Sicherheit

Erfolg basiert auf Vertrauen

Sicherheit ist eine Verpflichtung, ein Geisteszustand und eine Kultur – kein Kontrollkästchen – vor allem, wenn es um Informationen über Ihre Mitarbeiter geht.

Wir bei Saba wissen, dass Erfolg auf Vertrauen basiert. Unser Ansatz beruht auf dem Grundprinzip der Sicherheit durch Technik (Security by Design). Wir verpflichten uns, branchenweit bewährte Sicherheits- und Compliance-Services zu bieten, die Stärke unseres Sicherheitsprogramms laufend zu überprüfen und eine robuste, skalierbare und sichere Plattform bereitzustellen, die selbst den strengsten Anforderungen an Datenschutz und Privatsphäre gerecht wird.

Erste Schritte

Umfassende Sicherheit und Compliance

Saba unterhält eine erstklassige mandantenfähige Architektur mit mehreren Datenbanken, die den höchsten Compliance- und Verfügbarkeitsstandards entspricht und die strengsten globalen Datenschutzanforderungen erfüllt.

Das Saba-Sicherheitsprogramm bietet ein firmenübergreifendes Beurteilungsverfahren, bei dem die erfolgreiche Umsetzung brancheninterner Praktiken im Mittelpunkt steht. Saba sorgt nicht nur für Sicherheit während der Systementwicklung, sondern auch für die Einhaltung von globalen Datenschutzbestimmungen und angemessene Kontrollen. So können Sie personenbezogene Daten sicher und gemäß den Datenschutzanforderungen Ihrer Kunden handhaben, aufbewahren, löschen und weiterleiten.

Mit Branchenstandards und -vorschriften konform

As new security frameworks, standards and regulatory requirements are developed and gain traction in the cloud industry, Saba reviews them and adopts the ones that are relevant to our customers and help improve our security program and reduce our security risk. Depending on the focus of a particular service offering, Saba and/or its service partners may comply with, or help customers to comply with, some or all of the following certifications, standards and best practices:

ISO/IEC 27001:2013

SOC 1 Typ  2

SOC 2 Typ  2

ISAE 3402 Typ 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Teil 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Datenschutz

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Typ  2

SOC 2 Typ  2

ISAE 3402 Typ 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Teil 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Datenschutz

TRUSTe APEC

ISO/IEC 27001:2013

SOC 1 Typ  2

SOC 2 Typ  2

ISAE 3402 Typ 2

EU-US Privacy Shield

CSA Star

FDA 21 CFR Teil 11

PCI DSS

OWASP Top 10

TRUSTe Cloud Datenschutz

TRUSTe APEC

Validated Environment Managed Services (VEMS)

Unternehmen, die in stark regulierten Branchen tätig sind, z. B. Arzneimittelhersteller, Hersteller medizinischer Geräte, Biotech-Unternehmen, Entwickler biologischer Produkte, Life-Science-Unternehmen und Lebensmittelhersteller, unterliegen strengen Compliance-Anforderungen, die von den Aufsichtsbehörden der Länder, in denen sie tätig sind, festgelegt werden.

Saba bietet branchenspezifische Funktionen und Validierungssicherheit für die Einhaltung der US FDA 21 CFR Teil 11 sowie Supportdienstleistungen für Kunden, die ihre eigene Validierung und Dokumentation durchführen müssen. Wir überprüfen die Sicherheit unserer Plattform durch branchenweite Audits und Zertifizierungen, die von unabhängigen externen Auditoren durchgeführt werden. Diese Audits sorgen dafür, dass die Sicherheitskontrollen von Saba für Konzeption und Betriebseffektivität unabhängig voneinander bewertet werden können.

Eine Verpflichtung zur unabhängigen Qualitätssicherung

Es überrascht nicht, dass unsere Kunden eine Validierung von unabhängigen Dritten erwarten, dass die von Saba ergriffenen Maßnahmen die Sicherheitsstandards und -kontrollen erfüllen, effektiv funktionieren und bei Bedarf spezifische Anforderungen verschiedener Branchen unterstützen. Um unsere Kunden bei der Erfüllung ihrer Compliance- und Sicherheitsanforderungen zu unterstützen, investieren wir laufend in Ressourcen und bieten unseren Kunden Zugang zu unabhängigen Bewertungen und Beurteilungen unserer Sicherheitskontrollen und der allgemeinen Sicherheitseffektivität. Auf Anfrage sind Beurteilungen von Drittanbietern erhältlich, darunter Audit-Berichte gemäß AICPA SOC 2 Typ 2, Berichte über Schwachstellen bei Webanwendungen sowie Ergebnisse der Scans von Netzwerk- und Host-Schwachstellen.

Spezialisierte Sicherheits- und Compliance-Organisation

Unser spezialisiertes Saba-Sicherheitsteam besteht aus Branchenführern und zertifizierten Experten für Best Practices im Bereich Sicherheit, die sich schwerpunktmäßig mit dem Risikomanagement in Bezug auf die sich entwickelnde Bedrohungslandschaft, den sich abzeichnenden Datenschutz, Compliance und Datenschutzanforderungen auseinandersetzen. Die Sicherheitsorganisation von Saba praktiziert die Aufgabenteilung, berichtet getrennt und direkt an die Geschäftsleitung und arbeitet mit unseren IT-, Cloud Operations- und Produktentwicklungsteams zusammen, um sicherzustellen, dass unsere Produkte und Dienstleistungen aus Kundensicht sicher konzipiert sind. Gleichzeitig werden die Cloud-Betriebsaktivitäten von Saba kontinuierlich überwacht. Mit unserem spezialisierten Fachwissen im Bereich Sicherheit und Datenschutz und unserem kooperativen Ansatz arbeiten wir mit Ihnen zusammen, um eine vertrauenswürdige Umgebung für Ihr Unternehmen zu gewährleisten.

Grenzübergreifend

Die Kontrolle des Standorts Ihrer Daten ist ein wichtiges Element des Datenschutzes und der Compliance. Saba verfügt über Rechenzentren in Nordamerika, EMEA und im asiatisch-pazifischen Raum. Rechenzentren in Nordamerika und Europa sind gemäß SSAE-16/AT101 Typ 2 und/oder SOC 2 Typ 2 geprüft und gemäß ISO 27001 zertifiziert und erfüllen viele zusätzliche gesetzliche Anforderungen. Um die Einhaltung der Datenschutzbestimmungen sicherzustellen, werden Kundendaten nur in primären und sekundären Rechenzentren innerhalb der jeweiligen Region gehostet.

Der physische und logische Zugang zu unseren Rechenzentren wird streng kontrolliert. Dabei ist der Zugang auf vorab autorisiertes Personal und mehrstufige Identitätsmanagementsysteme beschränkt, darunter biometrische und Cardkey-Identifikationssysteme, sowie verpflichtend vorab genehmigte Kundenlisten und An- und Abmeldeverfahren. Servicelevel für die Verfügbarkeit und Servicequalität sind streng definiert und werden von einer Reihe von Anwendungen kontinuierlich überwacht, die über Verfügbarkeit, Leistung und Servicequalität berichten. Alle Rechenzentren verfügen über redundante Schutzmaßnahmen für die Umgebung, darunter Überlegungen zu Kühlung, Stromversorgung, physischer Sicherheit, Netzwerkkonnektivität und Naturkatastrophen.

Sicherheit durch Technik (Security by Design)

Saba ist mit einem tief greifenden Sicherheitsmodell ausgestattet und legt bei Planung und Betrieb von Infrastruktur und Services großen Wert auf Sicherheitskontrollen. Unser Ziel bei Saba ist Sicherheit durch Technik – wir stellen sicher, dass wir unseren Kunden überall auf der Welt auf die effizienteste Art und Weise eine hohe Sicherheit bieten.

Funktionen

Saba Security Council

Der Security Council ist ein konsensbasiertes Forum, das den Chief Information Security Officer in folgenden Bereichen unterstützt:

  1. Festlegung von vordringlichen Sicherheits- und Datenschutzinitiativen
  2. Empfehlungen für Richtlinien, Verfahren und Standards, um sicherzustellen, dass diese Initiativen die Sicherheitslage und den Schutz von Saba und seinen Kundennetzwerken, Informations- und Informationssystemen verbessern
  3. Bewertung der Compliance mit bestehenden gesetzlichen Vorschriften und Kundenanforderungen.

System- und Datenzugriffssteuerung

Sabas Sicherheitsmodell beschränkt den Zugriff auf Systeme und Daten auf der Grundlage festgelegter Pflichtentrennung (Segregation of Duties, SoD) und Aufgabenbereiche (RACI) sowie nach dem „Need-to-know-Prinzip“. Der logische Zugriff auf unsere Systeme wird mithilfe von Sicherheitsrichtlinien und -verfahren, zweistufiger Authentifizierung mit eindeutigen Benutzernamen/Passwörtern sowie speziellen Berechtigungen für den lokalen Host eingeschränkt. Der direkte Zugriff auf Konten von Systemadministratoren (z. B. root) ist untersagt. Aufgrund der standardisierten Datenklassifizierung ist der Zugriff auf Kundendaten nur über Systeme möglich, die durch Saba autorisiert wurden.

Netzwerksicherheit

Die Netzwerksicherheit wird durch mehrschichtige Firewalls, ein modernes Netzwerkdesign und Netzwerksegmentierung gewährleistet. Hochverfügbare Firewalls filtern den Datenverkehr zwischen Web, Anwendungen und Datenebenen. Firewalls unterstützen zustandsorientierte Paketüberprüfung, Löschung von anormalen Paketen, Schutz vor Denial-of-Service-Angriffen, Spoofing-Überwachung und Virenfilter. Saba-Netzwerke sind für vLAN- und Subnetz-Segmentierung, Port-Einschränkungen, Zugriffssteuerungslisten sowie Adressen- und Portübersetzung konzipiert. Alle physischen Datenverbindungen sind in einer hochverfügbaren Mesh-Topologie konfiguriert, wobei jedem System und jedem Dienst mindestens zwei Kommunikationsrouten zur Verfügung stehen. Durch diese Topologie von Saba sind die Datenintegrität und der Datenfluss in allen Netzwerken gewährleistet. Saba-Firewalls sind nach den Vorgaben des National Institute of Standards and Technology (NIST) konfiguriert, und an allen Endgeräten werden die strengsten Richtlinien durchgesetzt. Sämtliche Sicherheitsgeräte und Firewalls werden rund um die Uhr überwacht. Die Überwachungsprogramme lösen Warnmeldungen aus, sobald festgelegte Schwellenwerte überschritten werden.

Globale Rechenzentren

Rechenzentren in Nordamerika und EMEA sind nach SSAE-16/AT101 Typ 2 und/oder SOC 2 Typ 2 geprüft und nach ISO 27001 zertifiziert. Zusätzliche Funktionen stehen zur Verfügung, um die strengen gesetzlichen Anforderungen zu erfüllen.

Umweltschutzmaßnahmen

Alle Rechenzentren sind mit redundanter High-Density-Stromversorgung sowie mit automatisierter und überwachter Anlagensteuerung ausgestattet. Die Stromaggregate aller Rechenzentren werden regelmäßig getestet und von mehreren Treibstofflieferanten betreut, sodass der Betrieb auch im Katastrophenfall gewährleistet ist.

Physische Sicherheit

Der physische Zugang zu unseren Rechenzentren unterliegt strengen Kontrollen und ist auf autorisierte Mitarbeiter und mehrschichtige Identitätsmanagementsysteme beschränkt. Der Zugang zu den Einrichtungen sowie zu den Tresor- und Käfigbereichen wird über biometrische und Cardkey-Identifikationssysteme mit genehmigten Kundenlisten und festgelegten An- und Abmeldeverfahren gesteuert. Sämtliche Server und physischen Infrastrukturen befinden sich in verschlossenen Racks. Der Zutritt zu den Servern ist nur autorisierten Mitarbeitern gestattet.

Mehrschichtige physische Sicherheitssysteme erfordern eine Vorabgenehmigung des Managements, und autorisierte Personen müssen an einem besetzten Sicherheitsschalter einen von der Regierung ausgestellten Lichtbildausweis vorlegen. Zusätzlich sind kontrollierte Sicherheitsschleusen und eine Zwei-Faktor-Authentifizierung (einschließlich Biometrie) erforderlich, um Zugang zur Serverraum-Etage des Rechenzentrums und zum dedizierten und gesicherten Käfig von Saba zu erhalten.

Penetrationstests

Saba arbeitet mit einem anderen Drittanbieter-Sicherheitsberater zusammen, um für jede Hauptversion eine Grey-Box-Sicherheitsbewertung unserer Anwendungen durchzuführen. Dazu gehören sowohl Tests der Web- und Mobil-Applikationen von Saba als auch Penetrationstests gegen das Netzwerk.

Scans von Webanwendungen

Als Teil unseres Systementwicklungs-Lebenszyklus und zur Bewertung unserer Anwendungen nutzt Saba branchenführende dynamische Scan-Lösungen sowie statische Code-Analysen, um bekannte Sicherheitslücken, einschließlich des OWASP, zu erkennen. Die Stichprobenprüfung umfasst, ist aber nicht beschränkt auf:

  • Authentifizierung
  • Autorisierung
  • Konfiguration
  • Cookie-Manipulation
  • Cross-Site Scripting
  • Manipulation von versteckten Feldern
  • Eingabe/Ausgabe-Validierung
  • Logische Schwachstellen Überprüfung
  • Manipulation von Parametern
  • Privilegien-Eskalation
  • Übermittlung von vertraulichen Daten
  • Sitzungsverwaltung

Zertifizierungen

Unser Expertenteam verfügt über professionelle Zertifizierungen, die ihr Wissen und ihre Fähigkeiten in ihrem jeweiligen Fachgebiet zeigen. Zu den Zertifizierungen gehören Certified Systems Engineers, Cisco Certified Network Associates (CCNA), Certified Information Systems Security Professionals (CISSP), Certified Information System Auditors (CISA), Certified Information Security Managers (CISM), GIAC Web Application Penetration Testers (GWAPT) und Certified Information Privacy Professional (CIPP). Darüber hinaus sind unsere Techniker für verschiedene Infrastruktur- und Betriebssystem-Softwareprodukte zertifiziert und/oder geschult.

Validated Environment Managed Services (VEMS)

Unternehmen, die in stark regulierten Branchen tätig sind, z. B. Arzneimittelhersteller, Hersteller medizinischer Geräte, Biotech-Unternehmen, Entwickler biologischer Produkte, Life-Science-Unternehmen und Lebensmittelhersteller, unterliegen strengen Compliance-Anforderungen, die von den Aufsichtsbehörden der Länder, in denen sie tätig sind, festgelegt werden. Saba unterstützt Compliance-Anforderungen wie z. B. US FDA – Titel 21 CFR Teil 11, auch in Bezug auf die Aufbewahrung elektronischer Aufzeichnungen und zugehöriger elektronischer Signaturen in validierten, computergestützten Systemen.

Saba ist eine Lösung, die wir vor allem deshalb ausgesucht haben, weil es eine sichere Plattform ist.

— Gavin Hoover, Vice President of Training, Go Wireless

Möchten Sie Saba Lösungen in Aktion sehen?

Erfahren Sie mehr in einer unserer Produkttouren.

Jetzt ansehen

Möchten Sie mehr erfahren?

Erste Schritte