Aktualisiert 14.06.2024
Sicherheit
Wir setzen alles daran, sicherzustellen, dass Ihre Privatsphäre und Ihre Daten niemals gefährdet werden. Hier sind einige Maßnahmen, die wir dafür ergriffen haben:
Compliance
GDPR
Workbase verpflichtet sich sicherzustellen, dass alle personenbezogenen Daten unserer Kunden und Mitarbeiter in Übereinstimmung mit der Datenschutz-Grundverordnung der EU (GDPR) behandelt werden.
CCPA
Der California Consumer Privacy Act ("CCPA") regelt, wie Organisationen mit den personenbezogenen Informationen der Einwohner Kaliforniens umgehen, und gewährt ihnen bestimmte Rechte in Bezug auf ihre persönlichen Informationen. Workbase ist bestrebt, den CCPA einzuhalten. Als Anbieter von Unternehmensdesign-Tools ist Workbase in erster Linie ein Dienstleister gemäß dem CCPA.
Datensicherheit
Alle Dienste von Workbase werden in Google Cloud-Einrichtungen in Europa gehostet. Die Dienste sind über mehrere Verfügbarkeitszonen von Google Cloud verteilt. Diese Zonen befinden sich in physisch getrennten Rechenzentren, die die Dienste vor Ausfällen eines einzelnen Rechenzentrums schützen.
Datenklassifizierung
Workbase klassifiziert die Daten, die sie besitzen, verwenden, erstellen und pflegen, in folgende Kategorien:
Vertraulich: Kunden- und personenbezogene Daten
Intern: Interne betriebliche Daten von Workbase, die nicht offengelegt werden sollten
Öffentlich: Zum Beispiel das Marketingmaterial und die Inhalte auf dieser Website
Verschlüsselung im Ruhezustand
Workbase verwendet die von Google Cloud verwalteten Datenspeicher Cloud SQL, Memorystore und Cloud Storage zur Speicherung von Kundendaten, einschließlich Backups. Alle diese Google Cloud-Dienste sind so konfiguriert, dass sie die Verschlüsselung im Ruhezustand mit AES und 256-Bit-Schlüsseln verwenden.
Geheimnis- und Verschlüsselungsschlüsselverwaltung
Workbase verwendet den Google Cloud Secret Manager zur sicheren Speicherung und Verwaltung von Geheimnissen, die von Diensten verwendet werden. Workbase verwendet den Google Cloud Key Management Service (KMS) zum Verschlüsseln und Entschlüsseln dieser Geheimnisse sowie zur Verwaltung aller von Workbase-Diensten verwendeten Verschlüsselungsschlüssel. Der Zugriff auf Geheimnisse und Verschlüsselungsschlüssel ist auf die Dienste auf der Basis des geringsten Privilegs beschränkt und wird vom Workbase-Infrastrukturteam verwaltet.
Trennung der Umgebungen
Workbase trennt und isoliert vollständig ihre Produktions-, Staging- und Entwicklungsnetzwerke und -umgebungen.
Produktsicherheit
Sichere Entwicklung
Workbase praktiziert kontinuierliche Lieferung. Wir haben Prozesse und Automatisierungen eingerichtet, die es uns ermöglichen, Änderungen an unserer Cloud-Infrastruktur und webbasierten Anwendungen sicher und zuverlässig in schneller Folge auszurollen. Wir führen wöchentlich Dutzende von Änderungen in die Produktion ein.
Alle Code-Änderungen werden über Pull-Requests angefordert und müssen vor dem Zusammenführen in die Master- und Produktionszweige einer Code-Überprüfung und Genehmigung unterzogen werden.
Workbase verwendet GitHub Enterprise und Dependabot, um automatisch Pull-Requests zu erstellen und veraltete Abhängigkeiten zu aktualisieren.
Workbase verwendet statische Quellcode-Analyse-Tools, um Änderungen am Quellcode zu analysieren und potenzielle Codequalitätsprobleme oder Sicherheitslücken zu identifizieren.
Workbase verwendet Sentry, um Fehler in den Web- und Desktop-Anwendungen zu verfolgen.
Das Sicherheitsteam von Workbase arbeitet eng mit den Ingenieurteams zusammen, um etwaige Sicherheitsbedenken zu lösen, die während des Designs oder der Entwicklung auftreten können.
Bug-Bounty-Programm
Workbase betreibt ein privates Sicherheits-Bug-Bounty-Programm, das es Sicherheitsexperten weltweit ermöglicht, kontinuierlich die Sicherheit der Anwendungen und Dienste von Workbase zu testen. Sicherheitsingenieure, die gültige Probleme identifizieren, werden über das Programm bezahlt. Wenn Sie in unser Bug-Bounty-Programm eingeladen werden möchten, melden Sie eine Sicherheitslücke, indem Sie unseren Richtlinien zur Offenlegung von Sicherheitslücken folgen, wie unten beschrieben. Auf dieser Grundlage werden wir prüfen, ob wir Sie in unser Programm einladen, was nach unserem Ermessen entschieden wird.
Infrastruktur- und Netzwerksicherheit
Sicherung des Datenverkehrs
Workbase erfordert die Verwendung von TLS zur Sicherung des Datenverkehrs, sowohl im internen Netzwerk zwischen Diensten als auch im öffentlichen Netzwerk zwischen den Workbase-Anwendungen und der Workbase-Cloud-Infrastruktur. Die TLS-Konfiguration von Workbase erfordert mindestens TLS-Version 1.2 und die Verwendung starker Chiffriersätze, die wichtige Sicherheitsmerkmale wie Forward Secrecy unterstützen. Um Abwärtskompatibilitätsangriffe abzuwehren, hat Workbase HTTP Strict Transport Security implementiert und alle Produktionsdomains in die HSTS-Preload-Liste aufgenommen.
Externe Angriffsfläche
Workbase stellt nur öffentliche (Web-)Anwendungen und APIs dem öffentlichen Internet zur Verfügung. Alle anderen Dienste sind nur im internen Netzwerk verfügbar und für Mitarbeiter über VPN oder Single-Sign-On-Proxy zugänglich. Die externe Angriffsfläche wird von einem Drittanbieter überwacht.
Netzwerksegmentierung
Die Netzwerksegmentierung ist ein grundlegender Aspekt der Cloud-Sicherheitsstrategie von Workbase. Workbase erreicht Segmentierungsgrenzen auf verschiedenen Ebenen der Cloud-Infrastruktur. Workbase verwendet eine Multi-Account-Strategie innerhalb von AWS, um Produktions-, Entwicklungs- und Testumgebungen sowie Domänen wie Logging, Sicherheit und Marketing zu isolieren. Innerhalb von AWS verwendet Workbase VPCs, Sicherheitsgruppen, Netzwerkzugriffskontrolllisten und Subnetze, um Dienste weiter zu isolieren.
Erkennung und Prävention von Eindringversuchen
Workbase unterhält eine umfassende zentralisierte Protokollierungsumgebung, in der Netzwerk-, Host- und Anwendungsprotokolle an einem zentralen Ort gesammelt werden. Workbase hat auch detaillierte Audit-Trails mit wichtigen Dienstleistern wie Google Workspace, GitHub und AWS (CloudTrail) aktiviert. Diese Protokolle und Audit-Trails werden von automatisierten Systemen auf Sicherheitsereignisse, anomale Aktivitäten und unerwünschtes Verhalten analysiert.
Organisatorische Sicherheit
Sicherheitstrainings
Alle neuen Mitarbeiter sind verpflichtet, an den Trainings als Teil ihrer Einarbeitung teilzunehmen. Alle Mitarbeiter müssen regelmäßig an Trainings teilnehmen.
Bestandsverzeichnis
Workbase führt ein genaues und aktuelles Inventar aller Netzwerke, Dienste, Server und Mitarbeitergeräte. Der Zugriff auf Kundendaten von Workbase erfolgt nach dem Prinzip des geringsten Privilegs und wird vom Sicherheitsteam überwacht. Workbase-Mitarbeiter erhalten nur nach ausdrücklicher Genehmigung durch den jeweiligen Kunden Zugang. Alle Mitarbeiter von Workbase haben eine Geheimhaltungsvereinbarung unterzeichnet.
Sicherheitsvorfallmanagement
Das Sicherheitsteam von Workbase sammelt Protokolle und Audit-Trails aus verschiedenen Quellen an einem zentralen Ort und verwendet Tools zur Analyse, Überwachung und Markierung von anomalen oder verdächtigen Aktivitäten. Interne Prozesse definieren, wie Alarme eingestuft, untersucht und gegebenenfalls eskaliert werden. Sowohl Kunden als auch Nicht-Kunden werden ermutigt, potenzielle Sicherheitslücken oder vermutete Vorfälle an die Workbase-Sicherheit zu melden. Im Falle eines schwerwiegenden Sicherheitsvorfalls verfügt Workbase über die Expertise zur Untersuchung und Behebung von Sicherheitsvorfällen. Bei Bedarf hat Workbase Zugang zu externen Experten.
Informationssicherheitspolitiken
Workbase unterhält eine Reihe von Informationssicherheitspolitiken, die die Grundlage unseres Informationssicherheitsprogramms bilden. Alle Workbase-Mitarbeiter sind verpflichtet, diese Richtlinien im Rahmen ihrer Einarbeitung zu überprüfen. Diese Sicherheitsrichtlinien decken folgende Themen ab und stehen Enterprise-Kunden auf Anfrage zur Verfügung:
Zugangskontrolle
Änderungsmanagement
Risikomanagement
Datenklassifizierung und Bestandsverzeichnisverwaltung
Vorfallreaktion und -management
Netzwerksicherheit
Verschlüsselung und Schlüsselverwaltung
Sicherheit des Personals
Informationsübertragung
Sichere Entwicklung
Systemüberwachung und Protokollierung
Lieferantenmanagement
Schwachstellenmanagement und Malware-Schutz
Verwaltung von Mobilgeräten und Fernarbeit
Geschäftskontinuität und Notfallwiederherstellung
Betriebssicherheit
Backups und Notfallwiederherstellung
Alle Kundendaten von Workbase werden redundant in mehreren AWS- oder Google Cloud-Rechenzentren (Verfügbarkeitszonen) gespeichert, um die Verfügbarkeit sicherzustellen. Workbase verfügt über gut getestete Backup- und Wiederherstellungsverfahren, die eine schnelle Wiederherstellung im Falle von Ausfällen einzelner Rechenzentren und Katastrophen ermöglichen. Kundendaten werden kontinuierlich gesichert und extern gespeichert. Die Wiederherstellung von Backups wird alle 30 Tage vollständig getestet, um sicherzustellen, dass unsere Prozesse und Tools wie erwartet funktionieren.
Endpunktsicherheit
Workbase verwendet ausschließlich Apple Mac-Geräte. Diese Geräte werden zentral über die interne Mobile-Device-Management-Lösung verwaltet, die es uns ermöglicht, Sicherheitseinstellungen wie vollständige Festplattenverschlüsselung, Netzwerk- und Anwendungsfirewall, automatische Updates, Bildschirmsperrzeiten und Anti-Malware-Lösungen durchzusetzen. Falls Mitarbeitergeräte gestohlen oder verloren gehen, können die Daten auf diesen Geräten aus der Ferne gelöscht werden.
Risikomanagement und Bewertung
Workbase führt regelmäßig eine Risikoanalyse und Bewertung durch, um sicherzustellen, dass unsere Informationssicherheitspolitiken und -praktiken den Anforderungen und geltenden regulatorischen Verpflichtungen entsprechen.
Unternehmenssicherheit
Workbase Enterprise umfasst alle unsere allgemeinen Sicherheitsmaßnahmen sowie zusätzliche Funktionen und Verbesserungen, um noch mehr Anpassung und Datenschutz zu bieten.
Offenlegung von Sicherheitslücken
Wenn Sie eine potenzielle Sicherheitslücke melden oder Sicherheitsbedenken bezüglich eines Workbase-Produkts haben, wenden Sie sich bitte an security@workbase.com. Bitte geben Sie eine Beschreibung der Sicherheitslücke, die Schritte zur Reproduktion und die Auswirkungen der Sicherheitslücke an.