In diesem Artikel werden einige der Techniken und Verfahren beschrieben, die bei uns zum Einsatz kommen.
Bei Easy LMS hat die Sicherheit Ihrer Daten für uns oberste Priorität. Wir versuchen ständig, unsere eigenen Sicherheitssysteme zu durchbrechen, um Schwachstellen zu erkennen.
Software-Architektur
Easy LMS ist auf unserem eigenen Content Management System (CMS) aufgebaut. Dieses System wurde auf der Grundlage des Open-Source-PHP-Frameworks Yii entwickelt. Yii verwendet eine Model-View-Controller (MVC) basierte Architektur, die einen strukturierten, sauberen und wartbaren Code ermöglicht. Yii gilt als solide, schnell und sicher.
Yii-Framework
Wir nutzen viele der eingebauten Sicherheitsfunktionen von Yii, wie z.B. Datenverschlüsselung, XSS-Prävention und Datenbereinigung. Benutzereingabedaten werden immer auf dem Server validiert, auch wenn eine clientseitige Validierung verwendet wird.
Authentifizierung
Rollen-Autorisierung
Es gibt verschiedene Arten von Benutzern, die auf das System zugreifen können, wie Sie im folgenden Diagramm sehen können. Je nach Sicherheitsstufe hat jede Rolle Zugriff auf bestimmte Teile des Systems und Daten. Ab der Support-Stufe verwenden wir eine Art von Login, die sich von einem Client-Login unterscheidet und eine zusätzliche Sicherheitsebene darstellt.
Häufig gestellte Fragen
Im Folgenden finden Sie eine Liste von Sicherheitsfragen, die uns häufig gestellt werden.
Wo befinden sich Ihre Server?
Easy LMS läuft auf einer Amazon Web Services Cloud, kurz AWS. Die Server und Datenbanken befinden sich physisch in Frankfurt, Deutschland.
Wie schützen Sie meine Daten?
Wir schützen Ihre Daten auf mehrere Arten:
Alle Daten werden in einer Datenbank gespeichert, die vollständig verschlüsselt ist. Das bedeutet, dass die Daten in der Datenbank nur auf bestimmte Weise abgerufen werden können.
Persönliche Daten, die wir erfragen, werden in der Datenbank mit einer zusätzlichen Verschlüsselungsebene gespeichert. Das bedeutet, dass ein Angreifer, selbst wenn die Datenbank kompromittiert wird, nicht in der Lage wäre, die Daten ohne den Schlüssel zur Entschlüsselung zu lesen.
Passwörter werden mit einem hochsicheren Hashing-Algorithmus gespeichert. Anders als bei anderen Daten ist es unmöglich, das ursprüngliche Kennwort aus dem Hashwert zu ermitteln.
Passwörter werden niemals an Dritte weitergegeben.
Die gesamte Kommunikation zwischen dem Client (Ihnen) und dem Server erfolgt über eine verschlüsselte Verbindung.
Wer hat Zugang zu meinen Daten?
Sie selbst, zu jeder Zeit. Wir können auf einige Ihrer Daten zugreifen, zum Beispiel für Supportzwecke und Rechnungen. Wir geben Ihre Daten niemals ohne Ihre Zustimmung weiter.
Wer hat Zugriff auf die Datenbank?
Unsere Datenbank ist nur für autorisierte Benutzer zugänglich. Diese Autorisierung wird über ein separates System abgewickelt, so dass kein Easy LMS Konto direkten Zugriff auf die Datenbank hat. Dieses System ist nur von unserem eigenen internen Netzwerk aus erreichbar.
Verarbeiten und speichern Sie personenbezogene Daten?
Wir fragen nur Daten ab, die wir z.B. für die Rechnungsstellung benötigen. Wir speichern diese Daten verschlüsselt in unserer Datenbank.
Haben Sie ein Verfahren für den Fall eines Datenlecks?
Ja. Wenn ein Datenleck entdeckt wird, ergreifen wir sofort Maßnahmen, um zunächst das Leck zu reparieren und den externen Zugang zu sperren. Wir informieren die Beteiligten innerhalb von 48 Stunden nach Entdeckung eines Datenlecks.
Welche Art der Verschlüsselung verwenden Sie?
Die Kommunikation erfolgt über HTTPS (TLS 1.2).
Alle Daten werden mit AES-256 verschlüsselt.
Passwörter werden mit bcrypt-hashing gespeichert.
Persönliche Daten werden mit CBC- oder ECB-Verschlüsselung gespeichert (je nach Art und Verwendung).
Unterstützen Sie Single Sign-On (SSO)?
Ja. Sie können sich über die von uns unterstützten SSO-Methoden informieren.
Haben Sie Backups?
Ja, das tun wir. Wir machen täglich Datenbank-Snapshots mit einer Aufbewahrungsfrist von 35 Tagen.
Welche Art von Support bieten Sie an?
Sie können uns über unsere Website erreichen. Unsere Support-Abteilung ist von Montag bis Freitag von 08:30 bis 16:30 Uhr (CET) erreichbar. Unsere Support-Mitarbeiter sprechen Niederländisch, Englisch, Deutsch und Polnisch. Für alle anderen Sprachen bieten wir Support mit maschineller Übersetzung.
Wie lange dauert es, auf eine Anfrage zu antworten?
Das hängt von der Art der Anfrage ab, in der Regel jedoch innerhalb von 24 Stunden.
Führen Sie Penetrationstests durch?
Wir sind dabei, dies zu prüfen. Einige unserer Kunden führen ihre eigenen Pen-Tests auf unserem System durch und teilen ihre Ergebnisse mit. Es versteht sich von selbst, dass wir uns sofort um alle Probleme kümmern, die auftreten.
Kann ich einen Penetrationstest durchführen?
Wir laden Sie ein, dies zu tun, wie es auch andere Kunden getan haben. Wir bitten Sie jedoch, uns dies im Voraus mitzuteilen, damit wir uns auf eine eventuelle zusätzliche Belastung unserer Server einstellen können.
Wie oft aktualisieren Sie die Software?
Kontinuierlich. Wir arbeiten ständig daran, die Sicherheit der Software zu verbessern und neue Funktionen hinzuzufügen. Wann immer ein Fehler oder ein Sicherheitsproblem behoben wird, stellen wir es sofort bereit.
Wie testen Sie Ihre Software?
Wir testen unsere Software sowohl manuell als auch automatisch. Vor jeder Bereitstellung durchläuft unser System mehrere Phasen. Eine davon ist die Testphase. In dieser Phase führt ein automatisiertes System Tausende von automatisierten Tests durch, z. B. Einheitstests, Funktionstests und Integrationstests. Auf diese Weise wird sichergestellt, dass alle Änderungen, die wir an unserer Software vornehmen, keine anderen Funktionen oder Sicherheitsmaßnahmen beeinträchtigen. Selbst wenn nur ein einziger Test fehlschlägt, wird der Build abgelehnt und zur Behebung an die Entwicklung zurückgeschickt.
Sind alle Mitarbeiter, die mit der Datenverarbeitung beauftragt sind, auf das Datengeheimnis verpflichtet?
Ja, jeder unserer Mitarbeiter unterschreibt eine Erklärung, dass er niemals Informationen an Unbeteiligte weitergeben wird.
Haben Sie irgendwelche Härtungsprozesse eingerichtet?
Ja, das tun wir:
Alle Sicherheitspatches für unsere Betriebssysteme sind installiert.
Wir haben auf allen unseren Systemen Viren- und Spyware-Schutz installiert.
Wir haben einen Endpunktschutz installiert.
Alle Anmeldedaten, sowohl auf unseren Workstations als auch auf der Plattform, müssen sicher sein. Wenn nötig, verwenden wir eine Zwei-Faktor-Authentifizierung.
Wir sperren alle PCs automatisch, wenn jemand seinen Arbeitsplatz verlässt.
Wir haben eine Firewall eingerichtet.
Wie wird die Trennung zwischen den Anmeldeinformationen des Unternehmensnetzes und der Produktionsumgebung durchgesetzt?
Die Anmeldedaten des Unternehmensnetzwerks unterscheiden sich von denen der Produktionsumgebung, wodurch eine zusätzliche Sicherheitsebene geschaffen wird. Die Zugangsdaten für die Produktionsumgebung sind nur für DevOps und SysAdmins zugänglich. Es werden Zugriffsprotokolle geführt.
Wie ist die Zugriffs- und Schlüsselverwaltung organisiert?
Jedes System hat einen Eigentümer, der für den Zugang und die Schlüsselverwaltung verantwortlich ist. Wir erteilen nur Zugriff, wenn dies für die Arbeit des Mitarbeiters erforderlich ist, und alle Zugriffsanfragen werden protokolliert und überwacht.
Sind Sie GDPR-konform?
Die GDPR trat am 25. Mai 2018 in Kraft. Wir freuen uns, bestätigen zu können, dass Easy LMS vollständig GDPR-konform ist. Wir haben unsere Datenschutzrichtlinien, Geschäftsbedingungen und Abläufe entsprechend der GDPR aktualisiert. Unsere Datenverarbeitungsvereinbarung ist auf unserer Website verfügbar und ist Teil unserer Geschäftsbedingungen. Lesen Sie mehr über GDRP und die damit verbundenen Anforderungen.
Sind Sie ISO 27001-zertifiziert?
Ja! Wir sind ISO 27001-zertifiziert. Das bedeutet, dass wir über ein Informationssicherheits-Managementsystem (ISMS) verfügen, das internationalen Standards entspricht und gewährleistet, dass Ihre Daten bei uns sicher sind. Außerdem hilft es uns, unsere Sicherheit und den Umgang mit potenziellen Vorfällen kontinuierlich zu verbessern.
Bieten Sie eine Zwei-Faktor-Authentifizierung für Administratoren an?
Ja! Jeder Administrator kann die Zwei-Faktor-Authentifizierung (2FA) in seinem Profil einrichten. Jeder Administrator muss die 2FA selbst einrichten. Diese Funktion kann nicht von einem globalen Administrator oder dem Kontoinhaber erzwungen werden. Lesen Sie mehr über die Einrichtung von 2FA.