Diese Frage wird uns häufig gestellt: „Welche technischen Aspekte hat die Sicherheit von CiraSync und mit welchen Schritten gewährleisten Sie die Sicherheit der Benutzerinformationen?“ Wenn ein Unternehmen nach externer Hilfe beim Informationsmanagement sucht, möchte es sicherstellen, dass äußerste Sicherheitsvorkehrungen getroffen werden.
CiraSync ist ein SaaS-Unternehmen und als solches sind wir eng mit Microsoft Azure integriert und nutzen das Azure Consent Framework. Wenn Sie ein Abonnent sind, werden Ihre Daten in der Microsoft Cloud gespeichert. Mit mehr als 100 Millionen Office 365-Benutzern und mehr Cloud-Sicherheitszertifikaten als jedes andere Unternehmen ist die Sicherheit von Microsoft Azure unbestritten weltweit die beste.
So gewährleistet Microsoft Ihre Sicherheit
Microsoft hat Sicherheit und Stabilität auf dem höchsten Niveau zur Priorität erklärt, weil die Unternehmen ihre Operationen zunehmend und zügig in die Cloud verlegen. Sie möchten Ihren Benutzern Daten ohne Kompromisse bei der Sicherheit zugänglich machen.
Es kommt jedoch häufig vor, dass die vorhandenen Sicherheitslösungen nicht dazu ausgelegt sind, die Daten in einer SaaS-Anwendung zu schützen. Die herkömmlichen Methoden wie Firewalls können die umfassende Verfügbarkeit und Sichtbarkeit der nicht lokalen Anwendungen nicht ermöglichen. Diese Verfahren bieten keinen Schutz für Cloudanwendungen, denn sie verfolgen nur einen kleinen Bereich des Datenverkehrs und haben zu einer Reihe von Anwendungsaktivitäten nur beschränkten Zugang.
Die Infrastruktur von Azure ist ein sicheres Fundament, das Millionen Kunden gleichzeitig hosten kann. Es bietet den Benutzern ein breites Spektrum an konfigurierbaren Sicherheitsoptionen und Anpassungsmöglichkeiten. Azure verhindert unbefugten und unbeabsichtigten Datentransfer zwischen den Bereitstellungen einer Mehrinstanzen-Architektur. Es nutzt virtuelle LAN-Isolierung, Zugangskontrolllisten, Lastenausgleichsmodule, Richtlinien für den Datenverkehrsfluss und die Netzwerkadressenübersetzung, die den internen Datenverkehr Netzwerk von externem Datenverkehr trennt.
Mit anderen Worten, da CiraSync auf Azure-Servern gehostet wird, ist ihre Sicherheit unsere Sicherheit.
Uns ist klar, dass damit nicht alle Fragen beantwortet sind, denn es gibt andere mögliche Schwachstellen.
Lesen Sie dazu weitere Antworten auf häufig gestellte Fragen.
Wie verarbeitet und schützt CiraSync PII-Daten?
CiraSync wird bei Azure gehostet. Azure hat mehr Cloud-Sicherheitszertifikate als jeder andere Cloud-Anbieter der Welt. Folglich sind die CiraSync-Server in Bezug auf die physische Sicherheit wirklich sicher.
Nur drei VMs sind über Öffentliche IP-Adressen erreichbar. Alle Ports sind für den eingehenden Internetdatenverkehr gesperrt, mit Ausnahme des Dashboards, das Port 443 öffnet. Die interne Serverkommunikation erfolgt über LAN-Verbindungen und private IP-Adressen.
Die Sicherungskopien verbleiben in der Azure-Cloud. Die zu Leistungszwecken benötigten Protokolle und Zwischenspeicher werden nach 30 Tagen gelöscht.
Wie sieht die Architektur des Datenverkehrsflusses des Systems aus?
Zur formalen Architektur sind keine veröffentlichten Dokumente verfügbar. Die Schnittstelle von CiraSync und Azure AD nutzt Graph API. Der Zugriff auf Office 365 Exchange erfolgt über Exchange Web-Dienste.
Alle Kundendaten bewegen sich im Microsoft Azure Netzwerk, nicht im Internet.
Die Abonnenteninformationen im Backend des Tenant werden in SQL Server gespeichert. Die Protokoll- und Cache-Daten sind in MongoDB gespeichert. Die Abrechnungsinformationen sind in QuickBooks online gespeichert. Alle Transaktionen mit Kreditkarten werden von Authorize.Net verarbeitet und sind PCI-konform.
Zur Sicherung der Leistung werden die Kontaktlisten und Kalender in einer lokalen Datenbank jedes Arbeitsplatzes zwischengespeichert. Alle im Cache zwischengespeicherten Informationen werden nach 30 Tagen gelöscht.
Beachten Sie, dass ruhende Daten nicht verschlüsselt werden.
Welche Richtlinien gelten für den Einzelanmeldungszugriff und die Authentifizierung?
CiraSync speichert Passwörter nicht und verlangt keine Passworteingabe. Es gibt keinen Code für das Speichern von Kundenpasswörtern.
Die gesamte Authentifizierung läuft im Rahmen des Azure Consent Verfahrens ab. Nachdem der Benutzer der Registrierung der CiraSync Anwendung bei Azure zugestimmt hat, erfolgt die gesamte Interaktion mit den Tenant-Daten über den Token.
Sie können die Einwilligung für CiraSync jederzeit entfernen.
Welche Richtlinie gibt es gegen Insider-Verstöße?
Der RDP-Zugriff auf die Server ist auf den CTO und drei Mitarbeiter beschränkt, die seit langem angestellt sind und sich dem Erfolg von CiraSync verpflichtet fühlen.
In unserer Cloudverwaltungs- und Abrechnungsanwendung gibt es eine Shortlist der Mitarbeiter, die Zugriff auf die Konsole haben. Es besteht keine Möglichkeit, Kundenkontakte oder Kalenderdaten zu exportieren.
Gibt es schriftliche Informationen über die Datenschutzbestimmungen?
Sie finden unsere neueste Datenschutzerklärung unter /data-privacy-policy/