Sicherheitspolitik

Sicherheitspolitik

Letzte Änderung: 4. Juli 2023

Diese Richtlinie als PDF herunterladen
Electrotechnik Pty Ltd ("ELEK") ist bestrebt, seinen Software-Kunden Schutz vor Cyber-Bedrohungen zu bieten, Datenverluste zu verhindern und Compliance-Anforderungen zu erfüllen.

Wir haben die Grundsätze der ISO/IEC 27001 übernommen, der weltweit bekanntesten Norm für Informationssicherheitsmanagementsysteme (ISMS). Mit diesem Ansatz können wir die Risiken im Zusammenhang mit der Sicherheit der Daten, die sich im Besitz unseres Unternehmens befinden und mit denen wir arbeiten, bewältigen und gleichzeitig sicherstellen, dass wir die besten Praktiken und Grundsätze anwenden, um potenzielle negative Auswirkungen aufgrund von Cyberkriminalität und neuen Bedrohungen, die ständig auftreten, zu vermeiden.

Wie wir für Informationssicherheit sorgen

Wir haben uns zur Informationssicherheit verpflichtet, um sicherzustellen, dass strenge Systeme und Kontrollen vorhanden sind, um die Informationssicherheit für unser Unternehmen und unsere Kunden zu gewährleisten. Wir beginnen mit dem Onboarding unserer Mitarbeiter, das Prozesse und Unternehmensrichtlinien umfasst, die sicherstellen, dass alle Benutzerdaten vertraulich bleiben und dass der Zugriff auf diese Daten nur für die Erledigung von Aufgaben im Zusammenhang mit ihrer Tätigkeit einschließlich der Bereitstellung von Dienstleistungen für unsere Benutzer erfolgt. In unserer Informationssicherheitspolitik wird auch darauf hingewiesen, wie wichtig es ist, die Vertraulichkeit aller Nutzerdaten zu wahren und die geeigneten Entsorgungsmechanismen für lokal gespeicherte oder ausgedruckte personenbezogene Daten festzulegen.
Unsere Mitarbeiter verpflichten sich in ihren Arbeitsverträgen zur Wahrung der Vertraulichkeit und der Informationssicherheit und nehmen an Schulungen zum Thema Cybersicherheit teil, die regelmäßig aufgefrischt werden.
Zusätzlich zu den ELEK-Verfahren, -Richtlinien und -Schulungen haben wir strenge Zugangspunkte für den Zugriff auf Systeme mit sensiblen Benutzerdaten. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Identitäts- und Zugangsmanagement

Wir verwenden Microsoft als Anbieter von Unternehmensidentitäten, und es kommen hochsichere Passwortrichtlinien zum Einsatz. Alle Mitarbeiter sind verpflichtet, sich mit einer 2-Faktor-Authentifizierung (2FA) anzumelden.
Der Zugriff auf unsere Cloud-Services in Amazon Web Services (AWS) wird mit AWS Identity and Access Management (IAM) rollenbasiert nach den Prinzipien Need-to-know und Least Privilege gewährt.
Eine vierteljährliche Überprüfung des Benutzerzugriffs wird durchgeführt, wobei nicht mehr benötigte Zugriffe entfernt werden. Bei Beendigung des Arbeitsverhältnisses wird der gesamte Zugang zu den Systemen unmittelbar nach dem Ausscheiden entzogen.

E-Mail-Schutz

Wir verwenden Microsoft 365 als E-Mail-Anbieter für unsere Mitarbeiter, Amazon Simple Email Service (SES) für den Versand von E-Mails aus unserer Anwendung und das E-Mail-Ticketing-System für den Versand von E-Mails an den Kundensupport. DMARC und SPF sind für unsere E-Mail-Domänen vorhanden.
Die Mitarbeiter werden laufend auf die besten Praktiken zur Vermeidung von Phishing aufmerksam gemacht und geschult.

Sicherheit im Netz

Die Workstations unserer Mitarbeiter befinden sich in einem speziellen Virtual Local Area Network (VLAN), das nur von unseren Mitarbeitern genutzt werden darf.

Zugang zu Benutzerdaten

Wir behandeln alle Daten, die Nutzer an einen unserer Softwaredienste übermitteln und die von uns ausschließlich im Auftrag eines Nutzers verarbeitet werden, als "Black Box". Das bedeutet, dass auf die Nutzerdaten für die Erbringung des Dienstes in der Regel nicht zugegriffen wird und dass wir alle übermittelten Nutzerdaten mit der höchsten Sicherheitsstufe behandeln und sie sensibel und vertraulich behandeln.
Der Zugriff auf Nutzerdaten durch unsere Mitarbeiter ist gemäß unseren Nutzungsbedingungen oder der jeweiligen Vereinbarung mit dem Nutzer von Fall zu Fall beschränkt.

Management von Schwachstellen

Wir führen regelmäßig Sicherheitsprüfungen unserer Website und unserer Software-Codebasis durch, um bekannte Schwachstellen in Abhängigkeiten zu finden und zu beheben, die zu Datenverlusten, Serviceausfällen, unbefugtem Zugriff auf sensible Informationen oder anderen Sicherheitsproblemen führen könnten. Alle identifizierten Schwachstellen werden in einem Entwicklungsrückstand festgehalten und auf der Grundlage unserer Bewertung ihrer Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit des Dienstes und der Benutzerdaten klassifiziert. Unsere Techniker führen alle Abhilfemaßnahmen gemäß unserer internen Patch-Management-Richtlinie durch.

Lebenszyklus der Softwareentwicklung

Wir verwenden Produkte zur Problemverfolgung mit einem gut dokumentierten Arbeitsablauf, der einen Peer-Review-Prozess beinhaltet. Unser Quellcode wird in privaten, hochsicheren Repositories für Versionskontrolle und Sicherheit gesichert. Änderungen an unserer Codebasis durchlaufen eine Reihe automatischer und manueller Tests (mit detaillierten Plänen). Genehmigte Code-Änderungen werden zunächst auf einen Staging-Server übertragen, auf dem unsere Mitarbeiter die Änderungen testen können, bevor sie schließlich auf die Produktionsserver und unsere Benutzerbasis übertragen werden. Unser Continuous Integration/Continuous Deployment (CI/CD)-Prozess ist durch einen integrierten Genehmigungsprozess eingeschränkt.

Reaktion auf Vorfälle

Wir nehmen das Management von Zwischenfällen ernst und verfügen über ein Verfahren zur Reaktion auf Zwischenfälle, das beschreibt, wie Zwischenfälle gehandhabt werden. Ein Vorfall ist definiert als ein ungeplantes Ereignis wie eine Datenverletzung, eine Unterbrechung des Dienstes oder eine Qualitätsminderung eines Dienstes. Ein Vorfall ist auch ein Problem, bei dem der Dienst zuvor funktioniert hat und nun nicht mehr wie erwartet funktioniert. Das Verfahren beschreibt, wie wir Vorfälle beurteilen, eindämmen, bewerten, melden, überprüfen und überwachen.
Alle Vorfälle werden im Register für die Reaktion auf Vorfälle aufgezeichnet, und die aus den Vorfällen gewonnenen Erkenntnisse werden zur Verbesserung unserer Prozesse, Verfahren, Systeme und Instrumente im Rahmen unserer Verpflichtung zur kontinuierlichen Verbesserung genutzt.

Disaster Recovery und Geschäftskontinuität

Wir unterhalten einen Geschäftskontinuitätsplan für den Umgang mit Katastrophen, die unser physisches Büro betreffen (wo kein Teil unserer Produktionsinfrastruktur verbleibt).
Darüber hinaus verfügen wir über einen Disaster Recovery Plan (DRP) für den Umgang mit Katastrophen, die sich auf unsere Produktionsumgebung auswirken und im Rahmen des Incident Response-Prozesses als kritische, ungeplante Ereignisse eingestuft wurden, was die Wiederherstellung der Kernfunktionalität des Dienstes von einem anderen Standort aus beinhaltet. Unser primäres Rechenzentrum wird auf AWS in Sydney (Australien) gehostet, mit Redundanz in derselben AWS-Region. Im Falle eines Ausfalls eines einzelnen AWS-Rechenzentrums würden die Wiederherstellungsverfahren die Knoten in einem anderen Rechenzentrum ohne menschliches Zutun wiederherstellen. Die Tests werden mindestens einmal im Jahr durchgeführt. Unser DR-Test kann in Form eines Walk-Throughs, einer Katastrophenattrappe oder eines Komponententests erfolgen.

Aufbewahrung und Entsorgung von Daten

Vorratsspeicherung von Daten

Wir speichern begrenzte Informationen über Sie, die wir ausschließlich für den Zweck und den Zeitraum kontrollieren, der für die Erfüllung der in unserer Datenschutzrichtlinie genannten Zwecke erforderlich ist. Daten, die unsere Systeme im Namen unserer Nutzer speichern, werden in Übereinstimmung mit unseren Nutzungsbedingungen und anderen kommerziellen Vereinbarungen mit diesen Kunden aufbewahrt.
Wir bieten sowohl Cloud-basierte als auch nativ installierte PC-basierte Softwareprodukte an. Bei unseren Cloud-basierten Softwareprodukten werden die Kundendaten in unseren sicheren Cloud-basierten Systemen gespeichert (hier beschrieben). Bei unseren PC-basierten Softwareprodukten hingegen werden die Daten des Kunden lokal auf seiner IT-Infrastruktur gespeichert.

Löschung von Daten

Unsere Kunden behalten die volle Kontrolle über die von ihnen übermittelten Daten und können diese entweder mit Hilfe der in unserer Software verfügbaren Mittel oder durch Kontaktaufnahme mit uns ändern, exportieren oder jederzeit löschen.
Bei Kündigung eines Kontos können die Nutzer im Rahmen des Kontolöschungsverfahrens die Löschung ihrer Daten beantragen. Die Nutzerdaten werden dann innerhalb von 90 Tagen nach dem Antrag gelöscht, einschließlich einer 30-tägigen Frist für die Rückgängigmachung und einer weiteren 60-tägigen Frist für die Durchführung des Löschungsverfahrens.
In diesem Fall dürfen wir die Daten weiterhin aufbewahren, können sie aber auch jederzeit nach unserem Ermessen löschen.

Vernichtung von Daten

Unsere Cloud-Dienste werden bei AWS gehostet, das sichere Datenverteilungs- und -löschungsstrategien implementiert, um eine sichere Speicherung sensibler Daten in einer mandantenfähigen Umgebung zu ermöglichen. Die Stilllegung von Speichermedien wird von AWS gemäß NIST 800-88 durchgeführt.

Überwachung

Wir sammeln und überwachen Netzwerkprotokolle mithilfe von Datenverkehrsprotokollen von Edge-Standorten und Load Balancern, Protokolle auf Anwendungsebene für die Nachverfolgung und Prüfung von Ereignissen sowie Protokolle auf Systemebene für die Prüfung des Zugriffs und von Vorgängen mit hohen Berechtigungen. Alle Protokolle werden entweder in Amazon S3 oder Amazon CloudWatch sicher gespeichert und aufbewahrt.
Wir überwachen die Kapazitätsauslastung der Infrastrukturressourcen, um sicherzustellen, dass die Servicebereitstellung den Service Level Agreements entspricht. Darüber hinaus:
  • Die Amazon-Dienste werden zur Auslösung automatischer ereignisbasierter Benachrichtigungen für kritische Infrastrukturen verwendet.
  • Wir verwenden einen proprietären Dienst zur Fehlerprotokollierung und -verfolgung mit automatisiertem ereignisbasiertem Messaging für Anwendungswarnungen.

Datenschutz

Siehe unsere Datenschutzrichtlinie.

Sicherheit im Büro

Der Zugang zu unseren Büroräumen und Aufzügen ist durch Zugangskarten beschränkt. Der Gebäudesicherheitsdienst hat mehrere Verfahren zur routinemäßigen Überwachung des Gebäudes und des Zugangs zu den Stockwerken eingerichtet. Das in jedem Stockwerk eingebaute Sicherheitssystem verfolgt die Nutzung der Türen, und ein Bericht über den Zugang kann beim Sicherheitsdienst des Gebäudes angefordert werden. Die Schalterräume werden rund um die Uhr videoüberwacht, und auf dem gesamten Gelände sind Wachleute unterwegs. Die Videoaufzeichnungen werden gespeichert und 18 Monate lang aufbewahrt. Der kaufmännische Leiter ist dafür verantwortlich, das Gebäudemanagementteam über alle Änderungen bei den Mitarbeitern zu informieren, die eine Gebäudezugangskarte erhalten oder diese widerrufen.

Sicherheit von Rechenzentren

Wir verlassen uns auf die Kontrollen des AWS-Rechenzentrums, wie Standortauswahl, Redundanz, Verfügbarkeit und Kapazitätsplanung, um ein angemessenes Sicherheitsniveau zu gewährleisten. Wir hosten keine eigenen Server.

Politische Aktualisierungen

Diese Richtlinie kann sich von Zeit zu Zeit ändern und ist auf unserer Website www.elek.com verfügbar.

Kontakt

Für weitere Informationen oder um uns zu kontaktieren, besuchen Sie bitte unsere Kontaktseite.