Dieser Artikel ist auch verfügbar in:
Dieser Artikel wurde mit maschineller Übersetzung übersetzt. Er könnte dementsprechend einige Fehler oder kuriose Formulierungen enthalten. Wir glauben trotzdem, dass es nützlich für Sie ist, diesen Hilfeartikel in Ihrer Sprache lesen zu können. Geben Sie uns nach dem Lesen aber gerne Bescheid, ob der Artikel hilfreich war, oder ob Sie sonstiges Feedback haben.

Dieser Artikel beschreibt einige der Techniken und Verfahren, die wir einsetzen.

Bei Easy LMS ist die Sicherheit Ihrer Daten unsere oberste Priorität. Wir versuchen ständig, unsere eigenen Sicherheitssysteme zu knacken, um Schwachstellen zu identifizieren.

Software-Architektur

Easy LMS ist auf unserem eigenen Content Management System (CMS) aufgebaut. Dieses System wurde auf der Basis des Open-Source Yii PHP-Frameworks entwickelt. Yii verwendet eine Model-View-Controller (MVC) basierte Architektur, die einen strukturierten, sauberen und wartbaren Code ermöglicht. Yii gilt als solide, schnell und sicher.



Yii Framework

Wir nutzen viele der eingebauten Sicherheitsfunktionen von Yii, wie z.B. Datenverschlüsselung, XSS-Prävention und Daten-Sanitization. Benutzereingabedaten werden immer auf dem Server validiert, auch wenn die clientseitige Validierung ebenfalls verwendet wird.

Authentifizierung

Rollen-Autorisierung

Wir haben verschiedene Arten von Benutzern, die auf das System zugreifen können, wie Sie im Diagramm unten sehen können. Je nach Sicherheitsstufe hat jede Rolle Zugriff auf zusätzliche Teile des Systems und Daten. Ab der Support-Ebene verwenden wir eine Art von Anmeldung, die sich von einer Client-Anmeldung als zusätzliche Sicherheitsebene unterscheidet.



Häufig gestellte Fragen

Nachfolgend finden Sie eine Liste von Sicherheitsfragen, die wir häufig erhalten.

Wo befinden sich Ihre Server?

Easy LMS läuft auf einer Amazon Web Services Cloud, kurz AWS. Die Server und Datenbanken befinden sich physisch in Frankfurt, Deutschland.

Wie schützen Sie meine Daten?

Wir schützen Ihre Daten auf mehrere Arten:

Alle Daten werden in der Datenbank gespeichert, die vollständig verschlüsselt ist. Das bedeutet, dass die Daten in der Datenbank nur auf bestimmte Weise abgerufen werden können.
Persönliche Daten, die wir erfragen, werden in der Datenbank mit einer zusätzlichen Verschlüsselungsebene gespeichert. Das bedeutet, dass selbst wenn die Datenbank kompromittiert wird, ein Angreifer nicht in der Lage wäre, die Daten ohne den Schlüssel zur Entschlüsselung zu lesen.
Passwörter werden mit einem hochsicheren Hashing-Algorithmus gespeichert. Anders als bei anderen Daten ist es unmöglich, das ursprüngliche Kennwort aus seinem Hashwert zu ermitteln.
Passwörter werden niemals an irgendjemanden in irgendeiner Form gesendet.
Die gesamte Kommunikation zwischen dem Client (Ihnen) und dem Server läuft über eine verschlüsselte Verbindung.

Wer hat Zugriff auf meine Daten?

Sie selbst, zu jeder Zeit. Wir können auf einige Ihrer Daten zugreifen, zum Beispiel für Supportzwecke und Rechnungen. Wir geben Ihre Daten niemals ohne Ihre Zustimmung weiter.

Wer hat Zugriff auf die Datenbank?

Unsere Datenbank ist nur für autorisierte Benutzer erreichbar. Diese Autorisierung wird über ein separates System abgewickelt, so dass kein Easy LMS-Konto direkten Zugriff auf die Datenbank hat. Dieses System ist nur von unserem eigenen internen Netzwerk aus erreichbar.

Verarbeiten und speichern Sie personenbezogene Daten?

Wir fragen nur Daten ab, die wir benötigen, z.B. für die Abrechnung. Wir speichern diese Daten verschlüsselt in unserer Datenbank.

Haben Sie ein Verfahren für den Fall eines Datenlecks?

Ja. Wenn ein Datenleck entdeckt wird, ergreifen wir sofort Maßnahmen, um zunächst das Leck zu reparieren und den externen Zugriff zu deaktivieren. Wir informieren alle Beteiligten innerhalb von 48 Stunden, nachdem ein Datenleck entdeckt wurde.

Welche Art der Verschlüsselung verwenden Sie?

Die Kommunikation erfolgt über HTTPS (TLS 1.2).
Alle Daten werden mit AES verschlüsselt-256.
Passwörter werden mit bcrypt-hashing gespeichert.
Persönliche Daten werden mit CBC- oder ECB-Verschlüsselung gespeichert (je nach Typ und Verwendung).

Wie verwenden wir Verschlüsselung für sensible Daten?

Passwörter werden über bcrypt gehasht
Personenbezogene Daten, mit Ausnahme von E-Mail-Adressen, werden über AES-128-CBC verschlüsselt

Unterstützen Sie Single Sign-On?

Ja. Welche SSO-Methoden wir unterstützen, können Sie in diesem artikel.

Haben Sie Backups?

Ja, haben wir. Wir machen täglich Snapshots unserer Datenbank mit einer Aufbewahrungsfrist von 35 Tagen.

Welche Software-Plattformen verwenden Sie?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Führen Sie Code-Reviews durch?

Ja, alle Änderungen am Code erfordern ein Code-Review. Eine Änderung kann nicht ohne die Zustimmung von mindestens zwei Entwicklern in Produktion gehen.

Welche Art von Support gibt es bei Ihnen?

Sie können uns erreichen über unsere website. Unsere Support-Abteilung ist von 08:30 Uhr bis 23:00 Uhr (CET), Montag bis Freitag, erreichbar. Unsere Support-Berater sprechen Niederländisch, Englisch, Deutsch, Französisch, Portugiesisch und Spanisch. Für alle anderen Sprachen bieten wir Support mit Hilfe von Maschinenübersetzung.

Wie lange dauert es, auf eine Anfrage zu antworten?

Das hängt von der Art der Anfrage ab, aber normalerweise innerhalb von 48 Stunden. Im Durchschnitt antworten wir Ihnen innerhalb von 67 Minuten.

Führen Sie Penetrationstests durch?

Wir sind dabei, dies zu prüfen. Einige unserer Kunden führen ihre eigenen Pen-Tests auf unserem System durch und teilen ihre Ergebnisse. Es versteht sich von selbst, dass alle auftretenden Probleme sofort unsere Aufmerksamkeit erhalten.

Kann ich einen Penetrationstest durchführen?

Wir laden Sie ein, dies zu tun, viele unserer anderen Kunden haben dies auch getan. Wir bitten Sie jedoch, uns dies im Vorfeld mitzuteilen, damit wir wissen, dass es zu einer zusätzlichen Belastung unserer Server kommen kann.

Wie oft aktualisieren Sie die Software?

Kontinuierlich. Wir arbeiten ständig an Verbesserungen der Software-Sicherheit und neuen Funktionen. Wann immer es einen Fix für einen Fehler oder ein Sicherheitsproblem gibt, setzen wir diesen sofort ein.

Wie testen Sie Ihre Software?

Wir testen unsere Software sowohl manuell als auch automatisch. Vor jedem Einsatz durchläuft unser System mehrere Phasen. Eine davon ist die Testphase. Während dieser Phase führt ein automatisiertes System Tausende von automatisierten Tests durch, wie z. B. Unit-Tests, Funktionstests und Integrationstests. Dadurch wird sichergestellt, dass alle Änderungen, die wir an unserer Software vornehmen, keine anderen Funktionen oder Sicherheitsmaßnahmen beeinträchtigen. Selbst wenn nur ein Test fehlschlägt, wird der Build abgelehnt und zur Behebung an die Entwicklung zurückgeschickt.

Sind alle mit der Datenverarbeitung beauftragten Mitarbeiter auf das Datengeheimnis verpflichtet worden?

Ja, jeder unserer Mitarbeiter unterschreibt eine Erklärung, dass er niemals Daten an Unbeteiligte weitergeben wird.

Haben Sie irgendwelche Härtungsprozesse eingerichtet?

Ja, die haben wir:

Alle Sicherheitspatches unserer Betriebssysteme sind installiert.
Wir haben Anti-Virus und Anti-Spyware auf allen unseren Systemen installiert.
Wir haben einen Endpunktschutz installiert.
Alle Anmeldedaten, sowohl auf unseren Workstations als auch auf der Plattform, müssen stark sein. Wir verwenden eine Zwei-Faktor-Authentifizierung, wenn dies angemessen ist.
Wir sperren alle PCs automatisch, wenn jemand seinen Arbeitsplatz verlässt.
Wir haben eine Firewall im Einsatz.

Wie wird die Trennung zwischen dem Unternehmensnetzwerk mit seinen Anmeldedaten und der Produktionsumgebung durchgesetzt?

Die Anmeldeinformationen des Unternehmensnetzwerks sind anders als die der Produktionsumgebung. Wir erlauben keinen Zugriff auf die Produktionsumgebung über eine Form von SSO aus unserem Unternehmensnetzwerk. Die Anmeldung an der Produktionsumgebung funktioniert also mit anderen Zugangsdaten, die nur Devops und Sysadmins zur Verfügung stehen. Es werden Zugriffsprotokolle geführt.

Wie ist Ihre Zugriffs- und Schlüsselverwaltung organisiert?

Der CTO ist für die Zugriffs- und Schlüsselverwaltung und die Vergabe von Berechtigungen zuständig. Wir vergeben nur Zutritt, wenn dies für die Tätigkeit des Mitarbeiters notwendig ist.

Sind Sie GDPR-konform?

Die GDPR ist am 25. Mai in Kraft getreten. 2018. Wir freuen uns, bestätigen zu können, dass Easy LMS vollständig GDPR-konform ist. Wir haben unsere Datenschutzrichtlinie, Bedingungen und Konditionen und den Betrieb entsprechend der GDPR aktualisiert. Wenn Sie eine Datenverarbeitungsvereinbarung mit uns benötigen, lassen Sie es uns wissen und wir senden Ihnen ein digitales Dokument zum Unterschreiben zu. Weitere Informationen über die GDPR und was sie beinhaltet, finden Sie hier.

War dieser Beitrag hilfreich?
Stornieren
Danke!