Dieser Artikel ist auch verfügbar in:
Dieser Artikel wurde mit maschineller Übersetzung übersetzt. Er könnte dementsprechend einige Fehler oder kuriose Formulierungen enthalten. Wir glauben trotzdem, dass es nützlich für Sie ist, diesen Hilfeartikel in Ihrer Sprache lesen zu können. Geben Sie uns nach dem Lesen aber gerne Bescheid, ob der Artikel hilfreich war, oder ob Sie sonstiges Feedback haben.

Dieser Artikel beschreibt einige der Techniken und Verfahren, die wir einsetzen.

Bei Easy LMS hat die Sicherheit Ihrer Daten für uns oberste Priorität. Wir versuchen ständig, unsere eigenen Sicherheitssysteme zu knacken, um Schwachstellen zu identifizieren.

Software-Architektur

Easy LMS ist auf unserem eigenen Content Management System (CMS) aufgebaut. Dieses System wurde auf der Grundlage des Open-Source-PHP-Frameworks Yii entwickelt. Yii verwendet eine Model-View-Controller (MVC) basierte Architektur, die einen strukturierten, sauberen und wartbaren Code ermöglicht. Yii gilt als solide, schnell und sicher.


Yii-Framework

Wir nutzen viele der eingebauten Sicherheitsfunktionen von Yii, wie z.B. Datenverschlüsselung, XSS-Prävention und Daten-Sanitization. Benutzereingabedaten werden immer auf dem Server validiert, auch wenn die clientseitige Validierung ebenfalls verwendet wird.

Authentifizierung
Rolle Autorisierung

Es gibt verschiedene Arten von Benutzern, die auf das System zugreifen können, wie Sie im folgenden Diagramm sehen können. Je nach Sicherheitsstufe hat jede Rolle Zugriff auf bestimmte Teile des Systems und Daten. Ab der Support-Stufe verwenden wir eine Art von Login, die sich von einem Client-Login als zusätzliche Sicherheitsebene unterscheidet.



Häufig gestellte Fragen

Nachstehend finden Sie eine Liste von Sicherheitsfragen, die uns häufig gestellt werden.
Wo befinden sich Ihre Server?

Easy LMS läuft auf einer Amazon Web Services Cloud, oder kurz AWS. Die Server und Datenbanken befinden sich physisch in Frankfurt, Deutschland.
Wie schützen Sie meine Daten?

Wir schützen Ihre Daten auf verschiedene Weise:

Alle Daten werden in der Datenbank gespeichert, die vollständig verschlüsselt ist. Das bedeutet, dass die Daten in der Datenbank nur auf bestimmte Weise abgerufen werden können.
Persönliche Daten, die wir erfragen, werden in der Datenbank mit einer zusätzlichen Verschlüsselungsebene gespeichert. Das bedeutet, dass ein Angreifer, selbst wenn die Datenbank kompromittiert wird, nicht in der Lage wäre, die Daten ohne den Schlüssel zur Entschlüsselung zu lesen.
Passwörter werden mit einem hochsicheren Hashing-Algorithmus gespeichert. Anders als bei anderen Daten ist es unmöglich, das ursprüngliche Kennwort aus dem Hashwert zu ermitteln.
Passwörter werden niemals an Dritte weitergegeben.
Die gesamte Kommunikation zwischen dem Client (Ihnen) und dem Server erfolgt über eine verschlüsselte Verbindung.
Wer hat Zugang zu meinen Daten?

Sie selbst, zu jeder Zeit. Wir können auf einige Ihrer Daten zugreifen, zum Beispiel für Supportzwecke und Rechnungen. Wir geben Ihre Daten niemals ohne Ihre Zustimmung weiter.
Wer hat Zugang zur Datenbank?

Unsere Datenbank ist nur für autorisierte Benutzer zugänglich. Diese Autorisierung wird über ein separates System abgewickelt, so dass kein Easy LMS-Konto direkten Zugriff auf die Datenbank hat. Dieses System ist nur von unserem eigenen internen Netzwerk aus erreichbar.
Verarbeiten und speichern Sie personenbezogene Daten?

Wir fragen nur Daten ab, die wir benötigen, zum Beispiel für die Rechnungsstellung. Wir speichern diese Daten verschlüsselt in unserer Datenbank.
Haben Sie ein Verfahren für den Fall eines Datenlecks?

Ja. Wenn ein Datenleck entdeckt wird, ergreifen wir sofort Maßnahmen, um zunächst das Leck zu reparieren und den externen Zugang zu sperren. Wir informieren die Beteiligten innerhalb von 48 Stunden nach Entdeckung eines Datenlecks.
Welche Art der Verschlüsselung verwenden Sie?

Die Kommunikation erfolgt über HTTPS (TLS 1.2).
Alle Daten werden mit AES verschlüsselt -256.
Passwörter werden mit bcrypt-hashing gespeichert.
Persönliche Daten werden mit CBC- oder ECB-Verschlüsselung gespeichert (je nach Art und Verwendung).
Wie verwenden wir die Verschlüsselung für sensible Daten?

Passwörter werden über bcrypt gehasht
Personenbezogene Daten, mit Ausnahme von E-Mail-Adressen, werden mit AES-128-CBC verschlüsselt
Unterstützen Sie Single Sign-On?

Ja. Sie können in diesem Artikel nachlesen, welche SSO-Methoden wir unterstützen.
Haben Sie Backups?

Ja, haben wir. Wir machen täglich Schnappschüsse von unserer Datenbank mit einer Aufbewahrungsfrist von 35 Tagen.
Welche Software-Plattformen verwenden Sie?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 8.1
MariaDB ≥ 10.4
Führen Sie Code-Reviews durch?

Ja, alle Änderungen am Code erfordern eine Codeüberprüfung. Ohne die Zustimmung von mindestens zwei Entwicklern kann eine Änderung nicht in Produktion gehen.
Welche Art von Unterstützung bieten Sie an?

Sie können uns über unsere Website erreichen. Unsere Support-Abteilung ist von Montag bis Freitag von 08:30 Uhr bis 23:00 Uhr (CET) erreichbar. Unsere Support-Mitarbeiter sprechen Niederländisch, Englisch, Deutsch, Französisch, Portugiesisch und Spanisch. Für alle anderen Sprachen bieten wir Support mit Hilfe von maschineller Übersetzung.
Wie lange dauert es, auf eine Anfrage zu antworten?

Das hängt von der Art der Anfrage ab, in der Regel jedoch innerhalb von 48 Stunden. Im Durchschnitt beantworten wir Ihre Anfrage innerhalb von 67 Minuten.
Führen Sie Penetrationstests durch?

Wir sind dabei, dies zu prüfen. Einige unserer Kunden führen ihre eigenen Pen-Tests an unserem System durch und teilen ihre Ergebnisse mit. Es versteht sich von selbst, dass wir uns um jedes Problem, das auftritt, sofort kümmern.
Kann ich einen Penetrationstest durchführen?

Wir laden Sie dazu ein, und viele unserer anderen Kunden haben dies auch getan. Wir bitten Sie jedoch, uns dies im Voraus mitzuteilen, damit wir wissen, dass unsere Server unter Umständen zusätzlich belastet werden.
Wie oft aktualisieren Sie die Software?

Kontinuierlich. Wir arbeiten ständig an der Verbesserung der Sicherheit der Software und an neuen Funktionen. Wann immer ein Fehler oder ein Sicherheitsproblem behoben wird, setzen wir dies sofort um.
Wie testen Sie Ihre Software?

Wir testen unsere Software sowohl manuell als auch automatisch. Vor jedem Einsatz durchläuft unser System mehrere Phasen. Eine davon ist die Testphase. Während dieser Phase führt ein automatisiertes System Tausende von automatisierten Tests durch, z. B. Einheitstests, Funktionstests und Integrationstests. Auf diese Weise wird sichergestellt, dass alle Änderungen, die wir an unserer Software vornehmen, keine anderen Funktionen oder Sicherheitsmaßnahmen beeinträchtigen. Selbst wenn nur ein einziger Test fehlschlägt, wird der Build abgelehnt und zur Behebung an die Entwicklung zurückgeschickt.
Sind alle mit der Datenverarbeitung beauftragten Mitarbeiter auf das Datengeheimnis verpflichtet worden?

Ja, jeder unserer Mitarbeiter unterschreibt eine Erklärung, dass er oder sie niemals Informationen an Unbeteiligte weitergibt.
Haben Sie irgendwelche Härtungsprozesse eingerichtet?

Ja, das haben wir:

Alle Sicherheitspatches für unsere Betriebssysteme sind installiert.
Wir haben auf allen unseren Systemen Viren- und Spyware-Schutz installiert.
Wir haben einen Endpunktschutz installiert.
Alle Anmeldedaten, sowohl auf unseren Workstations als auch auf der Plattform, müssen sicher sein. Wenn nötig, verwenden wir eine Zwei-Faktor-Authentifizierung.
Wir sperren alle PCs automatisch, wenn jemand seinen Arbeitsplatz verlässt.
Wir haben eine Firewall eingerichtet.
Wie wird die Trennung zwischen dem Unternehmensnetz mit seinen Anmeldeinformationen und der Produktionsumgebung durchgesetzt?

Die Anmeldeinformationen des Unternehmensnetzwerks unterscheiden sich von denen der Produktionsumgebung. Wir lassen den Zugriff auf die Produktionsumgebung über eine Form von SSO aus unserem Unternehmensnetzwerk nicht zu. Die Anmeldung in der Produktionsumgebung funktioniert also mit anderen Anmeldedaten, die nur Devops und Sysadmins zur Verfügung stehen. Es werden Zugriffsprotokolle geführt.
Wie ist Ihre Zugangs- und Schlüsselverwaltung organisiert?

Der CTO ist für die Verwaltung des Zugangs und der Schlüssel sowie für die Vergabe von Berechtigungen zuständig. Wir erteilen nur dann Zugang, wenn dies für die Arbeit des Mitarbeiters erforderlich ist.
Sind Sie GDPR-konform?

Die GDPR ist am 25. Mai in Kraft getreten. 2018. Wir freuen uns, bestätigen zu können, dass Easy LMS vollständig GDPR-konform ist. Wir haben unsere Datenschutzrichtlinie, Allgemeine Geschäftsbedingungen und unsere Betriebsabläufe entsprechend der GDPR aktualisiert. Wenn Sie eine Datenverarbeitungsvereinbarung mit uns benötigen, lassen Sie es uns wissen und wir senden Ihnen ein digitales Dokument zur Unterzeichnung zu. Weitere Informationen über die Datenschutz-Grundverordnung und ihre Auswirkungen finden Sie hier.

War dieser Beitrag hilfreich?
Stornieren
Danke!