Daten- und Informationssicherheit bei Assent

Verschlüsselung

Data in Transit: Assent vertraut auf HTTPS, SFTP und TLS zur Verschlüsselung der Internetkommunikation.

Data at Rest: Kundendaten werden mithilfe von AES gesichert.

Separate Umgebungen (Entwicklung, Qualitätskontrolle, Staging, Akzeptanztests, Produktion): Entwicklungs-, Test- und Staging-Umgebungen sind sowohl physisch als auch logisch von der Produktionsumgebung getrennt.

Datentrennung: Sämtliche Kundendaten werden unter Einsatz hochmoderner Sicherheitskontrollen separat voneinander gespeichert und sind ausschließlich für ausgewählte Mitarbeitende mit speziellen Zugangsdaten und Berechtigungen zugänglich. Darüber hinaus werden für jeden Kunden separate SFTP-Verzeichnisse erstellt, die für die Übertragung von Daten an Assent zum Einsatz kommen.

Penetrationstests: Assent beauftragt jedes Jahr eine unabhängige externe Instanz mit der Durchführung von Web- und Netzwerk-Penetrationstests in der Produktionsumgebung. Zusätzlich führen wir alle 6 Monate interne Tests durch.

Identifizierung von Anwendungsschwachstellen: Bevor eine neue Anwendungsversion für die Akzeptanztest-Umgebung freigegeben wird, wird der Code auf etwaige Schwachstellen überprüft. Codeversionen müssen diese Etappe erfolgreich bestehen, um für die Produktion freigegeben zu werden.

Dienstleister

Die Hosting-Umgebung und die zugehörigen Services von Assent werden von AWS bereitgestellt. Dank einer langjährigen Erfolgsbilanz im Bereich der Datensicherheit ist AWS der Vertrauenspartner zahlreicher führender Unternehmen wie Verizon und Capital One. Das Unternehmen verfügt über zahlreiche Zertifizierungen, darunter SOC 2 und ISO 9001:2015.

Standorte

Assent verfügt über drei Hosting-Standorte:

• Nordamerika: AWS U.S. East – Nord-Virginia
• U.S. ITAR: AWS GovCloud – Osten der USA
• EU: AWS – Frankfurt, Deutschland

Die Sicherheitsfunktionen und Struktur unseres Netzwerks sind maßgebliche Bestandteile unserer fortlaufenden Bemühungen in puncto Datensicherheit. Kunden profitieren von folgenden Funktionen:

Angriffserkennung und -verhinderung: Potenzielle Sicherheitsvorfälle werden durch IDS- und IPS-Systeme (Intrusion Detection and Prevention; Deutsch: Erkennung und Verhinderung von Angriffen) abgewehrt. Diese Systeme überwachen Netzwerkein- und -ausgänge auf mögliche Sicherheitslücken.

Schutz vor Datenverlust: Assent nutzt einen mehrschichtigen Ansatz, der innovative Tools mit traditionellen Maßnahmen kombiniert, zur Verhinderung von Datenverlusten.

Systemarchitektur: Dank einer eigens für diesen Zweck entwickelten Architektur, die auf Hochverfügbarkeits- und Topologieverfahren basiert, werden Kundendaten vom Datenverkehr am Netzwerkrand isoliert.

Überprüfung auf Netzwerkschwachstellen: Regelmäßige und umfangreiche Schwachstellenscans auf Netzwerk- sowie Endgeräte-Ebene gewährleisten einen effektiven Betrieb.

Security Incident Event Management (SIEM): Potenzielle Sicherheitsvorfälle werden mithilfe einer SIEM-Lösung von unserem Sicherheitsteam überwacht, analysiert und gemeldet.

Netzwerkzugriff: Ausschließlich autorisierte Benutzer und Geräte haben Zugang zum Netzwerk von Assent.

Unabhängig davon, wo die jeweiligen Daten gespeichert sind, verfügt Assent in Notfällen über zuverlässige Maßnahmen zur sicheren Aufbewahrung Ihrer Daten. Neben umfassenden wöchentlichen Back-ups führen wir stündlich Protokoll- und differentielle Back-ups durch, was im Falle unvorhergesehener Vorfälle einen möglichst geringen Datenverlust garantiert.

Zudem hat Assent Notfallwiederherstellungs-Verfahren zum Schutz von Daten eingeführt. Kundendaten in der Produktionsumgebung werden nahezu in Echtzeit mit der Notfallwiederherstellungs-Zentrale synchronisiert. Falls es zu einem Vorfall kommt, beläuft sich der erwartete Datenverlust auf ca. eine Stunde, wobei Abweichungen von bis zu 30 Minuten möglich sind. Der Notfallwiederherstellungs-Plan wird jährlich getestet.

Mit Ausnahme von Extremfällen wird geschätzt, dass der reguläre Betrieb innerhalb von vier Stunden wieder aufgenommen werden kann, wenn auf die Notfallwiederherstellungs-Zentrale zurückgegriffen werden muss.

AWS U.S.-West im US-Bundesstaat Oregon ist unsere Notfallwiederherstellungs-Zentrale in den USA, innerhalb der EU vertrauen wir auf AWS Ireland.

Reaktion auf Sicherheitsvorfälle: Assent hat einen dokumentierten Notfallreaktionsplan ausgearbeitet, der jährlich getestet wird und sämtliche Aspekte eines möglichen Vorfalls abdeckt – von der Erkennung bis zur anschließenden Analyse.

Änderungsmanagement: Änderungen in der Produktion sind mit einem dokumentierten Prüfungs-, Validierungs- und Genehmigungsverfahren verbunden.

Zwei-Faktor-Authentifizierung: Wir vertrauen auf Zwei-Faktor-Authentifizierung für die Verwaltung der Produktionsumgebung und für den Remote-Zugriff auf das Assent-Netzwerk.

Fortlaufende Überwachung: Leistung und Kapazität sämtlicher Systeme werden rund um die Uhr ständig überprüft.

Eigenes Sicherheitsteam: Alle Mitglieder des Sicherheitsteams von Assent verfügen über geeignete Sicherheitszertifizierungen sowie entsprechende Genehmigungen.

Richtlinien: Assent verfügt über umfassende Sicherheitsrichtlinien, die auf dem ISO-27001-Framework basieren und jährlich geprüft und bei Bedarf angepasst werden. Sämtliche Mitarbeitenden, die Zugriff auf Informationsressourcen von Assent haben, sind mit diesen Richtlinien vertraut.

Schulungen: Sämtliche neuen Mitarbeitenden nehmen an Schulungen zur Schärfung des Sicherheitsbewusstseins teil, bevor sie Zugriff auf das Netzwerk erhalten und sind anschließend verpflichtet, jährlich ein entsprechendes Weiterbildungsprogramm zu diesem Thema zu absolvieren. Darüber hinaus führen wir regelmäßig Phishing-Simulationstests und -Sensibilisierungskurse durch, um zu gewährleisten, dass unser Team in der Lage ist, aufkommende Cyberbedrohungen zu identifizieren.

Hintergrundprüfungen: Assent überprüft den Hintergrund von sämtlichen potenziellen Mitarbeitenden, um zu ermitteln, ob eine kriminelle Vorgeschichte vorliegt.

Geheimhaltungsvereinbarungen: Alle neuen Mitarbeitenden müssen Geheimhaltungsvereinbarungen unterzeichnen.

ITAR-konformes Angebot: Assent verfügt über eine in der AWS GovCloud gehostete ITAR-konforme Umgebung für die Assent Compliance Plattform.