Sicherheitsrichtlinie
Bei Finance Active nehmen wir die Informationssicherheit sehr ernst. Wir sind stolz darauf, so weit wie möglich involviert zu sein, wenn es darum geht, die Daten zu schützen, die uns unsere Kunden anvertrauen. Deshalb möchten wir unseren Sicherheitsansatz klarstellen.
Zusammenfassung:
Wie ist unser Informationssicherheitsansatz gestaltet?
Wie wird die Vertraulichkeit der Benutzerdaten gewährleistet?
Wie wird das Sicherheitsniveau unseres Informationssystems kontrolliert?
Wie werden die Mitarbeiter über unsere Sicherheitsrichtlinien informiert?
Welche Verpflichtungen haben wir hinsichtlich der Verfügbarkeit unserer Anwendungen?
Was wird getan, um den Zugriff auf unsere Anwendungen zu sichern?
Welche Technologien verwenden wir zur Datenverschlüsselung?
Wie schützen wir uns vor Malware und Schwachstellen?
Was wird zum Schutz unseres Computernetzwerks getan?
Wie wird die physische Sicherheit unserer Infrastruktur gewährleistet?
Wie ist unser Informationssicherheitsansatz gestaltet?
Wir haben eine Sicherheitsrichtlinie für Informationssysteme und ein Informationssicherheits-Managementsystem definiert, das auf die Norm ISO/IEC 27001 ausgerichtet ist. Darüber hinaus wurde eine Klassifizierung von Informationen auf Grundlage ihrer Vertraulichkeitsstufe implementiert. Mit dem Ziel, eine angemessene und maßvolle Reaktion auf die Risiken im Zusammenhang mit manipulierten Informationen zu definieren, werden alle von uns erstellten Dokumente nach dieser Skala klassifiziert. Während des gesamten Lebenszyklus des Informationsträgers wird auf jede Vertraulichkeitsstufe eine Reihe von Sicherheitsmaßnahmen angewendet. Wir stellen außerdem sicher, dass die Sicherheit unseres Informationssystems in allen Phasen unserer Projekte berücksichtigt wird, von der Entwurfs- und Spezifikationsphase des Systems bis zu seiner Außerbetriebnahme.
Wie wird die Vertraulichkeit der Benutzerdaten gewährleistet?
Wir kontrollieren den Zugriff unserer Mitarbeiter auf die Daten, die Sie uns anvertrauen, streng. Wir stellen sicher, dass diese Daten nicht von Personen abgerufen werden, die keinen legitimen Zugriff darauf haben. Der Betrieb unserer Dienste erfordert jedoch, dass bestimmte Mitarbeiter Zugriff auf Systeme haben, die Kundendaten speichern und verarbeiten. Um beispielsweise ein Problem analysieren zu können, auf das Sie stoßen, muss unser Supportteam möglicherweise auf Ihre Daten zugreifen. Alle unsere Mitarbeiter sind verpflichtet, unsere Sicherheitsvorschriften einzuhalten, und unser Unternehmen behandelt diese Fragen mit größter Sorgfalt: Die Verwendung generischer Konten ist verboten, und die Zugriffsrechte der Mitarbeiter werden regelmäßig überprüft, um sicherzustellen, dass die Änderungsprozesse im Falle einer Änderung der Situation unseres Personals ordnungsgemäß funktioniert haben.
Wie wird das Sicherheitsniveau unseres Informationssystems kontrolliert?
Um das beste Sicherheitsniveau zu gewährleisten, beauftragen wir regelmäßig qualifizierte Dienstleister mit der Durchführung von Audits unseres Informationssystems. Diese Audits werden durchgeführt, um die Einhaltung des ISO/IEC 27001-Standards in unserem zertifizierten Perimeter zu überprüfen oder um Blackbox- und Graybox-Penetrationstests unserer SaaS-Systeme durchzuführen.
Der ISO/IEC 27001 zertifizierte Perimeter von Finance Active
Der ISO/IEC 27001-Standard definiert die Anforderungen für die Einrichtung eines Informationssicherheits-Managementsystems (ISMS). Das ISMS identifiziert Sicherheitsmaßnahmen, um den Schutz der Vermögenswerte von Finance Active zu gewährleisten. Ziel ist es, die Funktionen und Informationen vor Diebstahl, Verlust oder Veränderung sowie die Computersysteme vor Eindringlingen oder Katastrophen zu schützen.
Finance Active wurde nach dem ISO/IEC 27001-Standard im folgenden Umfang zertifiziert:
Software-Edition, Integration, Support und Bereitstellung der Fairways-Lösungen für Schuldenmanagement, Garantien und Währungsrisiken im SaaS-Modus.
Finance Active verpflichtet sich, Ihre Privatsphäre zu schützen. Zum Schutz personenbezogener Daten hat Finance Active einen Datenschutzbeauftragten (DPO) ernannt, der dafür sorgt, dass die Sicherheit personenbezogener Daten gewahrt wird und die Prozesse den europäischen Gesetzen (einschließlich der DSGVO) entsprechen. Die von uns gesammelten Daten werden hauptsächlich von Finance Active Diensten verwendet und in keinem Fall an Dritte weitergegeben, außer für die strengen Anforderungen der Vertragsabwicklung. Alle von Finance Active ausgewählten Lieferanten halten die Vorschriften zum Schutz personenbezogener Daten ein.
Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
Equinix | Hosting | Frankreich |
Auth0 | Benutzerauthentifizierung | EU |
Zendesk | Verwaltung von Supportanfragen | EU |
Zwangsversteigerung | CRM | EU |
Microsoft (Office 365) | Kollaborative Unternehmens-IT | EU |
Amazon Web Services | Aufbewahrung von Sicherungskopien | EU |
Wie werden die Mitarbeiter über unsere Sicherheitsrichtlinien informiert?
Alle unsere Mitarbeiter nehmen während ihrer Tätigkeit im Namen der Organisation an Sensibilisierungs- und Schulungsmaßnahmen teil, die an ihr Profil und ihre Aufgaben angepasst sind. Auf diese Weise können wir gewährleisten, dass gute Sicherheitspraktiken in den verschiedenen Teams verbreitet werden.
Welche Verpflichtungen haben wir hinsichtlich der Verfügbarkeit unserer Anwendungen?
Unsere Strategie zur Gewährleistung der Verfügbarkeit unserer Anwendungen und der Daten unserer Kunden basiert auf einer Reihe sich ergänzender Elemente:
Verteilung der Produktions- und Backup-Server auf zwei Rechenzentren unter Beachtung guter betriebswirtschaftlicher Grundsätze
Duplizierung der Daten in diesen beiden Rechenzentren
Nutzung von hardwaretolerantem Storage
Regelmäßige Sicherung des Informationssystems:
Tägliches Backup, das 2 Wochen lang aufbewahrt wird
Wöchentliches Backup, das 2 Monate lang aufbewahrt wird
Monatliches Backup, das 2 Jahre lang aufbewahrt wird
Jährliches Backup, 10 Jahre lang aufbewahrt
Außer in Fällen von höhere Gewalt, unser:
Das Recovery Point Objective, also der maximale Zeitraum, in dem Daten verloren gehen können, beträgt 24 Stunden
Das Recovery Time Objective, also die angestrebte Zeitspanne, in der unsere Anwendung wiederhergestellt werden muss, beträgt 4 Geschäftsstunden
Was wird getan, um den Zugriff auf unsere Anwendungen zu sichern?
Jeder Zugriff auf Anwendungen und Dienste von Finance Active unterliegt der Benutzerauthentifizierung. Wir delegieren die Verwaltung der Benutzerauthentifizierung an spezialisierte Anbieter, die die folgenden Standards implementieren:
Delegation der Autorisierung: OAuth 2.0 (RFC 6749 und RFC 6750)
Sicherer Austausch von Autorisierungstoken: JSON Web Tokens (RFC 7519)
Auf Anwendungsebene wird bei jeder Anfrage eine Überprüfung der Benutzerauthentifizierung und der Zugriffsrechte auf Daten durchgeführt. Benutzer können nur auf ihren Bereich und ihre Daten aus dem Bereich zugreifen, mit dem ihr Konto verknüpft ist.
Welche Technologien verwenden wir zur Datenverschlüsselung?
Der Datenaustausch zwischen den Benutzerarbeitsstationen und unseren Anwendungen von Ihrem Browser bis zu unseren Servern wird mithilfe des HyperText Transfer Protocol Secure (RFC 2818) vollständig verschlüsselt.
Bei den kryptografischen Paketen handelt es sich um Implementierungen, die als Marktstandards anerkannt sind, und die Authentifizierung unserer internetbasierten Dienste basiert auf Zertifikaten, die von einer anerkannten öffentlichen Zertifizierungsstelle unterzeichnet wurden.
Wie schützen wir uns vor Malware und Schwachstellen?
Die von uns verwendeten Betriebssysteme und Software werden von ihrem Herausgeber, einer aktiven Community (bei Open Source-Software) oder einem Dienstanbieter zuverlässig gewartet. Um die Angriffsfläche zu verringern, sind auf unseren Servern nur die erforderlichen Dienste und Anwendungen installiert. Darüber hinaus werden wichtige Updates und Sicherheitsupdates systematisch bereitgestellt.
Wir überwachen außerdem die Identifizierung neuer Schwachstellen, indem wir die Veröffentlichungsflüsse mehrerer CERTs wie CERT-FR oder CERT-US verfolgen, und wir stellen sicher, dass alle Maschinen in unserem Informationssystem durch ein ordnungsgemäß gewartetes System zum Schutz vor Malware (Antivirus usw.) geschützt sind.
Was wird zum Schutz unseres Computernetzwerks getan?
Unser Computernetzwerk ist nach Bereichen mit homogener Sicherheit segmentiert. Es wird eine Filterung der ein- und ausgehenden Datenströme jedes Bereichs durchgeführt. Jede Verbindung zwischen unserem Netzwerk und einem externen Netzwerk (Netzwerk von Drittanbietern, Internet usw.) ist verschlüsselt und erfolgt über eine dedizierte Infrastruktur mit den entsprechenden Sicherheitselementen (Firewalls usw.).
Wie wird die physische Sicherheit unserer Infrastruktur gewährleistet?
Rechenzentrum
Unsere Server werden in hochmodernen europäischen Rechenzentren gehostet, um physische Sicherheit und Zugangskontrolle zu gewährleisten. Wir stellen sicher, dass:
Die für das Hosting unserer Server ausgewählten Unternehmen sind ISO/IEC 27001-zertifiziert.
Auf die Einteilung in Kaltflure/Warmflure wird geachtet.
Das autonome Brandmelde- und Löschsystem ist vorhanden.
Die Redundanz der Stromversorgung ist vorhanden.
Es wird eine Überwachung und Filterung des physischen Zugriffs durchgeführt.
Es kommt die mehrstufige Zugriffskontrolle zum Einsatz.
Physische Zugangskontrolle in den Räumlichkeiten von Finance Active
Die Erteilung des physischen Zugangs zu unseren Räumlichkeiten erfolgt nach einem Verfahren zur Sicherstellung der Identität der Person. Zugangsausweise sind persönlich und nicht übertragbar. Mitarbeiter, die nicht ausdrücklich dazu befugt sind, aber in sensiblen Bereichen (Wartung oder Reparatur von Gebäuden, nicht computergestützten Geräten, Besuchern usw.) tätig werden müssen, greifen systematisch und zwingend unter Aufsicht ein.
Der Zugang zum Gelände wird videoüberwacht und außerhalb der Geschäftszeiten wird das Gelände bewacht.