Sicherheitsrichtlinie

Audit und Zertifizierung:

Vmaker arbeitet mit unabhängigen Dritten zusammen, um Sicherheitspraktiken zu erfüllen, die konsistent den besten Industriestandards entsprechen. Wir sind ein ISO 27001:2013 zertifiziertes Unternehmen. Vmaker ist bereit, die ISO-Zertifizierung bei angemessener Anfrage von Kunden zu teilen.

Vmaker verwendet die Zahlungsverarbeitungsplattform Stripe. Für weitere Informationen über die Sicherheitspraktiken von Stripe, siehe https://stripe.com/docs/security/stripe.

Datenschutz-Framework:

Vmaker stellt sicher, dass seine Prozesse und Verfahren der Allgemeinen Datenschutzverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA) entsprechen. Für weitere Details besuchen Sie unsere Datenschutzrichtlinie hier.

Schwachstellen-Tests:

Vmaker folgt einem strukturierten Code-Entwicklungs- und Release-Prozess. Als Teil dieses Prozesses wird aller Code peer-reviewed. Vmaker stellt maßgeschneiderte Code-Analyse-Tools für Ingenieure zur Verfügung, um gegen Anwendungscode zu implementieren. Vmaker führt auch kontinuierliche Post-Produktions-Tests basierend auf Echtzeit-Bedrohungen durch. Vmaker führt rigorose interne kontinuierliche Tests seiner Anwendungs- Oberfläche durch verschiedene Arten von Penetrationstest-Übungen durch. Zusätzlich koordiniert Vmaker externe 3rd-Party-Penetrationstests mit qualifizierten und zertifizierten Penetrationstestern.

Regelmäßige Penetrationstests und Sicherheitsscans:

Das Vmaker Backend wird regelmäßig mit Industriestandard-Scanning-Tools für Monitoring und Erkennung von Schwachstellen gescannt. Zusätzlich führen wir einmal jährlich einen gründlichen und detaillierten Penetrationstest mit Hilfe externer Penetrationstest-Unternehmen durch.

Sicherheitstraining für das Vmaker-Team:

Alle Mitglieder unseres Teams durchlaufen ein Sicherheitsbewusstseinstraining für erhöhtes Sicherheitsbewusstsein auf regelmäßiger Basis.

Datenverschlüsselung:

Daten in Transit und in Ruhe sind verschlüsselt. Wir verwenden AWS KMS (Key Management Service) für alle unsere Schlüssel. Die Datenverbindung zu unserer Anwendung ist verschlüsselt und verifiziert mit einem starken Protokoll (TLS 1.2), einem starken Schlüsselaustausch (ECDHE_RSA mit P-256) und einem starken Cipher (AES_128_GCM). Wir verwenden das von GoDaddy unterzeichnete SSL-Zertifikat. Alle symmetrischen Schlüsselverschlüsselungs- Befehle, die innerhalb der HSA verwendet werden, verwenden die Advanced Encryption Standards (AES) im Galois Counter Mode (GCM) mit 256-Bit-Schlüsseln. Die analogen Aufrufe zum Entschlüsseln verwenden die inverse Funktion. Das Amazon EC2 EBS-Volume ist mit AES-256-XTS verschlüsselt. Dies erfordert zwei 256-Bit-Volume-Schlüssel, was vergleichbar ist mit einem 512-Bit-Volume-Schlüssel. Der Volume-Schlüssel ist unter einem Customer Master Key verschlüsselt und zusammen mit Volume-Metadaten gespeichert.

Training / Bewusstsein:

Vmaker hat ein formales und dokumentiertes Sicherheitsbewusstseinstraining-Programm während des Onboarding- Prozesses und andere Trainings, die einmal alle sechs Monate stattfinden.

Incident Response und Berichtssystem:

Vmaker hat einen dokumentierten und formalen Incident Response Plan. Vmaker führt jährliche Tests seiner Notfallreaktionsprozesse durch. Unsere Mitarbeiter sind darin geschult, wie sie Vorfälle intern kommunizieren und unsere Kunden werden über Vorfälle informiert, die ihren Service beeinflussen, via E-Mail. Vmaker hat einen gut definierten und rigorosen Incident Management Prozess für Sicherheitsereignisse. Wenn ein Vorfall Kundendaten umfasst, wird Vmaker den Kunden informieren und unterstützende Untersuchungsbemühungen über unser Support-Team innerhalb von 72 Stunden unterstützen. Nach der Lösung eines Sicherheitsereignisses führen wir eine detaillierte Root-Cause-Analyse durch. Dies wird dann von Vmaker assimiliert, damit wir eventuelle Aktionen in der Zukunft erkennen können. Vmaker kann korrekt formulierte Anfragen für spezifische Tenant-Daten unterstützen, wenn von Strafverfolgungsbehörden angefordert. Einzelne Kunden werden benachrichtigt, wenn ein Vorfall ihre Daten beeinflusst.

Build-Prozess-Automatisierung:

Vmaker hat einen etablierten Automatisierungsprozess, der es uns ermöglicht, nahtlos Änderungen an der Vmaker-Anwendung und -Plattform zu implementieren. Dies ermöglicht es uns, Sicherheitsprobleme so schnell wie möglich zu beheben.

Vmaker-Infrastruktur:

Vmaker operiert auf Amazon Web Services ("AWS"); Alle unsere Scope-Daten und -Systeme werden auf AWS gehostet. Daher werden AWS-Infrastruktur und seine Netzwerksicherheit von AWS bereitgestellt, wie detailliert im AWS SOC2-Bericht beschrieben. Zusätzlich überwacht und bewertet Vmakers Cloud-Sicherheitsteam periodisch die Netzwerkkonfiguration und Sicherheit der Scope-Umgebung.

Vmaker-Services und -Daten werden auf Amazon Web Services (AWS) (us-west-2 und us-east-1) gehostet. Vmaker-Kundendaten werden in Multi-Tenant-Datenspeichern gespeichert. Wir üben strenge Datenschutz- Kontrollen aus, um sicherzustellen, dass bestimmte Daten von anderen Kundendaten isoliert sind. Vmaker führt Integrationstests durch, um unsere Datenschutzkontrollen zu überprüfen. Diese Tests werden jedes Mal ausgeführt, wenn unsere Codebase aktualisiert wird, und selbst ein einziger fehlgeschlagener Test wird verhindern, dass neuer Code an die Produktion gesendet wird. Jedes Vmaker-System, das zur Verarbeitung von Kundendaten verwendet wird, ist angemessen konfiguriert und mit kommerziell angemessenen Methoden gemäß anerkannten System-Hardening-Standards und Sicherheitspraktiken gepatcht.

Datenübertragung:

Vmaker-Daten sind in Transit mit 256-Bit-Verschlüsselung verschlüsselt. Unsere API- und Anwendungs-Endpunkte sind nur TLS/SSL und erzielen eine "A+"-Bewertung bei SSL Labs-Tests. Vmaker verwendet starke Cipher Suites und hat Funktionen wie HSTS und Perfect Forward Secrecy vollständig aktiviert. Vmaker verschlüsselt auch Daten in Ruhe mit einem Industriestandard AES-256-Verschlüsselungsalgorithmus.

Authentifizierung:

Vmaker glaubt an das Zero Trust Netzwerksicherheitsmodell, basierend auf einem strengen Identitätsverifikations- Prozess. Das Framework diktiert, dass nur verifizierte und autorisierte Benutzer und Geräte Zugang zu Anwendungen und Daten erhalten können. Gleichzeitig schützt es diese Anwendungen und Benutzer vor fortschrittlichen Bedrohungen im Internet. Vmaker hat ein Zero Trust Sicherheitsmodell implementiert. Vmaker bietet keine zusätzlichen Privilegien oder Unternehmensressourcen vom Sein im Vmaker-Netzwerk. Vmaker hat Zwei-Faktor-Authentifizierung (2FA) und starke Passwort-Richtlinien auf GitHub, Google, AWS und Intercom eingerichtet, um sicherzustellen, dass der Zugang zu Cloud-Services geschützt ist.

Berechtigungen und Admin-Kontrollen:

Vmaker ermöglicht Berechtigungsebenen, die für jeden Mitarbeiter mit Zugang zu Vmaker Scope-Systemen eingestellt werden können. Berechtigungen und Zugang können eingestellt werden, um App-Einstellungen, Abrechnung und Benutzerdaten zu umfassen.

Überwachte Anwendung:

Vmaker stellt sicher, dass jede Aktion im Vmaker-Netzwerk protokolliert und auditiert wird. Produktions- Kontrollaktivitäten werden ebenfalls protokolliert.