Datenschutz und Sicherheit in der Avature Cloud

Mit führender Technologie und einem ganzheitlichen Ansatz zum Datenschutz verpflichtet sich Avature, Ihnen den Schutz Ihrer persönlichen Daten zu gewährleisten.

Avature macht den Unterschied

Seit mehr als 15 Jahren stellt Avature Datenverarbeitungsdienste bereit, die darauf ausgerichtet sind, die Datenschutzgrundsätze – Benachrichtigung, Wahlmöglichkeit, Zugang, Nutzung und Offenlegung – zu fördern.

Wir geben unseren Kunden die Möglichkeit, differenzierte Konfigurationen der SaaS-Plattform zu definieren, um ihre spezifischen Datenschutzverpflichtungen in den Ländern, in denen sie tätig sind, einzuhalten. Zusammen mit unseren ausgereiften organisatorischen Kontrollen, technischen Sicherheitsvorkehrungen und Datenlokalisierungskapazitäten sowohl in Russland als auch in China zählen diese Optionen für Datenverantwortliche zu den umfassendsten datenschutzkonformen Datenverarbeitungsmöglichkeiten, die derzeit verfügbar sind.

Avature hält in seiner Eigenschaft als Datenverarbeiter alle wichtigen international verbindlichen Datenschutzbestimmungen, -verträge und -konventionen ein. Unser robustes Informationssicherheitsprogramm ist darauf ausgelegt, den unbefugten Zugriff auf Kundendaten zu verhindern, und unsere technische Architektur gewährleistet zu jeder Zeit die Verfügbarkeit und Integrität der Kundendaten.

Wenn Sie mehr über den Ansatz von Avature zum Datenschutz erfahren möchten, klicken Sie hier.

Zertifizierungen und Audits

Die Abläufe, Richtlinien und Kontrollen bei Avature werden regelmäßig überprüft, um sicherzustellen, dass Avature alle Anforderungen erfüllt und übertrifft, die von einem erstklassigen Technologiedienstleister erwartet werden. Der hohe Qualitätsstandard von Avature wird durch unsere Verpflichtung zur Beibehaltung unserer ISO-, SOC 1- und SOC 2-Zertifizierungen unterstrichen.

Avature erhielt seine ISO-Zertifizierung erstmals im Jahr 2017. Dieses weltweit anerkannte, auf Standards basierende Sicherheitskonzept umreißt das Informationssicherheitsmanagementsystem (ISMS) von Avature. Avature wird jährlich von unabhängiger Seite geprüft und anhand dieses Standards bewertet, wobei alle drei Jahre eine Rezertifizierung erfolgt.

Avature erhielt seine SOC-1-Zertifizierung erstmals im Jahr 2013. SOC 1, das sich aus den früheren Zertifizierungen SAS 70 und SSAE 18 zusammensetzt, deckt die technischen und finanziellen Kontrollen ab, die sich im Rahmen der Dienstleistungsbeziehung mit Avature auf die Geschäftsberichte von Kunden auswirken könnten. Die SOC 1-Finanzkontrollmandate helfen den Kunden von Avature auch bei der Einhaltung ihrer Compliance-Verpflichtungen gemäß Abschnitt 404 des Sarbanes Oxley Act von 2002. Das SOC 1-Audit erfolgt jährlich.

Avature erhielt seine SOC-2-Zertifizierung erstmals im Jahr 2016. Der Umfang des SOC 2 von Avature deckt ab, inwieweit die Systeme und Prozesse von Avature die fünf Vertrauensprinzipien –Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz – erfüllen. Diese fünf Grundsätze sind weiter unterteilt in die gemeinsamen Kriterienbereiche Kontrollumfeld, Information und Kommunikation, Risikobewertung, Überwachungstätigkeiten, Kontrolltätigkeiten, logischer und physischer Zugang, Systembetrieb, Änderungsmanagement und Risikomanagement. Wie bei der SOC 1-Zertifizierung erfolgt das Audit auch hier jährlich.

Zulassungen, Selbsteinschätzung und Standards

Branchenführer vertrauen auf Avature

9

der 15 weltweit
größten Banken

5

der 10
größten Technologieunternehmen

28

Unternehmen der Forbes
Global 100

9

der 15 weltweit
größten Banken

5

der 10
größten Technologieunternehmen

28

Unternehmen der Forbes
Global 100

Besuchen Sie unsere Kundenseite

Thin-Client-Zugang

Für den Zugriff auf die Avature-Plattform ist lediglich ein Browser erforderlich. Avature unterstützt alle üblichen Browser, darunter Microsoft Edge, Firefox, Chrome und Safari, und ist auch über iOS- und Android-Browser zugänglich. Da Avature keine Adobe Flex-, Active X- oder Java-Plug-ins verwendet, sind für die Desktop-Nutzung keine besonderen Konfigurationen erforderlich. Die Benutzeroberfläche von Avature ist auch für mobile Endgeräte geeignet und gewährleistet ein nahtloses und uneingeschränktes mobiles Erlebnis.

Sicherung und Wiederherstellung

Um das Risiko eines Datenverlusts im Falle eines primären Datenausfalls zu minimieren, führt Avature täglich (d. h. inkrementelle/differentielle Sicherung) und wöchentlich (d. h. vollständige Dump-Sicherung) eine vollständige Sicherung der Daten jedes Kunden durch. Die Backups werden verschlüsselt und in zwei getrennten Produktionsumgebungen gespeichert; zudem werden die Wiederherstellungsfunktionen in regelmäßigen Abständen getestet. Der externe Speicher wird von AWS S3 und Glacier bereitgestellt.

Notfallwiederherstellung

Da Avature-Instanzen paarweise bereitgestellt werden, verfügt jede Kundeninstanz über eine Replik, die in einem anderen Rechenzentrum gehostet wird. Durch die echtzeitnahe Wide-Area-Replikation wird die Replik synchron gehalten und eine alternative Instanz für langsame Abfragen und Berichterstellung bereitgestellt. Im unwahrscheinlichen Fall eines Ausfalls des Rechenzentrums werden die Benutzer auf die Replik verwiesen (die zur primären Produktionsinstanz wird), und es wird eine neue Replik erstellt. Diese Ausfallsicherung auf Anwendungsebene vereinfacht die Notfallwiederherstellung und stellt sicher, dass sowohl die Recovery Point Objectives (RPO) als auch die Recovery Time Objectives (RTO) eingehalten werden können.

Wir bieten Hosting in der Avature Private Cloud oder in der Amazon Web Services (AWS) Public Cloud an. In beiden Fällen können Kunden die Region für die Rechenzentren wählen, in denen ihre Daten gespeichert und verarbeitet werden.

Cloud-Hosting: Öffentlich und privat

Die private Cloud von Avature wird in Carrier-neutralen Colocation-Rechenzentren in den Vereinigten Staaten, Europa und Asien betrieben.

Zu unseren Anbietern gehören Equinix, Telehouse, Digital Reality und Internap. Alle unsere Rechenzentren sind als Tier 3+ eingestuft, was bedeutet, dass sie N+1-redundant sind und wichtige Peering-Punkte für das Internet darstellen. Es handelt sich um hochsichere Einrichtungen. Zusätzlich zu den SOC 2-Auditberichten und der ISO 27001/2-Zertifizierung verfügen alle Einrichtungen über eine Umzäunung, biometrische Zugangskontrollen, Videoüberwachung und Sicherheitspersonal direkt vor Ort. In diesen Rechenzentren betreibt Avature nicht nur seine eigene Hardware und Netzwerke, sondern arbeitet auch mit mehreren IP-Tier-1- (d. h. Backbone) und Tier-2-Carriern (d. h. Metro) zusammen, um eine niedrige globale und regionale Latenz zu gewährleisten.

Für Kunden, die eine gebrandete öffentliche Cloud bevorzugen, hostet Avature weltweit auf Amazon Web Services (AWS). Mit Ausnahme von Festlandchina können Avature-Kunden die geografischen Zonen von AWS frei wählen, in denen ihre primären und sekundären Instanzen untergebracht werden sollen. Für Kunden, die die Compliance-Anforderungen der US-Regierung erfüllen müssen (d. h. FedRAMP, CJIS, ITAR, EAR, DOD usw.), hosten wir auch auf AWS GovCloud.

Standorte der Rechenzentren:

  • New York und New Jersey, Vereinigte Staaten
  • Amsterdam, Niederlande
  • Frankfurt, Deutschland
  • Moskau, Russland
  • Schanghai, China

Netzwerksicherheit

Avature-Gateways sind durch Anwendungs-Firewalls geschützt, die so konfiguriert sind, dass sie gegen Denial-of-Service-Angriffe (DOS) schützen. Wir setzen Software zur Erkennung von Eindringlingen ein, um abnormale Traffic-Muster zu erkennen, und führen wöchentlich automatisierte Scans der Schwachstellen unseres Netzwerks über den gesamten IP-Bereich hinweg durch. Wir unterhalten einen aktiven Hot-Patch-Prozess und sind rund um die Uhr besetzt. Von einem PCI-zertifizierten externen Partner wird ein halbjährlicher Penetrationstest unserer Anwendungen durchgeführt, der auch unser Netzwerk umfasst.

Da wir wissen, wie wichtig es ist, allen Benutzern die bestmögliche Erfahrung zu bieten, ist das Avature-Programm zur Barrierefreiheit im Internet darauf ausgerichtet, ein umfassendes und einheitliches Nutzererlebnis zu bieten. Avature bietet Lösungen an, die mit den Richtlinien für barrierefreie Webinhalte (insbesondere WCAG 2.0, Stufe AA) konform sind. Dadurch können unsere Kunden allgemein verfügbare Hilfstechnologien einsetzen, um auf unser Portal-Framework und die darauf aufbauenden Lösungen zuzugreifen und diese zu nutzen. Wir evaluieren nicht nur kontinuierlich die Barrierefreiheit, sondern das Avature Design Studio hilft unseren Kunden auch bei der Gestaltung von barrierefreien Karriereseiten und Landing Pages (z. B. durch Beratung zu Farbmustern) und unterstützt sie durch Tests und Audits zur Barrierefreiheit. Obwohl wir unsere Portale so gestalten, dass sie für alle Benutzer zugänglich sind, raten wir unseren Kunden, sich in Fragen der Barrierefreiheit von einem Rechtsberater beraten zu lassen, da wir nicht gewährleisten können, dass individuelle Konfigurationsentscheidungen mit den rechtlichen Verpflichtungen der jeweiligen Rechtsordnung des Kunden vereinbar sind.

Design mit geringem Risiko

Mit dem hochmodernen SaaS-Single-Tenant-Softwaremodell von Avature erhält jeder Kunde seine eigene, völlig separate logische Instanz der Anwendung. Da wir keine Kundendaten zusammenführen und es keinen universellen Zugangspunkt gibt, laufen wir nicht Gefahr, die Daten eines Kunden mit denen eines anderen zu vermischen. Da wir eine gemeinsame Codebasis für Hunderte von Kunden haben, können wir Fehler leicht erkennen, bevor die meisten Kunden sie melden. Unser hochfrequenter Micro-Release Software Development Lifecycle (HF-SDLC) ermöglicht es uns, Updates zeitnah durchzuführen, ohne auf Hotfixes zurückgreifen zu müssen. Dadurch wird sichergestellt, dass Korrekturen nicht nur schneller, sondern auch mit weniger Risiko durchgeführt werden. Darüber hinaus sind Ihre Daten bei der Übertragung von Ihrem Browser auf unseren Server oder im Ruhezustand in Produktionsumgebungen jederzeit durch starke oder vollständige Festplattenverschlüsselung geschützt.

Rollenbasierte Zugriffskontrolle

Der Sicherheitszugang bei Avature ist rollenbasiert und unterstützt sowohl Single Sign-On (SAML) als auch Multi-Faktor-Authentifizierung (MFA). Da der Zugriff in Echtzeit protokolliert wird, sind Systemadministratoren befugt, aktive Benutzersitzungen zu beobachten und bei Bedarf manuell zu beenden. Es gibt in Avature keine vordefinierten Rollen, weshalb Kunden mithilfe von Berechtigungsschemata Benutzer definieren und sie bestimmten Gruppen, Rollen und Privilegien zuweisen können. Dadurch wird sichergestellt, dass der Datenzugriff und die Verarbeitungskontrolle über die gesamte Benutzerpopulation eines Kunden fein segmentiert werden können. Zusätzliche Sicherheitsfunktionen wie IP-Whitelisting, hardwarebasierte Zertifikatsauthentifizierung und feldspezifische Verschlüsselung sensibler Daten (z. B. SSN) bieten Kunden eine branchenweit führende Anwendungssicherheit.

Journaling

Das anwendungsinterne Journal von Avature protokolliert die Benutzeraktivitäten innerhalb der Anwendung, einschließlich des Verlaufs der Benutzeranmeldung, erfolgreicher und fehlgeschlagener Anmeldeversuche (mit Remote-IP und Zeitstempel) sowie Datenänderungen in Datensätzen, Änderungen der Workflow-Konfiguration und Änderungen der Sicherheitseinstellungen.

Integrierte Sicherheitstests

Jede Avature-Version wird mehr als 10.000 Tests unterzogen, darunter auch Tests gegen die zehn größten OWASP-Bedrohungen sowie ein kompletter Satz von Leistungs-Benchmark-Tests.

Regelmäßige externe Prüfungen

Ein von der Payment Card Industry (PCI) zertifiziertes Sicherheitsunternehmen führt alle zwei Jahre einen Penetrationstest unserer Anwendung, unserer mobilen App und unseres Netzwerks durch. Unsere Kunden können jederzeit den Zugriff auf diese Ergebnisse anfordern.

Kundenprüfung

Bei Avature ermöglichen wir unseren Kunden, ihre eigenen Schwachstellentests mit einer Kopie ihrer konfigurierten Instanz in einer Quarantäneumgebung durchzuführen. Die Daten werden verschleiert, und unsere Kunden können Drittanbieter mit der Durchführung der Tests beauftragen. Unsere Kunden führen üblicherweise in jedem Quartal mehrere Tests durch.

Zero-Trust-Prinzip

Vertraulichkeit, Datenschutz und Compliance bilden das Rückgrat unseres operativen Sicherheits-Frameworks. Aus diesem Grund nimmt jeder bei Avature an einem formellen Sicherheitsprogramm teil, das auf dem „Zero-Trust“-Prinzip basiert. Vor Beginn des Beschäftigungsverhältnisses – und als Bedingung für die Einstellung – werden alle Mitarbeiter einer umfassenden Hintergrundprüfung unterzogen, die sich auf die Ausbildung, persönliche Referenzen, frühere Arbeitgeber und etwaige aktuelle/frühere Vorstrafen in Übereinstimmung mit den örtlichen Gesetzen konzentriert. Alle Mitarbeiter und Berater müssen eine Vertraulichkeitsvereinbarung unterzeichnen und an den laufenden Sicherheits- und Compliance-Schulungen von Avature teilnehmen. In Übereinstimmung mit den Best Practices des „Least Privilege“ wenden wir auch rollenbasierte Zugriffsberechtigungen an, um die Aufgaben der Mitarbeiter zu trennen und den Zugriff auf sensible Daten zu begrenzen.

Unterstützung bei der Compliance

Mit unserer hohen Konfigurierbarkeit und Flexibilität unterstützen wir unsere Kunden dabei, sich an die immer strengeren Compliance-, Regulierungs- und Gesetzesanforderungen auf der ganzen Welt anzupassen. Die Compliance-Anforderungen können von der Datenschutz-Grundverordnung (DSGVO) in Europa über Chancengleichheit bei der Beschäftigung und das Office of Federal Contract Compliance Programs (OFCCP) in den Vereinigten Staaten bis hin zu länderspezifischen Gesetzen wie dem australischen Privacy Act von 1988 oder den Datenvorschriften in Russland reichen. Unsere Lösungen ermöglichen die genaue und automatische Erfassung und Speicherung von Compliance-bezogenen Daten, einschließlich Suchkriterien und -ergebnissen. Kunden können die Zustimmung einholen, bevor ein Profil erstellt wird, Erinnerungen an Beteiligte senden, bevor Informationen gelöscht werden, Datensätze je nach Datum oder Land unterschiedlich verarbeiten und bestimmte Arten von Informationen anonym aufbewahren oder löschen. Unsere umfangreichen Möglichkeiten der Dublettenverwaltung tragen ebenfalls dazu bei, dass alle individuellen Profile einheitlich verarbeitet werden. Weitere Informationen über den Umgang mit DSGVO- oder OFCCP-Anforderungen finden Sie weiter unten.

Möchten Sie mehr über unsere Sicherheitsmaßnahmen erfahren?

Infos Anfragen