Rock Robotic wendet Best Practices der Branche an, um seine Sicherheit zu gewährleisten. In diesem Dokument werden die Maßnahmen beschrieben, die wir ergreifen, um zu verhindern, dass Ihre Daten in die falschen Hände geraten.
Plattform & Datensicherheit
Netzwerksicherheit
Ähnlich wie unsere physische Netzwerksicherheit wird der Großteil unserer virtuellen Netzwerksicherheit von AWS verwaltet. Amazon bietet vollständig isolierte Umgebungen, in denen wir unsere Anwendungen bereitstellen, und zwar für über eine Million Unternehmen und Regierungsorganisationen auf der ganzen Welt. Zu den bekannten Kunden, die Amazon zum Schutz ihrer Daten nutzen, gehören NASA, Shell, Autodesk, British Gas, GE, Hitachi, Lafarge, Trimble und das US-Außenministerium. Weitere Informationen zu den Sicherheitspraktiken für virtuelle Netzwerke von AWS finden Sie unter ihr Sicherheits-Whitepaper.
Zusätzlich zu der oben beschriebenen Sicherheit implementiert Rock Robotic mehrere weitere Best-Practice-Maßnahmen vor Ort und in AWS, um die Sicherheit Ihrer Daten weiter zu gewährleisten:
Authentifizierung & Genehmigung
Rock Robotic verwendet Auth0, um unser Authentifizierungs- und Autorisierungsschema zu verwalten. Auth0 ist nach ISO27001, ISO27018, SOC 2 Typ II, PCI DSS, EU-US Privacy Shield und Gold CSA Star zertifiziert. Um mehr über die Sicherheitsplattform von Auth0 zu erfahren, sehen Sie sich die Seite an.weißes Papier.
Kontrolle ändern
Wir behalten die gesamte Konfiguration im Code bei, um Transparenz über zugrunde liegende Netzwerk- und Infrastrukturänderungen zu gewährleisten. Es wird in die Versionskontrolle eingecheckt und alle Änderungen werden vor der Bereitstellung auf Sicherheit, Skalierbarkeit und Haltbarkeit überprüft. Wir testen alle Änderungen außerdem gründlich in einer speziellen Staging-Umgebung, bevor wir sie in der Produktionsumgebung bereitstellen.
Serversicherheit
Sicherheitspatches
Die Server von Rock Robotic werden automatisch und kontinuierlich mit den neuesten Sicherheitsupdates gepatcht. Dadurch wird sichergestellt, dass wir die Gefährdung durch bekannte Schwachstellen minimieren können.
Festplattenverschlüsselung
Die Server von Rock Robotic verwenden eine vollständige Festplattenverschlüsselung, um sicherzustellen, dass die darauf gespeicherten Daten für andere nicht zugänglich sind. Dies schützt die Daten sowohl bei physischen Zugriffen auf die Server als auch bei der Entsorgung von Datenträgern.
Anwendungssicherheit
Kontrolle ändern
Da es sich um eine Webanwendung handelt, werden Codeänderungen kontinuierlich vorgenommen und bereitgestellt. Um auf die neueste Version zu aktualisieren, ist außer der Aktualisierung des Browsers keine Aktion erforderlich. Um die Anwendungssicherheit und Codequalität aufrechtzuerhalten und die Einführung von Fehlern zu minimieren, befolgen wir einen strengen Softwareentwicklungslebenszyklus (SDLC).
Design & Entwicklung
Neue Funktionen und Änderungen werden sorgfältig geplant und gestaltet. Nach der Genehmigung beginnt die Entwicklung und der gesamte Code wird in die Quellcodeverwaltung überprüft.
Rezension
Alle Codeänderungen unterliegen einer Peer-Review auf Qualität, Leistung und Korrektheit. Der Code wird auch unter Sicherheitsgesichtspunkten überprüft, wobei die OWASP Top 10 Richtlinien.
Staging-Release
Nach dem Überprüfungszeitraum werden die Änderungen in einer Staging-Umgebung bereitgestellt, wo sie von Entwicklern und unserem QA-Team gründlich getestet werden. Wir führen sowohl Funktions- als auch Regressionstests durch, um sicherzustellen, dass sich Änderungen wie beabsichtigt verhalten und nicht an anderer Stelle zu Fehlern geführt haben.
Produktionsfreigabe
Wenn diese Tests abgeschlossen sind und alle erforderlichen Korrekturen vorgenommen wurden, werden die Änderungen zur Verwendung durch den Kunden bereitgestellt. Große oder experimentelle Änderungen können für eine begrenzte Zeit als Betafunktionen bereitgestellt werden. Benutzer haben die Möglichkeit, diese Funktionen während dieser Zeit ein- oder auszuschalten.
Nach der Veröffentlichung
Feedback und Fehlerberichte werden von Kunden gesammelt und gegebenenfalls Änderungen und Korrekturen vorgenommen.
Notfälle
In seltenen Situationen, in denen Änderungen schnell angewendet werden müssen, um Fehler zu beheben oder sich nach einem Sicherheits- oder Ausfallzeitvorfall zu erholen, können einige der oben genannten Schritte wie Codeüberprüfungen, Tests und die Staging-Veröffentlichung übersprungen werden. Sollte dies der Fall sein, werden alle Änderungen überprüft und getestet, sobald sich die Dinge wieder normalisiert haben.
Authentifizierung & Genehmigung
Passwörter
Die Hauptanmeldemethode von Rock Robotic ist die E-Mail-Adresse und das Passwort. Ihr Passwort wird niemals im Klartext gespeichert. Alle Passwörter werden mit branchenführender Sicherheit bei Auth0 gespeichert.
Passwörter müssen außerdem zwei Komplexitätsanforderungen erfüllen: (1) mindestens acht Zeichen lang sein, (2) einen Kleinbuchstaben (a-z), einen Großbuchstaben (A-Z) und eine Zahl (0-9) enthalten, (3) eines der folgenden Sonderzeichen enthalten (!@#$%^&*), (4) nicht eines der zuvor festgelegten Passwörter sein, (4) darf keinen Teil Ihrer persönlichen Daten enthalten und (5) darf in diesem Passwort nicht vorkommen.Liste der 10.000 häufigsten Passwörter.
Sollten Sie Ihr Passwort vergessen, können Sie es zurücksetzen, indem Sie die mit Ihrem Konto verknüpfte E-Mail-Adresse angeben. An die angegebene Adresse wird ein Link mit einem kryptografischen Token gesendet, über den Sie Ihr Passwort zurücksetzen können.
Single Sign-On (SSO)
Benutzer mit Google-, Facebook- oder GitHub-Konten können die entsprechenden „Anmelden mit“-Schaltflächen verwenden, um sich ohne zusätzliche Einrichtung bei Rock Robotic anzumelden und ein Single-Sign-On-Erlebnis zu nutzen.
Multi-Faktor-Authentifizierung (MFA)
Bei der Anmeldung ist MFA erforderlich. Darüber hinaus müssen sich alle Mitarbeiter von Rock Robotic mit MFA anmelden, um die Datensicherheit weiter zu gewährleisten.
Kekse
Sobald ein Benutzer angemeldet ist, speichert Rock Robotic Sitzungstoken als sichere, reine HTTP-Cookies im Browser des Benutzers, um ihn als Zugriffsberechtigten zu identifizieren. Dies wird durch den Einsatz von Cross-Site-Request-Forgery-Tokens (CSRF) und strengen CORS-Richtlinien zusätzlich geschützt, um domänenübergreifende Anfragen und die unbefugte Verwendung des Cookies zu verhindern. Cookies verlieren nach zwei Wochen ihre Gültigkeit, d. h. Benutzer werden automatisch abgemeldet.
Schwachstellenminderung
Zusätzlich zu den oben erwähnten Codeüberprüfungen verwenden wir mehrere andere Maßnahmen, um sicherzustellen, dass in der Anwendung keine Schwachstellen vorhanden sind.
Datenbereinigung
Vom Benutzer eingegebene Daten können in einer Datenbank gespeichert und im Browser erneut gerendert werden. Dies kann die Möglichkeit für SQL-Injection- und Cross-Site-Scripting-Angriffe (XSS) eröffnen. Alle in Datenbanken eingegebenen oder in HTML gerenderten Daten werden entsprechend bereinigt.
Protokollierung und Überwachung
Um einen Prüfpfad bereitzustellen und eine schnelle Untersuchung potenzieller Bedrohungen oder Probleme zu ermöglichen, werden alle Anfragen an die Dienste von Rock Robotic sicher protokolliert und enthalten genügend Informationen, um Ereignisse nachzubilden.
Zu den möglicherweise protokollierten Informationen gehören IP-Adressen, Anforderungsheader, Anforderungsnutzdaten, Geräteinformationen, Statuscodes, Antwortzeiten und fehlgeschlagene Anmeldeversuche. Wir protokollieren niemals vertrauliche oder sensible Daten. Alle Protokolle werden für die Dauer ihrer Nützlichkeit aufbewahrt und gesichert. Darüber hinaus werden Fehlerraten und Leistungskennzahlen ständig überwacht, um sicherzustellen, dass Sie das bestmögliche Endbenutzererlebnis haben.
Verfügbarkeit
AWS ist bekannt für seine Stabilität und Zuverlässigkeit. Dies wird durch Service Level Agreements unterstützt, die die Betriebszeit sicherstellen und AWS für Ausfallzeiten verantwortlich machen. Dennoch kann es in Ausnahmefällen zu Ausfällen kommen.
Deshalb haben wir alle unsere Dienste so konzipiert, dass sie hochverfügbar und ausfallsicher sind. Alle Hosts und Anwendungen werden ständig auf Verfügbarkeit überwacht. Sollte es zu einem Ausfall kommen, wird ein automatisierter Fallback eingeleitet. Diese Strategie mildert Ausfälle sowohl auf Instanz- als auch auf Rechenzentrumsebene.
Darüber hinaus werden die Dienste, aus denen die Anwendung besteht, mithilfe eines externen Tools überwacht, das die Betriebszeit von mehreren Standorten auf der ganzen Welt aus überwacht. Sollte es zu einem Ausfall kommen, wird ein technischer Mitarbeiter unseres Personals sofort alarmiert und je nach Schwere des Ausfalls so schnell wie möglich eine Lösung eingeleitet. Rock Robotic ist bestrebt, eine jährliche Betriebszeit von 99 % aufrechtzuerhalten.
Skalierbarkeit
Von Anfang an haben wir die Rock Robotic-Plattform so konzipiert, dass sie den großen Datenanforderungen gerecht wird, die mit der Verarbeitung, dem Hosting, der Analyse und der Bereitstellung von vermessungstechnischen Kartendaten auf der ganzen Welt einhergehen. Dies erreichen wir vor allem durch die Nutzung der nahezu unbegrenzten Skalierbarkeit und globalen Abdeckung von AWS. In Verbindung mit der bedarfsbasierten automatischen Skalierung auf Anwendungs- und Infrastrukturebene bedeutet dies, dass wir unsere Anwendungen und die zugrunde liegende Infrastruktur schnell und einfach skalieren können, um jeder Nachfrage gerecht zu werden.
Informationssicherheit
Rock Robotic stuft alle vom Benutzer übermittelten Informationen als vertraulich und wesentlich ein. Wir nutzen mehrere Methoden, um sicherzustellen, dass Kundendaten jederzeit verfügbar und sicher sind:
Datenspeicherung und -übertragung
Alle an und von der Rock Robotic Platform übermittelten Daten werden verschlüsselt und sicher über HTTPS mit TLSv1 oder höher übertragen, je nach Client mit einer 128-Bit-Verschlüsselung oder höher. Alle internen Datenübertragungen zwischen Rock Robotic-Diensten sind ebenfalls durch Verschlüsselung geschützt.
Nach der Übermittlung werden alle Daten sicher in AWS gespeichert, wobei Zugriffskontrollen den unbefugten Zugriff verhindern. S3-Buckets sind standardmäßig als privat konfiguriert und für den Zugriff auf die Daten sind Zugriffsschlüssel oder vorsignierte URLs erforderlich. Ebenso sind Datenbanken passwortgeschützt und der Zugriff ist nur von IP-Adressen auf der Whitelist möglich. Zugriffe und Berechtigungen zur Änderung oder Löschung von Daten werden nur bei Bedarf und nach dem Prinzip der geringsten Rechte delegiert.
Alle Daten zur Verarbeitung oder Anzeige werden in einen S3-Bucket hochgeladen, der sich in der AWS-Region USA-Ost befindet. Von hier aus werden die Daten verschlüsselt an AWS-Server im Osten der USA zur Verarbeitung übertragen. Diese Server speichern diese Daten verschlüsselt, bis sie für die Verarbeitung nicht mehr benötigt werden.
Alle aus der Verarbeitung resultierenden Ausgaben werden in einen S3-Bucket in USA-Ost übertragen. Metadaten und andere in die Plattform eingegebene Daten werden in MySQL-Datenbanken in der AWS-Region USA-Ost gespeichert.
Soweit möglich werden alle Daten im Ruhezustand verschlüsselt, auch in Warteschlangen, Datenbanken, Datenvolumes und S3, mit AES256-Verschlüsselung. Verschlüsselungsschlüssel werden mit dem AWS Key Management Service (KMS) erstellt, verwaltet und gesichert. Wir wechseln die Schlüssel jährlich automatisch.
Zugangskontrollen
Zusätzlich zu den oben genannten Zugriffskontrollen auf Speicherebene bietet die Rock Robotic Platform vom Benutzer konfigurierbare Zugriffskontrollen auf Anwendungsebene. Wir verweigern standardmäßig den Zugriff auf die Daten innerhalb eines Portals oder einer Website und verlangen, dass ein Portaladministrator oder ein anderer Benutzer mit der Berechtigung „Zugriff verwalten“ einen Benutzer einlädt, die Daten innerhalb eines Portals anzuzeigen. Es ist möglich, bei der Zugriffsgewährung fein abgestufte Berechtigungen festzulegen, sodass das Prinzip der geringsten Rechte angewendet werden kann. Um die Verwaltung von Benutzern und deren Berechtigungen zu erleichtern, können diese in Rollen gruppiert werden, denen auch Berechtigungen zugewiesen werden können.
Notfallwiederherstellung
Für den unwahrscheinlichen Fall, dass Kundendaten verloren gehen, sind Verfahren und Sicherheitsvorkehrungen vorhanden, um die Wiederherstellung sicherzustellen. Der Großteil der Kundendaten wird im S3 von Amazon gespeichert, dessen Haltbarkeit auf 99,999999999 % geschätzt wird. Darüber hinaus ist die Objektversionierung standardmäßig für alle Buckets aktiviert, wodurch sichergestellt wird, dass ein Objekt auch dann wiederhergestellt werden kann, wenn es gelöscht oder überschrieben wird.
Die verbleibenden Kundendaten werden in kontinuierlich gesicherten Datenbanken gespeichert und ermöglichen eine minutengenaue Wiederherstellung zu einem bestimmten Zeitpunkt.
Ebenso werden alle Anwendungsdienste hochverfügbar bereitgestellt und bieten eine automatische Wiederherstellung nach Ausfällen auf Instanz- und Rechenzentrumsebene.
Privatsphäre
Rock Robotic hält alle lokalen Datenschutzgesetze ein, einschließlich der Allgemeinen Datenschutzverordnung (DSGVO), und verpflichtet sich, Ihre persönlichen Daten sicher und geschützt aufzubewahren. Weitere Informationen finden Sie unterSehen Sie sich unsere Datenschutzbestimmungen an.
Datenschutzverletzungen
Im Falle eines unbefugten Zugriffs auf Ihre Daten werden wir Sie schnellstmöglich nach Kenntniserlangung benachrichtigen.
Fragen? Bitte kontaktieren Sie, support@rockrobotic.com für mehr Informationen.
Server- und Netzwerksicherheit
Rock Robotic hostet den Großteil seiner Anwendungen auf der Amazon Web Services (AWS)-Plattform. AWS bietet modernste Rechenzentrumssicherheit, die Industriestandards wie SOC, PCI DSS und ISO 27001 entspricht. Die gesamte physische Netzwerk- und Serversicherheitsverantwortung für diese Teile der Anwendung wird an AWS delegiert. Weitere Informationen zu den physischen Sicherheitspraktiken von AWS finden Sie unter ihr Sicherheits-Whitepaper.
Personalgeräte
Alle von unseren Mitarbeitern verwendeten Geräte müssen passwortgeschützt sein und zusätzlich zur vollständigen Festplattenverschlüsselung nach kurzer Zeit der Nichtbenutzung automatisch gesperrt werden. Darüber hinaus sind die Mitarbeiter verpflichtet, die Multi-Faktor-Authentifizierung (MFA) für alle Dienste zu aktivieren, die diese bereitstellen.
Physische Sicherheit