One Identity
One Identity nimmt die Informationssicherheit bei der Verarbeitung und Übertragung personenbezogener Daten ernst. Diese Übersicht zur Informationssicherheit bezieht sich auf die Unternehmenskontrollen von One Identity zum Schutz persönlicher Daten, die von One Identity oder deren verbundenen Unternehmen verarbeitet und/oder zwischen den Unternehmen der One Identity Gruppe übertragen werden.
Sicherheitspraktiken
One Identity hat Praktiken und Standards für die Sicherheit von Unternehmensinformationen implementiert, die darauf ausgelegt sind, die Unternehmensumgebung von One Identity zu schützen und die Geschäftsziele in den Bereichen Informationssicherheit, Systemverwaltung, Asset Management, Entwicklung und Governance zu erreichen.
Diese Praktiken und Standards wurden von der Führungsebene von One Identity genehmigt und werden in regelmäßigen Abständen geprüft und nach Bedarf angepasst.
One Identity setzt ein angemessenes Programm für Datenschutz und Informationssicherheit um, das Richtlinien und Verfahren für physische und logische Zugangsbeschränkungen, die Datenklassifizierung, Zugriffsrechte, Programme für Berechtigungsnachweise, die Datenaufbewahrung, den Datenschutz, die Informationssicherheit und den Umgang mit persönlichen Daten und sensiblen persönlichen Daten während des gesamten Lebenszyklus umfasst. Wichtige Richtlinien werden mindestens einmal im Jahr überprüft.
Unternehmenssicherheit
Es liegt in der Verantwortung sämtlicher Mitarbeiter von One Identity, die persönliche Daten von Kunden verarbeiten, die Einhaltung dieser Praktiken und Standards sicherzustellen. Der Funktionsbereich Informationssicherheit („IS“) von One Identity ist für die folgenden Aktivitäten zuständig:
- Sicherheitsstrategie: Der Funktionsbereich Informationssicherheit kümmert sich mit seinen sicherheitsbezogenen Richtlinien und Standards sowie sämtlichen relevanten Bestimmungen nicht nur um die Gewährleistung der Compliance, sondern auch um die Sensibilisierung und Schulung der Benutzer. Außerdem führt IS Risikobeurteilungen und Aktivitäten für das Risikomanagement durch und verwaltet Vertragssicherheitsanforderungen.
- Sicherheitstechnik: IS verwaltet das Testen, Konzipieren und Implementieren von Sicherheitslösungen, um die Einführung von Sicherheitskontrollen in der Online- und IT-Umgebung von One Identity zu ermöglichen.
- Sicherheitsvorgänge: IS kümmert sich um den Support für implementierte Sicherheitslösungen, die Überwachung und das Scannen der Online- und IT-Umgebung sowie der Assets von One Identity und um das Management der Reaktion auf Sicherheitsvorfälle.
- Forensische Untersuchungen: IS arbeitet mit der Rechts- und Compliance-Abteilung sowie dem Personalwesen zusammen, um Untersuchungen durchzuführen (einschließlich Ermittlung und Forensik).
- Sicherheitsberatung und -tests: IS arbeitet mit Softwareentwicklern an der Zusammenstellung von Best Practices für die Sicherheit, berät in puncto Anwendungsentwicklung und Architektur für Softwareprojekte und führt Sicherheitstests durch.
Assetklassifizierung und -kontrolle
One Identity verfolgt und verwaltet wichtige Informationen sowie physische, softwarebasierte und logische Assets. Die möglicherweise von One Identity verfolgten Assets umfassen beispielsweise:
- Informations-Assets wie spezifische Datenbanken, Pläne für die Notfallwiederherstellung, Business-Continuity-Pläne, Datenklassifizierungen und archivierte Informationen
- Software-Assets wie spezifische Anwendungen und Systemsoftware
- Physische Assets wie spezifische Server, Desktop-PCs/Notebooks, Bänder für die Sicherung/Archivierung, Drucker und Kommunikationsgeräte
Diese Assets werden je nach Bedeutung für das Geschäft klassifiziert, um die Vertraulichkeitsanforderungen zu bestimmen. Leitlinien der Branche zum Umgang mit persönlichen Daten liefern das Framework für technische, organisatorische und physische Schutzmaßnahmen. Diese Schutzmaßnahmen können Kontrollen wie das Access Management, die Verschlüsselung, die Protokollierung und Überwachung sowie die Datenvernichtung umfassen.
Screening, Schulung und Sicherheit der Mitarbeiter
- Screening/Hintergrundprüfungen: Sofern realistischerweise möglich und angemessen, führt One Identity im Rahmen des Auswahlverfahrens/Einstellungsprozesses ein Screening und Hintergrundprüfungen der Mitarbeiter oder potenziellen Mitarbeiter durch (mit Unterschieden von Land zu Land je nach lokalen Gesetzen und Bestimmungen), wenn die jeweiligen Mitarbeiter Zugang zu den Netzwerken, Systemen oder Einrichtungen von One Identity haben werden.
- Identifikation: One Identity verlangt von allen Mitarbeitern einen Identitätsnachweis sowie weitere Dokumentation, die je nach Land der Einstellung oder Anforderungen anderer One Identity Entitäten oder Kunden, für die der jeweilige Mitarbeiter Services erbringt, gegebenenfalls erforderlich ist.
- Schulung: Das jährliche Compliance-Schulungsprogramm von One Identity sieht vor, dass Mitarbeiter eine Schulung zum Online-Datenschutz und zur Sensibilisierung für Informationssicherheit absolvieren.
- Vertraulichkeit: One Identity stellt sicher, dass seine Mitarbeiter rechtlich dazu verpflichtet sind, die Vertraulichkeit der Daten, die sie in Übereinstimmung mit Standardvereinbarungen verarbeiten, zu schützen und zu wahren.
Physische Zugangskontrollen und Umgebungssicherheit
- Programm für physische Sicherheit: One Identity nutzt im Rahmen seines Sicherheitsprogramms verschiedene technologische und betriebliche Ansätze zur Minderung von Sicherheitsrisiken im realistischerweise möglichen Maße. Das Sicherheitsteam von One Identity arbeitet eng mit den einzelnen Standorten zusammen, um sicherzugehen, dass angemessene Vorkehrungen getroffen wurden, durch die verhindert wird, dass nicht autorisierte Personen Zugang zu den Systemen erhalten, in denen persönliche Daten verarbeitet werden, und durch die jegliche Änderungen mit Blick auf die physische Infrastruktur, das Unternehmen und bekannte Bedrohungen überwacht werden können. Außerdem überwacht das Team die Best-Practice-Maßnahmen von anderen in der Branche und wählt sorgfältig Ansätze aus, die zu den einzigartigen geschäftlichen Eigenschaften und Erwartungen von One Identity passen. One Identity sorgt durch Berücksichtigung von Kontrollelementen, die Architektur, Betrieb und Systeme abdecken, für einen ausgewogenen Sicherheitsansatz.
- Physische Zugangskontrollen: Physische Zugangskontrollen/Sicherheitsmaßnahmen an den Einrichtungen/Standorten von One Identity sind auf die folgenden Anforderungen ausgelegt:
- Der Zugang zu den Gebäuden, Einrichtungen und sonstigen physischen Räumlichkeiten von One Identity wird kontrolliert und ist von der geschäftlichen Notwendigkeit, der Vertraulichkeit der Assets und der Rolle der jeweiligen Person bzw. ihrer Beziehung zu One Identity abhängig. Der Zugang zu den Einrichtungen und physischen Ressourcen von One Identity wird nur Personen mit Verbindung zu One Identity gewährt. Der Zugang wird nur in Übereinstimmung mit der Rolle und den Verantwortlichkeiten der jeweiligen Person im Unternehmen gewährt.
- Wichtige Einrichtungen von One Identity sind durch ein Zugangskontrollsystem geschützt. Der Zugang zu solchen Einrichtungen ist nur mit einer aktivierten Karte möglich.
- Personen, die Zugang zu mittels Karte geschützten Einrichtungen und/oder Ressourcen erfordern, werden von IS entsprechende und eindeutige physische Zugangsberechtigungsnachweise bereitgestellt (z. B. ein Ausweis oder eine Zugangskarte für nur eine bestimmte Person). Personen, die über diese eindeutigen physischen Zugangsberechtigungsnachweise verfügen, ist es untersagt, anderen mit ihrer Zugangsberechtigung den Zugang zu den Einrichtungen oder Ressourcen von One Identity zu erlauben oder zu ermöglichen (kein „Durchschlüpfen“). Vorläufige Zugangsberechtigungsnachweise (für bis zu 14 Tage) können für Personen ohne aktive Identität ausgestellt werden, sofern dies (i) für den Zugang zu einer bestimmten Einrichtung und (ii) aus stichhaltigen geschäftlichen Gründen erforderlich ist. Eindeutige Zugangsberechtigungsnachweise sind nicht übertragbar. Sollte eine Person ihren Nachweis auf Anforderung nicht vorlegen können, kann ihr der Zugang zu den Einrichtungen von One Identity verweigert oder sie kann vom Gelände verwiesen werden. An durch Personal bewachten Eingängen muss dem Sicherheitsmitarbeiter beim Betreten ein gültiger Lichtbildausweis oder ein gültiger Zugangsberechtigungsnachweis vorgezeigt werden. Personen, die ihren Zugangsberechtigungsnachweis oder sonstigen Ausweis verloren oder verlegt haben, müssen einen durch Personal bewachten Eingang nutzen und sich von einem Sicherheitsmitarbeiter einen vorläufigen Ausweis ausstellen lassen.
- Besucher, die Zugang zu den Einrichtungen von One Identity benötigen, müssen einen durch Personal bewachten Eingang oder den Haupteingang der Einrichtung nutzen. Besucher müssen das Datum und die Uhrzeit ihrer Ankunft, die Uhrzeit, zu der sie das Gebäude wieder verlassen, und den Namen der Person angeben, die sie besuchen. Besucher müssen zur Überprüfung ihrer Identität einen staatlich ausgestellten Identifikationsnachweis vorlegen. Damit Besucher keinen Zugang zu proprietären Informationen des Unternehmens erlangen und solche Daten auch nicht offenlegen können, dürfen sie eingeschränkte oder kontrollierte Bereiche nicht ohne Begleitung betreten.
- An ausgewählten Einrichtungen von One Identity kommen – sofern angemessen und rechtlich zulässig – Videoüberwachung, Sicherheitskräfte und andere physische Maßnahmen zum Einsatz.
- Zur sicheren Vernichtung vertraulicher Informationen/persönlicher Daten gibt es an den meisten Standorten verriegelte Aktenvernichter.
- Bei Softwareentwicklungs- und Infrastrukturbereitstellungsprojekten nutzt IS einen Risikobeurteilungsprozess und ein Datenklassifizierungsprogramm, um die mit solchen Aktivitäten verbundenen Risiken zu verwalten.
Sicherheitsvorfälle und Reaktionsplan
- Plan zur Reaktion auf Sicherheitsvorfälle: One Identity verfügt über eine Richtlinie für die Reaktion auf Sicherheitsvorfälle sowie einen zugehörigen Plan und entsprechende Verfahren für die Maßnahmen, die One Identity im Falle von Kontrollverlust, Diebstahl, nicht autorisierter Offenlegung, unbefugtem Zugriff oder unerlaubter Aneignung persönlicher Daten ergreift. Diese Maßnahmen können neben der Vorfallsanalyse auch die Eindämmung, Reaktion, Korrektur, Berichterstellung und schlussendlich die Wiederaufnahme des normalen Betriebs umfassen.
- Reaktionskontrollen: Es wurden Kontrollen zum Schutz vor und zur Erkennung von böswilligen Asset-Nutzungsweisen und böswilliger Software sowie zum Melden möglicher Vorfälle an den Funktionsbereich IS oder den Service Desk von One Identity implementiert, sodass entsprechende Maßnahmen ergriffen werden können. Die Kontrollen können unter anderem Folgendes umfassen: Richtlinien und Standards für die Informationssicherheit, Zugangsbeschränkungen, spezielle Entwicklungs- und Testumgebungen, Viruserkennung auf Servern, Desktop-PCs und Laptops, Virenscans für E-Mail-Anhänge, System-Compliance-Scans, Überwachung und Reaktion zur Angriffsvermeidung, Firewall-Regeln, Protokollierung und Benachrichtigungen bei wichtigen Ereignissen, Verfahren für den Umgang mit Informationen je nach Datentyp, Sicherheit von E-Commerce-Anwendungen und Netzwerken sowie Schwachstellenscans für Systeme und Anwendungen. Je nach Risiko können weitere Kontrollen implementiert werden.
Kontrolle der Datenübertragung und Verschlüsselung
One Identity unternimmt – sofern One Identity die Kontrolle über eine elektronische Übertragung oder Übermittlung von personenbezogenen Daten hat – alle angemessenen Schritte, um sicherzustellen, dass die übertragenen oder übermittelten Daten während der Übertragung oder Übermittlung ohne ordnungsgemäße Befugnis nicht gelesen, kopiert, geändert oder entfernt werden können. One Identity setzt insbesondere auf folgende Maßnahmen:
- Implementierung von Verschlüsselungspraktiken nach Branchenstandard für die Übermittlung persönlicher Daten: Die von One Identity verwendeten Verschlüsselungsmethoden nach Branchenstandard umfassen Secure Sockets Layer (SSL), Transport Layer Security (TLS), ein Secure Shell-Programm wie SSH und/oder Internet Protocol Security (IPSec).
- Für Webanwendungen, mit denen unter Umständen sensible persönliche Daten verarbeitet werden und/oder die per Echtzeitintegration mit Systemen im Netzwerk (einschließlich des Kernnetzwerks von One Identity) verbunden sind, die solche Informationen enthalten, kann eine Web Application Firewall (WAF) zum Einsatz kommen, um eine zusätzliche Ebene zur Eingabeüberprüfung und Angriffsabwehr bereitzustellen. Die WAF wird so konfiguriert, dass potenzielle Schwachstellen wie Angriffe durch Einschleusung, Pufferüberläufe, Cookie-Manipulation und andere gängige Angriffsmethoden vermieden werden.
Kontrollen für den Zugriff auf Systeme
Der Zugriff auf die Systeme von One Identity ist auf autorisierte Benutzer beschränkt. Formelle Verfahren und Kontrollen regeln, wie autorisierten Personen Zugriff gewährt wird und welche Zugriffsberechtigungen die jeweilige Person für ihre Aufgaben benötigt bzw. welche Zugriffsberechtigungen für die jeweilige Person angemessen sind.
Zugriffskontrolle
One Identity wendet für den Zugriff auf persönliche Daten und deren Nutzung die folgenden Kontrollen an:
- Mitarbeiter sind angehalten, nur die Mindestmenge an persönlichen Daten zu verwenden, die zum Erreichen der jeweiligen Geschäftsziele von One Identity erforderlich sind.
- Sofern es für ihre Aufgaben nicht erforderlich ist, ist es Mitarbeitern untersagt, persönliche Daten zu lesen, zu kopieren, zu ändern oder zu entfernen.
- Die Nutzung persönlicher Daten durch Drittanbieter ist vertraglich zwischen dem Drittanbieter und One Identity geregelt, sodass die Nutzung persönlicher Daten durch Drittanbieter eingeschränkt wird und nur in dem zur Servicebereitstellung durch den Drittanbieter erforderlichen Ausmaß zulässig ist.
Verfügbarkeitskontrolle
One Identity schützt persönliche Daten mithilfe der folgenden Kontrollen vor versehentlicher Vernichtung oder Verlust:
- Persönliche Daten werden in Übereinstimmung mit dem Kundenvertrag oder bei Fehlen eines solchen Vertrags in Übereinstimmung mit den Richtlinien und Praktiken zur Datensatzverwaltung von One Identity sowie rechtlichen Aufbewahrungsanforderungen aufbewahrt.
- Persönliche Daten auf Papier werden in einem sicheren Abfallbehälter oder querschneidenden Aktenvernichter entsorgt, damit die Informationen nicht mehr entziffert werden können.
- Elektronische persönliche Daten werden zur ordnungsgemäßen Entsorgung an das IT-Asset Management-Team von One Identity übergeben.
- Es wurden angemessene technische Maßnahmen implementiert, darunter unter anderem: Virenschutzsoftware auf allen Systemen, Netzwerkschutz mittels Firewall, Netzwerksegmentierung, Inhaltsfilter/Proxys für Benutzer, unterbrechungsfreie Stromversorgung, regelmäßige Sicherungen, Festplattenspiegelung nach Bedarf, Brandschutzsystem, Wasserschutzsysteme nach Bedarf, Notfallpläne und gekühlte Serverräume.
Dateneingabekontrolle
One Identity verfügt – wo angemessen – über Maßnahmen zum Überprüfen, ob und durch wen persönliche Daten in Datenverarbeitungssysteme eingegeben wurden und ob diese Daten geändert oder entfernt wurden. Der Zugriff auf wichtige Anwendungen wird protokolliert.
Systementwicklung und -pflege
Öffentlich bekannt gegebene Schwachstellen von Drittanbietern werden auf Anwendbarkeit in der Umgebung von One Identity überprüft. Je nach Risiko für das Geschäft und die Kunden von One Identity gibt es vordefinierte Zeitrahmen für die Korrektur. Zusätzlich werden basierend auf dem Risiko Schwachstellenscans und Beurteilungen für neue und wichtige Anwendungen sowie die Infrastruktur durchgeführt. Je nach Risiko werden Code-Überprüfungen und Scanner vor der Produktion in der Entwicklungsumgebung verwendet, um Schwachstellen im Code proaktiv aufzudecken. Diese Prozesse ermöglichen die proaktive Identifizierung von Schwachstellen und Compliance-Problemen.
Compliance
Die Informationssicherheits-, Rechts-, Datenschutz- und Compliance-Abteilungen arbeiten zusammen, um regionale Gesetze und Bestimmungen zu identifizieren, die auf One Identity zutreffen könnten. Diese Anforderungen decken verschiedene Bereiche ab, beispielsweise das geistige Eigentum von One Identity und seinen Kunden, Softwarelizenzen, den Schutz der persönlichen Informationen von Mitarbeitern und Kunden, Verfahren für den Datenschutz und den Umgang mit Daten, grenzübergreifende Datenübertragungen, finanzielle und betriebliche Verfahren, regulatorische Exportkontrollen rund um Technologie und forensische Anforderungen.
Zur Förderung der Compliance mit diesen Anforderungen werden verschiedene Mechanismen kombiniert, darunter das Informationssicherheitsprogramm, der Datenschutzvorstand, interne und externe Audits/Bewertungen, interne und externe Rechtsberatung, interne Kontrollbewertungen, interne Penetrationstests und Schwachstellenbewertungen, die Vertragsverwaltung, die Sicherheitssensibilisierung, die Sicherheitsberatung, die Überprüfung von Richtlinienausnahmen und das Risikomanagement.
Unterauftragsverarbeiter
Informationen zu unseren aktuellen Unterauftragsverarbeitern finden Sie unter https://support.oneidentity.com/subprocessor. Kunden können Benachrichtigungen abonnieren, um über neue Unterauftragsverarbeiter informiert zu werden.
Informationen zu weiteren produktspezifischen technischen und organisatorischen Maßnahmen sind in den produktbezogenen Sicherheitsleitfäden enthalten.