Sicherheit
Claris Cloud Services
Übersicht
Claris International Inc. ist der Exzellenz verpflichtet – sowohl bei seinen Produkten als auch bei der Art und Weise, wie die Services seinen Kunden bereitgestellt werden. Unsere Produkte wurden entwickelt, um Kunden dabei zu unterstützen, ihr Unternehmen durch hochleistungsfähige, sichere und hochverfügbare Lösungen zu optimieren. Und für Claris hat Vertrauen besondere Bedeutung. Um dies zu demonstrieren, haben wir konsequent branchenführende Sicherheitspraktiken auf unsere eigenen Praktiken angewandt. Diese Werte untermauern unser Handeln bei Claris.
Claris-Plattformprodukte wie Claris FileMaker Server und Claris FileMaker Pro werden seit langem mit branchenüblicher Sicherheitstechnologie entwickelt. Und auch neuere Produkte der Plattform wie Claris FileMaker Cloud und Claris Connect wurden so konzipiert, dass sie die neuesten Sicherheitsstandards und -protokolle verkörpern.
Die Produktionsinfrastruktur von FileMaker Cloud und Claris Connect wird von Amazon Web Services (AWS) gehostet. AWS-Rechenzentren und AWS-Dienste stellen die physische Infrastruktur, Umgebungskontrollen, Zugangskontrollmechanismen und Überwachungssysteme bereit, um die hochsicheren und hochverfügbaren Angebote von Claris zu ermöglichen. Darüber hinaus stellt Apple Claris Rechenzentrumsdienste zur Unterstützung seines Netzwerks, seiner Identitätsplattformen und physischen Sicherheitssysteme zur Verfügung.
Durch unser unermüdliches Engagement für Spitzenleistungen und unsere Geschäftsbeziehungen zu AWS und Apple ist Claris in der Lage, Unternehmen jeder Größe in ihrem Bestreben, digitale Transformation umzusetzen, Angebote auf Enterprise-Ebene anzubieten.
Compliance
Die Einhaltung der Vorschriften bei Claris zeigt unser ständiges Engagement für die Aufrechterhaltung strenger Sicherheitskontrollen für die Verwaltung der Daten unserer Kunden durch unabhängige Bescheinigungen und Zertifizierungen.
SOC 2® Typ 2-Bericht
Claris verfügt über einen System and Organization Controls (SOC) 2® Typ 2-Bericht für Claris FileMaker Cloud und Claris Connect, der interne Kontrollen in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit von Kundendaten umfasst. SOC 2 ist ein Prüfbericht, der vom American Institute of Certified Public Accountants (AICPA) erstellt wurde.
Claris und Apple beauftragen externe Wirtschaftsprüfer, die FileMaker Cloud- und Claris Connect-Systeme zu testen. Das Ergebnis ist eine Stellungnahme zur Gestaltung und operativen Wirksamkeit der internen Kontrollumgebung.
Kunden können eine Kopie der SOC 2 Typ 2-Berichte anfordern, indem sie eine E-Mail an compliance@claris.com senden.
ISO-Zertifizierungen
Sowohl FileMaker Cloud als auch Claris Connect wurden im Rahmen des Apple-Zertifizierungsprozesses vom British Standards Institute (BSI) für Informationssicherheitsmanagement (ISO/IEC 27001) und personenbezogene Daten in der Cloud (ISO/IEC 27018) zertifiziert.
Sicherheitsgovernance
Sicherheit und Kontrollumgebung
Das Information Security Team ist verantwortlich für die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit aller Apple- und Claris-Informationen innerhalb von Einrichtungen, auf Geräten oder in Transitnetzwerken, die Apple und Claris gehören oder in direkter Partnerschaft mit Apple und Claris stehen. Zu den spezifischen Methoden, die zur Erreichung dieser Ziele eingesetzt werden, gehören unter anderem: Entwicklung und Verteilung von Sicherheitsrichtlinien und -verfahren, Sicherheitsbeurteilungen, Überwachung und Verarbeitung von Sicherheitswarnungen und Reaktion auf Sicherheitsvorfälle.
Menschen, Richtlinien und Schulungen
Claris ist bestrebt, Menschen einzustellen, die in ihrem Fachgebiet Weltklasse-Profis sind und sich den Kernprinzipien der Organisation, Ehrlichkeit, Respekt, Vertraulichkeit und Compliance, verpflichtet fühlen.
Als Richtschnur für seine Experten unterhält Claris eine Reihe von Richtlinien, Standards und Leitfäden, die als Anforderungskatalog und Leitfaden für die Implementierung hochsicherer und hochverfügbarer Systeme dienen.
Basierend auf den Richtlinien, Standards und Leitfäden der Organisation ist das Personal verpflichtet, Schulungen für Neueinstellungen und jährliche Schulungen zum Thema Sicherheitsbewusstsein zu absolvieren. Diejenigen mit Verantwortlichkeiten, die sich auf die Sicherheit der Claris-Produkte und die Maßnahmen zur Einhaltung der Vorschriften auswirken, erhalten zusätzliche Schulungen zu einer Vielzahl von Themen.
Technische Sicherheit
Claris nutzt die Frameworks der globalen Sicherheit, um seine Sicherheitsprozesse und -kontrollen zu leiten. Schlüsselthemen wie physische Sicherheit, Authentifizierung, Verschlüsselung, Netzwerksicherheit und System Hardening werden im Folgenden näher erläutert.
Physische Sicherheit und Umgebungskontrollen
Claris verwendet Amazon Web Services (AWS) für seine Hosting-Anforderungen. AWS hat eine SOC 2 Typ 2-Zertifizierung für die von Claris genutzten Dienste erhalten, einschließlich der physischen und umgebungsbezogenen Sicherheitskontrolle seiner Rechenzentren.
Außerdem nutzt Claris, ein Apple-Unternehmen, die IT-Dienste von Apple. Apple hält sich selbst an den höchsten Standard, und das spiegelt sich in der Art und Weise wider, wie das Unternehmen seine Rechenzentren entwirft, baut und betreibt. Apple hat Sicherheitskontrollen implementiert, um den physischen Zugang zu seinen Einrichtungen und kritischen Systemen einzuschränken, einschließlich, aber nicht beschränkt auf Rechenzentren, POD-Umgebungen und Telekommunikationsschränke. Zu diesen Kontrollen gehören das Proximity-Badge-Zugangssystem (das den Zugang strikt auf das beschränkt, was zur Erfüllung der beruflichen Aufgaben eines Mitarbeiters erforderlich ist), biometrische Lesegeräte, Gebäudekamerasysteme und Besucherprotokolle.
Authentifizierungskontrollen
Die Sicherheit von Claris-Systemen, -Geräten und -Accounts beginnt mit der sicheren Erstellung und Verwaltung von Berechtigungsnachweisen.
Multifaktor-Authentifizierung
Der administrative Zugriff auf die Claris-Umgebungen ist durch Multifaktor-Authentifizierung auf Administratoren beschränkt. Innerhalb der Claris-Umgebung wendet Claris das Konzept der geringsten Privilegien an. Durch rollenbasierte Zugriffskontrollfunktionen innerhalb von AWS ist Claris in der Lage, verschiedenen Arten von Administratoren bei Claris (z. B. Serveradministration, Datenbankadministration, Netzwerkadministration) hochgranulare Berechtigungen zur Verfügung zu stellen.
Claris-ID
Claris-ID ist ein integriertes Anmeldesystem zur Authentifizierung von Benutzern von Claris-Produkten und -Dienstleistungen. Es unterstützt die Authentifizierung über externe Identitätsdienstleister wie Okta und Microsoft Active Directory.
OAuth-Identitätsdienstleister-Authentifizierung
OAuth 2.0 wird verwendet, um Claris-Benutzer zu authentifizieren, die sich bei eigenen Apps über einen externen Identitätsdienstleister wie Amazon, Google oder Microsoft Azure anmelden.
Administration
Claris Customer Console
Claris Customer Console ist eine Web-Anwendung für die Arbeit mit eigenen Apps, die von FileMaker Cloud bereitgestellt wird, sowie für die Verwaltung von FileMaker Cloud- und Claris Connect-Teams. Die Console wird auch zur Verwaltung von Claris-ID Konten, Benutzern, Gruppen, Hosts, Einstellungen und FileMaker Cloud- und Claris Connect-Abonnements genutzt.
Datenverschlüsselung
Der Schutz vertraulicher Informationen ist tief in der DNA von Claris verwurzelt. Die Verschlüsselung von Daten während der Übertragung und im Ruhezustand ist eines der Hauptwerkzeuge, das Claris im Rahmen seines Engagements für seine Kunden einsetzt.
FileMaker Cloud:
- Während der Übertragung: Client-Verbindungen verlangen die Verwendung des TLS 1.2-Protokolls.
- Im Ruhezustand: FileMaker Cloud verwendet verschiedene AWS-Datenspeicherumgebungen für die Datenpersistenz. Über diese Datenplattformen hinweg nutzt Claris den AWS Key Management Service (KMS) für die Verschlüsselung von Daten im Ruhezustand.
- Datenträger: Claris setzt AWS KMS mit AES 256-Bit-Verschlüsselung ein.
Claris Connect:
- Während der Übertragung: Client-Verbindungen verlangen die Verwendung des TLS 1.2-Protokolls. Zwischen Hosts sind Zertifikate und eine flüchtige PFS TLS 1.2-Chiffre erforderlich (z. B. zwischen der Anwendungs- und der Datenbankebene).
- Im Ruhezustand: Daten im Ruhezustand werden in Enterprise-Speicherlösungen mit mindestens AES-256-Bit-Verschlüsselung gespeichert.
- Datenträger: Claris setzt AWS KMS mit AES 256-Bit-Verschlüsselung ein.
Netzwerksicherheit
Firewalls sind ein wichtiger Teil jeder Sicherheitsanstrengung. Allgemein ausgedrückt bezieht sich eine Firewall auf eine Kontrolle, die verwendet werden kann, um bestimmten Netzwerkverkehr daran zu hindern, in ein privates Netzwerk einzudringen. Claris setzt Firewalls im gesamten Netzwerk und zwischen verschiedenen Zonen im Netzwerk ein, einschließlich Anwendungs-Firewalls, Web-Anwendungs-Firewalls und Firewalls auf Netzwerkebene.
Zusätzlich wird der Netzwerkverkehr kontinuierlich überwacht. Weitere Einzelheiten finden Sie im Abschnitt „Protokollierung und Überwachung“.
System Hardening
Basiskonfigurationen mit Hardening tragen dazu bei, die Konsistenz innerhalb der Betriebsumgebung zu fördern, und bieten die Gewissheit, dass Systeme auf der Grundlage der von Claris genehmigten Software erstellt werden, während gleichzeitig die Angriffsfläche für die Ausnutzung eines potenziellen bösartigen Code-Ereignisses minimiert wird.
Als Teil einer Basiskonfiguration sind von der Informationssicherheit genehmigte Tools zur Erkennung bösartiger Software Standardanforderungen innerhalb der Konfigurationsbasis. Diese Anwendungen bieten Erkennung, Überwachung und Alarmierung auf Systemebene bei potenziellen Sicherheitsereignissen und können die Ausführung von bösartigem Code verhindern. Diese Tools haben auch Integrationspfade zu Unternehmensüberwachungs- und Ereignismanagementfunktionen definiert, die es dem Information Security Team ermöglichen, Themen und Aktivitäten in der gesamten Umgebung zu aggregieren, Maßnahmen zur Reaktion auf Vorfälle einzuleiten und forensische Untersuchungen zu unterstützen.
Sicherheitsbewertungen und Schwachstellenmanagement
Sicherheitsbewertungen, die vom Information Security Team durchgeführt werden, werden vor der produktiven Einführung neuer oder aktualisierter Funktionen, Dienste, Konfigurationen oder Code-Änderungen durchgeführt.
Sicherheitstests der Infrastruktur, einschließlich Netzwerkgeräte und Betriebssysteme, werden durch Schwachstellenscans und anschließende Abhilfemaßnahmen unterstützt.
Bedrohungsmanagement und Reaktion auf Vorfälle
Protokollierungsprozesse und Pipeline
Protokollierung ist ein wichtiger Teil des Informationssicherheitsmanagements, das wir bei Claris durchführen, da Protokolle dazu beitragen, die Sicherheit der Claris-Systeme zu gewährleisten. Das Information Security Team stellt den Produktteams Standardmethoden und -werkzeuge zur Verfügung, um Protokolle von jedem System bei Claris einfach an das Information Security Team zu übertragen. Die Ereignispipeline empfängt Protokolle aus verschiedenen Quellen und aggregiert sie an einem einzigen Ort, der den autorisierten Mitarbeitern für die Reaktion auf Vorfälle weltweit zur Verfügung steht.
Incident-Response-Personal
Das Incident Response Team ist ein 24/7-Team, das rund um die Uhr Systeme und Alarme überwacht, um zunächst Sicherheitsereignisse zu identifizieren und eingehende Alarme zu bewerten. Ereignisse werden in einem zentralisierten Tracking-Tool verfolgt, in dem Details des Ereignisses und eine Auswirkung der potenziellen geschäftlichen Auswirkungen des Ereignisses erfasst werden. Es werden zusätzliche Teams zur Behebung von Ereignissen durch einen standardisierten und gestrafften Prozess einbezogen.
Vorfallmanagement
Claris verlässt sich auf das Incident Management Programm von Apple. Apple hat ein Incident Management Programm implementiert, das die Richtlinien und Verfahren zur rechtzeitigen und effektiven Verwaltung von Risiken enthält. Auf der Grundlage des dokumentierten Incident-Response-Plans werden Sicherheitsereignisse dem entsprechenden Personal zur Analyse zugewiesen, bevor ein Ereignis als Vorfall bezeichnet wird. Sobald ein Vorfall identifiziert wurde, wendet Apple einen standardisierten Ansatz an, bei dem dem Vorfall eine Schweregradstufe zugewiesen wird, um den Vorfall ordnungsgemäß zu klassifizieren, zu priorisieren und darauf zu reagieren. Zusätzlich hat die Organisation ihren Kommunikationsplan für Vorfälle dokumentiert, um die Rollen, Verantwortlichkeiten, Compliance-Pflichten und Kommunikationsverfahren für einen Vorfall zu dokumentieren und zu definieren.
Business Continuity und Disaster Recovery
Claris verwendet Amazon Web Services (AWS) für seine Hosting-Anforderungen. Claris hat seine Umgebung so konzipiert, dass sie hochgradig redundant ist und seinen Kunden eine hohe Verfügbarkeit bietet.
Außerdem nutzt Claris, ein Apple-Unternehmen, in bestimmten Bereichen die IT-Dienste von Apple. Im Rahmen des ISO 27001-Zertifizierungsprozesses von Apple werden die Rechenzentren von Apple auf Ausfallsicherheit und Betriebskontinuität geprüft.
Datenmanagement und Datenschutz
Datenaufbewahrung
Die Organisation hat Aufbewahrungsrichtlinien und -pläne entwickelt, um die erforderlichen Aufbewahrungsfristen für Unterlagen festzulegen.
Kundeninhalte, die innerhalb von Claris-Produkten erstellt wurden, stehen nach der Kündigung oder dem Ablauf des Kundenabonnements noch 45 Tage lang zur Verfügung; danach werden alle diese Inhalte gelöscht.
Kundendaten, die zur Benutzeradministration verwendet werden (Name, E-Mail und Telefonnummer), werden nach dem Ermessen des Kunden und in Übereinstimmung mit der Claris-Datenschutzrichtlinie aufbewahrt.
Datenschutzrichtlinie
Claris verpflichtet sich zum Schutz der Kundendaten und hält die geltenden Datenschutzbestimmungen in Bezug auf unsere Produkte und Dienstleistungen ein. Claris sammelt nur die Mindestmenge an Daten, die erforderlich ist, um den Kunden die Dienste zur Verfügung zu stellen.
Die gesammelten Kundendaten werden zu jeder Zeit in Übereinstimmung mit der Claris-Datenschutzrichtlinie behandelt.
DSGVO: Claris hält die DSGVO-Bestimmungen ein; es liegt jedoch an unseren Kunden sicherzustellen, dass sie Apps erstellen und ihre Daten in Übereinstimmung mit den DSGVO-Bestimmungen behandeln. Weitere Informationen über die Einhaltung der DSGVO durch Claris oder Antworten auf Fragen zur DSGVO finden Sie hier.
HIPAA: Claris erhebt keinen Anspruch auf Einhaltung der HIPAA. Wenn Sie eine versicherte Einheit, ein Geschäftspartner oder ein Vertreter einer versicherten Einheit oder eines Geschäftspartners sind, stimmen Sie zu, dass Sie keine Komponenten, Funktionen oder andere Einrichtungen von Claris FileMaker Cloud oder Claris Connect verwenden werden, um geschützte Gesundheitsinformationen zu erstellen, zu empfangen, zu pflegen oder zu übertragen.
PCI: Claris ist bei der Verarbeitung von Kreditkarten für seine Kunden PCI-konform. Allerdings wurden die Claris-Produkte keinem PCI-Audit unterzogen, daher sollten Kreditkartendaten nicht in Claris-Produkten gespeichert werden.
Weitere Informationen
Informieren Sie sich weiter über die Sicherheitspraktiken bei Claris:
FileMaker 19 Sicherheitshandbuch