Sicherheit und Compliance bei Centric Software
Ihre Daten sind bei uns sicher.
Wir schreiben Datensicherheit groß – Security by Design.
Weltweit führende Unternehmen vertrauen uns.
Da wir unsere Wurzeln im Silicon Valley haben, wissen wir, wie wichtig es für Unternehmen ist, ihren Softwarepartnern zu vertrauen. Das bedeutet, dass der Schutz Ihrer Daten und die Erfüllung Ihrer Compliance-Anforderungen für uns oberste Priorität haben. Aus diesem Grund werden unsere Web-Anwendungen nach der Methode „Security by Design“ entwickelt. Anders ausgedrückt: Wir schreiben Datensicherheit groß.
Mit einem Team von Sicherheitsexperten, einer leistungsstarken und sicheren Hosting-Umgebung und der Einhaltung der Norm ISO 27001 gewährleisten wir, dass unsere Lösungen stabil, zuverlässig und konform sind. Dafür stehen wir mit unserem guten Ruf.
Führend in Sachen Sicherheit
Von der Verwaltung externer Lieferanten, z. B. Hosting-Partner, bis hin zur Einhaltung bewährter Best Practices für die Entwicklung bis hin zum Einsatz von Teams, die sich auf die Sicherheit konzentrieren, ist unser Ansatz darauf ausgerichtet, Sicherheitsrichtlinien einzuhalten und international anerkannte Standards zu übertreffen.
Physische Sicherheit
Die Informationssysteme und die technische Infrastruktur von Centric Software werden in erstklassigen, branchenzertifizierten Rechenzentren gehostet. Zu den physischen Sicherheitskontrollen dieser Rechenzentren gehören die Überwachung rund um die Uhr, Kameras, Besucherprotokolle, Zugangsbeschränkungen und alle anderen gängigen Hochsicherheitsmaßnahmen für Rechenzentren.
Weitere Informationen über unsere Cloud-Service-Anbieter finden Sie hier:
Amazon Web Services | Microsoft Azure| Google Cloud Platform| Centric Data Center
Datensicherheit und Compliance
Centric Software hat Governance-, Risikomanagement- und Compliance-Verfahren implementiert, die mit den weltweit anerkannten Informationssicherheits-Frameworks übereinstimmen.
SOC2 Type 2
Centric Software wurde anhand der in Absatz 1.26 des Leitfadens „Reporting on Controls at a Service Organization“ des American Institute of Certified Public Accountants (AICPA) dargelegten Kriterien bewertet, die sich auf die Eignung des Designs und operative Wirksamkeit für die Grundsätze der Sicherheit, Verfügbarkeit und Vertraulichkeit beziehen.
SOC3 Type 2
Centric Software è stata valutata in base ai criteri di cui al paragrafo 1.26 del Rapporto sui Controlli presso un'Organizzazione di Servizi dell'AICPA (Istituto Americano dei Dottori Commercialisti e Revisori Contabili) relativi all'idoneità della progettazione e l'efficacia operativa per i principi di sicurezza, disponibilità e riservatezza.
EU-DSGVO
Mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) wurden Regeln für Unternehmen eingeführt, die Waren und Services in der Europäischen Union (EU) anbieten und die personenbezogene Daten von EU-Bürgern erfassen und verarbeiten, und zwar unabhängig davon, wo sich dieses Unternehmen befindet. Centric Software verpflichtet sich, personenbezogene Daten zu schützen. Die folgenden Ressourcen enthalten wichtige Informationen darüber, wie wir mit personenbezogenen Daten umgehen.
ISO/IEC 27001:2022
Centric Software's certification for ISO/IEC 27001:2022, ISO 27017:2015, and ISO 27018:2019 was issued by A-LIGN, an independent and accredited certification body, on successful completion of a formal audit process.
ISO/IEC 27017:2015
ISO/IEC 27017:2015 provides guidance on the information security aspects of cloud computing, recommending the implementation of cloud-specific information security controls that supplement the guidance of the ISO/IEC 27002 and ISO/IEC 27001 standards.
ISO/IEC 27018:2019
ISO/IEC 27018:2019 is a code of practice that focuses on protection of personal data in the cloud. It is based on ISO/IEC information security standard 27002 and provides implementation guidance on ISO/IEC 27002 controls applicable to public cloud Personally Identifiable Information (PII).
Protecting data at every stage.
Trust is built on openness. So being accountable and clear about the processes we have in place to protect the security, integrity and compliance of our systems and your data is fundamentally important to us. In this section, you can find out more about the various policies we follow and the security measures we take to secure our platform and your data.
Sicherheitsrichtlinien
Centric Software unterhält, überprüft und aktualisiert seine Informationssicherheitsrichtlinien regelmäßig, mindestens jedoch einmal jährlich. Alle Mitarbeiter müssen die Richtlinien anerkennen und sich regelmäßig in Bezug auf ihre Tätigkeit schulen lassen. Die Schulungen sind so konzipiert, dass alle für Centric Software geltenden Spezifikationen und Vorschriften eingehalten werden.
Asset-Management
Centric Software hat Richtlinien für das Asset-Management, die die Identifizierung, Klassifizierung, Aufbewahrung und Entsorgung von Informationen und Assets umfassen. Die vom Unternehmen ausgegebenen Geräte sind mit einer vollständigen Festplattenverschlüsselung, aktueller Antivirensoftware und Systemen zur Verhinderung und Erkennung von Eindringlingen an Endpunkten ausgestattet. Nur vom Unternehmen ausgegebene Geräte dürfen auf Unternehmens- und Produktionsnetzwerke zugreifen.
Umgang mit Sicherheitsvorfällen
Centric Software verfügt über einen Prozess zum Umgang mit Sicherheitsvorfällen, der die erste Reaktion, die Untersuchung, die Benachrichtigung von Kunden und/oder Einzelpersonen (je nach Bedarf), die öffentliche Bekanntmachung und die Behebung des Problems umfasst. Dieser Prozess wird regelmäßig überprüft und halbjährlich getestet.
Benachrichtigung bei Sicherheitsverstößen
Trotz aller Bemühungen ist keine Methode der Übertragung über das Internet und der elektronischen Speicherung vollkommen sicher. Wir können keine absolute Sicherheit garantieren. Wenn Centric Software jedoch von einem tatsächlichen Sicherheitsverstoß Kenntnis erlangt, benachrichtigen wir die betroffenen Benutzer gemäß den gesetzlichen Bestimmungen oder anderweitig, damit sie geeignete Schutzmaßnahmen ergreifen können. Unsere Verfahren zur Meldung von Datenschutzverletzungen stehen im Einklang mit unseren Verpflichtungen gemäß den geltenden Gesetzen und Vorschriften auf Landes-, Bundes- und Bundeslandebene.
Betriebskontinuitätsmanagement
Alle Backups werden verschlüsselt und in einer sekundären Umgebung gespeichert, um ihre Vertraulichkeit und Integrität zu wahren. Centric Software wendet eine Backup-Strategie an, um minimale Ausfallzeiten und Datenverluste zu gewährleisten und die Ziele für die Recovery Time Objective (RTO) und die Recovery Point Objective (RPO) zu erreichen. Der Business Continuity Plan (BCP) zur Betriebskontinuität wird regelmäßig getestet und aktualisiert, um seine Wirksamkeit im Notfall zu gewährleisten.
Protokollierung und Überwachung
Anwendungs- und Infrastruktursysteme protokollieren Informationen in einem zentral verwalteten Protokollspeicher zur Fehlerbehebung, Sicherheitsüberprüfung und Analyse durch autorisiertes Personal von Centric Software. Protokolle werden in Übereinstimmung mit den gesetzlichen Vorschriften gespeichert.
Kriterien für die sichere Einführung von Anwendungen
Centric Software hat Kriterien für die sichere Einführung aller Softwareversionen eingeführt, die Folgendes umfassen:
Abhängigkeitsüberprüfungen für alle Code-Bibliotheken öffentlich bekannter Sicherheitslücken und nicht unterstützter Versionen.
Statische Anwendungssicherheitstests (SAST), bei denen die Tester Zugang zum zugrunde liegenden Framework, zum Design und zur Implementierung haben. Die Anwendung wird von innen nach außen getestet.
Dynamische Anwendungssicherheitstests (DAST), bei denen die Tester keine Kenntnisse über die Technologien oder Frameworks haben, auf denen die Anwendung aufbaut. Die Anwendung wird von außen nach innen getestet.
Peer-Reviews des Codes, die von erfahrenen Mitgliedern des Entwicklungsteams durchgeführt werden, um sicherzustellen, dass interne Standards eingehalten werden.
Externe Penetrationstests, die sicherstellen, dass in der Anwendung oder auf der Plattform, auf der Software gehostet wird, keine kritischen, schwerwiegenden oder mittelschweren Schwachstellen vorhanden sind.
Überprüfung der Einhaltung von Vorschriften (Compliance-Prüfungen), um die geltenden Standards/Normen zu erfüllen und die Einhaltung von Datenschutz- und Datensicherheitsgesetzen zu gewährleisten.
Häufig gestellte Fragen
Wenn Sie weitere Fragen zu Sicherheit und Compliance haben, verwenden Sie bitte die Formulare auf unserer Kontakt seite, um mit uns in Kontakt zu treten. Bei rechtlichen Fragen wenden Sie sich bitte an legal@centricsoftware.com
Bestandskunden von Centric Software werden gebeten, das Support-Portal zu nutzen, um Probleme mit Produkten oder Services zu melden. Sicherheitsexperten, die mutmaßliche Schwachstellen vertraulich melden möchten, können uns direkt über die E-Mail-Adresse des Sicherheitsteams von Centric Software kontaktieren: security@centricsoftware.com. Um Ihre Meldung aufzuwerten und unsere Teams bei der Bewertung der vermuteten Schwachstellen zu unterstützen, sollte jeder Bericht idealerweise eine ausführliche Beschreibung, das wahrgenommene Risiko, den möglichen Umfang, das Niveau, PoC und weitere wichtige Angaben enthalten.