Welche Sicherheitszertifizierungen hat Redzone?

Redzone ist nach SOC-2 Typ II zertifiziert und nutzt die im ISO27001-Framework vorhandenen Sicherheitskontrollen. Unsere Cloud-Hosting-Anbieter sind SOC- und ISO-konform.

Sicherheit und Compliance gesetzlicher Vorschriften

Q: Ist Redzone DSGVO-konform?

Ja, Redzone hält sich an die DSGVO und die geltenden Anforderungen der US-Bundesstaaten für die Meldung von Verletzungen des Schutzes personenbezogener Daten. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Redzone Maßnahmen ergreifen, um die Verletzung gemäß den Standards für Sicherheitsvorfälle in unserem Zusatz zur Datenverarbeitung zu untersuchen, zu beheben und zu mildern.

Redzone setzt sich für den Schutz von Kundeninformationen ein. Wir sind nach SOC-2 Typ II zertifiziert und nutzen die im ISO27001-Framework enthaltenen Sicherheitskontrollen. Unsere Cloud-Hosting-Anbieter sind SOC- und ISO-konform.

Redzone hält sich an die DSGVO und die geltenden Anforderungen der US-Bundesstaaten für die Meldung von Verletzungen des Schutzes personenbezogener Daten. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Redzone Maßnahmen ergreifen, um die Verletzung gemäß den Standards für „Sicherheitsvorfälle“ in unserem Zusatz zur Datenverarbeitung zu untersuchen, zu beheben und zu mildern. Redzone wird die betroffenen Kunden innerhalb der gesetzlich vorgeschriebenen Fristen und gemäß dem Zusatz zur Datenverarbeitung über eine Datenschutzverletzung informieren. Eine Benachrichtigung ist nicht erforderlich für einen Vorfall, der nicht zu einem unbefugten Zugriff auf personenbezogene Daten oder auf Redzone-Geräte führt, die personenbezogene Daten speichern.

Sicherheit der Anwendung

Redzone verwendet automatisierte Tests und Peer-Reviews, um sicherzustellen, dass unsere Software auf konsistente und sichere Weise entwickelt wird. Redzone verfolgt eine „Shift-Left“ -Mentalität, die in einem Softwareentwicklungszyklus beschrieben ist, der auf Anfrage zur Verfügung gestellt werden kann. Inhärente Kontrollen reduzieren das Risiko von Cross Site Scripting, SQL Injection und Best Practices für die API-Sicherheit.

Entwickler- und Staging-Umgebungen sind logisch von der Produktion getrennt. Kundenumgebungen werden niemals in Entwicklungs- oder Staging-Umgebungen verwendet.

Für alle Softwareingenieure ist eine jährliche Secure Code-Schulung erforderlich. Die Schulung konzentriert sich auf die 10 wichtigsten Sicherheitsrisiken von OWASP.

Um sicherzustellen, dass Sicherheitslücken in der Software von Redzone kontinuierlich identifiziert und behoben werden, hat Redzone die Sicherheitsvalidierung in unsere kontinuierlichen Integrationsabläufe integriert. Die Integration in CI stellt sicher, dass der gesamte Code vor der Codeakzeptanz kontinuierlich auf Sicherheitslücken gescannt wird. Da dieser Prozess kontinuierlich abläuft, können sowohl neue als auch bestehende Sicherheitslücken identifiziert werden. Vor der Zusammenführung checkt das Redzone CI-System den Code aus und führt unsere Standardtests durch.

Redzone arbeitet mit einer unabhängigen Organisation zusammen, um jährliche Penetrationstests durchzuführen. Wir verwenden auch ein ganzjähriges Bug-Bounty-Programm, um sicherzustellen, dass wir die Sicherheit unserer Plattform anhand der aktuellsten Sicherheitslücken bewerten. Wenn sie gefunden werden, priorisiert das Team und arbeitet schnell daran, potenzielle Probleme, die durch diese Überprüfungen identifiziert wurden, zu beheben.

Redzone verschlüsselt alle Daten sowohl im Ruhezustand als auch während der Übertragung. Jede externe Netzwerkkommunikation verwendet während der Übertragung eine HTTPS/TLS 1.2- oder höhere Verschlüsselung. Daten im Ruhezustand werden mit der AES-256-Schlüsselverschlüsselung verschlüsselt. Passwörter werden mit mehreren Runden Salz einseitig gehasht.

Alle kritischen Aktivitäten in Redzone werden protokolliert und überwacht, um anomales Verhalten zu erkennen. Wir erfassen und speichern auch Protokolle von Anwendungscode und Anbietersystemen, mit denen wir zusammenarbeiten. Nach der Erfassung werden interne und externe Protokolle mithilfe von Software und einem rund um die Uhr verfügbaren SOC auf ungewöhnliche Aktivitäten überprüft.

Betriebssicherheit

Redzone unterhält einen Informationssicherheitsrat für alle Bedenken im gesamten Unternehmen. Vertreter verschiedener Abteilungen des Unternehmens nehmen an Diskussionen über Sicherheits- und Compliance-Fragen teil, während die Führungskräfte die notwendigen hochrangigen Entscheidungen treffen. Das engagierte interne Sicherheitsteam von Redzone wird rund um die Uhr von einem SOC unterstützt. Unser internes Sicherheitsteam arbeitet im gesamten Unternehmen daran, strenge Sicherheitsstandards einzuhalten.

Alle Mitarbeiter und Auftragnehmer von Redzone müssen die internen Sicherheitsrichtlinien und -praktiken einhalten. Unsere Richtlinien und Verfahren sind so konzipiert, dass sie die Einhaltung von Gesetzen und bewährten Sicherheitsverfahren gewährleisten. Wir überprüfen diese Richtlinien jährlich, um sicherzustellen, dass wir auf dem neuesten Stand sind. Alle Mitarbeiter müssen an einer 1:1 -Sicherheitsschulung und an jährlichen Auffrischungen der Sicherheitsschulungen teilnehmen.

Redzone schränkt den Zugang zu seinen Systemen und Infrastrukturen nach dem Prinzip der geringsten Rechte ein. Dies wird mindestens einmal jährlich überprüft, und der Zugriff wird gesperrt, wenn das Personal ihn nicht mehr benötigt.

Redzone setzt eine Passwortrichtlinie und eine Multi-Factor Authentication durch, um sensible Systeme zu schützen. Redzone stellt allen Mitarbeitern einen Passwort-Keeper auf Unternehmensebene zur Verfügung und überprüft jährlich komplexe Passwörter, die ordnungsgemäß in einem Tresor gespeichert sind.

Redzone hat Business Continuity- und Disaster Recovery-Pläne. Redzone erstellt tägliche Backups aller Daten. Das neueste validierte Backup wird außerhalb der Amazon Web Services („AWS“) -Infrastruktur verwaltet. Redzone implementiert auch eine fortlaufende Backup-Strategie innerhalb von AWS, die eine Point-in-Time-Wiederherstellung zu einem beliebigen Zeitpunkt innerhalb der letzten dreißig (30) Tage (mit Ausnahme der letzten Stunde) ermöglicht. Zusätzlich zu seinen routinemäßigen Backup-Praktiken repliziert Redzone auch Live-Daten über mindestens drei (3) AWS-Verfügbarkeitszonen, sodass immer eine vollständige Live-Kopie aller Daten in Echtzeit verfügbar sein sollte.

Redzone veranstaltet regelmäßig Red Team-Events, um bei Sicherheitsbedrohungen offensiv zu bleiben. Dazu gehören das zufällige Entfernen von Zugriffen, interne Spear-Phishing-Versuche, Phishing-Kampagnen und der Einsatz von Tools wie Atomic Red Team.

Produktsicherheit

Die Redzone-Anwendung unterstützt zwei Authentifizierungsoptionen: Enterprise SSO (SAML 2.0) und native Redzone-Authentifizierung.

Redzone ermöglicht eine konfigurierbare Ablaufzeit für Passwörter, um die Einhaltung von 21 CFR Part 11 zu gewährleisten.

In der Redzone Admin-Anwendung gibt es mehrere unterschiedliche Administratorberechtigungsstufen. Auf diese Weise können Administratoren Zugriff erhalten, um nur die spezifischen Daten und Einstellungen zu verwalten, die sich auf ihre Rolle beziehen. Weitere Informationen finden Sie im Bereich Sicherheit der Redzone Knowledge Base.

Mobile Device Management (MDM) ist der Prozess zur Sicherung von Unternehmensdaten durch die Überwachung, Verwaltung und Sicherung von Geräten wie Laptops, Smartphones und Tablets. Die Redzone-Anwendung ermöglicht es IT-Teams, Richtlinien, Anwendungen und sichere Einstellungen zu kontrollieren und an die Geräte zu verteilen. Weitere Informationen zu bewährten Verfahren und Mindestzugangsanforderungen können auf Anfrage zur Verfügung gestellt werden.

Vertrauenswürdiges DNS oder bestimmte IP-Adressbereiche für die Redzone-Cloud-Umgebung sind auf Anfrage erhältlich.