen Daten übertragen.

Sicherheit der Datenkommunikation vor Ort

Es müssen keine eingehenden Firewall-Ports geöffnet sein, damit Alumio iPaaS mit dem Rechenzentrum kommunizieren kann. Die Alumio-Integrationsschnittstelle initiiert immer die Verbindung; das Rechenzentrum Google Cloud Platform sendet niemals automatisch Daten an die Alumio-Integrationsplattform (oder die privat gehostete Lösung). Wenn die Alumio-Funktionen eine Verbindung initiieren, verwenden sie einen SSL-Handshake, um das Rechenzentrum vor der Datenübertragung zu authentifizieren. Alumio verwendet das digitale Zertifikat, das bei der Registrierung und Authentifizierung automatisch erstellt wird.

‍

Alumio Technische Sicherheit

Sicherheit in allen Facetten