Sicherheit

Optimizely hat verschiedene technische und organisatorische Maßnahmen ergriffen, um Optimizely-Anwendungen zu schützen. Auf dieser Seite finden Sie eine Beschreibung unserer aktuellen Sicherheitsmaßnahmen.

Organisatorische Struktur

Das Trust Team fördert die Programme für Sicherheit, Datenschutz und Compliance bei Optimizely. Zum Trust Team gehören ein Manager of Compliance und ein Director of Security Engineering, die dem Chief Information Security Officer unterstellt sind.

Governance

Risiko-Management

Das Sicherheitsteam führt regelmäßig Risikobewertungen durch, wobei es eine Methodik verwendet, die auf denRichtlinien der ISO 27005:2018 für das Risikomanagement im Bereich der Informationssicherheit basiert. Die wichtigsten Risiken werden identifiziert und Risikobehandlungspläne erstellt. Die Risikobewertung, die Auswahl der Top-Risiken und die Risikobehandlungspläne werden überprüft und der Fortschritt wird vom Security Governance Board verfolgt.

Zugriffskontrollen

Authentifizierung

Optimizely verlangt eine Authentifizierung für den Zugriff auf alle Anwendungseingangspunkte, einschließlich Web und API, mit Ausnahme derjenigen, die für die Öffentlichkeit bestimmt sind.

Sichere Kommunikation von Anmeldeinformationen

Optimizely verwendet derzeit TLS zur Übertragung von Authentifizierungsdaten an Optimizely-Produkte.

Passwort-Verwaltung

Mit Prozessen, die darauf ausgerichtet sind, Mindestanforderungen an Passwörter für Optimizely-Produkte durchzusetzen, wenden wir die folgenden Anforderungen und Sicherheitsstandards für Endbenutzer-Passwörter im Optimizely-Service an:

• Passwörter müssen mindestens 8 Zeichen lang sein und eine Mischung aus Groß- und Kleinbuchstaben sowie Zahlen und Symbolen enthalten.
• Mehrfache Anmeldungen mit einem falschen Benutzernamen oder Passwort führen zu einem gesperrten Konto, das deaktiviert wird, um ein Brute-Force-Login zu verhindern, aber nicht lange genug, um zu verhindern, dass legitime Benutzer die Anwendung nicht nutzen können.
• E-Mail-basierte Links zum Zurücksetzen des Passworts werden nur an die zuvor registrierte E-Mail-Adresse des Benutzers mit einem temporären Link gesendet.
• Optimizely begrenzt die Anzahl der Anmeldeversuche von derselben E-Mail Adresse
• Optimizely verhindert die Wiederverwendung von kürzlich verwendeten Passwörtern

Passwort-Hashing

Die im Optimizely Service gespeicherten Passwörter für Endbenutzerkonten werden mit einem zufälligen Salt verschlüsselt, wobei branchenübliche Verfahren verwendet werden.

2-Schritt-Verifizierung

Erhöhen Sie die Sicherheit Ihrer Optimizely-Konten, indem Sie bei der Anmeldung eine zweite Authentifizierungsstufe hinzufügen. Anstatt sich nur auf ein Passwort zu verlassen, müssen Sie bei der zweistufigen Verifizierung einen temporären Code eingeben, auf den Sie von Ihrem Mobiltelefon aus zugreifen und der Ihnen helfen soll:

• Ihre Website und mobile Anwendung zu schützen, wenn Ihr Optimizely-Passwort gestohlen wird
• eine zusätzliche Sicherheitsebene gegen Passwort-Phishing-Angriffe zu schaffen
• die Richtlinien der Sicherheitsrichtlinien Ihres Unternehmens einzuhalten

Einmalige Anmeldung

Mit Optimizely können Sie Single Sign-On (SSO) über SAML 2.0 implementieren, ein offenes Standarddatenformat für den Austausch von Authentifizierungs- und Autorisierungsinformationen. Dadurch kann sich Ihr Team mit seinen bestehenden Unternehmensdaten bei Optimizely anmelden. SSO ist nur für ausgewählte Pakete verfügbar. Bitte prüfen Sie auf Ihrem Bestellformular, ob Sie dazu berechtigt sind.

Sitzungsverwaltung

Jedes Mal, wenn sich ein Benutzer beim Optimizely Service anmeldet, weist ihm das System eine neue, eindeutige Sitzungskennung zu, die aus 64 Byte Zufallsdaten besteht, die zum Schutz vor Brute-Force-Angriffen entwickelt wurden.

Zeitüberschreitung der Sitzung

Optimizely-Produkte erzwingen harte Sitzungszeitüberschreitungen und Inaktivität, die eine erneute Authentifizierung für den Zugriff auf API und direkte Webanwendungen erfordern.

Abmeldung

Wenn Sie sich vom Optimizely Service abmelden, löscht das System die Sitzungscookies auf dem Client und macht die Sitzungskennungen auf den Optimizely Servern ungültig.

Netzwerk- und Übertragungskontrollen

Optimizely überwacht und aktualisiert seine Kommunikationstechniken regelmäßig mit dem Ziel, die Netzwerksicherheit zu gewährleisten.

SSL/TLS

Standardmäßig wird die gesamte Kommunikation Ihrer Endbenutzer und Besucher mit Optimizely-Produkten mit einer dem Industriestandard entsprechenden Technik zur Verschlüsselung der Kommunikation verschlüsselt. Optimizely verwendet derzeit Transport Layer Security (TLS) und aktualisiert die Cipher Suites und Konfigurationen, sobald Schwachstellen entdeckt werden.

Netzwerksicherheit

Optimizely aktualisiert regelmäßig das Schema der Netzwerkarchitektur und behält die Datenflüsse zwischen den Systemen im Auge. Firewall-Regeln und Zugriffsbeschränkungen werden regelmäßig auf ihre Angemessenheit hin überprüft.

Sicherheit der Infrastruktur

Optimizely verwendet auf den Produktionsservern, die Optimizely-Produkte hosten, ein Intrusion Detection System (IDS), ein Security Incident Event Management (SIEM) System und andere Tools zur Sicherheitsüberwachung. Die Meldungen dieser Tools werden an das Optimizely Sicherheitsteam weitergeleitet, das über einen Incident-Management-Plan verfügt, um alle identifizierten Ereignisse zu untersuchen, zu isolieren und zu entschärfen.

Zugriffsprotokolle

Optimizely führt detaillierte Zugriffsprotokolle über unsere Infrastruktur und Produkte, die auf Ereignisse mit Auswirkungen auf die Sicherheit und Verfügbarkeit überprüft werden. Die Protokolle werden zu forensischen Zwecken mindestens sechs Monate lang aufbewahrt.

Datenvertraulichkeit & Auftragskontrollen

Interner Zugriff auf Daten

Der Zugriff auf Ihre bei Optimizely gespeicherten Daten ist auf Mitarbeiter und Auftragnehmer beschränkt, die diese Informationen zur Erfüllung ihrer Aufgaben benötigen. Zum Beispiel, um Kundensupport zu leisten, die Infrastruktur zu warten, das Produkt zu verbessern oder um zu verstehen, wie sich eine technische Änderung auf eine Gruppe von Kunden auswirkt.

Optimizely verlangt derzeit die Verwendung von Single Sign-On, starken Passwörtern und Zwei-Faktor-Authentifizierung für alle Mitarbeiter, die auf Produktionsdaten zugreifen.

Job-Kontrollen

Optimizely hat mehrere Arbeitsplatzkontrollen für Mitarbeiter eingeführt, um Ihre Daten zu schützen:

• Alle Optimizely-Mitarbeiter und Auftragnehmer müssen Vertraulichkeitsvereinbarungen unterzeichnen, bevor sie auf unsere Produktionssysteme zugreifen dürfen.
• Alle Optimizely-Mitarbeiter müssen bei ihrer Einstellung eine Sicherheits- und Datenschutzschulung sowie eine jährliche Schulung zum Thema Sicherheit und Datenschutz erhalten.
• Der Zugriff von Mitarbeitern und Auftragnehmern auf Produktionssysteme, die Ihre Daten enthalten, wird protokolliert und geprüft.
• Optimizely-Mitarbeiter können disziplinarisch belangt werden, einschließlich, aber nicht beschränkt auf, Kündigung, wenn sie ihren Zugang zu Kundendaten missbraucht haben.
• Optimizely-Mitarbeiter werden vor der Einstellung einer Hintergrundüberprüfung unterzogen, sofern dies gesetzlich zulässig ist.

Sicherheit in der Technik

Überblick über die Produktsicherheit

Die Software-Sicherheitspraktiken von Optimizely werden anhand von branchenüblichen Sicherheitsmodellen gemessen - derzeit dasBuilding Security In Maturity Model (BSIMM). Der Lebenszyklus der Softwareentwicklung (SDLC) für unsere Dienstleistungen umfasst viele Aktivitäten, die die Sicherheit fördern sollen:

• Definition der Sicherheitsanforderungen
• Entwurf (Bedrohungsmodellierung, Bedrohungsanalyse und Überprüfung des Sicherheitsentwurfs)
• Entwicklungskontrollen (statische Analyse und manueller Peer Code Review)
• Testen (dynamische Analyse, Bug Bounty Programm und Bewertung von Sicherheitslücken durch Dritte)
• Wir verwenden derzeit gegebenenfalls Unit-, Integrations- und End-to-End-Tests, um Regressionen aufzuspüren.
• Einführungskontrollen (z. B. Änderungsmanagement und Canary-Release-Prozess)

Optimizely Software wird nach den geltendenOWASP-Standardsentwickelt, geprüft und getestet.

Code-Bewertungen

Die von Optimizely entwickelte Software wird kontinuierlich überwacht und getestet. Dabei werden Prozesse eingesetzt, die darauf abzielen, Schwachstellen proaktiv zu identifizieren und zu beheben. Wir führen regelmäßig durch:

• Automatisierte Quellcode-Analyse, um häufige Fehler zu finden
• Peer-Review des gesamten Codes vor der Übergabe an die Produktion
• Manuelle Quellcode-Analysen in sicherheitsrelevanten Bereichen des Codes
• Jährlich durchgeführte Sicherheitsbewertungen und Penetrationstests von Drittanbietern

Bug Bounty Programm

Optimizely bietet derzeit ein Bug Bounty Programm an, um die Meldung von Sicherheitsproblemen mit unserem Produkt zu fördern. Bugs können über das Programm oder per E-Mail an[email protected] gemeldet werden.

Verfügbarkeitskontrollen

Disaster Recovery

Die Optimizely Service-Infrastruktur ist so konzipiert, dass Serviceunterbrechungen aufgrund von Hardwareausfällen, Naturkatastrophen oder anderen Katastrophen minimiert werden. Die Funktionen umfassen:

• Hochmoderne Cloud-Anbieter: Wir nutzen Azure, Google Compute Cloud und Amazon Web Services - allesamt von Tausenden von Unternehmen vertrauenswürdig, um ihre Datendienste zu speichern und bereitzustellen.
• Datenreplikation: Um die Verfügbarkeit im Falle einer Katastrophe zu gewährleisten, können wir Daten je nach den Anforderungen an die Ausfallsicherheit sowohl innerhalb als auch zwischen mehreren Rechenzentren replizieren.
• Backups:Wir führen regelmäßige Backups der über Optimizely Services gespeicherten Daten durch. Die Backups werden regelmäßig auf ihre Integrität getestet.
• Kontinuitätsplan:Wir haben einen Kontinuitätsplan für alle Arten von Serviceunterbrechungen. Unser Team ist global aufgestellt und kann Ressourcen verlagern, falls regionale Probleme unsere Fähigkeit, Dienste oder Support zu leisten, beeinträchtigen.
• Sicherheit: Wir schränken unsere Sicherheit während der Disaster Recovery-Operationen nicht ein.

Reaktion auf Vorfälle

Optimizely verfügt über einen Incident Response Plan, der darauf ausgelegt ist, umgehend und systematisch auf Sicherheits- und Verfügbarkeitsvorfälle zu reagieren, die auftreten können. Der Notfallplan wird regelmäßig getestet und verfeinert.

Segregationskontrollen

Trennung der Daten

Optimizely trennt alle Kundendaten und bietet starke programmatische und Zugriffskontrollen, um Ihre Daten logisch von denen anderer Kunden zu trennen.

Benutzer-Rollen

Optimizely-Produkte bieten Ihnen die Möglichkeit, den Zugriff auf Ihre Daten und Konfigurationen durch die Definition von Benutzerrollen einzuschränken. Sie können Benutzer zu Ihrem Konto einladen, ohne allen Teammitgliedern die gleichen Berechtigungsstufen zu geben. Diese Benutzerrechte sind besonders nützlich, wenn mehrere Personen an einem Projekt arbeiten.

Physische Sicherheit

Optimizely nutzt branchenführende Cloud-Plattformen (Azure, Google Compute Cloud und Amazon Web Services), um seine Produktionsdienste zu hosten. Diese Cloud-Dienste bieten ein hohes Maß an physischer Sicherheit. Der Zugang zu diesen Rechenzentren ist auf autorisiertes Personal beschränkt, das durch biometrische Identitätsüberprüfungsmaßnahmen überprüft wird. Zu den physischen Sicherheitsmaßnahmen für diese Rechenzentren gehören Wachpersonal vor Ort, Videoüberwachung und zusätzliche Maßnahmen zum Schutz vor Eindringlingen. Wir verlassen uns auf die Bescheinigungen Dritter über die physische Sicherheit. Innerhalb unserer Einrichtungen setzen wir eine Reihe von branchenüblichen physischen Sicherheitskontrollen ein. schulen unsere Mitarbeiter und Auftragnehmer, um die physische Sicherheit ihrer Assets unabhängig von ihrem Standort zu schützen.

Zusätzliche Bedingungen

Wenn Sie weitere Fragen zur Umsetzung dieser Sicherheitsmaßnahmen haben, konsultieren Sie bitte dieKnowledge Base. Unsere Sicherheitsmaßnahmen werden ständig weiterentwickelt, um mit der sich verändernden Sicherheitslandschaft Schritt zu halten. Daher werden wir diese Seite von Zeit zu Zeit aktualisieren, um diese technischen und organisatorischen Änderungen zu berücksichtigen. Bitte besuchen Sie diese Seite regelmäßig, um sich über unsere neuesten Maßnahmen zu informieren. Wie immer unterliegt die Nutzung des Optimizely Service den Bestimmungen, Bedingungen und Haftungsausschlüssen in unserenAllgemeinen Geschäftsbedingungen.