Das Sicherheitsprofil eines Produkts mit AWS Marketplace Vendor Insights anzeigen

Access Management 3.1.1 — Sichere Authentifizierung — Eingabe personenbezogener Daten UserId (Erfordert eine manuelle Bestätigung)

Benötigen Sie persönliche Daten (außer Name oder E-Mail-Adresse) in der Benutzer-ID?

Geben Sie an, ob personenbezogene Daten, mit Ausnahme des Namens oder der E-Mail-Adresse, als Teil der Benutzerkennung erforderlich sind. Falls ja, welche Daten werden verwendet? Für welchen Anwendungsfall wird es verwendet?

Nein

Access Management 3.1.2 — Sichere Authentifizierung — Die Anwendung unterstützt die Zwei-Faktor-Authentifizierung (manuelle Bestätigung erforderlich)

Unterstützt die Anwendung die Zwei-Faktor-Authentifizierung?

Geben Sie an, ob die Zwei-Faktor-Authentifizierung mit der Anwendung verwendet werden kann. Falls ja, welche Tools können verwendet werden?

Ja

Access Management 3.1.3 — Sichere Authentifizierung — Kontosperrung (Erfordert eine manuelle Bestätigung)

Ist das Konto des Kunden gesperrt, wenn mehrere Anmeldungen fehlschlagen?

Geben Sie an, ob die Kontosperrung aktiviert ist, wenn mehrere fehlgeschlagene Anmeldungen vorliegen. Falls ja, geben Sie die Anzahl der Versuche an, nach denen das Konto gesperrt wird.

Ja. Das Konto ist nach 5 fehlgeschlagenen Anmeldungen gesperrt.

Verwaltung von Anmeldedaten

Access Management 3.2.1 — Verwaltung von Anmeldeinformationen — Passwortrichtlinie

Verfügt die Anwendung über eine sichere Passwortrichtlinie?

Geben Sie an, ob eine sichere Kennwortrichtlinie (z. B. RequireUppercaseCharactersRequireSymbols,, oderPasswordReusePrevention) vorhanden ist.

Ja

Access Management 3.2.2 — Verwaltung von Anmeldeinformationen — Passwortverschlüsselung

Erfordert die Passwortrichtlinie, dass Anmeldedaten (Passwort und Benutzer-ID) während der Übertragung verschlüsselt und bei der Speicherung mit Salt gehasht werden?

Geben Sie an, ob Anmeldeinformationen (Passwort und Benutzer-ID) während der Übertragung verschlüsselt werden und ob das Passwort, wenn es gespeichert wird, mit Salt gehasht wird. Falls ja, können Sie weitere Einzelheiten angeben?

Ja, wir verwenden Code, um richtig zu salzen.

Access Management 3.2.3 — Verwaltung von Zugangsdaten — Geheimverwaltung

Verwenden Sie einen Secret Management Service?

Geben Sie an, ob ein Geheimverwaltungsdienst eingerichtet ist. Falls ja, können Sie weitere Einzelheiten angeben?

Ja. Alle Anmeldeinformationen werden in einem Secret Management Service gespeichert. Sie werden regelmäßig rotiert.

Access Management 3.2.4 — Verwaltung von Anmeldeinformationen — Anmeldeinformationen im Code (Erfordert eine manuelle Bestätigung)

Sind Anmeldeinformationen im Code enthalten?

Geben Sie an, ob Anmeldeinformationen im Code enthalten sind. Falls ja, können Sie weitere Einzelheiten angeben?

Nein

Zugriff auf die Produktionsumgebung

Access Management 3.3.1 — Zugriff auf die Produktionsumgebung — Single Sign-On (Erfordert eine manuelle Bestätigung)

Ist für den Zugriff auf die Produktionsumgebung SSO aktiviert?

Geben Sie an, ob mit der Anwendung verwendet werden SSO kann. Falls ja, wofür wird das Tool verwendetSSO?

Ja, Duo SSO

Access Management 3.3.2 — Zugriff auf die Produktionsumgebung — Zwei-Faktor-Authentifizierung

Ist eine Zwei-Faktor-Authentifizierung für den Zugriff auf die Produktions- oder Hosting-Umgebung erforderlich?

Geben Sie an, ob für den Zugriff auf die Produktionsumgebung eine Zwei-Faktor-Authentifizierung (2FA) erforderlich ist. Falls ja, welches Tool wird für 2FA verwendet?

Ja, Yubikey

Access Management 3.3.3 — Zugriff auf die Produktionsumgebung — Root-Benutzer (erfordert eine manuelle Bestätigung)

Wird der Root-Benutzer nur ausnahmsweise für den Zugriff auf die Produktionsumgebung verwendet?

Geben Sie an, dass der Root-Benutzer nur ausnahmsweise verwendet wird. Falls ja, können Sie festlegen, für welche Fälle er verwendet werden soll?

Ja. Der Root-Benutzer wird nur für die Geräteverwaltung verwendet. Alle diese Zugriffe werden protokolliert und überwacht.

Access Management 3.3.4 — Zugriff auf die Produktionsumgebung — Root-Benutzer MFA

Benötigt der Root-Benutzer eine Multi-Faktor-Authentifizierung ()MFA?

Geben Sie an, ob für die Anmeldung als Root-Benutzer eine mehrstufige Authentifizierung erforderlich ist. Falls ja, wofür wird das Tool verwendetMFA?

Ja. Root-Benutzer müssen es verwenden, MFA um sich anzumelden. Ihre Root-Anmeldeinformationen unterscheiden sich von ihren normalen Unternehmensanmeldedaten.

Access Management 3.3.5 — Zugriff auf die Produktionsumgebung — Fernzugriff

Ist der Fernzugriff auf die Produktionsumgebung durch Mechanismen wie verschlüsselte Kanäle oder schlüsselbasierte Authentifizierung gesichert?

Wenn die Anwendung den Fernzugriff zulässt, geben Sie an, ob der Zugriff sicher ist (wird beispielsweise eine schlüsselbasierte Authentifizierung verwendet und erfolgt die Kommunikation über verschlüsselte Kanäle?)

Ja. Der Fernzugriff wird für die Geräteverwaltung verwendet. Für den Fernzugriff auf die Produktionsumgebung benötigen wir MFA über einen zugelassenen kryptografischen Kanal.

Access Management 3.4.1 — Zugriffskontrollrichtlinie — Zugriff mit geringsten Rechten

Halten Sie sich an die Richtlinie für den Zugriff von Benutzern auf die Produktionsumgebung mit den geringsten Zugriffsrechten?

Geben Sie an, ob Benutzern die geringsten Rechte zugewiesen werden. Falls nein, wie kontrollieren Sie den Zugriff?

Ja

Access Management 3.4.2 — Zugriffskontrollrichtlinie — Überprüfung der Zugriffsrichtlinien

Werden alle Zugriffsrichtlinien in der Produktionsumgebung regelmäßig überprüft?

Geben Sie an, ob alle Zugriffsrichtlinien regelmäßig überprüft werden. Falls ja, geben Sie an, wie oft die Richtlinien überprüft werden.

Ja. Alle Zugriffsrichtlinien werden alle 3 Monate überprüft.

Access Management 3.4.3 — Zugriffskontrollrichtlinie — Konfiguration von Benutzern und Sicherheitsrichtlinien (manuelle Bestätigung erforderlich)

Erlaubt die Anwendung den Kunden, Benutzer und ihre Rechte zu konfigurieren?

Geben Sie an, ob Kunden Benutzer (vom Kunden und vom Anbieter) konfigurieren können, die Zugriff auf ihre Umgebung haben.

Ja

Access Management 3.4.4 — Zugriffskontrollrichtlinie — Logische Segmentierung (Erfordert eine manuelle Bestätigung)

Gibt es eine logische Segmentierung der Anwendungsbenutzer?

Geben Sie an, ob es eine logische Segmentierung der Benutzer gibt.

Ja

Access Management 3.4.5 — Zugriffskontrollrichtlinie — Überprüfung des Zugriffs bei Kündigung

Werden alle relevanten Zugangsrichtlinien bei Kündigung oder Rollenwechsel eines Mitarbeiters aktualisiert?

Geben Sie an, ob die Zugriffsrichtlinien bei Kündigung oder Rollenwechsel eines Mitarbeiters gelöscht oder aktualisiert werden.

Ja

Access Management 3.5.1 — Zugriffsprotokolle

Protokollieren Sie Aktivitäten, die von einzelnen Benutzern in der Produktionsumgebung ausgeführt werden?

Geben Sie an, ob die Aktionen und Aktivitäten eines Benutzers (Mitarbeiter oder Kunde) in einer Produktionsumgebung protokolliert werden. Falls ja, wie lange werden die Protokolle aufbewahrt?

Ja. Protokolle werden ein Jahr lang aufbewahrt.

Sicherer Lebenszyklus der Softwareentwicklung

Anwendungssicherheit 4.1.1 — Sicherer Softwareentwicklungszyklus — Separate Umgebung

Ist die Entwicklungs-, Test- und Staging-Umgebung von der Produktionsumgebung getrennt?

Geben Sie an, ob die Entwicklungs-, Test- und Staging-Umgebung von der Produktionsumgebung getrennt ist.

Ja

Anwendungssicherheit 4.1.2 — Lebenszyklus einer sicheren Softwareentwicklung — Praxis für sicheres Programmieren

Arbeiten Sicherheitsingenieure mit Entwicklern an Sicherheitspraktiken?

Geben Sie an, ob Entwickler und Sicherheitsingenieure gemeinsam an Methoden zur sicheren Codierung arbeiten.

Ja

Anwendungssicherheit 4.1.3 — Sicherer Softwareentwicklungszyklus — Verwendung von Kundendaten in der Testumgebung (manuelle Bestätigung erforderlich)

Werden Kundendaten jemals in der Test-, Entwicklungs- oder QA-Umgebung verwendet?

Werden Kundendaten jemals in den Test-, Entwicklungs- oder QA-Umgebungen verwendet? Falls ja, welche Daten werden verwendet und wofür werden sie verwendet?

Nein

Anwendungssicherheit 4.1.4 — Lebenszyklus einer sicheren Softwareentwicklung — Sichere Verbindung

IstSSL/für alle Webseiten und Mitteilungen TLS aktiviert, die Kundendaten verwenden?

Geben Sie an, ob für die gesamte Kommunikation mit Kundendaten eine sichere Verbindung (z. B.SSL/TLS) verwendet wird.

Ja

Anwendungssicherheit 4.1.5 — Sicherer Softwareentwicklungszyklus — Image-Backup

Werden Snapshots von Anwendungs-Image-Images gesichert?

Geben Sie an, ob Image-Snapshots (z. B. Systeme, die die Anwendung unterstützen, und Systeme, die Kundendaten hosten) gesichert werden. Falls ja, gibt es ein Verfahren, das sicherstellt, dass Image-Snapshots, die bereichsbezogene Daten enthalten, vor dem Snapshot autorisiert werden? Ist die Zugriffskontrolle für die Image-Snapshots implementiert?

Ja. Bilder werden mit Zustimmung des Kunden und des Managements gesichert.

Anwendungssicherheit 4.2.1 — Überprüfung der Anwendungssicherheit — Überprüfung des sicheren Codes

Wird vor jeder Veröffentlichung eine Überprüfung des sicheren Codes durchgeführt?

Geben Sie an, ob vor jeder Version eine Überprüfung des Sicherheitscodes durchgeführt wird.

Ja

Anwendungssicherheit 4.2.2 — Überprüfung der Anwendungssicherheit — Penetrationstest

Werden Penetrationstests durchgeführt? Können wir Berichte über Penetrationstests erhalten?

Geben Sie an, ob Penetrationstests für die Anwendung durchgeführt werden. Falls ja, können Sie die letzten 3 Berichte als manuelle Nachweise weitergeben?

Ja

Anwendungssicherheit 4.2.3 — Überprüfung der Anwendungssicherheit — Sicherheitspatches

Werden alle verfügbaren Sicherheitspatches mit hohem Risiko regelmäßig angewendet und überprüft?

Geben Sie an, ob Sicherheitspatches mit hohem Risiko regelmäßig angewendet werden. Falls ja, wie oft werden sie angewendet?

Ja. Sicherheitspatches werden monatlich angewendet.

Anwendungssicherheit 4.2.4 — Überprüfung der Anwendungssicherheit — Suche nach Sicherheitslücken in Anwendungen

Werden regelmäßig und nach wesentlichen Änderungen Schwachstellenscans für alle mit dem Internet verbundenen Anwendungen durchgeführt?

Geben Sie an, ob Schwachstellenscans für alle mit dem Internet verbundenen Anwendungen durchgeführt werden. Falls ja, wie oft werden Schwachstellenscans durchgeführt? Können wir eine Kopie des Berichts erhalten?

Ja. Schwachstellenscans werden monatlich durchgeführt.

Anwendungssicherheit 4.2.5 — Überprüfung der Anwendungssicherheit — Bedrohungs- und Schwachstellenmanagement

Gibt es Verfahren zur Verwaltung der Tools zur Bedrohungs- und Schwachstellenbeurteilung und der von ihnen gesammelten Daten?

Geben Sie an, ob es Verfahren zur Verwaltung von Tools zur Bedrohungs- und Schwachstellenbeurteilung und deren Ergebnissen gibt. Könnten Sie nähere Informationen zum Umgang mit Bedrohungen und Sicherheitslücken geben?

Ja. Alle Bedrohungen und Sicherheitslücken aus verschiedenen Quellen sind in einem Portal zusammengefasst. Sie werden nach Schweregrad verwaltet.

Anwendungssicherheit 4.2.6 — Überprüfung der Anwendungssicherheit — Anti-Malware-Scans

Werden das Netzwerk und die Systeme, auf denen die Anwendung gehostet wird, regelmäßig nach Schadsoftware gescannt?

Geben Sie an, ob das Netzwerk und die Systeme, auf denen die Anwendung gehostet wird, nach Schadsoftware gescannt werden. Falls ja, wie oft wird es durchgeführt? Können Sie den Bericht vorlegen?

Ja. Anti-Malware-Scans werden monatlich durchgeführt.

Anwendungssicherheit 4.3.1 — Anwendungsprotokolle — Anwendungsprotokolle

Werden Anwendungsprotokolle gesammelt und überprüft?

Geben Sie an, ob Anwendungsprotokolle gesammelt und überprüft werden. Falls ja, wie lange werden die Protokolle aufbewahrt?

Ja. Protokolle werden ein Jahr lang aufbewahrt.

Anwendungssicherheit 4.3.2 — Anwendungsprotokolle — Zugriff auf Protokolle

Sind Betriebssystem- und Anwendungsprotokolle vor Änderung, Löschung und/oder unberechtigtem Zugriff geschützt?

Geben Sie an, ob Betriebssystem- und Anwendungsprotokolle vor Änderung, Löschung und/oder unberechtigtem Zugriff geschützt sind. Haben Sie für den Fall einer Sicherheitsverletzung oder eines Vorfalls Prozesse eingerichtet, um den Verlust von Anwendungsprotokollen zu erkennen?

Ja

Speichern Sie die personenbezogenen Daten des Kunden (PII) in Protokollen?

Geben Sie an, ob Sie die personenbezogenen Daten des Kunden (PII) in Protokollen speichern.

Nein. Es werden keine PII Daten in den Protokollen gespeichert.

Anwendungssicherheit 4.4.1 — Richtlinie zur Änderungskontrolle — Funktions- und Resilienztests

Werden Funktions- und Resilienztests durchgeführt, bevor eine Änderung veröffentlicht wird?

Geben Sie an, ob Funktions- und Resilienztests an der Anwendung vor einer neuen Version durchgeführt werden.

Ja

Anwendungssicherheit 4.4.2 — Kontrollrichtlinie ändern — Kontrollverfahren ändern

Sind für alle Änderungen an der Produktionsumgebung Verfahren zur Änderungskontrolle erforderlich?

Geben Sie an, ob für alle in der Produktionsumgebung vorgenommenen Änderungen Verfahren zur Änderungskontrolle vorhanden sind.

Ja

Anwendungssicherheit 4.4.3 — Richtlinie zur Änderungskontrolle — Vermeiden Sie menschliche Fehler/Risiken in der Produktion

Verfügen Sie über ein Verfahren, mit dem sichergestellt werden kann, dass menschliche Fehler und Risiken nicht in die Produktion übergehen?

Geben Sie an, dass es einen Prozess gibt, mit dem überprüft werden kann, dass menschliche Fehler und Risiken nicht in die Produktion einfließen.

Ja

Anwendungssicherheit 4.4.4 — Richtlinie zur Änderungskontrolle — Änderungen dokumentieren und protokollieren

Dokumentieren und protokollieren Sie Änderungen, die sich auf Dienste auswirken können?

Geben Sie an, ob Änderungen, die sich auf Dienste auswirken, dokumentiert und protokolliert werden. Falls ja, wie lange werden die Protokolle aufbewahrt?

Ja

Application Security 4.4.5 — Richtlinie zur Änderungskontrolle — Änderungsbenachrichtigung für Käufer (manuelle Bestätigung erforderlich)

Gibt es ein formelles Verfahren, das sicherstellt, dass Kunden informiert werden, bevor Änderungen vorgenommen werden, die sich auf ihren Service auswirken könnten?

Geben Sie an, ob Kunden benachrichtigt werden, bevor sie Änderungen vornehmen, die sich auf ihren Service auswirken könnten. Falls ja, wie sollen Kunden über die SLA sich auswirkenden Änderungen informiert werden?

Ja. Wir benachrichtigen Kunden 90 Tage vor den Auswirkungen auf die Änderungen.

Zertifizierungen abgeschlossen

Audit und Compliance 1.1.1 — Zertifizierungen abgeschlossen (manuelle Bescheinigung erforderlich)

Führen Sie die Zertifizierungen auf, über die Sie verfügen.

Geben Sie an, über welche Zertifizierungen Sie verfügen.

SOC2,ISO/IEC27001

Zertifizierung ist im Gange

Prüfung und Einhaltung der Vorschriften 1.2.1 — Zertifizierung läuft (manuelle Bescheinigung erforderlich)

Führen Sie alle zusätzlichen Zertifikate auf, die derzeit geprüft oder überprüft werden, und geben Sie ein voraussichtliches Abschlussdatum an.

Ja. PCIDie Zertifizierung ist im Gange (ETA2. Quartal 2022).

Verfahren zur Sicherstellung der Einhaltung

Prüfung und Einhaltung der Vorschriften 1.3.1 — Verfahren zur Sicherstellung der Einhaltung der Vorschriften — Verfahren zur Sicherstellung der Einhaltung

Verfügen Sie über eine Richtlinie oder ein Verfahren, um die Einhaltung der geltenden gesetzlichen, behördlichen und vertraglichen Anforderungen sicherzustellen?

Geben Sie an, ob Sie über eine Richtlinie oder ein Verfahren verfügen, um die Einhaltung der geltenden gesetzlichen, behördlichen und vertraglichen Anforderungen sicherzustellen. Falls ja, listen Sie Einzelheiten zum Verfahren auf und laden Sie manuelle Nachweise hoch.

Ja. Wir haben Dokumente wie SOC2 ISO IEC /27001 hochgeladen.

Prüfung und Einhaltung der Vorschriften 1.3.2 — Verfahren zur Sicherstellung der Einhaltung der Vorschriften — Prüfungen zur Nachverfolgung ausstehender Anforderungen

Werden Audits abgeschlossen, um ausstehende regulatorische und Compliance-Anforderungen nachzuverfolgen?

Geben Sie an, ob Audits durchgeführt werden, um ausstehende Anforderungen nachzuverfolgen. Falls ja, geben Sie Einzelheiten an.

Prüfung und Einhaltung der Vorschriften 1.3.3 — Verfahren zur Sicherstellung der Einhaltung — Abweichungen und Ausnahmen (Erfordert eine manuelle Bescheinigung)

Verfügen Sie über ein Verfahren zur Behandlung von Abweichungen und Ausnahmen von Compliance-Anforderungen?

Geben Sie an, ob es einen Prozess zur Behandlung von Ausnahmen oder Abweichungen von den Compliance-Anforderungen gibt. Falls ja, geben Sie Einzelheiten an.

Ja. Wir haben ein Abweichungsprotokoll und Tools zur Berichterstattung. Wir untersuchen jede Ausnahme oder Abweichung, um future Ereignisse zu verhindern.

Ausfallsicherheit und Kontinuität von Unternehmen 6.1.1 — Ausfallsicherheit von Unternehmen — Failover-Tests (manuelle Bestätigung erforderlich)

Werden Failover-Tests vor Ort mindestens einmal jährlich durchgeführt?

Geben Sie an, ob Failover-Tests jährlich durchgeführt werden. Falls nein, wie oft werden sie durchgeführt?

Ja

Ausfallsicherheit und Kontinuität des Unternehmens 6.1.2 — Ausfallsicherheit des Unternehmens — Analyse der Auswirkungen auf das Geschäft (Erfordert eine manuelle Bestätigung)

Wurde eine Analyse der Auswirkungen auf das Geschäft durchgeführt?

Geben Sie an, ob eine Geschäftsauswirkungsanalyse durchgeführt wurde. Falls ja, wann wurde sie zuletzt abgeschlossen? Geben Sie Einzelheiten zu der durchgeführten Analyse an.

Ja. Eine Analyse der Auswirkungen auf das Geschäft wurde vor 6 Monaten abgeschlossen.

Ausfallsicherheit und Kontinuität des Unternehmens 6.1.3 — Ausfallsicherheit des Unternehmens — Abhängigkeiten von Drittanbietern (manuelle Bestätigung erforderlich)

Gibt es Abhängigkeiten von wichtigen Drittanbietern (neben einem Cloud-Dienstanbieter)?

Geben Sie an, ob eine Abhängigkeit von Drittanbietern (neben einem Cloud-Dienstanbieter) besteht. Falls ja, können Sie Einzelheiten zu den Anbietern angeben?

Nein

Ausfallsicherheit und Kontinuität des Unternehmens 6.1.4 — Ausfallsicherheit von Unternehmen — Kontinuitäts- und Wiederherstellungstests von Drittanbietern (manuelle Bestätigung erforderlich)

Müssen Drittanbieter ihre eigenen Disaster Recovery-Prozesse und -Übungen durchführen?

Geben Sie an, ob Drittanbieter ihre eigenen Disaster Recovery-Prozesse und -Übungen haben müssen.

In diesem Beispiel nicht zutreffend.

Ausfallsicherheit und Kontinuität des Unternehmens 6.1.5 — Ausfallsicherheit des Unternehmens — Vertragsverletzung durch Drittanbieter (manuelle Bestätigung erforderlich)

Enthalten Verträge mit wichtigen Serviceanbietern eine Strafe oder eine Abhilfemaßnahme für Verstöße gegen Verfügbarkeit und Kontinuität? Von Amazon verkauft und versendet (SSA)?

Sind Vertragsstrafen oder Abhilfemaßnahmen für Verstöße gegen Verfügbarkeit und Kontinuität in Verträgen mit Drittanbietern enthalten?

Gilt in diesem Beispiel nicht.

Ausfallsicherheit und Kontinuität des Unternehmens 6.1.6 — Ausfallsicherheit des Unternehmens — Health des Systems

Verfügen Sie über Monitore oder Warnmeldungen, um sich ein Bild vom Zustand des Systems zu machen?

Geben Sie an, ob Überwachungen oder Warnmeldungen vorhanden sind, um den Zustand des Systems zu ermitteln.

Ja

Geschäftskontinuität

Stabilität und Kontinuität des Geschäftsbetriebs 6.2.1 — Geschäftskontinuität — Richtlinien/Verfahren zur Geschäftskontinuität

Werden formelle Verfahren zur Geschäftskontinuität entwickelt und dokumentiert?

Geben Sie an, ob formelle Verfahren zur Gewährleistung der Geschäftskontinuität entwickelt und beibehalten werden. Falls ja, geben Sie weitere Einzelheiten zu den Verfahren an.

Ja

Ausfallsicherheit und -kontinuität 6.2.2 — Geschäftskontinuität — Reaktions- und Wiederherstellungsstrategien

Sind spezifische Reaktions- und Wiederherstellungsstrategien für die priorisierten Aktivitäten definiert?

Geben Sie an, ob Wiederherstellungs- und Reaktionsstrategien für Kundenaktivitäten und Dienstleistungen entwickelt wurden.

Ja

Stabilität und Kontinuität des Geschäftsbetriebs 6.2.3 — Geschäftskontinuität — Tests zur Geschäftskontinuität

Führen Sie Wiederherstellungstests durch, um die Geschäftskontinuität sicherzustellen?

Ja. Im Falle eines Fehlers werden die Systeme für die Geschäftskontinuität innerhalb von 2 Stunden aktiviert.

Ausfallsicherheit und Kontinuität des Geschäftsbetriebs 6.2.4 — Geschäftskontinuität — Auswirkungen auf die Verfügbarkeit in Umgebungen mit mehreren Mandanten (manuelle Bestätigung erforderlich)

Schränken Sie die Fähigkeit eines Käufers ein, eine Belastung aufzuerlegen, die sich auf die Verfügbarkeit Ihres Systems für andere Benutzer auswirken kann?

Geben Sie an, ob sich die Auslastung eines Käufers auf die Verfügbarkeit eines anderen Käufers auswirken kann. Falls ja, bis zu welchem Schwellenwert wird es keine Auswirkungen geben? Falls nein, können Sie nähere Angaben dazu machen, wie Sie sicherstellen, dass die Dienste bei Spitzennutzung und darüber hinaus nicht beeinträchtigt werden?

Ja. Der Schwellenwert ist für dieses Beispiel nicht verfügbar.

Ausfallsicherheit und Geschäftskontinuität 6.3.1 — Anwendungsverfügbarkeit — Verfügbarkeitsbericht (manuelle Bestätigung erforderlich)

Gab es im letzten Jahr nennenswerte Probleme im Zusammenhang mit der Zuverlässigkeit oder Verfügbarkeit?

Geben Sie an, ob es im letzten Jahr erhebliche Probleme im Zusammenhang mit der Zuverlässigkeit oder Verfügbarkeit gab.

Nein

Ausfallsicherheit und Geschäftskontinuität 6.3.2 — Anwendungsverfügbarkeit — Zeitfenster für geplante Wartung (manuelle Bestätigung erforderlich)

Ist während der geplanten Wartung mit Ausfallzeiten zu rechnen?

Geben Sie an, ob es ein geplantes Wartungsfenster gibt, in dem Dienste möglicherweise nicht verfügbar sind. Falls ja, wie lang ist die Ausfallzeit?

Nein

Ausfallsicherheit und Geschäftskontinuität 6.3.3 — Anwendungsverfügbarkeit — Online-Incident-Portal (manuelle Bestätigung erforderlich)

Gibt es ein Online-Statusportal zur Reaktion auf Vorfälle, in dem geplante und ungeplante Ausfälle beschrieben werden?

Geben Sie an, ob es ein Statusportal für Vorfälle gibt, das geplante und ungeplante Ausfälle beschreibt. Falls ja, geben Sie Einzelheiten darüber an, wie ein Kunde darauf zugreifen kann. Wie lange nach dem Ausfall wird das Portal aktualisiert?

Ja. Der Kunde kann über example.com auf Details zugreifen.

Ausfallsicherheit und Geschäftskontinuität 6.3.4 — Anwendungsverfügbarkeit — Ziel der Wiederherstellungszeit (manuelle Bestätigung erforderlich)

Gibt es ein bestimmtes Ziel für die Wiederherstellungszeit ()? RTO

Geben Sie an, ob es ein Wiederherstellungszeitziel (RTO) gibt. Falls ja, können Sie das angebenRTO?

Ja, 2 StundenRTO.

Ausfallsicherheit und Kontinuität des Unternehmens 6.3.5 — Anwendungsverfügbarkeit — Recovery Point Objective (manuelle Bestätigung erforderlich)

Gibt es ein bestimmtes Ziel für den Wiederherstellungspunkt ()? RPO

Geben Sie an, ob es ein Wiederherstellungspunktziel (RPO) gibt. Falls ja, können Sie das angebenRPO?

Ja, eine WocheRPO.

Kundendaten wurden aufgenommen

Datensicherheit 2.1.1 — Kundendaten aufgenommen (manuelle Bestätigung erforderlich)

Erstellen Sie eine Liste mit Daten, die von Kunden für die Produktfunktionalität benötigt werden.

Beschreiben Sie alle von Kunden verbrauchten Daten. Geben Sie an, ob sensible oder vertrauliche Daten verwendet werden.

Es werden keine sensiblen und vertraulichen Daten verbraucht. Dieses Produkt verwendet nur nicht vertrauliche Informationen wie Protokolle von Anwendungen, Infrastruktur und. AWS-Services(AWS CloudTrail, AWS Config, VPC Flussprotokolle)

Ort des Datenspeichers

Datensicherheit 2.2.1 — Speicherort der Daten (Erfordert eine manuelle Bestätigung)

Wo werden Kundendaten gespeichert? Listen Sie die Länder und Regionen auf, in denen Daten gespeichert werden.

Geben Sie die Liste der Länder und Regionen an, in denen Daten gespeichert werden.

Ohio (USA), Oregon (USA), Irland (EU)

Datensicherheit 2.3.1 — Zugriffskontrolle — Mitarbeiterzugang (Erfordert eine manuelle Bestätigung)

Haben Mitarbeiter Zugriff auf unverschlüsselte Kundendaten?

Geben Sie an, ob Mitarbeiter Zugriff auf unverschlüsselte Kundendaten haben. Falls ja, erläutern Sie kurz, warum sie Zugriff benötigen. Falls nein, erläutern Sie kurz, wie Sie den Zugriff kontrollieren.

Nein, alle Daten sind verschlüsselt, wenn sie gespeichert werden. Mitarbeiter haben keinen Zugriff auf Kundendaten, sondern nur auf Daten über deren Nutzung.

Datensicherheit 2.3.2 — Zugriffskontrolle — Mobile Anwendung (Erfordert eine manuelle Bestätigung)

Können Kunden über eine mobile Anwendung auf ihre Daten zugreifen?

Geben Sie an, ob Kunden über eine mobile Anwendung auf ihre Daten zugreifen können. Falls ja, geben Sie weitere Informationen an. Wie melden sich Kunden an? Werden Anmeldeinformationen von der Anwendung zwischengespeichert? Wie oft werden Tokens aktualisiert?

Nein, auf den Dienst kann nicht mit einer mobilen Anwendung zugegriffen werden.

Datensicherheit 2.3.3 — Zugriffskontrolle — Länder, in die Daten übertragen werden (manuelle Bestätigung erforderlich)

Werden Kundendaten in Länder außerhalb des Ursprungslandes übertragen?

Werden Kundendaten in Länder außerhalb des Herkunftslandes übertragen? Falls ja, geben Sie die Liste der Länder an, in denen Kundendaten übertragen oder empfangen werden.

Nein

Datensicherheit 2.3.4 — Zugriffskontrolle — Werden Daten an Drittanbieter weitergegeben (erfordert eine manuelle Bestätigung)

Werden Kundendaten an Drittanbieter (außer Cloud-Dienstanbietern) weitergegeben?

Werden Kundendaten an Drittanbieter weitergegeben? Falls ja, geben Sie die Liste der Drittanbieter und deren Länder oder Regionen an, in denen Sie Kundendaten bereitstellen.

Nein

Datensicherheit 2.3.5 — Zugriffskontrolle — Sicherheitsrichtlinie in Bezug auf Drittanbieter

Haben Sie Richtlinien oder Verfahren eingeführt, um sicherzustellen, dass Drittanbieter die Vertraulichkeit, Verfügbarkeit und Integrität von Kundendaten wahren?

Geben Sie an, ob Sie über Richtlinien oder Verfahren verfügen, um sicherzustellen, dass Drittanbieter die Vertraulichkeit, Verfügbarkeit und Integrität von Kundendaten wahren. Falls ja, laden Sie ein Handbuch oder ein Dokument mit den Richtlinien oder Verfahren hoch.

In diesem Beispiel nicht zutreffend.

Datenverschlüsselung

Datensicherheit 2.4.1 — Datenverschlüsselung — Datenverschlüsselung im Ruhezustand

Sind alle Daten im Ruhezustand verschlüsselt?

Geben Sie an, ob alle Daten im Ruhezustand verschlüsselt sind.

Ja

Datensicherheit 2.4.2 — Datenverschlüsselung — Datenverschlüsselung bei der Übertragung

Werden alle Daten während der Übertragung verschlüsselt?

Ja

Datensicherheit 2.4.3 — Datenverschlüsselung — Starke Algorithmen (Erfordert eine manuelle Bestätigung)

Verwenden Sie starke Verschlüsselungsalgorithmen?

Verwenden Sie starke Verschlüsselungsalgorithmen? Falls ja, geben Sie an, welche Verschlüsselungsalgorithmen (z. B.RSA, AES 256) verwendet werden.

Ja. AES256 wird für die Verschlüsselung der Daten verwendet.

Datensicherheit 2.4.4 — Datenverschlüsselung — Eindeutiger Verschlüsselungsschlüssel (erfordert eine manuelle Bestätigung)

Haben Kunden die Möglichkeit, einen eindeutigen Verschlüsselungsschlüssel zu generieren?

Können Kunden ihre eigenen eindeutigen Verschlüsselungsschlüssel bereitstellen oder generieren? Falls ja, geben Sie bitte weitere Informationen an und laden Sie Beweise hoch.

Ja

Datensicherheit 2.4.5 — Datenverschlüsselung — Zugriff auf Verschlüsselungsschlüssel (manuelle Bestätigung erforderlich)

Werden Mitarbeiter daran gehindert, auf die Verschlüsselungsschlüssel eines Kunden zuzugreifen?

Geben Sie an, ob Ihre Mitarbeiter am Zugriff auf die Verschlüsselungsschlüssel eines Kunden gehindert werden. Falls nein, erläutern Sie, warum sie Zugriff auf Kundenschlüssel haben. Falls ja, erläutern Sie, wie der Zugriff kontrolliert wird.

Ja. Kryptografische Schlüssel werden sicher gespeichert und regelmäßig gewechselt. Mitarbeiter haben keinen Zugriff auf diese Schlüssel.

Datenspeicherung und Klassifizierung

Datensicherheit 2.5.1 - Datenspeicherung und Klassifizierung - Datensicherung

Erstellen Sie Backups von Kundendaten?

Geben Sie an, ob Sie Kundendaten sichern möchten. Falls ja, beschreiben Sie Ihre Backup-Richtlinie (einschließlich Einzelheiten darüber, wie oft Backups durchgeführt werden, wo die Sicherung gespeichert wird, Backup-Verschlüsselung und Redundanz).

Ja, das Backup wird alle drei Monate durchgeführt. Das Backup wird verschlüsselt und in derselben Region wie die Kundendaten gespeichert. Der Support-Techniker des Kunden hat Zugriff auf die Wiederherstellung des Backups, jedoch nicht auf die Daten im Backup.

Datensicherheit 2.5.2 — Datenspeicherung und -klassifizierung — Richtlinie zur Datenzugriffskontrolle

Implementieren Sie angemessene Zugriffskontrollen für gespeicherte Kundendaten? Geben Sie Ihre Richtlinien für die Zugriffskontrolle an.

Geben Sie an, ob geeignete Zugriffskontrollen (z. B.RBAC) für gespeicherte Kundendaten implementiert sind. Geben Sie weitere Einzelheiten und manuelle Nachweise darüber an, wie Sie den Zugriff auf die Daten kontrollieren.

Ja. Die Zugriffskontrollen mit den geringsten Rechten werden implementiert, um den Zugriff auf Kundendaten einzuschränken.

Datensicherheit 2.5.3 — Datenspeicherung und -klassifizierung — Transaktionsdaten (Erfordert eine manuelle Bestätigung)

Werden die Transaktionsdetails des Kunden (wie Zahlungskarteninformationen und Informationen über die Gruppen, die Transaktionen durchführen) in einer Perimeterzone gespeichert?

Geben Sie an, ob die Transaktionsdetails des Kunden (wie Zahlungskarteninformationen und Informationen über die Gruppen, die Transaktionen durchführen) in einer Perimeterzone gespeichert werden. Falls ja, erläutern Sie, warum die Daten in der Perimeterzone gespeichert werden müssen.

Nein

Datensicherheit 2.5.4 — Datenspeicherung und -klassifizierung — Klassifizierung von Informationen

Werden Kundendaten gemäß den gesetzlichen oder behördlichen Anforderungen, dem Geschäftswert und der Empfindlichkeit gegenüber unbefugter Offenlegung oder Änderung klassifiziert?

Geben Sie an, ob Kundendaten nach ihrer Sensibilität klassifiziert werden. Falls ja, laden Sie manuelle Nachweise für diese Klassifizierung hoch.

Ja

Datensicherheit 2.5.5 — Datenspeicherung und -klassifizierung — Datensegmentierung (Erfordert eine manuelle Bestätigung)

Ist die Möglichkeit der Datensegmentierung und -trennung zwischen Kunden vorgesehen?

Geben Sie an, ob die Daten für verschiedene Kunden segmentiert sind. Falls nein, erläutern Sie die Mechanismen, mit denen Sie Daten vor Kreuzkontamination schützen können.

Ja

Datensicherheit 2.6.1 — Aufbewahrung von Daten (Erfordert eine manuelle Bestätigung)

Wie lange speichern Sie Daten?

Geben Sie die Dauer der Datenspeicherung an. Wenn sich die Aufbewahrungsdauer je nach Datenklassifizierung und Sensitivität unterscheidet, können Sie Einzelheiten zu den einzelnen Aufbewahrungsfristen angeben?

6 Monate

Aufbewahrung von Daten nach Abmeldung durch Käufer

Datensicherheit 2.6.2 — Aufbewahrung von Daten nach der Abmeldung durch den Kunden (manuelle Bestätigung erforderlich)

Wie lange speichern Sie Daten, nachdem Käufer sich abmelden?

Geben Sie die Dauer der Datenspeicherung an, nachdem sich Kunden abmelden.

3 Monate

Gerätesicherheit für Endbenutzer 7.1.1 — Bestands-/Softwareinventar — Inventarisierung

Wird die Inventarliste regelmäßig aktualisiert?

Geben Sie an, ob ein Asset-Inventar geführt wird. Falls ja, wie oft wird es aktualisiert?

Ja. Das Inventar wird wöchentlich aktualisiert.

Gerätesicherheit für Endbenutzer 7.1.2 — Bestands-/Softwareinventar — Software- und Anwendungsinventar

Werden alle installierten Softwareplattformen und Anwendungen auf bestimmten Systemen inventarisiert?

Geben Sie an, ob das Inventar aller installierten Software und Anwendungen beibehalten wird. Falls ja, wie oft wird es aktualisiert?

Ja. Das Inventar wird wöchentlich aktualisiert.

Gerätesicherheit für Endbenutzer 7.2.1 — Anlagensicherheit — Sicherheitspatches

Werden alle verfügbaren Sicherheitspatches mit hohem Risiko mindestens einmal pro Monat auf allen Endbenutzergeräten installiert und überprüft?

Geben Sie an, ob alle Sicherheitspatches mit hohem Risiko mindestens einmal pro Monat installiert werden. Falls nein, wie oft wird es angewendet? Können Sie weitere Einzelheiten zur Verwaltung von Patches angeben?

Ja. Wir haben ein Sicherheitsteam, das diesen Prozess alle zwei Wochen durchführt.

Gerätesicherheit für Endbenutzer 7.2.2 — Anlagensicherheit — Endpunktsicherheit

Haben Sie Endpunktsicherheit?

Geben Sie an, ob Endpoint Security auf allen Geräten installiert ist. Falls ja, können Sie weitere Informationen zu dem Tool und seiner Wartung angeben?

Ja. Unser Sicherheitsteam erledigt dies alle zwei Wochen mithilfe interner Tools.

Gerätesicherheit für Endbenutzer 7.2.3 — Anlagensicherheit — Wartung und Reparatur von Anlagen (manuelle Bestätigung erforderlich)

Werden Wartung und Reparatur von Unternehmensressourcen mit zugelassenen und kontrollierten Tools durchgeführt und protokolliert?

Geben Sie an, ob die Wartung und Reparatur von Anlagen mit kontrollierten Tools durchgeführt und protokolliert wird. Falls ja, könnten Sie nähere Angaben zur Verwaltung machen?

Ja. Alle Wartungsarbeiten an Geräten werden protokolliert. Diese Wartung führt nicht zu Ausfallzeiten.

Endbenutzer-Gerätesicherheit 7.2.4 — Anlagensicherheit — Zugriffskontrolle für Geräte

Ist die Zugriffskontrolle auf den Geräten aktiviert?

Geben Sie an, ob für Geräte Zugriffskontrollen (z. B.RBAC) aktiviert sind.

Ja. Der Zugriff mit den geringsten Rechten ist für alle Geräte implementiert.

Gerätesicherheit für Endbenutzer 7.3.1 — Geräteprotokolle — Ausreichende Details in den Protokollen (manuelle Bestätigung erforderlich)

Sind ausreichend Details in den Betriebssystem- und Geräteprotokollen protokolliert, um die Untersuchung von Vorfällen zu unterstützen?

Geben Sie an, ob ausreichend Details (wie erfolgreiche und fehlgeschlagene Anmeldeversuche und Änderungen an vertraulichen Konfigurationseinstellungen und Dateien) in den Protokollen enthalten sind, um die Untersuchung von Vorfällen zu unterstützen. Falls nein, geben Sie weitere Informationen darüber an, wie Sie mit der Untersuchung von Vorfällen umgehen.

Ja

Endbenutzer-Gerätesicherheit 7.3.2 — Geräteprotokolle — Zugriff auf Geräteprotokolle

Sind Geräteprotokolle vor Änderung, Löschung und/oder unberechtigtem Zugriff geschützt?

Geben Sie an, ob Geräteprotokolle vor Änderung, Löschung und/oder unberechtigtem Zugriff geschützt sind. Falls ja, können Sie Einzelheiten dazu angeben, wie Sie dies durchsetzen?

Ja. Änderungen an Protokollen werden durch die Zugriffskontrolle durchgesetzt. Alle Änderungen an den Protokollen führen zu einer Warnung.

Endbenutzer-Gerätesicherheit 7.3.3 — Geräteprotokolle — Aufbewahrung von Protokollen (manuelle Bestätigung erforderlich)

Werden die Protokolle so lange aufbewahrt, dass ein Angriff untersucht werden kann?

Wie lange werden die Protokolle aufbewahrt?

Ja, 1 Jahr.

Gerätesicherheit für Endbenutzer 7.4.1 — Verwaltung mobiler Geräte — Programm zur Verwaltung mobiler Geräte

Gibt es ein Programm zur Verwaltung mobiler Geräte?

Geben Sie an, ob es ein Programm zur Verwaltung mobiler Geräte gibt. Falls ja, geben Sie bitte an, welches Tool für die Verwaltung mobiler Geräte verwendet wird.

Ja. Wir verwenden interne Tools.

Endbenutzer-Gerätesicherheit 7.4.2 — Verwaltung mobiler Geräte — Zugriff auf die Produktionsumgebung von privaten Mobilgeräten aus (manuelle Bestätigung erforderlich)

Werden Mitarbeiter daran gehindert, über nicht verwaltete private Mobilgeräte auf die Produktionsumgebung zuzugreifen?

Geben Sie an, ob Mitarbeiter mithilfe nicht verwalteter privater Mobilgeräte am Zugriff auf die Produktionsumgebung gehindert werden. Falls nein, wie können Sie diese Kontrolle durchsetzen?

Ja

Endbenutzer-Gerätesicherheit 7.4.3 — Verwaltung mobiler Geräte — Zugriff auf Kundendaten von Mobilgeräten aus (manuelle Bestätigung erforderlich)

Werden Mitarbeiter daran gehindert, nicht verwaltete private Mobilgeräte zu verwenden, um Kundendaten einzusehen oder zu verarbeiten?

Geben Sie an, ob Mitarbeiter nicht mithilfe von nicht verwalteten Mobilgeräten am Zugriff auf Kundendaten gehindert werden. Falls nein, was ist der Anwendungsfall für die Gewährung des Zugriffs? Wie überwacht man den Zugriff?

Ja

Personalwesen 9.1.1 - Personalpolitik - Hintergrundüberprüfung der Mitarbeiter

Wird vor der Einstellung eine Hintergrundüberprüfung durchgeführt?

Geben Sie an, ob vor der Einstellung eine Hintergrundüberprüfung für alle Mitarbeiter durchgeführt wird.

Ja

Personalwesen 9.1.2 — Personalpolitik — Arbeitnehmervereinbarung

Wird vor der Einstellung ein Arbeitsvertrag unterzeichnet?

Geben Sie an, ob vor der Einstellung ein Arbeitsvertrag unterzeichnet wurde.

Ja

Personalwesen 9.1.3 — Personalpolitik — Sicherheitstraining für Mitarbeiter

Nehmen alle Mitarbeiter regelmäßig an Schulungen zum Sicherheitsbewusstsein teil?

Geben Sie an, ob Mitarbeiter regelmäßig Sicherheitsschulungen absolvieren. Falls ja, wie oft nehmen sie an Sicherheitsschulungen teil?

Ja. Sie werden jährlich einer Sicherheitsschulung unterzogen.

Personalwesen 9.1.4 - Personalpolitik - Disziplinarverfahren bei Nichteinhaltung von Richtlinien

Gibt es ein Disziplinarverfahren für die Nichteinhaltung von Personalrichtlinien?

Geben Sie an, ob es ein Disziplinarverfahren für die Nichteinhaltung von Personalrichtlinien gibt.

Ja

Personalwesen 9.1.5 — Personalpolitik — Zuverlässigkeitsüberprüfungen für Auftragnehmer/Subunternehmer (Erfordert eine manuelle Bescheinigung)

Werden Zuverlässigkeitsüberprüfungen für Drittanbieter, Auftragnehmer und Subunternehmer durchgeführt?

Geben Sie an, ob Hintergrundprüfungen für Drittanbieter, Auftragnehmer und Subunternehmer durchgeführt werden. Falls ja, wird die Zuverlässigkeitsüberprüfung regelmäßig durchgeführt?

Ja. Die Zuverlässigkeitsüberprüfung wird jährlich durchgeführt.

Personalwesen 9.1.6 — Personalpolitik — Rückgabe von Vermögenswerten bei Kündigung

Gibt es ein Verfahren zur Überprüfung der Rückgabe von Vermögenswerten bei Kündigung?

Geben Sie an, ob es ein Verfahren zur Überprüfung der Rückgabe von Vermögenswerten bei Kündigung eines Mitarbeiters gibt.

Ja

Infrastruktursicherheit 8.1.1 — Physische Sicherheit — Physischer Zugang zu Einrichtungen

Müssen Personen, die persönlich Zugang zu Vermögenswerten (wie Gebäuden, Fahrzeugen oder Hardware) benötigen, einen Ausweis und alle erforderlichen Anmeldeinformationen vorlegen?

Geben Sie an, ob Personen, die persönlich Zugriff auf Vermögenswerte (wie Gebäude, Fahrzeuge, Hardware) benötigen, einen Ausweis und alle erforderlichen Anmeldeinformationen vorlegen müssen.

Ja

Infrastruktursicherheit 8.1.2 — Physische Sicherheit — Vorhandene physische Sicherheits- und Umweltkontrollen

Sind physische Sicherheits- und Umweltkontrollen in den Rechenzentren und Bürogebäuden vorhanden?

Geben Sie an, ob physische Sicherheits- und Umweltkontrollen für alle Einrichtungen vorhanden sind.

Ja

Infrastruktursicherheit 8.1.3 — Physische Sicherheit — Besucherzugang (Erfordert eine manuelle Bestätigung)

Erfassen Sie den Besucherzugriff?

Werden Besucherzugriffsprotokolle geführt, wenn Besucher die Einrichtung betreten dürfen? Falls ja, wie lange werden die Protokolle aufbewahrt?

Ja. Die Protokolle werden ein Jahr lang aufbewahrt.

Infrastructure Security 8.2.1 — Netzwerksicherheit — Ungenutzte Ports und Dienste deaktivieren (manuelle Bestätigung erforderlich)

Sind alle ungenutzten Ports und Dienste in der Produktionsumgebung und den Systemen deaktiviert?

Geben Sie an, ob alle ungenutzten Ports und Dienste in der Produktionsumgebung und den Produktionssystemen deaktiviert sind.

Ja

Infrastruktursicherheit 8.2.2 — Netzwerksicherheit — Einsatz von Firewalls

Werden Firewalls verwendet, um kritische und sensible Systeme in Netzwerksegmente zu isolieren, die von Netzwerksegmenten mit weniger empfindlichen Systemen getrennt sind?

Geben Sie an, ob Firewalls verwendet werden, um kritische und sensible Segmente von Segmenten mit weniger empfindlichen Systemen zu isolieren.

Ja

Infrastruktursicherheit 8.2.3 — Netzwerksicherheit — Überprüfung der Firewall-Regeln

Werden alle Firewall-Regeln regelmäßig überprüft und aktualisiert?

Wie oft werden Firewall-Regeln überprüft und aktualisiert?

Ja. Die Firewall-Regeln werden alle 3 Monate aktualisiert.

Infrastruktursicherheit 8.2.4 — Netzwerksicherheit — Systeme zur Erkennung und Abwehr von Eindringlingen

Werden Systeme zur Erkennung und Abwehr von Eindringlingen in allen sensiblen Netzwerkzonen und überall dort eingesetzt, wo Firewalls aktiviert sind?

Geben Sie an, ob Systeme zur Erkennung und Abwehr von Eindringlingen in allen sensiblen Netzwerkzonen aktiviert sind.

Ja

Infrastruktursicherheit 8.2.5 — Netzwerksicherheit — Sicherheits- und Härtungsstandards

Haben Sie Sicherheits- und Härtungsstandards für Netzwerkgeräte eingeführt?

Geben Sie an, ob Sie über Sicherheits- und Sicherheitsstandards für Netzwerkgeräte verfügen. Falls ja, können Sie weitere Einzelheiten angeben (einschließlich Angaben darüber, wie oft diese Standards implementiert und aktualisiert werden)?

Ja. Sicherheits- und Härtungsstandards werden monatlich auf Netzwerkgeräten implementiert.

Infrastruktursicherheit 8.3.1 — Cloud-Dienste — Plattformen, die zum Hosten der Anwendung verwendet werden (manuelle Bestätigung erforderlich)

Führen Sie die Cloud-Plattformen auf, die Sie für das Hosten Ihrer Anwendung verwenden.

Geben Sie an, welche Cloud-Plattformen Sie zum Hosten Ihrer Anwendung verwenden.

AWS

Risikomanagement/Reaktion auf Vorfälle 5.1.1 — Risikobewertung — Risiken adressieren und identifizieren

Gibt es einen formellen Prozess, der darauf abzielt, die Risiken von Störfällen für das Unternehmen zu identifizieren und anzugehen?

Geben Sie an, ob es einen Prozess zur Identifizierung und Bekämpfung von Risiken gibt, die zu Störungen im Unternehmen führen.

Ja

Risikomanagement/Reaktion auf Vorfälle 5.1.2 — Risikobewertung — Risikomanagementprozess

Gibt es ein Programm oder einen Prozess für den Umgang mit Risiken, die bei Bewertungen festgestellt wurden?

Geben Sie an, ob es ein Programm oder einen Prozess für den Umgang mit Risiken und deren Minderung gibt. Falls ja, können Sie weitere Einzelheiten zum Risikomanagementprozess angeben?

Ja. Wir überprüfen und beheben regelmäßig Probleme, um Abweichungen zu beheben. Für jedes Problem, das sich auf unsere Umwelt auswirkt, werden die folgenden Informationen identifiziert:

• Einzelheiten des festgestellten Problems

• Grundursache

• Ausgleichende Kontrollen

• Schweregrad

• Besitzer

• Kurzfristiger Weg in die Zukunft

• Langfristiger Weg in die Zukunft

Risikomanagement/Reaktion auf Vorfälle 5.1.3 — Risikobewertung — Risikobeurteilungen

Werden Risikobewertungen häufig durchgeführt?

Werden Risikobewertungen häufig durchgeführt? Falls ja, geben Sie die Häufigkeit der Risikobewertungen an.

Ja. Risikobewertungen werden alle 6 Monate abgeschlossen.

Risikomanagement/Reaktion auf Vorfälle 5.1.4 — Risikobewertung — Risikobewertung von Drittanbietern

Werden Risikobewertungen für alle Drittanbieter durchgeführt?

Geben Sie an, ob Risikobewertungen für alle Drittanbieter durchgeführt werden. Falls ja, wie oft?

In diesem Beispiel nicht zutreffend.

Risikomanagement/Reaktion auf Vorfälle 5.1.5 — Risikobeurteilung — Neubewertung des Risikos bei Vertragsänderungen

Werden Risikobeurteilungen durchgeführt, wenn Dienstleistungen erbracht oder Verträge geändert werden?

Geben Sie an, ob bei jeder Änderung einer Leistungserbringung oder eines Vertrags Risikobewertungen durchgeführt werden.

In diesem Beispiel nicht zutreffend.

Risikomanagement/Reaktion auf Vorfälle 5.1.6 — Risikobewertung — Risiken akzeptieren (manuelle Bescheinigung erforderlich)

Gibt es ein Verfahren, nach dem das Management wissentlich und objektiv Risiken akzeptiert und Aktionspläne genehmigt?

Geben Sie an, ob es für das Management einen Prozess gibt, um Risiken zu verstehen und zu akzeptieren sowie Aktionspläne und einen Zeitplan für die Lösung eines risikobezogenen Problems zu genehmigen. Beinhaltet der Prozess die Bereitstellung von Einzelheiten zu den Kennzahlen, die jedem Risiko zugrunde liegen, an das Management?

Ja. Einzelheiten zur Schwere des Risikos und zu den potenziellen Problemen, wenn das Risiko nicht gemindert wird, werden dem Management zur Verfügung gestellt, bevor es ein Risiko genehmigt.

Risikomanagement/Reaktion auf Vorfälle 5.1.7 — Risikobewertung — Risikometriken (Erfordert eine manuelle Bescheinigung)

Verfügen Sie über Maßnahmen zur Definition, Überwachung und Berichterstattung von Risikokennzahlen?

Geben Sie an, ob es einen Prozess zur Definition, Überwachung und Berichterstattung von Risikometriken gibt.

Ja

Risikomanagement/Reaktion auf Vorfälle 5.2.1 — Vorfallmanagement — Plan zur Reaktion auf Vorfälle

Gibt es einen formellen Plan zur Reaktion auf Vorfälle?

Geben Sie an, ob es einen formellen Plan zur Reaktion auf Vorfälle gibt.

Ja

Risikomanagement/Reaktion auf Vorfälle 5.2.2 — Vorfallmanagement — Ansprechpartner für die Meldung von Sicherheitsvorfällen (manuelle Bestätigung erforderlich)

Gibt es ein Verfahren, mit dem Kunden einen Sicherheitsvorfall melden können?

Geben Sie an, ob es ein Verfahren gibt, mit dem Kunden einen Sicherheitsvorfall melden können. Falls ja, wie kann ein Kunde einen Sicherheitsvorfall melden?

Ja. Kunden können Vorfälle an example.com melden.

Risikomanagement/Reaktion auf Vorfälle 5.2.3 — Vorfallmanagement — Vorfälle melden/Hauptaktivitäten

Melden Sie wichtige Aktivitäten?

Berichten Sie über wichtige Aktivitäten? Was ist SLA für die Berichterstattung über Hauptaktivitäten vorgesehen?

Ja. Alle Hauptaktivitäten werden innerhalb einer Woche gemeldet.

Risikomanagement/Reaktion auf Vorfälle 5.2.4 — Störungsmanagement — Behebung von Zwischenfällen

Haben Sie Pläne für die Notfallwiederherstellung?

Geben Sie an, ob Sie Pläne für die Wiederherstellung nach einem Vorfall haben. Falls ja, können Sie uns Einzelheiten zu den Wiederherstellungsplänen mitteilen?

Ja. Nach einem Vorfall erfolgt die Wiederherstellung innerhalb von 24 Stunden.

Risikomanagement/Incident Response 5.2.5 — Incident Management — Protokolle, die Käufern im Falle eines Angriffs zur Verfügung stehen (manuelle Bestätigung erforderlich)

Stehen den Kunden im Falle eines Angriffs relevante Ressourcen (wie Protokolle, Vorfallberichte oder Daten) zur Verfügung?

Stehen den Kunden relevante Ressourcen (wie Protokolle, Vorfallberichte oder Daten) im Zusammenhang mit ihrer Nutzung zur Verfügung, falls es zu einem Angriff oder Vorfall kommt?

Ja

Risikomanagement/Reaktion auf Vorfälle 5.2.6 — Vorfallmanagement — Sicherheitsbulletin (Erfordert eine manuelle Bestätigung)

Haben Sie ein Sicherheitsbulletin, in dem die neuesten Angriffe und Sicherheitslücken beschrieben werden, die Ihre Anwendungen betreffen?

Geben Sie an, ob Sie über ein Sicherheitsbulletin verfügen, in dem die neuesten Angriffe und Sicherheitslücken beschrieben werden, die Ihre Anwendungen betreffen. Falls ja, können Sie die Einzelheiten angeben?

Ja. Kunden können Vorfälle an example.com melden.

Risikomanagement/Reaktion auf Vorfälle 5.3.1 — Erkennung von Vorfällen — Umfassende Protokollierung

Gibt es eine umfassende Protokollierung zur Unterstützung der Identifizierung und Minderung von Vorfällen?

Geben Sie an, ob die umfassende Protokollierung aktiviert ist. Identifizieren Sie die Ereignistypen, die das System protokollieren kann. Wie lange werden Protokolle aufbewahrt?

Ja. Die folgenden Ereignisse werden protokolliert: Anwendungen, Geräte usw. AWS CloudTrail und VPC Flow Logs. AWS-Services AWS Config Protokolle werden 1 Jahr lang aufbewahrt.

Risikomanagement/Reaktion auf Vorfälle 5.3.2 — Erkennung von Vorfällen — Protokollüberwachung

Überwachen Sie ungewöhnliche oder verdächtige Aktivitäten mithilfe von Erkennungsmechanismen wie der Protokollüberwachung und warnen Sie davor?

Geben Sie an, ob eine regelmäßige Sicherheitsüberwachung und Warnmeldungen durchgeführt werden. Falls ja, beinhaltet es die Protokollüberwachung im Hinblick auf ungewöhnliches oder verdächtiges Verhalten?

Ja. Alle Protokolle werden auf ungewöhnliches Verhalten hin überwacht, z. B. auf mehrere fehlgeschlagene Anmeldungen, Anmeldungen von einem ungewöhnlichen Standort aus oder andere verdächtige Warnmeldungen.

Risikomanagement/Reaktion auf Vorfälle 5.3.3 — Erkennung von Vorfällen — Datenschutzverletzung durch Dritte

Gibt es ein Verfahren zur Identifizierung, Erkennung und Protokollierung von Sicherheits-, Datenschutz- oder Datenschutzverletzungen bei Unterauftragnehmern?

Geben Sie an, ob es ein Verfahren zur Identifizierung und Erkennung von Drittanbietern oder Subunternehmern im Zusammenhang mit Datenschutzverletzungen, Sicherheitsproblemen oder Datenschutzproblemen gibt.

Ja

SLAfür die Benachrichtigung bei Vorfällen

Risikomanagement/Reaktion auf Vorfälle 5.4.1 — SLA für die Benachrichtigung von Vorfällen (manuelle Bestätigung erforderlich)

Was ist das Versenden von Benachrichtigungen über SLA Vorfälle oder Verstöße?

7 Tage

Richtlinien für Informationssicherheit

Sicherheits- und Konfigurationsrichtlinie 10.1.1 - Richtlinien für Informationssicherheit - Informationssicherheitsrichtlinie

Verfügen Sie über eine Informationssicherheitsrichtlinie, die einem Sicherheitsteam gehört und von diesem verwaltet wird?

Geben Sie an, ob Sie über eine Informationssicherheitsrichtlinie verfügen. Falls ja, teilen Sie einen manuellen Nachweis mit anderen oder laden Sie ihn hoch.

Ja. Wir erstellen unsere Sicherheitsrichtlinien auf der Grundlage NIST eines Frameworks.

Sicherheits- und Konfigurationsrichtlinie 10.1.2 — Richtlinien für Informationssicherheit — Überprüfung der Richtlinien

Werden alle Sicherheitsrichtlinien jährlich überprüft?

Geben Sie an, ob die Sicherheitsrichtlinien jährlich überprüft werden. Falls nein, wie oft werden die Richtlinien überprüft?

Ja. Jedes Jahr überprüft.

Richtlinien für Sicherheitskonfigurationen

Sicherheits- und Konfigurationsrichtlinie 10.2.1 — Richtlinien für Sicherheitskonfigurationen — Sicherheitskonfigurationen (Erfordert eine manuelle Bestätigung)

Werden die Standards für die Sicherheitskonfiguration beibehalten und dokumentiert?

Geben Sie an, ob alle Standards für die Sicherheitskonfiguration eingehalten und dokumentiert werden. Falls ja, teilen Sie einen manuellen Nachweis mit anderen oder laden Sie ihn hoch.

Ja

Sicherheits- und Konfigurationsrichtlinie 10.2.2 — Richtlinien für Sicherheitskonfigurationen — Überprüfung der Sicherheitskonfigurationen (manuelle Bestätigung erforderlich)

Werden Sicherheitskonfigurationen mindestens einmal jährlich überprüft?

Geben Sie an, ob Sicherheitskonfigurationen mindestens einmal jährlich überprüft werden. Falls nein, geben Sie die Häufigkeit der Überprüfung an.

Ja. Wird alle 3 Monate überprüft.

Sicherheits- und Konfigurationsrichtlinie 10.2.3 — Richtlinien für Sicherheitskonfigurationen — Änderungen an Konfigurationen

Werden Änderungen an Konfigurationen protokolliert?

Geben Sie an, ob Konfigurationsänderungen protokolliert werden. Falls ja, wie lange werden die Protokolle aufbewahrt?

Ja. Alle Änderungen an den Konfigurationen werden überwacht und protokolliert. Wenn Konfigurationen geändert werden, werden Warnmeldungen ausgelöst. Protokolle werden für 6 Monate aufbewahrt.