White Paper

Säkerhet i Claris molntjänster

Översikt

Claris International Inc. siktar på förträfflighet – både i våra produkter och hur vi betjänar våra kunder. Våra produkter är utformade för att hjälpa kunder att förbättra sin verksamhet med högpresterande, säkra och mycket tillgängliga lösningar. På Claris sätter vi stort värde på förtroende. Det demonstrerar vi genom att konsekvent tillämpa branschledande säkerhetsmetoder i våra lösningar. De här värderingarna underbygger det vi gör på Claris.

Produkter i Claris-plattformen, som Claris FileMaker Server och Claris FileMaker Pro, har sedan länge tillbaka byggts med branschstandardens säkerhetsteknik. Nyare produkter på plattformen, som Claris FileMaker Cloud och Claris Connect, har även de utformats för att inkorporera de senaste säkerhetsstandarderna och säkerhetsprotokollen.

I produktionsinfrastrukturen för FileMaker Cloud och Claris Connect använder vi Amazon Web Services (AWS) som värd. AWS datacenter och AWS tjänster levererar den fysiska infrastrukturen, miljökontroller, mekanismer för åtkomstkontroll och övervakningssystem för att möjliggöra mycket säkra och samtidigt mycket tillgängliga erbjudanden från Claris. Dessutom får Claris stöd av Apples datacentertjänster för nätverket, identitetsplattformar och fysiska säkerhetssystem.

Genom det envetna arbete för förträfflighet och relationerna med AWS och Apple kan Claris erbjuda tjänster i företagsklass till organisationer av alla storlekar i vår mission att möjliggöra digital omvandling.

Säkerhetsstyrning

Säkerhet och kontroll

Teamet för informationssäkerhet ansvarar för att säkerställa sekretess, integritet och tillgänglighet för all Apple- och Claris-information som finns på anläggningar, på utrustning eller som överförs i nätverk som ägs av eller i direkt partnerskap med Apple och Claris. Särskilda metoder som används för att nå de här målen omfattar, men är inte begränsade till följande: utveckling och distribution av säkerhetsprinciper och -procedurer, säkerhetsbedömningar, övervakning och bearbetning av säkerhetsaviseringar samt att hantera säkerhetsincidenter.

Personal, principer och utbildning

Claris strävar efter att anställa professionella personer som är i världsklass inom sitt gebit och som arbetar efter organisationens grundprinciper om ärlighet, respekt, konfidentialitet och regelefterlevnad.

Som vägledning för proffsen som arbetar hos Claris underhåller vi en uppsättning principer, standarder och riktlinjer som fungerar som kravspecifikation och riktlinjer för att implementera system som är mycket säkra och mycket tillgängliga.

Enligt organisationens principer, standarder och riktlinjer måste personalen genomgå utbildning om säkerhetsmedvetenhet vid nyanställning och därefter varje år. Personer med ansvarsområden som påverkar säkerheten hos Claris produkter och efterlevnadsarbete genomgår ytterligare utbildning i flera olika ämnen.

Teknisk säkerhet

Claris använder sig av globala säkerhetsramverk som vägledning för våra säkerhetsprocesser och säkerhetskontroller. Centrala områden som fysisk säkerhet, autentisering, kryptering, nätverkssäkerhet och systemhärdning beskrivs nedan.

Fysisk säkerhet och miljökontroller

Claris använder Amazon Web Services (AWS) för sina värdbehov. AWS har uppnått en SOC 2 Type II-certifiering för de tjänster som används av Claris, inklusive den fysiska och miljömässiga säkerhetskontrollen på deras datacenter.

Som ett helägt dotterbolag till Apple drar Claris dessutom nytta av Apples IT-tjänster. Apple utgår från den högsta standard och det återspeglas i hur de utformar, bygger och driver sina datacenter. Apple har implementerat säkerhetskontroller för att begränsa den fysiska tillgängligheten till sina anläggningar och kritiska system, inklusive men inte begränsat till datacenter, distributionspunkter och telekommunikationsskåp. De här kontrollerna omfattar tillträdessystem med närhetsavläsning (som strikt begränsar tillträde till det som krävs för att utföra den enskilda personens arbetsuppgifter), biometrisk avläsning, kamerasystem på anläggningar och besöksloggar.

Autentiseringskontroller

Säkerheten i Claris system, enheter och konton börjar med att autentiseringsuppgifter skapas och hanteras på ett säkert sätt.

Flerfaktorsautentisering

Administrativ åtkomst till Claris-miljöerna begränsas till administratörer med hjälp av flerfaktorsautentisering. Inom Claris-miljön tillämpar Claris principen för begränsad behörighet. Med hjälp av funktioner för rollbaserad åtkomstkontroll i AWS kan Claris tillhandahålla detaljerad behörighetsstyrning för olika typer av administratörer på Claris (till exempel serveradministration, databasadministration, nätverksadministration).

Claris-ID

Claris-ID är ett integrerat inloggningssystem för att autentisera användare av Claris produkter och tjänster. Det stöder också autentisering via externa identitetsleverantörer, inklusive Okta och Microsoft Active Directory.

Autentisering med OAuth-identitetsleverantör

OAuth 2.0 används för att autentisera Claris-användare som loggar in i sina anpassade appar via en tredje parts identitetsleverantör som Amazon, Google eller Microsoft Azure.

Administration

Claris Customer Console

Claris Customer Console är en webbapplikation för att arbeta med anpassade appar som delas med FileMaker Cloud som värd och för att hantera FileMaker Cloud- och Claris Connect-team. Konsolen används också för att hantera Claris-ID-konton, användare, grupper, värdar, inställningar samt FileMaker Cloud- och Claris Connect-prenumerationer.

Datakryptering

Att skydda känslig information är djupt rotat i Claris DNA. Kryptering vid överföring och lagring av data är ett av de primära verktyg Claris använder sig av som en central del av sitt åtagande gentemot kunderna.

FileMaker Cloud:

  • I överföring: Klientanslutningar kräver användning av TLS 1.2-protokollet.
  • I lagring: För databeständighet använder FileMaker Cloud flera datalagringsmiljöer från AWS På alla dessa dataplattformar använder Claris AWS KMS (Key Management Service) för kryptering av data i lagring.
  • Disk: Claris använder AWS KMS med 256 bitars AES-kryptering.

Claris Connect:

  • I överföring: Klientanslutningar kräver användning av TLS 1.2-protokollet. Certifikat och en efemär PFS TLS 1.2-kryptering krävs mellan värdar (till exempel mellan programlagret och databaslagret).
  • I lagring: Data lagras i i lagringslösningar av företagsklass med 256 bitars AES-kryptering som minst.
  • Disk: Claris använder AWS KMS med 256 bitars AES-kryptering.

Nätverkssäkerhet

Brandväggar är en viktig del av allt säkerhetsarbete. I allmänna termer avser en brandvägg en kontroll som kan användas för att förhindra att en viss typ av nätverkstrafik kommer in i ett privat nätverk. Claris använder brandväggar i hela nätverket och mellan olika zoner i nätverket, inklusive brandväggar för program, webbprogram och nätverkslager.

Dessutom övervakas nätverkstrafiken kontinuerligt. Läs mer i avsnittet Loggning och övervakning.

Systemhärdning

Härdade grundkonfigurationer bidrar till konsekvens i driftmiljön och utgör en garanti för att systemen är byggda med programvara som godkänts av Claris, medan attackytan som potentiellt skadlig kod kan utnyttja minimeras.

Verktyg för identifiering av skadlig programvara som godkänts för informationssäkerhet är ett standardkrav i grundkonfigurationen. De här verktygen tillhandahåller identifiering, övervakning och avisering om potentiella säkerhetshändelser på systemnivå, och de kan förhindra att skadlig kod körs. Verktygen har även definierade integreringsvägar för företagsövervakning och händelsehanteringsfunktioner, vilket gör att teamet för informationssäkerhet kan samla teman och aktiviteter från hela miljön, initiera svarsåtgärder på incidenter och stödja kriminaltekniska utredningar.

Säkerhetsbedömningar och sårbarhetshantering

Säkerhetsbedömningar som utförs av teamet för informationssäkerhet genomförs innan nya eller uppdaterade funktioner, tjänster, konfigurationer eller kodförändringar tas i produktion.

Säkerhetstestning av infrastruktur, inklusive nätverksenheter och operativsystem, stöds via sårbarhetsgenomsökning och efterföljande åtgärder.

Hothantering och motåtgärder vid incidenter

Loggningsprocesser och pipeline

Loggning är en viktig del av arbetet med informationssäkerhet på Claris eftersom loggar bidrar till att garantera säkerheten i Claris system. Teamet för informationssäkerhet tillhandahåller till produktteamen standardmetoder och verktyg så att de enkelt kan överföra loggar från vilket system som helst på Claris till teamet för informationssäkerhet. En pipeline för händelser tar emot loggar från olika källor och samlar dem på en och samma plats som är globalt tillgänglig för behörig incidenthanteringspersonal.

Incidenthanteringspersonal

Incidenthanteringsteamet övervakar system och aviseringar dygnet runt för att identifiera säkerhetshändelser och hantera inkommande aviseringar. Händelser spåras i ett centraliserat uppföljningsverktyg där information om händelsen registreras och potentiell effekt av händelsen utvärderas. Ytterligare team kopplas in för åtgärdande av händelser med hjälp av standardiserade och effektiva processer.

Incidenthantering

Claris använder sig av Apples incidenthanteringsprogram. Apple har implementerat ett incidenthanteringsprogram som omfattar principer och procedurer för att på ett effektivt sätt hantera risker i rätt tid. I enlighet med den dokumenterade planen för motåtgärder vid incidenter tilldelas säkerhetshändelser till lämplig medarbetare för analys innan en händelse betecknas som en incident. När en incident har identifierats använder Apple en standardiserad metod för att tilldela incidenten en allvarlighetsgrad för att sedan klassificera, prioritera och bemöta den på rätt sätt. Organisationen har dessutom dokumenterat sin plan för incidentkommunikation, för att dokumentera och definiera roller, ansvarsområden, regelefterlevnadskrav och kommunikationsprocedurer för en incident.

Kontinuitetsplanering och katastrofberedskap

Claris använder Amazon Web Services (AWS) för sina värdbehov. Claris har skapat en miljöarkitektur som har hög redundans och hög tillgänglighet för kunderna.

Som ett helägt dotterbolag till Apple drar Claris, på vissa områden, dessutom nytta av Apples IT-tjänster. Som en del av Apples ISO 27001-certifiering genomgick Apples datacenter en revision i fråga om resiliens och driftkontinuitet.

Datahantering och integritet

Datalagring

Organisationen har utvecklat bevarandeprinciper och scheman som beskriver nödvändiga bevarandeperioder för arkiv.

Kundinnehåll som skapas i Claris-produkter är tillgängligt i 45 dagar efter det att kundens prenumeration avslutas eller löper ut. Efter den perioden raderas allt sådant innehåll.

Kunddata som används för att hantera användaradministration (namn, e-post och telefonnummer) sparas med kundens godkännande och i enlighet med Claris integritetsregler.

Integritetsregler

Claris har ett integritetsåtagande gentemot kunderna och följer tillämpliga sekretessregler i fråga om våra produkter och tjänster. Claris samlar in minsta möjliga mängd data för att tillhandahålla kunderna våra tjänster.

Kunddata som samlas in behandlas alltid i enlighet med Claris integritetsregler.

GDPR: Claris efterlever GDPR, men det är upp till våra kunder att säkerställa att de skapar appar och hanterar sina data i enlighet med bestämmelserna i GDPR. Om du vill ha mer information om Claris efterlevnad av GPDR eller om du har en begäran angående GDPR kan du läsa mer här.

HIPAA: Claris gör inga påståenden om efterlevnad av HIPAA. Om du tillhör en omfattad entitet, en affärspartner eller är representant för en omfattad entitet eller affärspartner samtycker du till att inte använda någon komponent, funktion eller annan facilitet i Claris FileMaker Cloud eller Claris Connect för att skapa, ta emot, bevara eller överföra någon skyddad hälsoinformation.

PCI: Claris följer PCI vid bearbetning av kreditkort för kunderna. Claris produkter har dock inte genomgått någon PCI-revision, så kreditkortsdata bör inte lagras i Claris produkter.