Forrester Report: The State of GDPR Readiness

Sicherheit

Die Acquia Plattform wurde gemäß den neuesten Compliancevorgaben und Standards entwickelt, um Ihr Unternehmen zu schützen.

Sicherheit durch Design

Beim Bau der Acquia Plattform stand von Beginn an das Thema Sicherheit im Vordergrund. Kunden erhalten eine sichere Umgebung mit einer Reihe starker Zugriffs- und Authentifizierungskontrollen sowie verschiedenen Firewall-Kontrollfunktionen für erstklassige defensive Sicherheitsfunktionen. Jede der folgenden Funktionen stellt sicher, dass Ihre Webseite vom ersten Tag an geschützt ist.

Mehrschichtige Firewalls

Mehrere Firewall-Schichten stellen sicher, dass nur vertrauenswürdiger Netzwerkverkehr zu und von Ihrer Acquia Umgebung zugelassen wird.

Multi-Faktor-Authentifizierung

Starke Authentifizierungsmethoden sind für eine sichere Cloud von entscheidender Bedeutung. Acquia bietet Unterstützung für die Authentifizierung mit mehreren Faktoren, um den unbefugten Zugriff auf Ihre Acquia Cloud-Umgebung zu verhindern.

Vulnerability Management

Ein grundlegendes Wertversprechen der Acquia Cloud-Plattform ist die rechtzeitige Erkennung, Triage und Behebung von Sicherheitslücken.

Überwachung von Sicherheitsereignissen

Acquia verwendet eine Plattform für die Speicherung und Überwachung von Sicherheitsereignisprotokollen. Sicherheitswarnungen werden ständig von erfahrenen Fachkräften überwacht und angepasst, um die Integrität der Systeme zu gewährleisten, auf denen Ihre Webseite ausgeführt wird.

Sichere Dateiberechtigungen

Die meisten Angriffe auf Webseiten versuchen, die Kontrolle über den Webdienst zu übernehmen. Die Acquia Plattform verfügt standardmäßig über eingeschränkte Dateiberechtigungen. Dadurch wird verhindert, dass nicht autorisierte Änderungen an Ihrem Site-Code vorgenommen und schädliche Dateien hochgeladen werden.

Notfallwiederherstellung und Sicherung von Webseiten

Acquia unterhält eine umfassende Sicherungslösung für die Notfallwiederherstellung. Mit der Acquia Cloud können Kunden einfach auf Code, Dateien und Datenbanksicherungen ihrer Webseite zugreifen.

Sicherheit durch Standards - Einhaltung von Acquia

Acquia verfügt über ein umfassendes Compliance-Portfolio, das die Sicherheit unserer Plattform bestätigt. Dieses Compliance-Portfolio umfasst eine Vielzahl branchenspezifischer Audits und Zertifizierungen, die von unabhängigen Dritten durchgeführt werden. Diese unabhängigen Bewertungen bewerten das Design und die betriebliche Wirksamkeit der Sicherheitskontrollen von Acquia.

SSAE16 / ISAE 3402: Dienstorganisationssteuerung (SOC 1) Typ II

Das Statement on Standards for Attestation Engagement (SSAE) Nr. 16 ist ein Standard, der zur Bewertung des Designs und der Betriebseffizienz der IT-Steuerelemente von Acquia verwendet wird, die Auswirkungen auf die internen Kontrollen unserer Kunden für die Finanzberichterstattung haben.

SSAE 16 ist ein amerikanischer Prüfungsstandard, der vom American Institute of Certified Public Accountants (AIPCA) herausgegeben wurde. Um die Anforderungen internationaler Rechnungslegungsstandards zu erfüllen, erhält Acquia einen „SSAE 16 / ISAE 3402 Combo-Bericht“. Der ISAE-3402-Bericht bietet Deckung zur Unterstützung der Rechnungslegungsanforderungen internationaler Organisationen.

Service-Organisationskontrolle (SOC 2) Typ II

Der SOC-2-Bericht von Acquia beinhaltet eine Bewertung der Common Criteria-Prinzipien in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit.

Zahlungskartenbranche - Datensicherheitsstandard (PCI-DSS)

Für Kunden, die Karteninhaberdaten verarbeiten, speichern oder übertragen, bietet Acquia eine PCI-DSS-kompatible Hosting-Plattform an, um den Schutz der Karteninhaberdaten Ihres Kunden gemäß PCI-DSS-Version 3.2 zu gewährleisten.

Health Insurance Portability and Accountability Act (HIPAA) – Gesetz zum Schutz von Patientendaten

Die Acquia Cloud-Plattform erfüllt die Anforderungen der HIPAA-Sicherheitsregel und von HITECH für elektronische geschützte Gesundheitsinformationen (ePHI).

Federal Education Records Privacy Act (FERPA) – Datenschutzgesetz

Das Federal Education Records Privacy Act (FERPA) schreibt vor, dass Institutionen die Bildungsakten und persönlichen Daten ihrer Schüler schützen. Die Hochschulkunden von Acquia können sich beruhigt zurücklehnen, denn sie wissen, dass die Sicherheits- und Compliance-Kontrollen von Acquia Cloud FERPA-konforme digitale Erlebnisse bieten. Mehrstufige Cloud-Sicherheitskontrollen, konfigurierbare Benutzerberechtigungen sowie integrierte Sicherungen und Notfallwiederherstellung erleichtern die Einhaltung der FERPA-Konformitätsanforderungen. Darüber hinaus werden alle Acquia Cloud-Services von einem dedizierten Team zur Reaktion auf Vorfälle überwacht. FERPA. Erledigt! 

ISO 27001

Acquia ist nach ISO 27001 zertifiziert. Sie können unser Zertifizierungszeichen hier ansehen. ISO/IEC 27001:2013 (ISO 27001) ist ein weltweit anerkannter Sicherheitsstandard, der durch die Implementierung eines Informationssicherheitsmanagement-Systems (ISMS) unterstützt wird.

FedRAMP

Die Acquia Cloud-Plattform ist FedRAMP-konform. Detaillierte Informationen zu autorisierenden Agenturen finden Sie im FedRAMP Marketplace.

Sicherheit durch Innovation - Acquia Sicherheitsprodukte

Für Kunden der Acquia Plattform bieten wir ergänzend zu unserem integrierten Schutz zusätzliche Sicherheitsschichten. Die Acquia Cloud Edge-Produktfamilie umfasst Acquia Cloud Edge Protect und Acquia Cloud Edge CDN. Acquia Cloud Shield ergänzt das Angebot als isolierter Abschnitt der Acquia Cloud. 

Acquia Cloud Edge Protect

Acquia Cloud Edge Protect mildert die Auswirkungen von DDoS- und Anwendungsebene-Angriffen für unsere Kunden von Acquia Cloud Enterprise (ACE) und Acquia Cloud Site Factory (ACSF).

Acquia Cloud Edge CDN

Acquia Cloud Edge CDN bietet ein globales Content Delivery Network (CDN), das die Bereitstellung Ihrer Webseite für Besucher an jedem Ort beschleunigt.

Acquia Cloud Shield

Acquia Cloud Shield ist eine dedizierte, logisch isolierte Umgebung innerhalb der Acquia Cloud mit einer anpassbaren Netzwerkkonfiguration.

Acquia Cloud VPC-Familie

Daten sind das Herzblut Ihres Unternehmens, und wir bei Acquia wissen um die Wichtigkeit der korrekten Klassifizierung von Informationen und des korrekten Umgangs mit Daten. Unsere "Acquia Cloud VPC-Familie" ist eine Suite von Virtual Private Cloud (VPC-)Produkten, einen erhöhten und konformen Schutz für sensible Daten bieten.

Sicherheitsfunktionen

Es ist eine Einstellung, eine Denkweise, eine Verpflichtung. Das Spektrum an Sicherheitsgefahren entwickelt sich im digitalen Zeitalter beständig weiter. Die Bewältigung der Herausforderungen dieser Bedrohungen erfordert Fachwissen, Technologie, finanzielle Ressourcen und Zusammenarbeit. Bei Acquia haben wir die erforderlichen Sicherheitsinvestitionen getätigt, um unseren Kunden eine robuste und sichere Plattform zu bieten - mit den erforderlichen Mitarbeitern, Prozessen und Technologien. Dies beinhaltet die Absicherung unserer Plattform durch ein entsprechendes Design, das Angebot komplementärer Sicherheitsprodukte und -dienstleistungen sowie ein Portfolio unabhängiger Compliance-Audits von Drittanbietern, um die Robustheit unseres Sicherheitsprogramms zu überprüfen.

 

Sicherheitsfunktionen Acquia
Rollenbasierte Zugriffskontrollen
Sichere Dateiberechtigungen
Schlüsselbasierte SSH-Authentifizierung
Standardmäßig verschlüsselte Dateisysteme
Unterstützung für SAML und Zwei-Faktor-Authentifizierung
Automatisierte Sicherungen und Notfallwiederherstellung
Automatisierte Plattformüberwachung
Support für Anti-Malware-Software
DDOS-Schutz*
Virtual Private Cloud*
HIPAA-kompatible Umgebung*
PCI-DSS-kompatible Umgebung*
*Verfügbar als Add-Ons

 

Sicherheitsproblem melden

Wir von Acquia nehmen die Sicherheit unserer Produkte sehr ernst. Wir schulen unsere Mitarbeiter über bewährte Sicherheitsmethoden und unser Entwicklungsprozess umfasst Qualitätssicherungsschritte, um sicherzustellen, dass unsere Produkte höchsten Qualitäts- und Sicherheitsansprüchen genügen. Wie bei allen komplexen Softwareprodukten ist eine Sicherheitsanfälligkeit in einem unserer Produkte nicht vollständig auszuschließen. Wenn Sie ein Sicherheitsproblem oder eine Sicherheitslücke in einem Acquia-Produkt oder -Dienst feststellen, bitten wir Sie, uns dies vertraulich zu melden.

Bitte senden Sie die Details per E-Mail an unser Sicherheitsteam: [email protected] Wir unterstützen eine verantwortungsbewusste Offenlegung und freuen uns darüber, wenn Sicherheitsforscher uns unter Einhaltung der folgenden Parameter von ihnen erkannte Probleme melden.

Acquia verfügt derzeit über kein offizielles Gratifikationsprogramm für gemeldete Fehler. Wir freuen uns jedoch, uns bei Forschern durch einen Eintrag in unserer Hallo Fame (unten) mit Nennung des Namens und Verlinkung zu einer Adresse ihrer Wahl (z. B. Twitter oder persönliche Webseite) für ihre Mithilfe zu bedanken.

Parameter und Ausschlüsse

  • Jeglicher Zugriff auf Daten von Acquia oder deren Kunden, die diese zerstören oder nachteilig beeinflussen, ist unzulässig.
  • Verwenden Sie keine automatisierten Scanner. (Die Verwendung von automatischen Scannern kann dazu führen, dass Untersuchungsmaßnahmen eingeleitet werden und Ihre IP blockiert wird.)
  • Sie sind in gutem Glauben bemüht, Verletzungen der Privatsphäre sowie Unterbrechungen oder Beeinträchtigungen der Acquia Dienste während Ihrer Recherche zu vermeiden. (z. B. Denial of Service)
  • Führen Sie keine physischen oder elektronischen Angriffe gegen Mitarbeiter, Büros oder Rechenzentren von Acquia durch.
  • Räumen Sie Acquia ausreichend Zeit ein, um Ihren Bericht zu untersuchen und gegebenenfalls erforderliche Korrekturen vorzunehmen.
  • Verstoßen Sie nicht gegen Gesetze oder frühere Vereinbarungen.

Bitte melden Sie nicht die folgenden Probleme:

  • Angezeigte Server-Software-Banner oder andere Versionsinformationen.
  • Beschreibende Fehlermeldungen
  • Fehlende HTTP-Sicherheitsheader (z. B. X-Frame-Optionen)
  • Fehlende oder falsche SPF-Datensätze
  • CSRF in Formularen, die für anonyme Benutzer verfügbar sind
  • Benutzername / E-Mail-Aufzählung
  • Bekanntgabe öffentlicher Dateien (z. B. robots.txt)

Acquia wird keine rechtlichen Schritte gegen Forscher einleiten, solange diese Parameter eingehalten werden. Acquia behält sich das Recht vor, nur Kreditforscher zu entlohnen, die ein nachgewiesenes Problem von ausreichendem Schweregrad gemeldet haben.

Welche Details sollten bei der Meldung eines Sicherheitsproblems angegeben werden?

Bitte geben Sie so viele relevante Details wie möglich an:

  • Wie kann die Sicherheitslücke ausgenutzt werden und welche potenziellen Folgen ergeben sich daraus?
  • Wie haben Sie die Sicherheitslücke entdeckt und wie kann dieser Weg reproduziert werden?
  • Nachweis des Konzept-Angriffs und / oder Bilder, die den Angriffsvektor zeigen.
  • Alle bekannten Patches oder Steuerelemente, um die Sicherheitsanfälligkeit zu verringern.

Acquia bedankt sich bei den folgenden Personen, die uns verantwortungsbewusst Schwachstellen offengelegt haben

Hall of Fame der Sicherheitsforscher

Ein besonderer Dank gilt den folgenden Personen, die in der Vergangenheit verantwortungsbewusst Schwachstellen gegenüber Acquia offengelegt haben:

- Chirag Gupta

- Shoeb "CaptainFreak" Patel ( @ 0xCaptainFreak )

-Gokul Babu

- Suhas Gaikwad (iamsuhasgaikwad)

- S. Vijay - Twintech Solutions (facebook.com/cracbaby)

- Fabio Pires (@fabiopirespt)

- Francesco Mifsud (@GradiusX)

- Cody Zacharias

- Kamil Sevi (@kamilsevi)

- Emanuel Bronshtein (@e3amn2l)

- M. R. Vignesh Kumar (@vigneshkumarmr)

- Prajal Kulkarni (www.prajalkulkarni.com)

- Himanshu Kumar Das (@mehimansu)

- Ajay Singh Negi

- Atulkumar Hariba Shedage

- Chiragh Dewan (@ChiraghDewan)

- Rafay Baloch (rafayhackingarticles.net)

- SimranJeet Singh

- Adam Ziaja (adamziaja.com)

- Piyush Malik (@ThePiyushMalik)

- Harsha Vardhan

- Wan Ikram (@rinakikun)

- Krutarth Shukla

- Narendra Bhati (facebook.com/narendradewsoft)

- Ahmad Ashraff (@yappare)

- Tejash Patel & Parveen Yadav

- Joeri Poesen

- Vedachala (@vedachalaka)

- Sebastian Neef & Tim Schäfers

- (@internetwache)

- Vinesh Redkar (AVsecurity.in )

- Samandeep Singh (@samanLEET)

- Dhaval Chauhan (@17haval)

- Nitesh Shilpkar (@NiteshShilpkar)

- Umraz Ahmed (@umrazahmed)

- Ehraz Ahmed (@securityexe)

- Jigar Thakkar (Infobit Technologies)

- Tushar R. Kumbhare (Defencely)

- Siddhesh Gawde

- Frans Rosén (www.detectify.com)

- Chirag Paghadal

- Yuji Kosuga (@yujikosuga)

- Rafael Pablos (silverneox.blogspot.com)

- Reegun Richard Jayapaul (linkedin.com/in/reegun)

- Nitin Goplani (in.linkedin.com/in/nitingoplani)

- Yogesh Modi

- Ali Hassan Ghori

- Turzo Ahmed

- Ashesh Kumar

- Muhammed Gamal Fahmy (https://www.facebook.com/profile.php?id=646694111)

- Mandeep Singh Jadon

- Kiran Karnad

- Akshay Pandurangi (https://www.facebook.com/akshay.pandurangi.7)

- Somesh Yadav