Sicherheitsrichtlinie

Version 2.1 – Mai 2025

Revisionsverlauf:

  • Version 2.0 – Oktober 2024 (Erste Veröffentlichung der kombinierten Richtlinie)
  • Version 2.1 – Mai 2025 (Aktualisiert um TLS 1.3-Überlegungen, spezifische Kubernetes-Geheimnisverwaltung, Klarstellung der Häufigkeit interner Penetrationstests und Hinzufügung eines Hinweises zur Datenaufbewahrungsrichtlinie.)

Umfang

Diese Sicherheitsrichtlinie gilt für alle Credenti Systeme, einschließlich SaaS- und lokalen Bereitstellungen, mobilen Apps, APIs und der unterstützenden Infrastruktur. Sie regelt die Handlungen von Mitarbeitern, Auftragnehmern und Drittpartnern, die an der Bereitstellung, Wartung oder Unterstützung von Identitäts- und Zugriffsverwaltungsdiensten beteiligt sind.

Verantwortung für die Richtlinie

Diese Richtlinie wird mindestens einmal jährlich oder bei wesentlichen architektonischen oder regulatorischen Änderungen überprüft und aktualisiert. Der Chief Information Security Officer (CISO) ist für die Umsetzung, Überwachung und Pflege dieser Richtlinie verantwortlich.

Credenti passwortlose, phishing-resistente Identitätslösungen, die auf branchenführenden Sicherheitspraktiken basieren. Unser Sicherheitsprogramm basiert auf physischen, technischen und administrativen Kontrollen zum Schutz der Benutzeridentitäten, der Plattformintegrität und der Kundendaten.

Technische Sicherheitsmaßnahmen

Verschlüsselung und Datenschutz

  • AES-256-Verschlüsselung für gespeicherte Daten über AWS KMS
  • TLS 1.2/1.3 mit Zertifikat-Pinning für Daten während der Übertragung
  • Schlüsselisolierung pro Mandant mithilfe von HSM-gestütztem KMS
  • Automatisierte Schlüsselrotation und Lebenszyklusmanagement

Geheimnisverwaltung

  • Keine fest codierten Geheimnisse im Code oder in der Konfiguration
  • Mit Kubernetes-Controllern (z. B. External Secrets Operator) und AWS KMS verwaltete Geheimnisse
  • Geheime Lebenszyklussteuerungen für Erstellung, Rotation und Widerruf
  • Audit-Trails und Anomalieerkennung über AWS CloudTrail

Plattform- und Anwendungssicherheit

  • Gehostet auf AWS mit WAF, Shield und Firewall Manager
  • Ratenbegrenzung und DDoS-Abwehr auf mehreren Ebenen
  • Logische Datentrennung auf Mieterebene
  • Produktionsdaten und Verschlüsselungsschlüssel sind für interne Teams nicht zugänglich.

Sichere Entwicklung & DevOps

  • CI/CD-Pipelines mit SCA-Scans für Abhängigkeiten
  • Infrastruktur als Code mit Sicherheitsscans (z. B. Amazon Inspector)
  • Verstärkter Administratorzugriff über Jump-Boxen und IP-Whitelisting
  • Interne (vierteljährliche) und externe (jährliche) Penetrationstests

Überwachung und Beobachtbarkeit

  • Kontinuierliche Überwachung des Systemzustands und der Systemleistung
  • Echtzeit-Warnmeldungen bei Anomalien und Fehlern
  • Umfassende Prüfpfade für Anmeldungen und Administratoraktionen
  • SIEM-kompatible Protokollierung für die Unternehmensintegration

Schwachstellenmanagement

  • Kontinuierliches Scannen mit Amazon Inspector und integrierter CI/CD-Analyse
  • Rechtzeitige Behebung auf Grundlage von CVSS-Werten, Ausnutzbarkeit und Auswirkungen auf das Geschäft
  • Abhängigkeiten von Drittanbietern und Open Source werden nachverfolgt und überprüft
  • Monatliche interne und jährliche Penetrationstests durch Dritte

Sicherheitskontrollen vor Ort

  • Alle Kundendaten verbleiben innerhalb des Kundennetzwerks, wodurch die Datenhoheit gewährleistet ist.
  • Kunden behalten das vollständige Eigentumsrecht an Daten und Prüfprotokollen.
  • Option zur Konfiguration separater Kubernetes-Cluster (K8s) für Unterorganisationen oder Geschäftsbereiche
  • Bewährte Verfahren für den sicheren Zugriff auf Kubernetes:
    • Authentifizierung über vom Unternehmen verwaltete Geräte
    • Integration mit Identitätsanbietern (z. B. Entra, Okta) für SSO
    • MFA mithilfe von Hardware-Tokens (z. B. YubiKey) erzwingen
    • Zugriff über PAM-Lösungen verwalten
    • Erforderlich sind gehärtete Jump-Server oder Bastion-Hosts.
    • SSH-Anmeldedaten rotieren (automatisiert über zertifikatsbasierten Zugriff) und alle Zugriffsversuche protokollieren

Administrative Sicherheitsmaßnahmen

Compliance und Governance

  • SOC 2 Typ II, SOC 1 Typ II
  • GDPR, PCI , CFR Teil 11
  • ISO 27001 zertifiziert
  • Entwickelt für die Einhaltung von HIPAA, GDPR und NIST SP 800-63
  • Regionale Hosting-Optionen für die Datenresidenz

Richtlinien und Zugriffskontrolle

  • Rollenbasierte Zugriffskontrollen (RBAC)
  • Sicherer Softwareentwicklungslebenszyklus (SSDLC)
  • Änderungsmanagement und vierteljährliche Zugangsüberprüfungen

Sicherheitsbewusstsein und -schulung

  • Erforderliche Schulung für alle Mitarbeiter
  • Rollenbasierte Zugriffskontrolle
  • Regelmäßige Phishing-Simulationen
  • Hintergrundüberprüfungen für Mitarbeiter in sensiblen Positionen

Vorfallreaktion

  • Sicherheitsmaßnahmen rund um die Uhr
  • Dokumentierter und getesteter Notfallplan (IRP)
  • SLAs für Erkennung, Reaktion und Kommunikation

Servicekontinuität und Notfallwiederherstellung

  • Multi-Region, Multi-AZ AWS-Infrastruktur
  • DR-Plan mit definierten RTO/RPO
  • Verschlüsselte Backups und Failover-Tests
  • DR validiert durch SOC 2- und ISO-Audits

Audits und Korrekturmaßnahmen

  • Audit-Protokolle für Authentifizierungs- und Administratorereignisse
  • Vollständige Rückverfolgbarkeit von Systemänderungen
  • Interne Audits mit Korrekturmaßnahmen
  • SIEM-Integration und Audit-Unterstützung
  • Festgelegte Richtlinien zur Aufbewahrung von Kundendaten und Audit-Protokollen

Risikomanagement für Lieferanten

  • Sicherheitsüberprüfung und Compliance für alle Lieferanten
  • Datenschutzvereinbarungen (DPAs)
  • Vierteljährliche Überprüfungen des Lieferantenzugangs
  • AWS-Konformität mit FedRAMP, ISO 27001, SOC 2

Physische Sicherheitsmaßnahmen

Sicherheit von Rechenzentren und Infrastruktur

  • Gehostet in der AWS-Cloud
  • 24/7-Überwachung, biometrischer Zugang und Umgebungskontrolle
  • Konformität: SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Geregelt durch das AWS-Modell der geteilten Verantwortung

Endpunkt- und Geräteschutz

  • Festplattenverschlüsselung auf allen Firmen-Laptops
  • MFA für interne Systeme
  • Mobile Device Management (MDM) und Zustandsprüfungen

Büro- und Anlagensteuerung

  • Zugang zu Einrichtungen mit Ausweis
  • Segmentiertes WLAN für Unternehmen und Gäste
  • Sichere Entsorgung von Hardware/Medien

Transparenz & Kontakt

Credenti Kunden Echtzeit-Einblick in Plattformereignisse, Administratoraktionen und Zugriffsprotokolle.

Um Unterlagen anzufordern oder ein Anliegen zu melden:

📧credenti