Cloud-Sicherheitsmaßnahmen

Dieser Bereich beschreibt die derzeit vorhandenen Sicherheitsmaßnahmen zum Schutz aller in unserem Cloud-Service, SuperOffice CRM Online, gespeicherten Daten. In Übereinstimmung mit unserem Risikomanagementmodell werden die Sicherheitsrisiken und die angemessenen Sicherheitsmaßnahmen kontinuierlich kontrolliert, um ein hohes Mass an Sicherheit zu bieten.

Sichere Speicherung (ISO 27001)

In SuperOffice CRM gespeicherte Daten werden durch ein nach ISO 27001 zertifiziertes Information Management System (ISMS) geschützt.

Da die ISO-Standards die internationalen Best Practices für die Informationssicherheit darstellen, hält die DSGVO Firmen dazu an, die ISO 27001-Zertifizierung zu erlangen, weil dies zeigt, dass die Informationssicherheit auf allen Organisationsebenen ernst genommen wird..

Das SuperOffice Informationssicherheitsmanagementsystem stellt sicher, dass jeder bei SuperOffice CRM auftretende Vorfall nach einem strikt festgelegten Verfahren gehandhabt wird.

Externe Sicherheitsberater prüfen die Sicherheitsrichtlinien und testen regelmäßig die Abwehr und die Sicherheitskontrollen. SuperOffice und unser Hosting-Partner fühlen sich dem Schutz aller Informationen in SuperOffice CRM stark verpflichtet.

Hosting Partner

Visma ITC AS ist der zuständige Host von SuperOffice CRM. Jede Art von Hardware, Infrastruktur, Datenspeicher und Kommunikationsweg wird von Visma ITC verwaltet und bereitgestellt.

Visma ITC besitzt die folgenden Zertifizierungen: ISO 9001, ISO 20000, ISO 27001. Die Sicherheitserklärungen und Richtlinien in diesem Dokument gelten sowohl für SuperOffice AS als auch für den Lieferanten und Visma ITC als Outsourcing-Partner von SuperOffice AS.

Personalbezogene Sicherheit

Der Zugang zu Bürogebäude und Anlagen von Visma ITC wird über ein Zugangskontrollsystem im Gebäude kontrolliert. Am Gebäudeeingang wird Videoüberwachung eingesetzt. Der Zugang zu den Anlagen von Visma ITC ist nicht ohne eine ausdrücklich gewährte Zutrittsgenehmigung oder ohne die Beaufsichtigung durch autorisiertes Personal von Visma ITC möglich.

Die Qualifikationen der für die Systemverwaltung zuständigen Mitarbeiter, zum Beispiel Designer, Entwickler und Systemadministratoren, werden über Gespräche, Tests und Verifizierungen ihrer Referenzen überprüft. Die Mitarbeiter erhalten angemessene Schulungen zur Sicherstellung, dass sie für die Erfüllung ihrer Zuständigkeitsbereiche hoch qualifiziert sind.

Physikalische Sicherheit und Umgebungssicherheit

Alle Daten in SuperOffice CRM werden auf gesicherten Servern innerhalb der EU/des EWR gespeichert. Das Hauptproduktionssystem befindet sich in zwei voneinander getrennten Rechenzentren in Norwegen. Die Rechenzentren werden sowohl von Personen als auch über technische Sicherheitsmassnahmen geschützt. Der Zugriff auf die Daten wird exklusiv von Visma ITC verwaltet und sein technisches Personal ist rund um die Uhr zur Stelle.

Das Netzwerk von SuperOffice CRM wird in Übereinstimmung mit den besten Sicherheitspraktiken eingerichtet, mit separaten, voneinander isolierten Netzwerkzonen für unterschiedliche Systembestandteile. Eine Netzwerküberwachung bringt der Lösung mit ihren proaktiven Massnahmen und schneller Problemerkennung Stabilität und Robustheit. Sie schickt uns ausserdem Benachrichtigungen, wenn/falls Eindringlinge versuchen, sich Zugang zum System zu verschaffen.

Alle Server sind an eine redundante Stromversorgung angeschlossen. Zur Sicherstellung einer konstanten Temperatur und konstanter Betriebsbedingungen im Serverraum werden redundante Kühlsysteme eingesetzt. In den Anlagen werden Brandschutzmassnahmen implementiert. Zusätzlich dazu wurde ein Wiederherstellungsplan implementiert, um bei Bedarf eine schnelle Erholung zu gewährleisten.

Die SuperOffice SaaS-/Webanwendung wird auf einer Reihe virtualisierter, geclusterter Server gehostet. Die Server werden mit voller Redundanz auf allen Ebenen errichtet, einschliesslich redundanter Stromversorgungen mit separater UPS, RAID-Spiegelung aller Datenträger und redundanter Netzwerkkarten.

Zusätzlich dazu werden alle Server in einer fehlertoleranten Umgebung mit Lastenausgleich für alle Serveraufgaben eingerichtet; das heisst, dass es separate Servergruppen für Webserver, Datenbankserver und Dateiserver gibt. Alle Server und Netzwerke von SuperOffice werden rund um die Uhr kontrolliert. In SuperOffice archivierte Dokumente werden in zwei redundanten Rechenzentren innerhalb der EU auf Microsoft Azure-Servern gespeichert.

Netzwerkmanagement

Alle Netzwerke werden über redundante Firewalls geschützt. Die Kommunikation zwischen Orten wird über ein verschlüsseltes VPN gesichert. Alle Änderungen an den Firewall-Regeln folgen Änderungen an Managementverfahren und werden sorgfältig protokolliert.

Verschlüsselung

Jede Kommunikation zwischen unseren Servern und den Kunden, die auf unsere Website zugreifen, wird über den Secure Socket Layer (SSL) verschlüsselt. Jede Kommunikation zwischen Mobilanwendungen von SuperOffice und den Servern wird ebenfalls über SSL verschlüsselt. Wir setzen zum Schutz der auf unserer Seite gespeicherten Informationen stets international anerkannte kryptografische Methoden wie TLS und IPSEC/RSA256(SHA256withRSA)/HSTS ein.

Betriebsabläufe und Verantwortlichkeiten

Bei geplanten Unterbrechungen gibt SuperOffice mindestens 24 Stunden im Voraus eine Mitteilung aus. Der Systemstatus und alle geplanten Ausfallzeiten werden in der Anmeldeansicht eines jeden Benutzers und auf der Statusseite angezeigt: status.superoffice.com.

Servicekapazitäten und Leistung werden kontinuierlich überwacht. So können wir den Bedarf an Server- und Infrastruktur-Upgrades gut voraussehen. Unsere Upgrade- und Patching-Richtlinie (Plan) soll die betrieblichen Auswirkungen auf die Kunden minimieren. Patches zu systemkritischen Problemen werden so schnell wie möglich ausgeführt.

Schutz vor bösartiger Software

Auf allen Servern und intern genutzten Desktop-Computern ist eine zentral verwaltete Antivirus-Software installiert. Die SuperOffice CRM Umgebung wird täglich auf Schwachstellen hin gescannt und alle Schutz-Tools werden kontinuierlich aktualisiert.

Sicherung

Alle Daten werden jede Nacht gesichert und in zwei separaten sicheren Umgebungen gespeichert. Sicherungen werden verschlüsselt und über einen verschlüsselten VPN-Tunnel übermittelt.

SuperOffice CRM basiert auf zwei Arten der Datenspeicherung: Microsoft SQL Server-Datenbank und das Dokumentarchiv. Alle Daten werden für jeden Kunden vollständig von anderen getrennt. In allen Datenbanken wird nach 30 Tagen eine «Point in Time»-Sicherung vorgenommen. Das bedeutet, dass eine Wiederherstellung von jedem konkreten Datum/Zeitpunkt innerhalb der vergangenen 30 Tage erfolgen kann. Zusätzlich dazu wird eine monatliche Sicherung durchgeführt und zwölf Monate lang gespeichert. Eine jährliche Sicherung wird zehn Jahre lang gespeichert.

Bei allen Dokumentarchiven erfolgt eine kontinuierliche Spiegelung zwischen zwei separaten Rechenzentren und es gibt an beiden Orten individuelle Sicherungen. Die Sicherung wird einmal am Tag ausgeführt (für gewöhnlich nachts). Dokumentänderungen werden gesichert und 30 Tage lang gespeichert. Sicherungen von gelöschten Dateien (Dokumente) werden 90 Tage lang gespeichert.

Sicherungsroutinen für die Apps von Drittanbietern unterliegen den Spezifikationen und Geschäftsbedingungen der Hersteller der Drittanbieter-Apps und gehören nicht zum Leistungsumfang von SuperOffice CRM.

Business Continuity Management

SuperOffice verfügt über einen Notfallwiederherstellungsplan. Die Produktionsumgebung wird mit Redundanz ausgestattet, damit bei Fehlern eine hohe Verfügbarkeit gewährleistet wird und ein hoher Datenverkehr auf unserer Seite bewältigt werden kann. SuperOffice und Visma ITC (unser Hosting-Partner) verfügen über gemeinsame und kohärente Verfahren für das Vorfallmanagement und für die Notfallwiederherstellung.

Zugriffskontrolle bei SuperOffice CRM Services

Jeder unberechtigte Zugriff auf die SuperOffice-Website wird automatisch von einer Firewall geblockt. Verschlüsselung über Secure Socket Layer (SSL) und Benutzerauthentifizierung schützen Informationen und stellen sicher, dass nur Benutzer innerhalb der Kundenorganisation auf die Daten zugreifen können.

Bei Kundeninstallationen unterstützen wir in SuperOffice CRM, Office 365 und G Suite (Google) gespeicherte Benutzernamen und Passwörter. Bei der Nutzung von Office 365 und G Suite wird die Zwei-Faktor-Authentifizierung unterstützt.

Zugriff auf personenbezogene Informationen

Die Benutzer können sich jederzeit mit ihrem Benutzernamen/Passwort auf unserer Seite anmelden, auf ihre personenbezogenen Informationen zugreifen und ihre Personendetails aktualisieren.

Access Management in der SuperOffice CRM-Anwendung

Der Benutzerzugriff wird vom Kunden verwaltet. Der Kunde ist dafür verantwortlich, einzelnen Benutzern die angemessenen Rechte zuzuweisen. Die Benutzerauthentifizierung erfolgt anhand einer Kombination aus Benutzername und Passwort. Der Kunde kann Benutzer mit unterschiedlichen Zugriffsebenen erstellen, je nach ihrer Rolle oder ihren Rechten in SuperOffice CRM.

Es gibt keine von SuperOffice durchgesetzte zentrale Passwort-Richtlinie. Der Kunde sollte seine persönliche Passwort-Politik in Übereinstimmung mit der Passwortrichtlinie seiner Firma festlegen. Der Benutzer/Kunde ist für die sichere Aufbewahrung seiner Benutzernamen und Passwörter verantwortlich.

Betriebssystem-Zugriffskontrolle

Es haben nur autorisierte Systemverantwortliche Zugriff und können betriebssystemabhängige Verwaltungsvorgänge an den SuperOffice Servern durchführen. Eine Patchverwaltung an Betriebssystem und betriebssystemabhängiger Software wird durchgeführt, sobald die neuen Patches veröffentlicht und in einer Testumgebung getestet worden sind.

Audit-Trail und Systemzugriff

Es wird jeder Webzugriff auf die Website sowohl in der Datenbank als auch in den Protokolldateien erfasst. Die Protokolldateien werden täglich gesichert und man kann auf frühere Einträge zurückgreifen und Informationen darüber suchen, wer zu einem bestimmten Zeitpunkt auf eine SuperOffice-Seite zugegriffen hat.

Es erhalten nur autorisierte Mitarbeiter das Recht, Protokolldateien zu verwalten und die Systemzugriffsebenen zu ändern. Logins und die Nutzung von Systemrechten werden auf den Servern protokolliert. Logins werden mit einem Benutzernamen und einer Quell-IP-Adresse erfasst.

Bei Fragen

Wenn Sie Fragen haben, die an dieser Stelle nicht beantwortet werden, zögern Sie bitte nicht, Kontakt mit uns aufzunehmen.