Daten- und Informationssicherheit

Kunden aus vielen verschiedenen Branchen vertrauen Assent ihre Daten an, von der Luft- und Raumfahrt bis hin zur Fertigung. Assent wendet branchenweite Best Practices, eine robuste Sicherheitsinfrastruktur und umfassende Richtlinien auf Basis des ISO-27001-Frameworks an, um seine Informationen und Daten sowie die seiner Kunden und Partner zu schützen.

Überblick über Sicherheit bei Assent herunterladen

Anwendungssicherheit

Verschlüsselung:

  • Data in Transit: Assent vertraut auf HTTPS, SFTP und TLS zur Verschlüsselung der Internetkommunikation.
  • Data at Rest: Kundendaten werden mithilfe von AES gesichert.

Separate Umgebungen (Entwicklung, Qualitätskontrolle, Staging, Akzeptanztests, Produktion): Entwicklungs-, Test- und Staging-Umgebungen sind sowohl physisch als auch logisch von der Produktionsumgebung getrennt.

Datentrennung: Sämtliche Kundendaten werden unter Einsatz hochmoderner Sicherheitskontrollen separat voneinander gespeichert und sind ausschließlich für ausgewählte Mitarbeitende mit speziellen Zugangsdaten und Berechtigungen zugänglich. Darüber hinaus werden für jeden Kunden separate SFTP-Verzeichnisse erstellt, die für die Übertragung von Daten an Assent zum Einsatz kommen.

Penetrationstests: Assent beauftragt jedes Jahr eine unabhängige externe Instanz mit der Durchführung von Web- und Netzwerk-Penetrationstests in der Produktionsumgebung. Zusätzlich führen wir alle 6 Monate interne Tests durch.

Identifizierung von Anwendungsschwachstellen: Bevor eine neue Anwendungsversion für die Akzeptanztest-Umgebung freigegeben wird, wird der Code auf etwaige Schwachstellen überprüft. Codeversionen müssen diese Etappe erfolgreich bestehen, um für die Produktion freigegeben zu werden.


Sicherheit für physische Standorte und Cloud-Umgebungen

Dienstleister

Die Hosting-Umgebung und die zugehörigen Services von Assent werden von AWS bereitgestellt. Dank einer langjährigen Erfolgsbilanz im Bereich der Datensicherheit ist AWS der Vertrauenspartner zahlreicher führender Unternehmen wie Verizon und Capital One. Das Unternehmen verfügt über zahlreiche Zertifizierungen, darunter SOC 2 und ISO 9001:2015.

Standorte

Assent verfügt über drei Hosting-Standorte:

  • Nordamerika: AWS U.S. East – Nord-Virginia
  • U.S. ITAR: AWS GovCloud – Osten der USA
  • EU: AWS – Frankfurt, Deutschland

Die Daten werden standardmäßig in der nordamerikanischen Betriebsumgebung gespeichert. Kunden haben jedoch die Möglichkeit, eine andere Option zu wählen. Die hier beschriebenen Funktionen und Rahmenrichtlinien gelten für alle Standorte.


Netzwerksicherheit

Angriffserkennung und -verhinderung: Potenzielle Sicherheitsvorfälle werden durch IDS- und IPS-Systeme (Intrusion Detection and Prevention; Deutsch: Erkennung und Verhinderung von Angriffen) abgewehrt. Diese Systeme überwachen Netzwerkein- und -ausgänge auf mögliche Sicherheitslücken.

Schutz vor Datenverlust: Assent nutzt einen mehrschichtigen Ansatz, der innovative Tools mit traditionellen Maßnahmen kombiniert, zur Verhinderung von Datenverlusten.

Systemarchitektur: Dank einer eigens für diesen Zweck entwickelten Architektur, die auf Hochverfügbarkeits- und Topologieverfahren basiert, werden Kundendaten vom Datenverkehr am Netzwerkrand isoliert.

Überprüfung auf Netzwerkschwachstellen: Regelmäßige und umfangreiche Schwachstellenscans auf Netzwerk- sowie Endgeräte-Ebene gewährleisten einen effektiven Betrieb.

Security Incident Event Management (SIEM): Potenzielle Sicherheitsvorfälle werden mithilfe einer SIEM-Lösung von unserem Sicherheitsteam überwacht, analysiert und gemeldet.

Netzwerkzugriff: Ausschließlich autorisierte Benutzer und Geräte haben Zugang zum Netzwerk von Assent.


Betriebssicherheit

Reaktion auf Sicherheitsvorfälle: Assent hat einen dokumentierten Notfallreaktionsplan ausgearbeitet, der jährlich getestet wird und sämtliche Aspekte eines möglichen Vorfalls abdeckt – von der Erkennung bis zur anschließenden Analyse.

Notfallwiederherstellung: AWS U.S.-West im US-Bundesstaat Oregon ist unsere Notfallwiederherstellungs-Zentrale in den USA, innerhalb der EU vertrauen wir auf AWS Ireland. Dank unseres Notfallwiederherstellungsplans können wir Unterbrechungen im Katastrophenfall auf ein Minimum reduzieren. Die Produktionsumgebung, einschließlich der Kundendaten, wird an einem sekundären Standort kopiert. Dieser ist verfügbar, falls der primäre Standort ausfällt. Der Notfallwiederherstellungsplan wird jährlich getestet.

Änderungsmanagement: Änderungen in der Produktion sind mit einem dokumentierten Prüfungs-, Validierungs- und Genehmigungsverfahren verbunden.

Zwei-Faktor-Authentifizierung: Wir vertrauen auf Zwei-Faktor-Authentifizierung für die Verwaltung der Produktionsumgebung und für den Remote-Zugriff auf das Assent-Netzwerk.

Back-ups: Neben umfassenden wöchentlichen Back-ups führen wir stündlich Protokoll- und differentielle Back-ups durch.

Überwachung: Leistung und Kapazität sämtlicher Systeme werden rund um die Uhr ständig überprüft.

Verfügbarkeit: Assent garantiert eine Verfügbarkeit von 99,5 % (Details finden Sie in unserem Original-Abonnementvertrag).

Serverschutz:

  • Patching und Wartung: Es werden monatlich Sicherheits-Patches am System installiert.
  • Anti-Malware: Alle Server sind mit Schutzsoftware auf Endgeräte-Ebene geschützt.

Schutz am Arbeitsplatz:

  • Vollständige Festplatten-Verschlüsselung: Alle im Besitz von Assent befindlichen mobilen Geräte, einschließlich Smartphones oder Laptops, sind verschlüsselt.
  • Anti-Malware: Alle Arbeitsplätze sind mit Schutzsoftware auf Endgeräte-Ebene geschützt.
  • Zentrales Management: Alle Arbeitsplätze werden zu Patching- und Konfigurationszwecken zentral verwaltet.

Sicherheit und Compliance

SOC 2: Assent verfügt über einen Bericht von SOC 2 Type II, der auf Anfrage erhältlich ist. In unserem Dokumentbereich können Sie eine Kopie davon anfordern.


Zusätzliche Sicherheitsverfahren

Eigenes Sicherheitsteam: Alle Mitglieder des Sicherheitsteams von Assent verfügen über geeignete Sicherheitszertifizierungen sowie entsprechende Genehmigungen.

Richtlinien: Assent verfügt über umfassende Sicherheitsrichtlinien, die auf dem ISO-27001-Framework basieren und jährlich geprüft und bei Bedarf angepasst werden. Sämtliche Mitarbeitenden, die Zugriff auf Informationsressourcen von Assent haben, sind mit diesen Richtlinien vertraut.

Schulungen: Sämtliche neuen Mitarbeitenden nehmen an Schulungen zur Schärfung des Sicherheitsbewusstseins teil, bevor sie Zugriff auf das Netzwerk erhalten, und sind anschließend verpflichtet, jährlich ein entsprechendes Weiterbildungsprogramm zu diesem Thema zu absolvieren. Darüber hinaus führen wir regelmäßig Phishing-Simulationstests und -Sensibilisierungskurse durch, um zu gewährleisten, dass unser Team in der Lage ist, aufkommende Cyberbedrohungen zu identifizieren.

Hintergrundprüfungen: Assent überprüft den Hintergrund von sämtlichen potenziellen Mitarbeitenden, um zu ermitteln, ob eine kriminelle Vorgeschichte vorliegt.

Geheimhaltungsvereinbarungen: Alle neuen Mitarbeitenden müssen Geheimhaltungsvereinbarungen unterzeichnen.

ITAR-konformes Angebot: Assent verfügt über über eine in der AWS GovCloud gehostete ITAR-konforme Umgebung für die Assent Compliance Platform.

Falls Sie Fragen haben oder mehr über unsere Richtlinien und Verfahren zur Daten- und Informationssicherheit erfahren möchten, kontaktieren Sie uns bitte unter info@assent.com.