Informationssicherheitsrichtlinie

Version: 1.1

Datum: 2024-12-04

E-Mail: [email protected]

Einführung

Bei GearTracker.net sind wir verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit unserer SaaS-Plattform zu gewährleisten, die die Verwaltung und Inspektion Ihrer Ausrüstung unterstützt. Diese Cybersicherheitsrichtlinie beschreibt die technischen und organisatorischen Maßnahmen, die wir implementieren, um unsere Systeme und die uns von unseren Kunden anvertrauten Daten zu sichern.

Geltungsbereich

Diese Richtlinie gilt für:

  • Die GearTracker.net SaaS-Plattform und -Infrastruktur.
  • Alle verarbeiteten Daten, einschließlich Kundenkontodaten und hochgeladener Inventardaten.
  • Mitarbeiter, Subunternehmer und Systeme, die an der Plattformentwicklung und -betrieb beteiligt sind.

Infrastruktur & Hosting-Sicherheit

Cloud-Hosting

Unsere Infrastruktur wird auf Heroku in der Europäischen Union gehostet. Sie entspricht der Datenschutz-Grundverordnung (DSGVO) und gewährleistet den Schutz personenbezogener Daten von Kunden aus der Europäischen Union.

Dieser Hosting-Anbieter entspricht den Standards ISO 27001, SOC 2 und DSGVO.

Netzwerksicherheit

Der gesamte Netzwerkverkehr wird vorgelagert von Cloudflare geschützt, welches folgende Leistungen bietet:

  • DDoS-Schutz
  • Intelligente Anfragenfilteriung über seine Web Application Firewall (WAF)
  • Ende-zu-Ende-Verschlüsselung mit TLS 1.2+ oder höher Es ist nach ISO 27001:2013 zertifiziert und SOC 2 Type II konform.

Unsere Produktionsumgebungen werden auf Heroku (Salesforce Platform) gehostet.

Herokus physische Infrastruktur wird in Amazons sicheren Rechenzentren gehostet und verwaltet und nutzt die Amazon Web Service (AWS) Technologie. Amazon verwaltet kontinuierlich Risiken und unterzieht sich wiederkehrenden Bewertungen, um die Einhaltung von Industriestandards zu gewährleisten. Amazons Rechenzentrumsoperationen wurden akkreditiert unter:

  • ISO 27001
  • SOC 1 und SOC 2/SSAE 16/ISAE 3402 (Früher SAS 70 Type II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

Der Zugang zu Produktionssystemen ist streng kontrolliert:

  • Nur über verschlüsselte Verbindungen
  • Beschränkt auf autorisierte Konten mit Multi-Faktor-Authentifizierung (MFA)
  • Basierend auf dem Prinzip der minimalen Berechtigung

Sicherung und Wiederherstellung

Wir implementieren folgende Sicherungs- und Wiederherstellungsmaßnahmen:

  • Tägliche Sicherungen aller kritischen Systeme und Datenbanken.
  • Sicherungen werden verschlüsselt und an geografisch redundanten Standorten gespeichert.
  • Regelmäßige Wiederherstellungstests werden durchgeführt, um die Integrität der Sicherungen zu gewährleisten.

Anwendungssicherheit

Allgemeine Sicherheitsanforderungen

Wir befolgen die OWASP ASVS Level 2 Sicherheitsanforderungen (https://owasp.org/www-project-application-security-verification-standard/) für die Entwicklung unserer Anwendungen.

Entwicklungs-Best-Practices

Entwickelt in TypeScript (Strict Mode) mit einem modernen Stack: React (Frontend), NestJS (Backend), Prisma ORM. Code-Reviews sind für alle Zusammenführungen in die Produktion erforderlich. Der gesamte Code wird in einem privaten GitHub-Repository gespeichert. Automatisierte Tests (Unit- und Integrationstests) für alle kritischen Funktionen. Abhängigkeiten werden regelmäßig auf Schwachstellen mit npm audit überprüft.

Sichere Programmierpraxis

Einhaltung der OWASP Top Ten Richtlinien und Level 2. Eingabevalidierung und -bereinigung für alle Benutzereingaben. Verwendung von vorbereiteten Anweisungen und ORM zur Verhinderung von SQL-Injection. Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF) Schutzmaßnahmen implementiert.

Schwachstellenmanagement

Sicherheitsupdates werden innerhalb von 24 Stunden für kritische Schwachstellen angewendet. Fähigkeit, vorbereitete Hotfixes innerhalb von 5 Minuten ohne Ausfallzeit in die Produktion zu deployen.

Authentifizierung & Autorisierung

  • Google OAuth 2.0 / token-basierte zustandslose Authentifizierung (JWT) für Benutzerauthentifizierung.
  • Rollenbasierte Zugriffskontrolle (RBAC) zur Beschränkung des Funktionszugriffs.

Datenschutz & Privatsphäre

Verschlüsselung

Sensible Daten wie Passwörter werden mit AES-256 und Salt gespeichert.

DSGVO-Konformität

Bitte beziehen Sie sich auf die Datenschutz- und Datenschutzrichtlinie für Details darüber, wie wir mit personenbezogenen Daten umgehen.

Zugriffsverwaltung

Das Prinzip der minimalen Berechtigung wird organisationsweit angewendet.

  • Jeder administrative Zugriff wird protokolliert und überwacht.
  • Der Zugang zu Produktionssystemen ist nur auf autorisiertes Personal beschränkt.
  • Alle Mitarbeiter und Auftragnehmer durchlaufen Hintergrundprüfungen, bevor ihnen Zugang zu sensiblen Systemen gewährt wird.

Geräteverwaltung

Alle Geräte, die für den Zugriff auf Produktionssysteme und/oder kritische Daten verwendet werden, werden verwaltet und gesichert.

  • Sie haben eine Passwort- oder biometrische Sperre aktiviert.
  • Sie erfordern 2FA-Authentifizierung für den Zugriff auf Produktionssysteme.

Überwachung & Incident Response

Überwachung

24/7 Echtzeitüberwachung der Infrastruktur und Anwendungsleistung. Alarme für verdächtige Aktivitäten, Nutzungsanomalien und Leistungseinbußen konfiguriert.

Incident Response Plan

Definierte und getestete Incident Response Procedure (IRP). Kunden werden innerhalb von 24 Stunden über jede Verletzung benachrichtigt, die ihre Daten betrifft. Spezielle E-Mail: [email protected] für die Meldung von Vorfällen.

Kompromittierung von Kundengeräten

Wir verwalten nicht die Geräte, die von Kunden für den Zugriff auf die Anwendung verwendet werden. Wir empfehlen allen Kunden, ihre Geräte (PCs, Smartphones, Tablets) durch die Verwendung von Passwort- oder biometrischen Sperrsystemen sowie aktueller Antivirus-Software zu sichern.

Wir haben die Möglichkeit, ein Benutzerkonto im Falle einer Kompromittierung eines Kundengeräts zu deaktivieren. Wir empfehlen auch, das Passwort des betroffenen Benutzerkontos zu ändern.

Physische Sicherheit

Unser primärer Infrastrukturanbieter unterhält:

  • 24/7 überwachte Rechenzentren.
  • Biometrische Zugangskontrollen.
  • Brandschutz- und redundante Energiesysteme.

Für weitere Informationen siehe: https://aws.amazon.com/security

Kontinuierliche Verbesserung

Wir überprüfen und verbessern kontinuierlich unsere Cybersicherheitslage:

  • Jährliche Überprüfungen dieser Richtlinie.
  • Feedback von Kunden und Audits wird in unsere Roadmap integriert.

Kontakt & Verantwortungsvolle Offenlegung

Alle geartracker.net Mitarbeiter sind in Sicherheitsbewusstsein und Best Practices geschult. Wir ermutigen zur verantwortungsvollen Offenlegung von Sicherheitsschwachstellen intern und extern. Wir begrüßen die Meldung von Sicherheitsschwachstellen: [email protected].

Risikomanagement

Wir haben einen Risikomanagementprozess implementiert, um Risiken im Zusammenhang mit der Informationssicherheit zu identifizieren, zu bewerten und zu mindern. Wir führen regelmäßige Risikobewertungen durch, um potenzielle Bedrohungen und Schwachstellen in unserer Infrastruktur und unseren Anwendungen zu identifizieren. Wir implementieren angemessene Minderungsmaßnahmen, um identifizierte Risiken auf ein akzeptables Niveau zu reduzieren. Wir führen folgende Dokumente und deren zugehörige Prozesse:

  • Informationssicherheitsrichtlinie (dieses Dokument)
  • Risiko- & Chancenregister (intern)
  • Incident Response Plan (IRP, intern)
  • Business Continuity Plan (BCP, intern)