Whitepaper

Claris Cloud-Services – Sicherheit

Übersicht

Claris International Inc. ist der Exzellenz verpflichtet – sowohl bei seinen Produkten als auch bei der Art und Weise, wie die Services seinen Kunden bereitgestellt werden. Unsere Produkte wurden entwickelt, um Kunden dabei zu unterstützen, ihr Unternehmen durch hochleistungsfähige, sichere und hochverfügbare Lösungen zu optimieren. Und für Claris hat Vertrauen besondere Bedeutung. Um dies zu demonstrieren, haben wir konsequent branchenführende Sicherheitspraktiken auf unsere eigenen Praktiken angewandt. Diese Werte untermauern unser Handeln bei Claris.

Claris-Plattformprodukte wie Claris FileMaker Server und Claris FileMaker Pro werden seit langem mit branchenüblicher Sicherheitstechnologie entwickelt. Und auch neuere Produkte der Plattform wie Claris FileMaker Cloud und Claris Connect wurden so konzipiert, dass sie die neuesten Sicherheitsstandards und -protokolle verkörpern.

Die Produktionsinfrastruktur von FileMaker Cloud und Claris Connect wird von Amazon Web Services (AWS) gehostet. AWS-Rechenzentren und AWS-Dienste stellen die physische Infrastruktur, Umgebungskontrollen, Zugangskontrollmechanismen und Überwachungssysteme bereit, um die hochsicheren und hochverfügbaren Angebote von Claris zu ermöglichen. Darüber hinaus stellt Apple Claris Rechenzentrumsdienste zur Unterstützung seines Netzwerks, seiner Identitätsplattformen und physischen Sicherheitssysteme zur Verfügung.

Durch unser unermüdliches Engagement für Spitzenleistungen und unsere Geschäftsbeziehungen zu AWS und Apple ist Claris in der Lage, Unternehmen jeder Größe in ihrem Bestreben, digitale Transformation umzusetzen, Angebote auf Enterprise-Ebene anzubieten.

Sicherheitsgovernance

Sicherheit und Kontrollumgebung

Das Information Security Team ist verantwortlich für die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit aller Apple- und Claris-Informationen innerhalb von Einrichtungen, auf Geräten oder in Transitnetzwerken, die Apple und Claris gehören oder in direkter Partnerschaft mit Apple und Claris stehen. Zu den spezifischen Methoden, die zur Erreichung dieser Ziele eingesetzt werden, gehören unter anderem: Entwicklung und Verteilung von Sicherheitsrichtlinien und -verfahren, Sicherheitsbeurteilungen, Überwachung und Verarbeitung von Sicherheitswarnungen und Reaktion auf Sicherheitsvorfälle.

Menschen, Richtlinien und Schulungen

Claris ist bestrebt, Menschen einzustellen, die in ihrem Fachgebiet Weltklasse-Profis sind und sich den Kernprinzipien der Organisation, Ehrlichkeit, Respekt, Vertraulichkeit und Compliance, verpflichtet fühlen.

Als Richtschnur für seine Experten unterhält Claris eine Reihe von Richtlinien, Standards und Leitfäden, die als Anforderungskatalog und Leitfaden für die Implementierung hochsicherer und hochverfügbarer Systeme dienen.

Basierend auf den Richtlinien, Standards und Leitfäden der Organisation ist das Personal verpflichtet, Schulungen für Neueinstellungen und jährliche Schulungen zum Thema Sicherheitsbewusstsein zu absolvieren. Diejenigen mit Verantwortlichkeiten, die sich auf die Sicherheit der Claris-Produkte und die Maßnahmen zur Einhaltung der Vorschriften auswirken, erhalten zusätzliche Schulungen zu einer Vielzahl von Themen.

Technische Sicherheit

Claris nutzt die Frameworks der globalen Sicherheit, um seine Sicherheitsprozesse und -kontrollen zu leiten. Schlüsselthemen wie physische Sicherheit, Authentifizierung, Verschlüsselung, Netzwerksicherheit und System Hardening werden im Folgenden näher erläutert.

Physische Sicherheit und Umgebungskontrollen

Claris verwendet Amazon Web Services (AWS) für seine Hosting-Anforderungen. AWS hat eine SOC 2 Typ II-Zertifizierung für die von Claris genutzten Dienste erhalten, einschließlich der physischen und umgebungsbezogenen Sicherheitskontrolle seiner Rechenzentren.

Darüber hinaus nutzt Claris als hundertprozentige Tochtergesellschaft von Apple die IT-Dienstleistungen von Apple. Apple hält sich selbst an den höchsten Standard, und das spiegelt sich in der Art und Weise wider, wie das Unternehmen seine Rechenzentren entwirft, baut und betreibt. Apple hat Sicherheitskontrollen implementiert, um den physischen Zugang zu seinen Einrichtungen und kritischen Systemen einzuschränken, einschließlich, aber nicht beschränkt auf Rechenzentren, POD-Umgebungen und Telekommunikationsschränke. Zu diesen Kontrollen gehören das Proximity-Badge-Zugangssystem (das den Zugang strikt auf das beschränkt, was zur Erfüllung der beruflichen Aufgaben eines Mitarbeiters erforderlich ist), biometrische Lesegeräte, Gebäudekamerasysteme und Besucherprotokolle.

Authentifizierungskontrollen

Die Sicherheit von Claris-Systemen, -Geräten und -Accounts beginnt mit der sicheren Erstellung und Verwaltung von Berechtigungsnachweisen.

Multifaktor-Authentifizierung

Der administrative Zugriff auf die Claris-Umgebungen ist durch Multifaktor-Authentifizierung auf Administratoren beschränkt. Innerhalb der Claris-Umgebung wendet Claris das Konzept der geringsten Privilegien an. Durch rollenbasierte Zugriffskontrollfunktionen innerhalb von AWS ist Claris in der Lage, verschiedenen Arten von Administratoren bei Claris (z. B. Serveradministration, Datenbankadministration, Netzwerkadministration) hochgranulare Berechtigungen zur Verfügung zu stellen.

Claris-ID

Claris-ID ist ein integriertes Anmeldesystem zur Authentifizierung von Benutzern von Claris-Produkten und -Dienstleistungen. Es unterstützt die Authentifizierung über externe Identitätsdienstleister wie Okta und Microsoft Active Directory.

OAuth-Identitätsdienstleister-Authentifizierung

OAuth 2.0 wird verwendet, um Claris-Benutzer zu authentifizieren, die sich bei eigenen Apps über einen externen Identitätsdienstleister wie Amazon, Google oder Microsoft Azure anmelden.

Administration

Claris Customer Console

Claris Customer Console ist eine Web-Anwendung für die Arbeit mit eigenen Apps, die von FileMaker Cloud bereitgestellt wird, sowie für die Verwaltung von FileMaker Cloud- und Claris Connect-Teams. Die Console wird auch zur Verwaltung von Claris-ID Konten, Benutzern, Gruppen, Hosts, Einstellungen und FileMaker Cloud- und Claris Connect-Abonnements genutzt.

Datenverschlüsselung

Der Schutz vertraulicher Informationen ist tief in der DNA von Claris verwurzelt. Die Verschlüsselung von Daten während der Übertragung und im Ruhezustand ist eines der Hauptwerkzeuge, das Claris im Rahmen seines Engagements für seine Kunden einsetzt.

FileMaker Cloud:

  • Während der Übertragung: Client-Verbindungen verlangen die Verwendung des TLS 1.2-Protokolls.
  • Im Ruhezustand: FileMaker Cloud verwendet verschiedene AWS-Datenspeicherumgebungen für die Datenpersistenz. Über diese Datenplattformen hinweg nutzt Claris den AWS Key Management Service (KMS) für die Verschlüsselung von Daten im Ruhezustand.
  • Datenträger: Claris setzt AWS KMS mit AES 256-Bit-Verschlüsselung ein.

Claris Connect:

  • Während der Übertragung: Client-Verbindungen verlangen die Verwendung des TLS 1.2-Protokolls. Zwischen Hosts sind Zertifikate und eine flüchtige PFS TLS 1.2-Chiffre erforderlich (z. B. zwischen der Anwendungs- und der Datenbankebene).
  • Im Ruhezustand: Daten im Ruhezustand werden in Enterprise-Speicherlösungen mit mindestens AES-256-Bit-Verschlüsselung gespeichert.
  • Datenträger: Claris setzt AWS KMS mit AES 256-Bit-Verschlüsselung ein.

Netzwerksicherheit

Firewalls sind ein wichtiger Teil jeder Sicherheitsanstrengung. Allgemein ausgedrückt bezieht sich eine Firewall auf eine Kontrolle, die verwendet werden kann, um bestimmten Netzwerkverkehr daran zu hindern, in ein privates Netzwerk einzudringen. Claris setzt Firewalls im gesamten Netzwerk und zwischen verschiedenen Zonen im Netzwerk ein, einschließlich Anwendungs-Firewalls, Web-Anwendungs-Firewalls und Firewalls auf Netzwerkebene.

Zusätzlich wird der Netzwerkverkehr kontinuierlich überwacht. Weitere Einzelheiten finden Sie im Abschnitt „Protokollierung und Überwachung“.

System Hardening

Basiskonfigurationen mit Hardening tragen dazu bei, die Konsistenz innerhalb der Betriebsumgebung zu fördern, und bieten die Gewissheit, dass Systeme auf der Grundlage der von Claris genehmigten Software erstellt werden, während gleichzeitig die Angriffsfläche für die Ausnutzung eines potenziellen bösartigen Code-Ereignisses minimiert wird.

Als Teil einer Basiskonfiguration sind von der Informationssicherheit genehmigte Tools zur Erkennung bösartiger Software Standardanforderungen innerhalb der Konfigurationsbasis. Diese Anwendungen bieten Erkennung, Überwachung und Alarmierung auf Systemebene bei potenziellen Sicherheitsereignissen und können die Ausführung von bösartigem Code verhindern. Diese Tools haben auch Integrationspfade zu Unternehmensüberwachungs- und Ereignismanagementfunktionen definiert, die es dem Information Security Team ermöglichen, Themen und Aktivitäten in der gesamten Umgebung zu aggregieren, Maßnahmen zur Reaktion auf Vorfälle einzuleiten und forensische Untersuchungen zu unterstützen.

Sicherheitsbewertungen und Schwachstellenmanagement

Sicherheitsbewertungen, die vom Information Security Team durchgeführt werden, werden vor der produktiven Einführung neuer oder aktualisierter Funktionen, Dienste, Konfigurationen oder Code-Änderungen durchgeführt.

Sicherheitstests der Infrastruktur, einschließlich Netzwerkgeräte und Betriebssysteme, werden durch Schwachstellenscans und anschließende Abhilfemaßnahmen unterstützt.

Bedrohungsmanagement und Reaktion auf Vorfälle

Protokollierungsprozesse und Pipeline

Protokollierung ist ein wichtiger Teil des Informationssicherheitsmanagements, das wir bei Claris durchführen, da Protokolle dazu beitragen, die Sicherheit der Claris-Systeme zu gewährleisten. Das Information Security Team stellt den Produktteams Standardmethoden und -werkzeuge zur Verfügung, um Protokolle von jedem System bei Claris einfach an das Information Security Team zu übertragen. Die Ereignispipeline empfängt Protokolle aus verschiedenen Quellen und aggregiert sie an einem einzigen Ort, der den autorisierten Mitarbeitern für die Reaktion auf Vorfälle weltweit zur Verfügung steht.

Incident-Response-Personal

Das Incident Response Team ist ein 24/7-Team, das rund um die Uhr Systeme und Alarme überwacht, um zunächst Sicherheitsereignisse zu identifizieren und eingehende Alarme zu bewerten. Ereignisse werden in einem zentralisierten Tracking-Tool verfolgt, in dem Details des Ereignisses und eine Auswirkung der potenziellen geschäftlichen Auswirkungen des Ereignisses erfasst werden. Es werden zusätzliche Teams zur Behebung von Ereignissen durch einen standardisierten und gestrafften Prozess einbezogen.

Vorfallmanagement

Claris verlässt sich auf das Incident Management Programm von Apple. Apple hat ein Incident Management Programm implementiert, das die Richtlinien und Verfahren zur rechtzeitigen und effektiven Verwaltung von Risiken enthält. Auf der Grundlage des dokumentierten Incident-Response-Plans werden Sicherheitsereignisse dem entsprechenden Personal zur Analyse zugewiesen, bevor ein Ereignis als Vorfall bezeichnet wird. Sobald ein Vorfall identifiziert wurde, wendet Apple einen standardisierten Ansatz an, bei dem dem Vorfall eine Schweregradstufe zugewiesen wird, um den Vorfall ordnungsgemäß zu klassifizieren, zu priorisieren und darauf zu reagieren. Zusätzlich hat die Organisation ihren Kommunikationsplan für Vorfälle dokumentiert, um die Rollen, Verantwortlichkeiten, Compliance-Pflichten und Kommunikationsverfahren für einen Vorfall zu dokumentieren und zu definieren.

Business Continuity und Disaster Recovery

Claris verwendet Amazon Web Services (AWS) für seine Hosting-Anforderungen. Claris hat seine Umgebung so konzipiert, dass sie hochgradig redundant ist und seinen Kunden eine hohe Verfügbarkeit bietet.

Darüber hinaus nutzt Claris als hundertprozentige Tochtergesellschaft von Apple in bestimmten Bereichen die IT-Dienstleistungen von Apple. Im Rahmen des ISO 27001-Zertifizierungsprozesses von Apple werden die Rechenzentren von Apple auf Ausfallsicherheit und Betriebskontinuität geprüft.

Datenmanagement und Datenschutz

Datenaufbewahrung

Die Organisation hat Aufbewahrungsrichtlinien und -pläne entwickelt, um die erforderlichen Aufbewahrungsfristen für Unterlagen festzulegen.

Kundeninhalte, die innerhalb von Claris-Produkten erstellt wurden, stehen nach der Kündigung oder dem Ablauf des Kundenabonnements noch 45 Tage lang zur Verfügung; danach werden alle diese Inhalte gelöscht.

Kundendaten, die zur Benutzeradministration verwendet werden (Name, E-Mail und Telefonnummer), werden nach dem Ermessen des Kunden und in Übereinstimmung mit der Claris-Datenschutzrichtlinie aufbewahrt.

Datenschutzrichtlinie

Claris verpflichtet sich zum Schutz der Kundendaten und hält die geltenden Datenschutzbestimmungen in Bezug auf unsere Produkte und Dienstleistungen ein. Claris sammelt nur die Mindestmenge an Daten, die erforderlich ist, um den Kunden die Dienste zur Verfügung zu stellen.

Die gesammelten Kundendaten werden zu jeder Zeit in Übereinstimmung mit der Claris-Datenschutzrichtlinie behandelt.

DSGVO: Claris hält die DSGVO-Bestimmungen ein; es liegt jedoch an unseren Kunden sicherzustellen, dass sie Apps erstellen und ihre Daten in Übereinstimmung mit den DSGVO-Bestimmungen behandeln. Weitere Informationen über die Einhaltung der DSGVO durch Claris oder Antworten auf Fragen zur DSGVO finden Sie hier.

HIPAA: Claris erhebt keinen Anspruch auf Einhaltung der HIPAA. Wenn Sie eine versicherte Einheit, ein Geschäftspartner oder ein Vertreter einer versicherten Einheit oder eines Geschäftspartners sind, stimmen Sie zu, dass Sie keine Komponenten, Funktionen oder andere Einrichtungen von Claris FileMaker Cloud oder Claris Connect verwenden werden, um geschützte Gesundheitsinformationen zu erstellen, zu empfangen, zu pflegen oder zu übertragen.

PCI: Claris ist bei der Verarbeitung von Kreditkarten für seine Kunden PCI-konform. Allerdings wurden die Claris-Produkte keinem PCI-Audit unterzogen, daher sollten Kreditkartendaten nicht in Claris-Produkten gespeichert werden.

Weitere Informationen

Informieren Sie sich weiter über die Sicherheitspraktiken bei Claris:

FileMaker-Sicherheitsübersicht

FileMaker 19 Sicherheitshandbuch

Verwalten der Sicherheit in FileMaker Pro

Sichern von Daten in FileMaker Server