Technische und organisatorische Maßnahmen

Überblick
Redzone verpflichtet sich, Ihre Dateninformationen zu schützen. Auf dieser Seite werden die Maßnahmen beschrieben, die Redzone zum Schutz von Kundendaten ergreift. Diese Seite soll allgemeine technische und organisatorische Informationen sowie Informationen enthalten, die gemäß Artikel 32 der Allgemeinen Datenschutzverordnung (DSGVO) oder anderen geltenden Gesetzen erforderlich sind.

Hosting-Umgebung
Redzone Software Services sind serverlos und werden auf Cloud-basierten Amazon Web Services („AWS“) gehostet. Die Softwaredienste werden von der redundanten Rechenzentrumsinfrastruktur von Amazon unterstützt. Die virtuelle AWS-Infrastruktur ist so konzipiert, dass sie eine optimale „Hochverfügbarkeit“ bietet und gleichzeitig die vollständige Privatsphäre und Segregation der Kunden sowie minimale Auswirkungen von Betriebsunterbrechungen gewährleistet. Die Infrastruktur wurde gemäß branchenführenden Vorschriften, Standards und Best Practices konzipiert und verwaltet, darunter SOC 1/SSAE 16, SOC 2, SOC 3, HIPAA, ISO 27001 und andere.
AWS-Rechenzentren befinden sich geografisch in den USA und dem Rest der Welt in „Availability Zones“, um im Falle eines Ausfalls oder einer Katastrophe strategisch für Infrastrukturredundanz zu sorgen.

Infrastruktur
Physischer Zugang
Redzone ist eine vollständig in der Cloud gehostete Umgebung. Wir betreiben keine Router, Load Balancer, DNS oder physische Server. Unsere Liste der Cloud-Anbieter finden Sie auf unserer Seite mit der Liste der Subprozessoren auf der Redzone-Website.

Infrastruktur als Code
Redzone prüft, testet und überprüft alle Änderungen an unserem Code durch Fachkollegen. Dies bietet einen sicheren und automatisierten Prozess für alle vorgenommenen Änderungen. Redzone verwendet GitHub-Repositorys, um den gesamten Quellcode zu verwalten. Um den Zugriff auf die Code-Repositorys von Redzone zu kontrollieren, wird der Zugriff mithilfe einer zentralisierten SSO-Lösung ermöglicht. GitHub-Organisationsrichtlinien sind ebenfalls aktiviert, sodass Techniker die Zwei-Faktor-Authentifizierung verwenden müssen.

Verwaltung des Systems
Redzone nutzt AWS, um einen vollständig verwalteten, cloudbasierten Service für die Redzone-Anwendung zu nutzen. Wir suchen mithilfe eines EDR aktiv nach Sicherheits- und Konfigurationslücken. Wenn Probleme gefunden werden, werden sie entsprechend den vorhandenen Risiken gepatcht.

Sicherheit der Anwendung
Sichere Softwareentwicklung
Redzone verwendet automatisierte Tests und Peer-Reviews, um sicherzustellen, dass unsere Software auf konsistente und sichere Weise entwickelt wird.

Codeüberprüfungen
Redzone-Codeänderungen werden von Kollegen überprüft. Der Code wird dann in einer Entwicklungsumgebung getestet. Schließlich wird der Mandantenantrag von Apple auf die Einhaltung seiner Anforderungen überprüft, bevor er akzeptiert und im App Store veröffentlicht wird.

Anmeldeschutz für Endbenutzer
Wir schützen unsere Endbenutzer vor Angriffen, indem wir EDR in Kombination mit SOC-Diensten von Drittanbietern nutzen. Alle Informationen werden im Ruhezustand und bei der Übertragung auf der Grundlage branchenweit bewährter Verfahren verschlüsselt.

Penetrationstests
Redzone arbeitet mit einer unabhängigen Organisation zusammen, um jährliche Penetrationstests durchzuführen. Wir verwenden auch ein ganzjähriges Bug-Bounty-Programm, um sicherzustellen, dass wir die Sicherheit unserer Plattform anhand der aktuellsten Sicherheitslücken bewerten. Wenn sie gefunden werden, priorisiert das Team und arbeitet schnell daran, potenzielle Probleme, die durch diese Überprüfungen identifiziert wurden, zu beheben.

Datenverschlüsselung und Übertragung
Redzone verschlüsselt alle Daten sowohl im Ruhezustand als auch während der Übertragung. Jede externe Netzwerkkommunikation verwendet bei der Übertragung die TLS-Verschlüsselung. Wir verwenden auch die Verschlüsselungstools unseres Cloud-Datenspeicheranbieters, um Daten im Ruhezustand zu verschlüsseln.

Überwachung
Alle Aktivitäten auf den Systemen von Redzone werden protokolliert und überwacht. Wir erfassen und speichern auch Protokolle von Anwendungscode und Anbietersystemen, mit denen wir zusammenarbeiten. Nach der Erfassung werden interne und externe Protokolle mithilfe von Software und einem rund um die Uhr verfügbaren SOC auf ungewöhnliche Aktivitäten überprüft.

Betriebssicherheit
Sicherheitsteam
Redzone unterhält ein Informationssicherheitsteam für alle Bedenken im gesamten Unternehmen. Vertreter verschiedener Abteilungen des Unternehmens nehmen an Diskussionen über Sicherheits- und Compliance-Fragen teil, während die Führungskräfte die notwendigen hochrangigen Entscheidungen treffen. Das engagierte interne Sicherheitsteam von Redzone wird rund um die Uhr von einem SOC unterstützt. Unser internes Sicherheitsteam arbeitet im gesamten Unternehmen daran, strenge Sicherheitsstandards einzuhalten.

Menschen und Prozesse
Alle Mitarbeiter und Auftragnehmer von Redzone müssen die internen Sicherheitsrichtlinien und -praktiken einhalten. Unsere Richtlinien und Verfahren sind so konzipiert, dass sie die Einhaltung von Gesetzen und bewährten Sicherheitsverfahren gewährleisten. Wir überprüfen diese Richtlinien mindestens einmal jährlich, um sicherzustellen, dass wir auf dem neuesten Stand sind.

Zugriff der Mitarbeiter auf Daten
Redzone schränkt den Zugang zu seinen Systemen und Infrastrukturen nach dem Prinzip der geringsten Rechte ein. Dies wird mindestens einmal jährlich überprüft, und der Zugriff wird gesperrt, wenn das Personal ihn nicht mehr benötigt.

Passwörter und Authentifizierung
Redzone setzt eine Passwortrichtlinie und eine Multi-Factor Authentication durch, um sensible Systeme zu schützen.

Geschäftskontinuität und Disaster Recovery
Redzone hat Business Continuity- und Disaster Recovery-Pläne. Redzone erstellt tägliche Backups aller Daten. Das neueste validierte Backup wird außerhalb der Amazon Web Services („AWS“) -Infrastruktur verwaltet. Redzone implementiert auch eine fortlaufende Backup-Strategie innerhalb von AWS, die eine Point-in-Time-Wiederherstellung zu einem beliebigen Zeitpunkt innerhalb der letzten dreißig (30) Tage (mit Ausnahme der letzten Stunde) ermöglicht. Zusätzlich zu seinen routinemäßigen Backup-Praktiken repliziert Redzone auch Live-Daten über mindestens zwei (2) AWS-Verfügbarkeitszonen, sodass immer eine vollständige Live-Kopie aller Daten in Echtzeit verfügbar sein sollte.

Compliance
Überblick
Redzone setzt sich für den Schutz von Kundeninformationen ein. Wir sind nach SOC-2 Typ II zertifiziert und nutzen die im ISO27001-Framework enthaltenen Sicherheitskontrollen. Unsere Cloud-Hosting-Anbieter sind SOC- und ISO-konform.

Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten
Redzone hält sich an die DSGVO und die geltenden Anforderungen der US-Bundesstaaten für die Meldung von Verletzungen des Schutzes personenbezogener Daten. Im Falle einer Verletzung des Schutzes personenbezogener Daten wird Redzone Maßnahmen ergreifen, um die Verletzung gemäß den Standards für „Sicherheitsvorfälle“ in unserem Zusatz zur Datenverarbeitung zu untersuchen, zu beheben und zu mildern. Redzone wird die betroffenen Kunden innerhalb der gesetzlich vorgeschriebenen Fristen und gemäß dem Zusatz zur Datenverarbeitung über eine Datenschutzverletzung informieren. Eine Benachrichtigung ist nicht erforderlich für einen Vorfall, der nicht zu einem unbefugten Zugriff auf personenbezogene Daten oder auf Redzone-Geräte führt, die personenbezogene Daten speichern.

Kontaktiere uns
Wenn Sie Fragen oder Bedenken haben, zögern Sie bitte nicht, uns zu kontaktieren unter:
support@rzsoftware.com