Sicherheitspolitik

Shared Contacts for Gmail® hat mit Kontaktinformationen zu tun, die sehr oft persönliche Daten enthalten, deren Manipulation streng geregelt ist.

Wir nehmen die Datensicherheit sehr ernst und sind als Google Premium Partner verpflichtet, zahlreiche Sicherheitsregeln einzuhalten. Darüber hinaus zählen Finanzinstitute, Krankenhäuser und Fortune-500-Unternehmen zu unseren Kunden, die von uns erstklassige Sicherheitsprozesse erwarten.

Der allgemeine Sicherheitsansatz folgt der EBIOS-Methode (die in Frankreich am häufigsten verwendete Methode)

Die Vorgehensweise zur Verhinderung eines unberechtigten Zugriffs auf unsere Kundendaten basiert auf den folgenden Grundsätzen:

Risiko-Quellen

3 Hauptrisikofaktoren werden abgedeckt:

  • Interne Personen: Mitarbeiter und Auftragnehmer
  • Externe Personen: Anbieter, Konkurrenten, autorisierte Dritte…
  • Nicht-menschliche Quellen: Viren, Naturkatastrophen, entflammbare Materialien…

Vermögenswerte

Hardware

Die Daten werden ausschließlich auf gesicherten Servern gehostet, die von Google Cloud(Google Compute Platform Infrastructure) bereitgestellt werden, und die Daten werden niemals auf anderen Arten von Hardware (USB, CDs, Mobiltelefonen, lokalen Computern usw.) übertragen.

Datenbanken

Die Datenbanken, in denen die Daten unserer Kunden gespeichert sind, sind innerhalb des Netzes gesichert und passwortgeschützt. Nur Manager/Teamleiter haben Zugriff auf die Live-Daten. Die Entwickler arbeiten mit Staging-Daten und haben keine Möglichkeit, auf Live-Daten zuzugreifen.

Die Passwörter für die Datenbank und die Gateways sind in einer fest verschlüsselten Datei gesichert, die auf einem separaten Server gespeichert ist und bei jeder Bereitstellung einmal vom Live-Server verwendet wird.


Softwares

Wir verwenden eine minimale Anzahl von Tools von Drittanbietern (Mongo DB, Zabbix usw.) und jede Installation einer neuen Software muss einer strengen Sicherheitsüberprüfung unterzogen werden, einschließlich Trojaner oder Spyware. Ähnlich wie bei der Datenbank haben nur die Benutzer, die auf diese Software zugreifen müssen, Zugangsdaten und die Berechtigung, sie zu benutzen.

Netzwerk

Unser Netzwerk ist ausschließlich webbasiert und basiert auf der Google-Architektur. Wir haben einen Mitarbeiter, der sich in Vollzeit um Sicherheitsmanagement und Zugangsberechtigungen kümmert.
Der Zugang zur Infrastruktur (z. B. FTP) ist durch 4 Stufen von Beschränkungen geschützt:

  • Google-Konto (nur genehmigte Google-E-Mail-IDs können auf die GCP-Plattform zugreifen)
  • 2-stufige Authentifizierung des Google-Kontos : Benutzer, die sich bei der GCP-Infrastruktur anmelden, müssen ihre Identität mit Hilfe der SMS-Authentifizierung bestätigen.
  • IP-Adressen : Nur eine Reihe von IP-Adressen, die in der Liste aufgeführt sind. Nutzer, die von zu Hause aus arbeiten, müssen täglich ihre IP-Adresse mitteilen.
  • Ein zusätzliches zweistufiges internes Authentifizierungssystem, das den zeitbasierten Einmal-Passwort-Algorithmus (TOTP; spezifiziert in RFC 6238) und den HMAC-basierten Einmal-Passwort-Algorithmus (HOTP; spezifiziert in RFC 4226) zur Authentifizierung von Benutzern verwendet.
  • Außerdem gibt es Maßnahmen zur Verhinderung von DDos oder SQL-Injektionen.
  • Unsere Mitarbeiter werden auch darin geschult, Phishing- oder “Cloud-basierte” Viren zu vermeiden (die sie z. B. auffordern würden, sich bei ihrem Google-Konto anzumelden, um eine Datei zu öffnen).

Menschen

  • Alle Mitarbeiter und Auftragnehmer werden vor der Einstellung überprüft. Sie unterzeichnen eine Geheimhaltungsvereinbarung und werden regelmäßig an die Sicherheits- und Datenschutzmaßnahmen sowie an die Risiken und Strafen im Zusammenhang mit einer Datenverletzung erinnert.
  • Die Zahl der Nutzer, die auf Kundendaten zugreifen können, ist streng auf Sicherheits- und Verwaltungspersonal beschränkt.
  • Entwicklungs- und Support-Teams können sich als Benutzer ausgeben und auf deren Kontakte zugreifen, um Fehler zu beheben und Support zu leisten.
  • Alle Aktivitäten auf Servern und Plattformen werden protokolliert und überwacht. Jede anormale Aktivität wird sofort aufgedeckt (z. B. ein Mitarbeiter, der sich in kurzer Zeit ohne ersichtlichen Grund als mehrere Benutzer desselben Bereichs ausgibt) und muss sich für diese Aktivität rechtfertigen.