Whitepaper

Beveiliging voor Claris-cloudservices

Overzicht

Claris International Inc. zet zich in voor excellentie, zowel qua producten als in hoe klanten worden geholpen. Onze producten zijn ontworpen om klanten te helpen hun bedrijfsresultaten te verbeteren, door middel van oplossingen die uitstekend presteren, veilig zijn en een hoge beschikbaarheidsgraad hebben. En Claris vindt vertrouwen belangrijk. Om dit duidelijk te maken, hebben we consistent de meest vooruitstrevende beveiligingsmethoden van de branche toegepast op onze activiteiten. Deze waarden staan centraal bij wat Claris doet.

Producten in het Claris Platform, zoals Claris FileMaker Server en Claris FileMaker Pro, worden al lange tijd ontworpen op basis van beveiligingstechnologie die de norm vormt in onze branche. En ook nieuwere producten in dit platform, zoals Claris FileMaker Cloud en Claris Connect, zijn ontworpen rondom de nieuwste beveiligingsnormen en -protocollen.

De productie-infrastructuur van FileMaker Cloud en Claris Connect wordt gehost door Amazon Web Services (AWS). De datacenters en services van AWS leveren de fysieke infrastructuur, omgevingscontroles, mechanismen voor toegangsbeheer en bewakingssystemen om de hoge mate van beveiliging en beschikbaarheid van de Claris-producten mogelijk te maken. Bovendien biedt Apple Claris datacenterservices om het netwerk, de identiteitsplatforms en fysieke beveiligingssystemen te ondersteunen.

Door onze constante inzet voor excellentie en onze relatie met AWS en Apple kan Claris Enterprise-producten bieden aan organisaties van elke omvang en zo overal digitale transformatie stimuleren.

Beveiligingsbeheer

Omgeving voor beveiliging en beheer

Het Information Security-team is verantwoordelijk voor de vertrouwelijkheid, integriteit en beschikbaarheid van alle gegevens van Apple en Claris binnen de faciliteiten, op apparatuur of binnen de netwerken die direct of in partnerschap eigendom zijn van Apple en Claris. Er worden specifieke methoden gebruikt om deze doelen te realiseren, waaronder, maar niet beperkt tot: het ontwikkelen en verspreiden van beveiligingsbeleid en -procedures, het uitvoeren van beveiligingsbeoordelingen, het bewaken en verwerken van beveiligingswaarschuwingen en het reageren op beveiligingsincidenten.

Mensen, beleid en training

Claris heeft het zich als doel gesteld personen aan te nemen die professionals van wereldklasse zijn binnen hun werkgebied en die zich inzetten voor de sleutelprincipes van onze organisatie: eerlijkheid, respect, vertrouwelijkheid en naleving.

Ter begeleiding van onze professionals heeft Claris een set beleidsregels, normen en richtlijnen opgesteld om te dienen als de vereisten en richtlijnen voor het implementeren van systemen met een hoge mate van beveiliging en beschikbaarheid.

Op basis van deze beleidsregels, normen en richtlijnen van de organisatie, wordt personeel verplicht om bij indiensttreding een training voor beveiligingsbewustwording te volgen, gevolgd door jaarlijkse opfriscursussen. Bovendien volgen degenen met verantwoordelijkheden die te maken hebben met de beveiliging van Claris-producten en nalevingsactiviteiten aanvullende trainingen over een verscheidenheid aan onderwerpen.

Technische beveiliging

Claris zet wereldwijde beveiligingsframeworks in als handvatten voor de beveiligingsprocessen en controlemethoden. Enkele centrale onderwerpen, zoals fysieke beveiliging, verificatie, versleuteling, netwerkbeveiliging en systeembescherming worden hieronder beschreven.

Fysieke beveiliging en omgevingsbeheer

Claris gebruikt Amazon Web Services (AWS) voor alle hostingbehoeften. AWS heeft een SOC 2 Type II-certificering voor de diensten die Claris afneemt, die onder andere gaat over de fysieke en omgevingsbeveiliging van de datacenters.

Verder maakt Claris als dochteronderneming in volledig eigendom van Apple gebruik van de IT-diensten van Apple. Apple stelt de strengste eisen voor zichzelf en dat is terug te zien in hoe Apple datacenters ontwerpt, bouwt en beheert. Apple heeft beveiligingscontroles ingesteld om fysieke toegang tot alle faciliteiten en kritieke systemen te beperken, waaronder, maar niet beperkt tot, datacenters, POD-omgevingen en telecommunicatiekasten. Hieronder vallen het toegangssysteem op basis van nabijheidsbadges (waarmee toegang strikt wordt beperkt tot wat nodig is om de verantwoordelijkheden van iedere werknemer uit te voeren), biometrische scanners, camerabewaking in de faciliteiten en bezoekerslogboeken.

Verificatiebeheer

De beveiliging van de systemen, apparaten en accounts van Claris begint bij veilig maken en beheer van verificatiegegevens.

Meerstapsverificatie

Beheertoegang tot de Claris-omgevingen is beperkt tot beheerders aan de hand van meerstapsverificatie. Binnen de Claris-omgeving wordt door Claris de benadering van het laagste toegangsniveau afgedwongen. Met AWS-functies voor toegangsbeheer op basis van rollen kan Claris zeer nauwkeurig toestemmingen verlenen voor verschillende soorten Claris-beheerders (zoals serverbeheer, databasebeheer, netwerkbeheer).

Claris ID

Claris ID is een geïntegreerd aanmeldingssysteem voor de verificatie van gebruikers van producten en services van Claris. Het ondersteunt verificatie via externe identiteitsproviders, waaronder Okta en Microsoft Active Directory.

Verificatie door middel van OAuth-identiteitsproviders

OAuth 2.0 wordt gebruikt voor de verificatie van Claris-gebruikers die zich aanmelden bij apps op maat via een externe identiteitsprovider, zoals Amazon, Google of Microsoft Azure.

Beheer

Claris Customer Console

Claris Customer Console is een webtoepassing om te werken met apps op maat die worden gehost in FileMaker Cloud en voor het beheren van FileMaker Cloud- en Claris Connect-teams. De console wordt ook gebruikt voor het beheer van Claris ID-accounts, gebruikers, groepen, hosts, instellingen en abonnementen voor FileMaker Cloud en Claris Connect.

Gegevensversleuteling

Het beschermen van gevoelige gegevens ligt diep in het DNA van Claris verankerd. Gegevensversleuteling in-transit en at-rest zijn cruciale hulpmiddelen die Claris inzet als onderdeel van de inspanningen voor klanten.

FileMaker Cloud:

  • In-transit: voor clientverbindingen is het gebruik van het TLS 1.2-protocol vereist.
  • At-rest: FileMaker Cloud maakt gebruik van verschillende AWS-omgevingen voor gegevensopslag voor gegevensbehoud. Op deze gegevensplatforms gebruikt Claris de AWS Key Management Service (KMS) voor de versleuteling van at-rest-gegevens.
  • Schijf: Claris gebruikt AWS KMS met AES 256-bit-versleuteling.

Claris Connect:

  • In-transit: voor clientverbindingen is het gebruik van het TLS 1.2-protocol vereist. Certificaten en een veranderende PFS TLS 1.2 codering zijn vereist tussen hosts (bijv. tussen de toepassingslaag en de databaselaag).
  • At-rest: at-rest-gegevens worden opgeslagen in opslagoplossingen op Enterprise-niveau met minimaal AES 256-bit-versleuteling.
  • Schijf: Claris gebruikt AWS KMS met AES 256-bit-versleuteling.

Netwerkbeveiliging

Firewalls maken een belangrijk deel uit van iedere beveiligingsstrategie. In algemene zin vormt een firewall een beheerhulpmiddel waarmee bepaald netwerkverkeer van een privénetwerk wordt geweerd. Claris gebruikt firewalls voor het hele netwerk en tussen verschillende zones in het netwerk, zoals toepassingsfirewalls, webtoepassingsfirewalls en netwerklaagfirewalls.

Ook wordt netwerkverkeer continu bewaakt. Raadpleeg de sectie over Logboeken en Bewaking voor meer informatie.

Systeembescherming

Beschermde basisconfiguraties stimuleren consistentie binnen de operationele omgeving en bieden verzekeringen dat systemen zijn opgezet op basis van software die door Claris is goedgekeurd, terwijl ook de blootstelling voor misbruik door potentieel kwaadaardige code wordt beperkt.

Als onderdeel van een basisconfiguratie zijn door Information Security goedgekeurde hulpprogramma's voor de detectie van kwaadaardige software standaard vereist binnen iedere basisconfiguratie. Deze toepassingen bieden detectie, bewaking en waarschuwing voor mogelijke beveiligingsproblemen op systeemniveau en kunnen voorkomen dat kwaadaardige code wordt uitgevoerd. Deze hulpprogramma's hebben ook vastgelegde routes naar bewaking en gebeurtenisbeheer op Enterprise-niveau, zodat het Information Security-team trends en activiteiten binnen de omgeving kunnen verzamelen, reacties op incidenten kunnen starten en forensisch onderzoek kunnen ondersteunen.

Beveiligingsbeoordelingen en kwetsbaarheidsbeheer

Er worden door het Information Security-team beveiligingsbeoordelingen uitgevoerd voor de implementatie van productie-omgevingen of nieuwe of bijgewerkte functies, services, configuraties of gewijzigde code.

De beveiligingstests van infrastructuur, waaronder netwerkapparatuur en besturingssystemen, worden ondersteund door kwetsbaarheidsscans en daarop volgende oplossingen.

Bedreigingsbeheer en incidentenrespons

Logboekprocessen en pijplijnen

Logboeken vormen een cruciaal onderdeel van het beheer van gegevensbeveiliging bij Claris, omdat logboeken bijdragen aan de beveiliging van Claris-systemen. Het Information Security-team biedt productteams standaardmethoden en hulpprogramma's om logboeken eenvoudig van ieder soort Claris-systeem naar het Information Security-team te sturen. De gebeurtenissenpijplijn ontvangt logboeken uit verschillende bronnen en verzamelt deze op één centrale locatie, die wereldwijd beschikbaar is voor bevoegde medewerkers voor incidentenrespons.

Medewerkers voor incidentenrespons

Het Incident Response-team bewaakt dag en nacht systemen een waarschuwingen om beveiligingsgebeurtenissen te identificeren en inkomende waarschuwingen te beoordelen. Gebeurtenissen worden bijgehouden in een centraal bewakingsprogramma waarin details over iedere gebeurtenis worden vastgelegd en waarin de bedrijfsimpact van de gebeurtenis wordt ingeschat. Aanvullende teams worden ingeschakeld voor de respons op gebeurtenissen via een gestandaardiseerd en gestroomlijnd proces.

Incidentbeheer

Claris vertrouwt op het Incident Management Program van Apple. Apple heeft een programma voor incidentbeheer geïmplementeerd dat beleid en procedures omvat om risico's tijdig en effectief te beheren. Op basis van het vastgelegde plan voor incidentenrespons worden beveiligingsgebeurtenissen voor analyse toegewezen aan relevante medewerkers, voordat een gebeurtenis als incident wordt aangewezen. Zodra iets is aangewezen als incident, past Apple een gestandaardiseerde methode toe om een niveau van ernst toe te wijzen aan het incident, om dit correct te classificeren en prioriteren en hierop te reageren. Bovendien heeft de organisatie in een plan voor incidentencommunicatie vastgelegd wat de rollen, verantwoordelijkheden, nalevingsvereisten en communicatieprocedures voor een incident zijn.

Bedrijfscontinuïteit en herstel na problemen

Claris gebruikt Amazon Web Services (AWS) voor alle hostingbehoeften. Claris heeft de omgeving zo ontworpen dat deze zeer redundant is en klanten een hoge mate van beschikbaarheid biedt.

Verder maakt Claris als dochteronderneming in volledig eigendom van Apple op bepaalde vlakken gebruik van de IT-diensten van Apple. Als onderdeel van Apple’s ISO 27001-certificeringsproces worden de datacenters van Apple getoetst op het gebied van weerbaarheid en continuïteit van de activiteiten.

Gegevensbeheer en privacy

Gegevensretentie

De organisatie heeft retentiebeleid en schema’s ontwikkeld om de vereiste retentieperioden voor records te beschrijven.

Klantcontent die binnen Claris-producten wordt gemaakt blijft 45 dagen beschikbaar na het beëindigen of verlopen van het abonnement van de klant, waarna al dergelijke content wordt verwijderd.

Klantgegevens die worden gebruikt voor gebruikersbeheer (naam, e-mailadres en telefoonnummer) worden bewaard naar keuze van de klant en in overeenstemming met het Privacybeleid van Claris.

privacybeleid

Claris zet zich in voor de privacy van alle klanten en voldoet aan toepasbare privacywetgeving voor de aangeboden producten en diensten. Claris verzamelt uitsluitend die gegevens die minimaal nodig zijn om klanten services aan te kunnen bieden.

Klantgegevens worden ten alle tijde verzameld overeenkomstig het Privacybeleid van Claris.

AVG: Claris voldoet aan de AVG; het is echter de verantwoordelijkheid van onze klanten om te zorgen dat zij apps maken en hun gegevens verwerken volgens de richtlijnen van de AVG. Raadpleeg voor meer informatie over de naleving van de AVG door Claris of voor vragen rondom de AVG deze pagina.

HIPAA: Claris leeft niet de HIPAA-normen na. Indien u hieronder valt of een zakenpartner of vertegenwoordiger bent van een organisatie die hieronder valt, gaat u ermee akkoord dat u geen enkele onderdelen, functies of andere mogelijkheden van Claris FileMaker Cloud of Claris Connect zult gebruiken om beschermde gezondheidsgegevens te maken, ontvangen, onderhouden of verzenden.

PCI: Claris voldoet aan de PCI-normen voor het verwerken van creditcardgegevens van klanten. Claris-producten zijn echter niet PCI-getoetst en er dienen daarom geen creditcardgegevens te worden opgeslagen in Claris-producten.