Sicherheitsrichtlinie

Umfang

Diese Sicherheitsrichtlinie gilt für alle Credenti Systeme, einschließlich SaaS- und lokalen Bereitstellungen, mobilen Apps, APIs und der unterstützenden Infrastruktur. Sie regelt die Handlungen von Mitarbeitern, Auftragnehmern und Drittpartnern, die an der Bereitstellung, Wartung oder Unterstützung von Identitäts- und Zugriffsverwaltungsdiensten beteiligt sind.

Verantwortung für die Richtlinie

Diese Richtlinie wird mindestens einmal jährlich oder bei wesentlichen Änderungen der Architektur oder der gesetzlichen Bestimmungen überprüft und aktualisiert. Der Chief Information Security Officer (CISO) ist für die Umsetzung, Überwachung und Pflege dieser Richtlinie verantwortlich.

Credenti passwortlose, phishing-resistente Identitätslösungen, die auf branchenführenden Sicherheitspraktiken basieren. Unser Sicherheitsprogramm basiert auf physischen, technischen und administrativen Kontrollen zum Schutz der Benutzeridentitäten, der Plattformintegrität und der Kundendaten.

Technische Sicherheitsmaßnahmen

Verschlüsselung und Datenschutz

  • AES-256-Verschlüsselung für gespeicherte Daten über AWS KMS
  • TLS 1.2/1.3 mit Zertifikat-Pinning für Daten während der Übertragung
  • Schlüsselisolierung pro Mandant mithilfe von HSM-gestütztem KMS
  • Automatisierte Schlüsselrotation und Lebenszyklusmanagement

Geheimnisverwaltung

  • Keine fest codierten Geheimnisse im Code oder in der Konfiguration
  • Geheimnisse, die mithilfe von Kubernetes-Controllern und AWS KMS verwaltet werden
  • Geheime Lebenszyklussteuerungen für Erstellung, Rotation und Widerruf
  • Audit-Trails und Anomalieerkennung über AWS CloudTrail

Plattform- und Anwendungssicherheit

  • Gehostet auf AWS mit WAF, Shield und Firewall Manager
  • Ratenbegrenzung und DDoS-Abwehr auf mehreren Ebenen
  • Logische Datentrennung auf Mieterebene
  • Produktionsdaten und Verschlüsselungsschlüssel sind für interne Teams nicht zugänglich.

Sichere Entwicklung & DevOps

  • CI/CD-Pipelines mit SCA-Scans für Abhängigkeiten
  • Statische Anwendungssicherheitstests (SAST), die in Build-Pipelines integriert sind, um Schwachstellen auf Codeebene frühzeitig zu erkennen
  • Dynamic Application Security Testing (DAST) bei laufenden Anwendungen und APIs
  • Infrastruktur als Code mit Sicherheitsscans (z. B. Amazon Inspector)
  • Verstärkter Administratorzugriff über Jump-Boxen und IP-Whitelisting
  • Interne und externe Penetrationstests

Verfahren für sichere Entwicklung und Sicherheitstests

  • Ein formeller Lebenszyklus für die sichere Softwareentwicklung (SSDLC), der sich an den Best Practices der OWASP und den Richtlinien zur Risikominderung der OWASP Top 10 orientiert, wobei die Kontrollmaßnahmen kontinuierlich anhand der aktuellen Kategorien der OWASP Top 10 überprüft werden
  • Risikomodellierung während der Entwurfsphasen zur Erkennung und Minderung architektonischer Risiken
  • Regelmäßige Red-Team-Übungen zur Simulation realistischer Angriffsszenarien und zur Überprüfung der Abwehrmaßnahmen
  • Kontinuierliche Sicherheitstests, die in die Entwicklungs-, Staging- und Produktionsumgebungen integriert sind
  • Sicherheitsorientierte Code-Reviews durch Kollegen für Komponenten und Funktionen mit hohem Risiko

Überwachung und Beobachtbarkeit

  • Kontinuierliche Überwachung des Systemzustands und der Systemleistung
  • Echtzeit-Warnmeldungen bei Anomalien und Fehlern
  • Umfassende Prüfpfade für Anmeldungen und Administratoraktionen
  • SIEM-kompatible Protokollierung für die Unternehmensintegration

Schwachstellenmanagement

  • Kontinuierliches Scannen mit Amazon Inspector und integrierter CI/CD-Analyse
  • Rechtzeitige Behebung auf der Grundlage von CVSS-Werten und der Ausnutzbarkeit
  • Abhängigkeiten von Drittanbietern und Open Source werden nachverfolgt und überprüft
  • Monatliche interne und jährliche Penetrationstests durch Dritte

Sicherheitskontrollen vor Ort

  • Alle Kundendaten verbleiben innerhalb des Kundennetzwerks, wodurch die Datenhoheit gewährleistet ist.
  • Kunden behalten das vollständige Eigentumsrecht an Daten und Prüfprotokollen.
  • Option zur Konfiguration separater Kubernetes-Cluster (K8s) für Unterorganisationen oder Geschäftsbereiche
  • Bewährte Verfahren für den sicheren Zugriff auf Kubernetes:
    • Authentifizierung über vom Unternehmen verwaltete Geräte
    • Integration mit Identitätsanbietern (z. B. Entra, Okta) für SSO
    • MFA mithilfe von Hardware-Tokens (z. B. YubiKey) erzwingen
    • Zugriff über PAM-Lösungen verwalten
    • Erforderlich sind gehärtete Jump-Server oder Bastion-Hosts.
    • SSH-Anmeldedaten regelmäßig ändern und alle Zugriffsversuche protokollieren

Administrative Sicherheitsmaßnahmen

Compliance und Governance

  • SOC 2 Typ II, SOC 1 Typ II
  • GDPR, PCI , CFR Teil 11
  • ISO 27001 zertifiziert
  • Entwickelt für die Einhaltung von HIPAA, GDPR und NIST SP 800-63
  • Regionale Hosting-Optionen für die Datenresidenz

Richtlinien und Zugriffskontrolle

  • Rollenbasierte Zugriffskontrollen (RBAC)
  • Sicherer Softwareentwicklungslebenszyklus (SSDLC)
  • Änderungsmanagement und vierteljährliche Zugangsüberprüfungen

Sicherheitsbewusstsein und -schulung

  • Erforderliche Schulung für alle Mitarbeiter
  • Rollenbasierte Zugriffskontrolle
  • Regelmäßige Phishing-Simulationen

Vorfallreaktion

  • Sicherheitsmaßnahmen rund um die Uhr
  • Dokumentierter und getesteter Notfallplan (IRP)
  • SLAs für Erkennung, Reaktion und Kommunikation

Servicekontinuität und Notfallwiederherstellung

  • Multi-Region, Multi-AZ AWS-Infrastruktur
  • DR-Plan mit definierten RTO/RPO
  • Verschlüsselte Backups und Failover-Tests
  • DR validiert durch SOC 2- und ISO-Audits

Audits und Korrekturmaßnahmen

  • Audit-Protokolle für Authentifizierungs- und Administratorereignisse
  • Vollständige Rückverfolgbarkeit von Systemänderungen
  • Interne Audits mit Korrekturmaßnahmen
  • SIEM-Integration und Audit-Unterstützung

Risikomanagement für Lieferanten

  • Sicherheitsüberprüfung und Compliance für alle Lieferanten
  • Datenschutzvereinbarungen (DPAs)
  • Vierteljährliche Überprüfungen des Lieferantenzugangs
  • AWS-Konformität mit FedRAMP, ISO 27001, SOC 2

Physische Sicherheitsmaßnahmen

Sicherheit von Rechenzentren und Infrastruktur

  • Gehostet in der AWS-Cloud
  • 24/7-Überwachung, biometrischer Zugang und Umgebungskontrolle
  • Konformität: SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Geregelt durch das AWS-Modell der geteilten Verantwortung

Endpunkt- und Geräteschutz

  • Festplattenverschlüsselung auf allen Firmen-Laptops
  • MFA für interne Systeme
  • Mobile Device Management (MDM) und Zustandsprüfungen

Büro- und Anlagensteuerung

  • Zugang zu Einrichtungen mit Ausweis
  • Segmentiertes WLAN für Unternehmen und Gäste
  • Sichere Entsorgung von Hardware/Medien

Transparenz & Kontakt

Credenti Kunden Echtzeit-Einblick in Plattformereignisse, Administratoraktionen und Zugriffsprotokolle.

Um Unterlagen anzufordern oder ein Anliegen zu melden:

📧credenti