Acquia nimmt die Sicherheit unserer Produkte sehr ernst. Wir bilden unsere Mitarbeiter über bewährte Sicherheitspraktiken aus und unser Entwicklungsprozess beinhaltet Qualitätssicherung wie Peer Review, um sicherzustellen, dass unsere Produkte qualitativ hochwertig und sicher sind. Wie bei allen komplexen Softwareprodukten ist es jedoch möglich, dass eine Sicherheitslücke in einem unserer Produkte vorhanden ist. Wenn Sie ein Sicherheitsproblem in einem Acquia-Produkt oder einem Hosting-Service entdecken, bitten wir Sie, uns dies vertraulich zu melden, um die Sicherheit unserer Dienste zu schützen. Bitte senden Sie die Details an unser Sicherheitsteam unter Security . Das Sicherheitsteam von Acquia wird reagieren, um den Eingang Ihrer Nachricht zu bestätigen, die Abschwächung des Problems angemessen zu überprüfen und zu planen sowie eine Zeitleiste für eine neue Version oder einen Patch festzulegen. Wir verfolgen eine verantwortungsvolle Offenlegung und werden den Forschern zugute halten, wenn eine Sicherheitsfrage identifiziert und unter Einhaltung folgender Besonderheiten abgemildert wurde.
Sie dürfen automatisierte Werkzeuge in Ihrer Recherche nicht ohne unsere ausdrückliche Zustimmung verwenden. Der Einsatz automatisierter Werkzeuge kann zu Ermittlungsmaßnahmen führen oder Ihre IP (n) blockiert werden.
Sie bemühen sich nach gutem Glauben, Verstöße gegen die Privatsphäre, die Zerstörung von Daten und die Unterbrechung oder Verschlechterung unseres Dienstes während ihrer Recherche zu vermeiden.
Sie geben uns angemessene Zeit, um auf Ihren Bericht zu Antworten und Sanierungen durchzuführen.
Wir schreiben dem ersten Forscher zu, dass er ein Thema meldet. Darüber hinaus behalten wir uns das Recht vor, nur Forscher anzuerkennen, die Probleme in Acquia-Produkten oder Hosting-Diensten entdecken, wenn wir das Problem als hoch oder kritisch bestimmen, oder wenn es fortgesetzte Recherchen oder Beiträge des Reporters gegeben hat.
Wir werden Ihnen Ihren Namen und einen "No-follow"-Link an die Adresse Ihrer Wahl (z. Twitter oder persönliche Website).
Wir sind nicht an Berichten über folgende Themen interessiert:
CSRF in Formularen zur anonymen Nutzung von Nutzern (z.b. Kontaktformular)
Angezeigte Server-Software "Banner" oder Versionsinformationen
Probleme, die in der Öffentlichkeit behandelt werden, Schlangen von unseren OSS-Projekten im Einsatz
Click-Jacking auf Acquia.com-Domains, die keine authentifizierten Benutzerkonten beinhalten
Wir werden keine Klage oder die Untersuchung der Strafverfolgungsbehörden an Sie bringen, wenn Sie diese Parameter befolgen.
Bitte geben Sie so viele relevante Details wie möglich an. Insbesondere:
Welche Versionen von Software beteiligt sind
Welche Schritte kann jemand verfolgen, um von einer ersten Installation dieser Software zu einem Punkt zu gehen, an dem Sie die Verwundbarkeit sehen
Alle Patches oder Schritte, um das Problem zu mildern
Acquia setzt auf Open-Source-Software wie Drupal, Lack, memcache, nginx, Apache, MySQL und viele andere. Wenn Sie eine Verwundbarkeit in einem unserer Produkte identifizieren, die sich tatsächlich in der zugrundeliegenden Software befindet, dann können Sie uns das Problem melden, aber es könnte es auch dem Sicherheitsteam für dieses Projekt melden. Für Drupal siehe wie meldet man ein Sicherheitsproblem in Drupal . Wenn Sie ein Problem an Acquia melden und das Problem bei einem anderen Produkt liegt, werden wir uns auch mit Ihrem Team in Verbindung setzen und koordinieren, bevor wir eine Veröffentlichung vornehmen.
Generell können wir keine Sicherheitsunterstützung für nicht-Acquia-Kunden bieten. Wenn Ihre Website angegriffen wurde oder Sie eine Sicherheitsfrage in Custom Code auf Ihrer Website haben, ist der beste Ort, um Hilfe zu erhalten, über ein Acquia Support-Abonnement. Wenn Ihre Website angegriffen wurde und auf Drupal Gardens oder Acquia Cloud gehostet wird, dann nutzen Sie bitte den obigen Berichtsprozess, unabhängig davon, ob Sie ein Support-Abonnement haben oder nicht. Wenn Sie ein Problem mit Spam haben, der auf Ihrer Website gepostet wird, dann muss dies nicht privat abgewickelt werden. Für Spam-Probleme lesen Sie bitte Artikel über Spam von die Acquia Library (erfordert ein Netzwerk-Abonnement, um vollständige Artikel zu lesen).
Im Rahmen des Engagements von Acquia für ein sicheres Umfeld für unsere Kunden bieten wir Sicherheit durch Design . Das bedeutet, dass die Acquia-Plattform mit einer Reihe von starken Zugriffs-und Authentifizierungs Steuerungen sowie verschiedenen Firewall-Steuerungen konstruiert ist, die Best-in-Class-Defensive Sicherheitsfunktionen bieten. Diese Steuerungstechnologien ermöglichen es, unsere Plattform durch Design sicher zu gestalten.
Jede dieser Sicherheitskontrollen ist in unsere Plattform eingebaut, um sicherzustellen, dass Ihre Websites vom 1. Tag an widerstandsfähig und sicher sind. Mit diesen Sicherheitskontrollen auf Platt Form Ebene sind wir in der Lage, Risiken für die Sicherheit Ihrer Website zu minimieren. Im folgenden finden Sie die Vorteile, die diese Funktionen für Ihre Organisation bieten.
Starke Authentifizierungsmethoden sind entscheidend für eine Cloud-Sicherheits-Implementierung. Bei Acquia nutzen wir die Multi-Factor-Authentifizierung, um die Sicherheit der Cloud-Plattform Acquia zu gewährleisten.
Ein grundlegendes Wertversprechen der Acquia Cloud-Plattform ist die rechtzeitige Identifizierung, Triage und Auflösung von Sicherheitslücken.
Das Sicherheits Paradigma hat sich von der Prävention allein auf den Fokus auf die Erkennung und Reaktion von Sicherheits Veranstaltungen verlagert.
Die Reaktion auf Sicherheitsvorfälle ist ein entscheidender Teil unserer Sicherheitsfunktion. In der aktuellen technischen Bedrohungslandschaft werden Sicherheitsvorfälle passieren, egal welche Schutzmaßnahmen Sie ergreifen.
Acquia unterhält eine umfassende Backup-Lösung für Website-Code, statische Dateien und Datenbanken. Integrierte Sicherungseinrichtungen nutzen Amazons Elastic Block Store (EBS) und Simple Storage Service (S3).
Acquia verfügt über ein umfassendes Compliance-Portfolio, das die Sicherheit unserer Plattform bestätigt. Dieses Compliance-Portfolio umfasst eine Vielzahl von branchenweiten Audits und Zertifizierungen, die von unabhängigen Drittanbietern durchgeführt werden. Diese Audits ermöglichen es, die Sicherheitskontrollen von Acquia unabhängig von ihrer Konstruktion und Betriebs Wirksamkeit zu bewerten. Die internen Kontrollen, die Acquia zur Risikominderung durchlaufen hat, sind ein Beleg für unser Bekenntnis zu einem hohen Sicherheitsniveau.
Statement zu Standards for Bescheinigung Engagement (SSAE) Nr. 16 ist ein Bescheinigung-Standard, der verwendet wird, um das Design und die Betriebs Wirksamkeit der Informationstechnologie-Kontrollen von Acquia zu bewerten, die sich auf die internen Kontrollen unserer Kunden über finanzielle Reporting.
SSAE 16 ist ein amerikanischer Prüfungsstandard, der vom American Institute of Certified Public Accountants (aipca) herausgegeben wird. Um den Anforderungen der internationalen Rechnungslegungsstandards gerecht zu werden, erhält Acquia einen "SSAE 16/ISAE 3402 Combo Report". Der Bericht ISAE 3402 bietet eine Abdeckung, um die Anforderungen der Finanzberichterstattung internationaler Organisationen zu unterstützen.
Der SOC-2-Bericht von Acquia enthält eine Bewertung der Grundsätze der Sicherheit, Verfügbarkeit und Vertraulichkeit der gemeinsamen Kriterien.
Für Kunden, die Karteninhaber-Daten verarbeiten, speichern oder übertragen, bietet Acquia eine PCI-DSS-konforme Hosting-Plattform, um den Schutz der Karteninhaber-Daten Ihres Kunden gemäß der PCI-DSS-Version 3,2 zu gewährleisten.
Die Cloud-Plattform Acquia erfüllt die Anforderungen der HIPAA-Sicherheitsregel und Hitech für elektronisch geschützte Gesundheitsinformationen (ePHI).
Das familienerziehungs Recht und Datenschutzgesetz (FERPA) (20 U.S.C. § 1232g; 34 CFR Part 99) ist ein Bundesgesetz, das die Privatsphäre von Studenten Bildungsunterlagen schützt.
Acquia ist ISO 27001 zertifiziert. Hier können Sie unser Zertifizierungszeichen sehen. ISO/IEC 27001:2013 (ISO 27001) ist ein global anerkannter Sicherheitsstandard, der durch die Implementierung eines Informationssicherheitsmanagement-Systems (ISMS) unterstützt wird.
Die-Cloud-Plattform Acquia ist fedramp-konform, und Details zu Autorisier enden Agenturen können im fedramp Marketplace eingesehen werden.
Für Kunden auf der Acquia-Plattform bieten wir zusätzliche Sicherheitsschichten zusätzlich zu unserem eingebauten Schutz. Die Acquia Cloud Edge-Produktfamilie umfasst Acquia Cloud Edge Protect und Acquia Cloud Edge CDN. Wir bieten auch Acquia Cloud Shield an, einen isolierten Abschnitt der Acquia Cloud.
Acquia Cloud Edge Protect mildert die Auswirkungen von DDoS und Anwendungs-Level-Angriffen auf unsere Kunden von Acquia Cloud Enterprise (ACE) und Acquia Cloud Site Factory (ACSF).
Acquia Cloud Edge CDN bietet ein globales Content-Delivery-Netzwerk (CDN), das die Lieferung Ihrer Website an Besucher beschleunigt, wo immer Sie sich auch befinden.
Acquia Cloud Shield ist eine dedizierte, logisch isolierte Umgebung innerhalb der Acquia-Cloud, die eine anpassbare Netzwerkkonfiguration hat.
Daten sind das Lebenselixier Ihrer Organisation, und bei Acquia erkennen wir die Bedeutung der richtigen Klassifizierung von Informationen und Umgang mit Daten. Unsere "Acquia Cloud VPC Family" ist eine Reihe von Virtual Private Cloud (VPC)-Produkten, die einen erhöhten und konformen Schutz für sensible Daten bieten.
Es ist ein Gemüts Geist, eine Kultur, eine Verpflichtung. Die Sicherheits-Bedrohungslandschaft entwickelt sich in diesem digitalen Zeitalter ständig weiter. Die Bewältigung der Herausforderungen dieser Bedrohungen erfordert Expertise, Technologie, finanzielle Ressourcen und Zusammenarbeit. Bei Acquia haben wir die erforderlichen Sicherheitsinvestitionen getätigt, um unseren Kunden eine robuste und sichere Plattform zu bieten - mit den erforderlichen Mitarbeitern, Prozessen und Technologien. Dazu gehört die Sicherung unserer Plattform durch Design, das Angebot ergänzender Sicherheitsprodukte und-Dienstleistungen sowie ein Portfolio unabhängiger Drittanbieter-Compliance-Audits, um die Robustheit unseres Sicherheitsprogramms zu bestätigen.
