"Produkte und Dienstleistungen" bezeichnet für die Zwecke dieser Sicherheitsübersicht die IQGeo-Produkte und -Dienstleistungen insgesamt: IQGeo Platform, Network Manager Telecom, Network Manager Electric, Network Manager Gas, Workflow Manager, Inspection & Survey, OSPInsight Fiber System of Record (Web9), Network Revenue Optimizer, Comsof Fiber, Comsof Heat, Comsof Cloud und Comsof Area License Server.
Diese Sicherheitsübersicht beschreibt das Sicherheitsprogramm, die Sicherheitszertifizierungen und die technischen und organisatorischen Sicherheitskontrollen von IQGeo zum Schutz (a) der Kundendaten vor unbefugter Nutzung, Zugriff, Offenlegung oder Diebstahl und (b) der Produkte und Dienstleistungen. Als Sicherheitsbedrohungen ändern, IQGeo weiterhin sein Sicherheitsprogramm und Strategie zu aktualisieren, um Kundendaten und die Produkte und Dienstleistungen zu schützen. Als solche, IQGeo behält sich das Recht vor, diese Sicherheitsübersicht von Zeit zu Zeit zu aktualisieren; vorausgesetzt, jedoch, jede Aktualisierung wird nicht wesentlich reduzieren die allgemeinen Schutzmaßnahmen in dieser Sicherheitsübersicht dargelegt. Die jeweils aktuellen Bedingungen dieser Sicherheitsübersicht sind unter www.iqgeo.com/security-overview verfügbar . Diese Sicherheitsübersicht gilt nicht für (a) Produkte und Dienstleistungen, die als Alpha-, Beta-, nicht allgemein verfügbare, eingeschränkte Version, Entwickler-Vorschau oder ähnliche von IQGeo angebotene Produkte und Dienstleistungen gekennzeichnet sind, oder (b) von Telekommunikationsanbietern bereitgestellte Kommunikationsdienste.
IQGeo unterhält ein Sicherheitsprogramm mit risikobasierter Bewertung. Der Rahmen für IQGeo Sicherheitsprogramm umfasst administrative, organisatorische, technische und physische Schutzmaßnahmen angemessen entwickelt, um die Produkte und Dienstleistungen und Vertraulichkeit, Integrität und Verfügbarkeit von Kundendaten zu schützen. Das Sicherheitsprogramm von IQGeo soll der Art der Produkte und Dienstleistungen und der Größe und Komplexität des Geschäftsbetriebs von IQGeo angemessen sein. IQGeo hat separate und engagierte Informationssicherheit Personal, das IQGeo Sicherheitsprogramm zu verwalten. Das Sicherheitspersonal erleichtert und unterstützt unabhängige Audits und Bewertungen, die von Dritten durchgeführt werden. Der Sicherheitsrahmen von IQGeo basiert auf dem ISO 27001 Information Security Management System und umfasst Programme, die Folgendes umfassen: Richtlinien und Verfahren, Asset Management, Zugriffsmanagement, Kryptografie, physische Sicherheit, Betriebssicherheit, Kommunikationssicherheit, Sicherheit der Geschäftskontinuität im Katastrophenfall, Personalsicherheit, Produktsicherheit, Sicherheit der Cloud- und Netzwerkinfrastruktur, Einhaltung von Sicherheitsvorschriften, Sicherheit von Drittanbietern, Schwachstellenmanagement sowie Sicherheitsüberwachung und Reaktion auf Vorfälle. Der Chief Information Security Officer (CISO) von IQGeo trifft sich regelmäßig mit der Geschäftsleitung, um Probleme zu besprechen und unternehmensweite Sicherheitsinitiativen zu koordinieren. Die Richtlinien und Standards für die Informationssicherheit werden mindestens einmal jährlich von der Geschäftsleitung überprüft und genehmigt und allen IQGeo-Mitarbeitern zum Nachschlagen zur Verfügung gestellt.
IQGeo hat Kontrollen eingerichtet, um die Vertraulichkeit der Kundendaten zu wahren. Alle IQGeo-Mitarbeiter und Vertragspersonal sind an die internen Richtlinien von IQGeo zur Wahrung der Vertraulichkeit von Kundendaten gebunden und vertraglich verpflichtet, diese Verpflichtungen einzuhalten.
5.1 Hintergrundüberprüfungen der Mitarbeiter. IQGeo führt bei allen neuen Mitarbeitern zum Zeitpunkt der Einstellung Hintergrundüberprüfungen in Übereinstimmung mit den geltenden lokalen Gesetzen durch. IQGeo prüft derzeit die Ausbildung und frühere Beschäftigung eines neuen Mitarbeiters und führt Referenzprüfungen durch. Soweit nach geltendem Recht zulässig, kann IQGeo je nach Art und Umfang der Rolle eines neuen Mitarbeiters auch Strafrechts-, Kredit-, Einwanderungs- und Sicherheitsüberprüfungen durchführen.
5.2 Mitarbeiterschulung. Mindestens einmal pro Jahr müssen die Mitarbeiter von IQGeo eine Sicherheits- und Datenschutzschulung absolvieren, die die Sicherheitsrichtlinien von IQGeo, bewährte Sicherheitsverfahren und Datenschutzgrundsätze abdeckt. Mitarbeiter, die beurlaubt sind, können zusätzliche Zeit haben, um diese jährliche Schulung zu absolvieren. Das engagierte Sicherheitsteam von IQGeo führt auch Phishing-Kampagnen durch und informiert die Mitarbeiter über neue Bedrohungen. IQGeo hat außerdem eine anonyme Hotline eingerichtet, über die Mitarbeiter unethisches Verhalten melden können, sofern eine anonyme Meldung gesetzlich zulässig ist.
6.1 Bewertung von Anbietern. IQGeo kann Drittanbieter nutzen, um die Produkte und Dienstleistungen bereitzustellen. IQGeo führt eine auf Sicherheitsrisiken basierende Bewertung potenzieller Anbieter durch, bevor es mit ihnen zusammenarbeitet, um sicherzustellen, dass sie die Sicherheitsanforderungen von IQGeo erfüllen. IQGeo überprüft regelmäßig jeden Anbieter unter Berücksichtigung der Sicherheits- und Geschäftskontinuitätsstandards von IQGeo, einschließlich der Art des Zugriffs und der Klassifizierung der Daten, auf die zugegriffen wird (falls zutreffend), der notwendigen Kontrollen zum Schutz der Daten und der gesetzlichen oder regulatorischen Anforderungen. IQGeo stellt sicher, dass die Kundendaten bei Beendigung der Geschäftsbeziehung mit dem Verkäufer zurückgegeben und/oder gelöscht werden. Zur Klarstellung: Telekommunikationsanbieter gelten nicht als Unterauftragnehmer oder Drittanbieter von IQGeo.
6.2 Vereinbarungen mit Anbietern. IQGeo schließt mit allen seinen Anbietern schriftliche Vereinbarungen ab, die Vertraulichkeits-, Datenschutz- und Sicherheitsverpflichtungen beinhalten, die ein angemessenes Schutzniveau für die Kundendaten bieten, die diese Anbieter verarbeiten können.
IQGeo besitzt die folgenden sicherheitsrelevanten Zertifizierungen und Bescheinigungen:
Zertifizierung oder Bescheinigung:
8.1 Amazon Web Services. Die IQGeo-Produkte und -Dienstleistungen werden als On-Premise- oder als Cloud-Service angeboten. Das gehostete IQGeo-Angebot ist bei Amazon Web Services ("AWS") in der Region der Wahl des Kunden verfügbar und durch die Sicherheits- und Umgebungskontrollen von Amazon geschützt. Die Produktionsumgebung innerhalb von AWS, in der die IQGeo-Produkte und -Dienstleistungen sowie die Kundendaten gehostet werden, sind in einer Virtual Private Cloud (VPC) logisch isoliert. Die in AWS gespeicherten Kundendaten sind jederzeit verschlüsselt. AWS hat keinen Zugriff auf unverschlüsselte Kundendaten. Weitere Informationen über die Sicherheit von AWS finden Sie unter https://aws.amazon.com/security/ und https://aws.amazon.com/compliance/shared-responsibility-model/. AWS SOC-Berichte finden Sie unter https://aws.amazon.com/compliance/soc-faqs/..
8.3 Produkte und Dienste. Für die Produkte und Dienste ist der gesamte Netzwerkzugang zwischen den Produktionshosts eingeschränkt, wobei Zugriffskontrolllisten verwendet werden, um nur autorisierten Diensten die Interaktion im Produktionsnetzwerk zu ermöglichen. Zugriffskontrolllisten werden verwendet, um die Netzwerktrennung zwischen verschiedenen Sicherheitszonen in der Produktions- und Nicht-Produktionsumgebung zu verwalten. Die Zugangskontrolllisten werden regelmäßig überprüft. IQGeo trennt Kundendaten mithilfe logischer Bezeichner. Die IQGeo-APIs sind so konzipiert und aufgebaut, dass sie nur autorisierten Zugriff auf und von Kundendaten zulassen. Diese Kontrollen verhindern, dass andere Kunden Zugriff auf Kundendaten haben.
Die AWS-Rechenzentren sind SSAE 16-zertifiziert und erfüllen somit hohe Sicherheitsstandards. Der physische Zugang wird sowohl an der Peripherie als auch an den Gebäudeeingängen durch professionelles Sicherheitspersonal unter Einsatz von Videoüberwachung, Einbruchmeldesystemen und anderen elektronischen Mitteln streng kontrolliert. Autorisierte Mitarbeiter müssen mindestens zwei (2) Mal eine Zwei-Faktor-Authentifizierung (2FA) durchlaufen, um Zugang zu den Etagen des Rechenzentrums zu erhalten. Alle Besucher und Auftragnehmer müssen sich ausweisen, werden angemeldet und ständig von autorisierten Mitarbeitern begleitet. Diese Einrichtungen sind so konzipiert, dass sie widrigen Witterungsbedingungen und anderen einigermaßen vorhersehbaren natürlichen Gegebenheiten standhalten. Jedes Rechenzentrum verfügt über redundante Stromversorgungssysteme, die vierundzwanzig (24) Stunden am Tag, sieben (7) Tage die Woche zur Verfügung stehen. Unterbrechungsfreie Stromversorgungen und Generatoren vor Ort stehen zur Verfügung, um im Falle eines Stromausfalls eine Notstromversorgung zu gewährleisten. Darüber hinaus verfügen der IQGeo-Hauptsitz und die Satellitenbüros über ein physisches Sicherheitsprogramm, das die Sicherheit des gesamten Büros gewährleistet.
IQGeo folgt bei der Entwicklung der Produkte und Dienstleistungen den Grundsätzen des "Security by Design". IQGeo wendet auch den IQGeo Secure Software Development Lifecycle Standard an, um zahlreiche sicherheitsrelevante Aktivitäten für die Produkte und Dienstleistungen in den verschiedenen Phasen des Produktentwicklungslebenszyklus durchzuführen, von der Anforderungserfassung und dem Produktdesign bis hin zur Produktbereitstellung. Diese Aktivitäten umfassen unter anderem die Durchführung von (a) internen Sicherheitsüberprüfungen vor der Bereitstellung neuer Produkte und Dienstleistungen oder von Code, (b) die Verwendung statischer Anwendungstests und (c) Penetrationstests neuer Produkte und Dienstleistungen durch unabhängige Dritte.
11.1 Bereitstellung des Zugriffs. Um das Risiko der Datenexposition zu minimieren, folgt IQGeo bei der Bereitstellung des Systemzugriffs den Prinzipien des geringsten Privilegs durch ein rollenbasiertes Zugangskontrollmodell. IQGeo-Mitarbeiter sind autorisiert, auf Kundendaten zuzugreifen, basierend auf ihrer Arbeitsfunktion, Rolle und Verantwortlichkeiten. Der Zugriff eines Mitarbeiters auf Kundendaten wird bei Beendigung seines Arbeitsverhältnisses umgehend entfernt. Um auf die Produktionsumgebung zuzugreifen, muss ein autorisierter Benutzer über einen eindeutigen Benutzernamen und ein Passwort verfügen und die Multi-Faktor-Authentifizierung muss aktiviert sein. IQGeo protokolliert risikoreiche Aktionen und Änderungen in der Produktionsumgebung. IQGeo nutzt die Automatisierung, um jede Abweichung von den internen technischen Standards zu identifizieren, die auf anormale/unautorisierte Aktivitäten hinweisen könnte, um innerhalb von Minuten nach einer Konfigurationsänderung einen Alarm auszulösen.
11.2 Passwort-Kontrollen. Die derzeitige Richtlinie von IQGeo für die Passwortverwaltung der Mitarbeiter folgt der NIST 800-63B-Richtlinie, und als solche besteht unsere Richtlinie darin, längere Passwörter mit Multi-Faktor-Authentifizierung zu verwenden, aber keine Sonderzeichen oder häufige Änderungen zu verlangen. Wenn sich ein Kunde bei seinem Konto anmeldet, verwendet IQGeo sichere Hash-Algorithmen in Verbindung mit Salting, um die Anmeldedaten des Benutzers zu hashen, bevor sie gespeichert werden. Ein Kunde kann auch verlangen, dass seine Benutzer eine weitere Sicherheitsebene zu ihrem Konto hinzufügen, indem sie eine Zwei-Faktor-Authentifizierung (2FA) oder eine Einmalanmeldung (SSO) verwenden.
IQGeo verfügt über einen Änderungsmanagementprozess zur Verwaltung von Änderungen an der Produktionsumgebung für die Produkte und Dienstleistungen, einschließlich aller Änderungen an der zugrunde liegenden Software, den Anwendungen und Systemen. Jede Änderung wird in einer Testumgebung überprüft und bewertet, bevor sie in der Produktionsumgebung für die Produkte und Dienstleistungen eingesetzt wird. Alle Änderungen, einschließlich der Bewertung der Änderungen in einer Testumgebung, werden mithilfe eines Ticketsystems dokumentiert. Für alle Änderungen mit hohem Risiko wird eine Bewertung durchgeführt, um ihre Auswirkungen auf die Gesamtsicherheit der Produkte und Dienste zu beurteilen. Änderungen mit hohem Risiko müssen von den richtigen organisatorischen Beteiligten genehmigt werden. Es werden auch Pläne und Verfahren für den Fall implementiert, dass eine eingeführte Änderung zurückgenommen werden muss, um die Sicherheit der Produkte und Dienste zu gewährleisten.
Für die IQGeo-Produkte und -Dienstleistungen werden (a) die Datenbanken, in denen die Kundendaten gespeichert sind, mit dem Advanced Encryption Standard (AES-256-GCM) verschlüsselt und (b) die Kundendaten bei der Übertragung zwischen der Softwareanwendung des Kunden und den Produkten und Dienstleistungen mit TLS (RSA 2048 Bit) verschlüsselt. Die Kundendaten werden im Ruhezustand mit dem Advanced Encryption Standard (AES-256-GCM) verschlüsselt.
IQGeo unterhält Kontrollen und Richtlinien, um das Risiko von Sicherheitsschwachstellen in einem messbaren Zeitrahmen zu mindern, der das Risiko und die geschäftlichen/operativen Anforderungen ausgleicht. IQGeo verwendet ein Tool eines Drittanbieters zur regelmäßigen Durchführung von Schwachstellen-Scans, um Schwachstellen in der Cloud-Infrastruktur und den Unternehmenssystemen von IQGeo zu bewerten. Kritische Software-Patches werden bewertet, getestet und proaktiv angewendet. Betriebssystem-Patches werden durch die Regeneration eines Basis-Images für virtuelle Maschinen angewendet und nach einem vordefinierten Zeitplan auf alle Knoten im IQGeo-Cluster verteilt.
IQGeo führt Penetrationstests durch und beauftragt unabhängige Drittunternehmen mit der Durchführung von Penetrationstests auf Anwendungsebene. Erkannte Sicherheitsbedrohungen und Schwachstellen werden priorisiert, behandelt und umgehend behoben.
IQGeo unterhält Richtlinien und Verfahren für das Management von Sicherheitsvorfällen. Das IQGeo-Team für die Reaktion auf Sicherheitsvorfälle bewertet alle relevanten Sicherheitsbedrohungen und Schwachstellen und legt geeignete Abhilfe- und Schadensbegrenzungsmaßnahmen fest. IQGeo bewahrt Sicherheitsprotokolle für einhundertachtzig (180) Tage auf. IQGeo setzt Tools von Drittanbietern ein, um DDoS-Angriffe (Distributed Denial of Service) zu erkennen, zu entschärfen und zu verhindern.
IQGeo wird einen Sicherheitsvorfall unverzüglich nach Entdeckung untersuchen. Soweit dies nach geltendem Recht zulässig ist, wird IQGeo den Kunden über einen Sicherheitsvorfall in Übereinstimmung mit der IQGeo Produkte & Dienstleistungen Datenschutzerklärung Ergänzung benachrichtigen. Sicherheitsvorfall-Benachrichtigungen werden dem Kunden per E-Mail an die vom Kunden in seinem Konto angegebene E-Mail-Adresse bereitgestellt werden.
Die Cloud-Service-Infrastruktur für die IQGeo-Produkte und -Dienste (a) erstreckt sich über mehrere fehlerunabhängige Verfügbarkeitszonen in geografischen Regionen, die physisch voneinander getrennt sind, und (b) ist in der Lage, Probleme bei Hosts oder sogar ganzen Rechenzentren in Echtzeit zu erkennen und zu umgehen und Orchestrierungswerkzeuge einzusetzen, mit denen Hosts auf der Grundlage der letzten Sicherungskopie neu erstellt werden können. Speziell für die Produkte und Dienste OSPInsight Fiber System of Record (Web9), Comsof Fiber, Comsof Heat, Comsof Power, Comsof Cloud und Comsof Area License Server ist die Ausfallsicherheit der Hosting-Infrastruktur auf eine einzige Verfügbarkeitszone beschränkt. Offsite-Backups und Pläne sind vorhanden, um diese Produkte und Dienste im Falle einer größeren Störung umgehend wiederherzustellen.
IQGeo führt regelmäßige Backups der Kundendaten durch, die in der Infrastruktur des AWS-Rechenzentrums oder auf Citrix Sharefile gehostet werden. Daten, die gesichert werden, werden bei der Übertragung und im Ruhezustand mit dem Advanced Encryption Standard verschlüsselt.
Die Gewährleistung der Sicherheit und Integrität der IQGeo-Produkte und -Dienstleistungen ist entscheidend für den Service, den wir unseren Kunden bieten. Wir verpflichten uns, ein sicheres Produkt anzubieten und sind dankbar, wenn Sie uns dabei helfen, Möglichkeiten zur Verbesserung zu finden.
Wenn Sie eine Schwachstelle gefunden haben, melden Sie sie bitte über security@iqgeo.com.
Bitte seien Sie respektvoll und verletzen Sie nicht die Privatsphäre anderer, stören Sie nicht das Konto anderer, zerstören Sie keine Daten und beeinträchtigen Sie nicht unsere Dienste. Bitte geben Sie uns eine angemessene Zeit, um zu antworten, bevor Sie Ihre Erkenntnisse öffentlich machen.
Sicherheitsübersicht Aktualisierungen der Erklärung
Wir können diese Ergänzung zur Sicherheitsübersicht von Zeit zu Zeit ändern. Falls und/oder wenn IQGeo Änderungen an dieser Ergänzung vornimmt, wird die aktualisierte Version anstelle dieser Ergänzung veröffentlicht. Wenn wir wesentliche Änderungen vornehmen, werden wir Sie durch eine Ankündigung informieren, bevor die Änderung in Kraft tritt.
Kontaktaufnahme mit uns
Fragen zur IQGeo-Sicherheitsübersicht oder zu den Informationspraktiken sollten an security@iqgeo.com gerichtet werden.
Für Informationen über die allgemeinen Datenschutzpraktiken von IQGeo lesen Sie bitte die IQGeo-Datenschutzrichtlinie
Diese Version wurde zuletzt am 25. April 2024 aktualisiert.
IQGeo UK Ltd. ist eine Tochtergesellschaft von IQGeo Group plc, einem börsennotierten Unternehmen (AIM:IQG) mit weltweiten Niederlassungen.
Unternehmensnummer für IQGeo UK Ltd: 11559043
Firmennummer für IQGeo Group plc: 05589712
Umsatzsteuer-Identifikationsnummer: GB 887 1388 72
Eingetragene Geschäftsadresse:
IQGeo UK Ltd, Nine Hills Road, Cambridge, CB2 1GE
Urheberrecht © 2024, IQGeo UK Limited. IQGeo ist eine eingetragene ® Marke