Eine vertrauensvolle Beziehung beginnt mit Transparenz in der Sicherheit.
Für Ihr Unternehmen sind es lästige Herausforderungen.
Für unseres sind es erfüllte Herausforderungen.
Wir von GlobalSuite Solutions glauben an Sicherheit als Unterscheidungsmerkmal bei der Suche nach Vertrauen durch unsere Kunden. Aus diesem Grund wurden unsere Dienstleistungen und Prozesse von Anfang an unter Berücksichtigung dieser Anforderung entwickelt.
Physische Sicherheit
Wir verfügen über Kontrollen an unseren Arbeitsplätzen, die den Zugang durch unbefugtes Personal verhindern, sowohl automatisierte als auch durch Personal vor Ort. Dies ermöglicht es uns, unsere Dienstleistungen kundenorientiert zu erbringen, ohne die Sicherheit zu vernachlässigen.
Der Zugang durch organisationsfremdes Personal erfolgt unter interner Aufsicht, wodurch ein eingeschränkter Zugang in Bezug auf den Zweck des Betretens unserer Einrichtungen gewährt wird.
In allen unseren Zentren verfügen wir über physische Kontrollen, die die Erkennung von Anomalien ermöglichen (CCTV-Systeme, Alarme usw.) und schnell darauf reagieren können.
Um einen guten Service zu gewährleisten, verwendet GlobalSuite® drei ausgelagerte Rechenzentren, die die Erbringung der Dienstleistung im Falle der Nichtverfügbarkeit in einem von ihnen ermöglichen.
Diese Rechenzentren sind international für die Qualität und Sicherheit ihrer Dienstleistungen anerkannt und verfügen über verschiedene Zertifizierungen, die sie dazu verpflichten, erstklassige Kontrollen für den physischen Zugang einzurichten, um ihren Verpflichtungen zur Gewährleistung der Sicherheit der darin gespeicherten Informationen nachzukommen.
Die implementierten Sicherheitsmaßnahmen reichen von strengen Zugangskontrollen nur für autorisiertes Personal, das jederzeit von internem Personal der Organisation begleitet wird, bis hin zu einem optimalen Management der Umwelt- und Versorgungsbedingungen.
Alle Zugangsprotokolle, einschließlich des autorisierten Personals, sind jederzeit verfügbar und werden intern als Sicherheitsvorfall innerhalb von GlobalSuite Solutions behandelt, um die Ursache zu identifizieren und zukünftiges Auftreten zu verhindern.
Infrastruktursicherheit
Unsere Sicherheitsstrategie bei der Erbringung von Dienstleistungen folgt den Prinzipien der Tiefenverteidigung und wendet Kontrollen in jeder der Schichten an, die zu einer robusten Infrastruktur führen, auf der GlobalSuite® basiert.
Nach diesem Prinzip werden in erster Instanz, zusätzlich zu den Kontrollen, die von den verschiedenen Dienstanbietern vorgeschlagen werden, die uns mit dem Internet verbinden, Perimeter-Firewalls eingesetzt, um unbefugten Zugriff zu verhindern und die Segmentierung der verschiedenen Komponenten in unabhängige Netzwerke zu ermöglichen, wodurch die Effizienz und die Sicherheit der Informationen verbessert werden.
Unsere Infrastruktur ist in Hochverfügbarkeit konfiguriert, um die Verfügbarkeit des Dienstes bei Ausfällen physischen oder logischen Ursprungs zu gewährleisten. Ebenso verfügen wir über eine aktive Überwachung aller Netzwerkelemente, um deren einwandfreie Funktion und die Alarmierung bei möglichen verdächtigen Aktivitäten oder Anomalien sicherzustellen.
Als zusätzliche Schutzmaßnahme verfügt die Architektur über Dienste, die die Bereinigung, das Netzwerk-Routing und die Filterung ermöglichen, um Angriffe von früheren Schichten zu verwalten.
Unser Kommunikationsnetzwerk verfügt über Systeme zur Verhinderung und Erkennung von Eindringlingen, mit Sonden sowohl auf Netzwerk- als auch auf Host-Ebene (NIDS bzw. HIDS). Diese Architektur ermöglicht es uns, anomale Ereignisse sowohl im Netzwerk als auch auf den Servern, die für die Erbringung unserer Dienstleistung verwendet werden, zu identifizieren und automatisch auf böswillige Ereignisse zu reagieren.
Darüber hinaus verfügt die Anwendung über eine Firewall auf Anwendungsebene, oder WAF (Web Application Firewall), die es ermöglicht, auf Anfragen zu reagieren, die als böswillig gegenüber bekannten oder verhaltensbasierten Angriffen angesehen werden.
Die Infrastruktur, die GlobalSuite® unterstützt, verfügt über Mechanismen zur Erkennung und Verhinderung von Eindringlingen, die auf der Grundlage einer Architektur von IDSs in Host und Netzwerk (HIDS und HIPS) eingerichtet wurden.
All dies wird zentral über unser System zur Verwaltung von Sicherheitsinformationen und -ereignissen oder SIEM (Security Information and Event Management) verwaltet, das es uns ermöglicht, die von unseren Agenten erzeugten Ereignisse zu überwachen und zu korrelieren, rechtzeitig zu benachrichtigen und die Aktionen in Echtzeit zu visualisieren.
Datensicherheit
Die Plattform zusammen mit allen für GlobalSuite® entwickelten Funktionalitäten ist die Folge eines Entwicklungsprozesses, der die Sicherheit sowohl bei der Konzeption des Produkts als auch in seiner Funktionalität berücksichtigt.
Die Sicherheit ist in jeder Phase des Entwicklungs- und Designzyklus von Systemen präsent, von der Definition der Anforderungen bis zu den durchgeführten Validierungen, intern und extern, in der Produktionsphase.
Ein Beispiel dafür ist die Integration der Empfehlungen des OWASP-Leitfadens in die verschiedenen Phasen des genannten Zyklus, um sicherzustellen, dass das Endprodukt keine bekannten Schwachstellen enthält.
Die Trennung unserer Infrastruktur ermöglicht es uns auch, die Speicherung der Daten unserer Kunden logisch zu unterteilen und eine zusätzliche Schutzmaßnahme beim Zugriff auf diese zu bieten.
Dieses Maß an Isolation ermöglicht es uns, die Vertraulichkeit der Informationen jedes einzelnen Kunden zu gewährleisten und unbefugten Zugriff zu verhindern.
Das Tool verfügt über eine Verschlüsselung der ruhenden Daten, die die Daten der Kunden über öffentliche Netze durch Verschlüsselungsprotokolle schützt, die deren Visualisierung verhindern.
Alle Verbindungen zu GlobalSuite® verfügen über eine Verschlüsselung mit dem Protokoll TLS 1.2 und TLS 1.3, die ein höheres Maß an Sicherheit in der Transportschicht bietet und es unmöglich macht, eine frühere Version als diese auszuhandeln.
Dieses Schutzniveau wird in allen Verbindungen implementiert, einschließlich des Webzugriffs und der von dem Tool verwendeten APIs.
Der Schutz Ihrer Daten ist uns wichtig, und wir wissen auch, wie wichtig er für Sie ist. Deshalb halten wir die Transparenz über unseren Datenerfassungsprozess, die Verwendung der Daten und ob wir sie weitergeben könnten, für entscheidend.
In GlobalSUITE® greifen wir nicht auf personenbezogene Daten zu, noch erfassen, speichern oder verarbeiten wir diese zu irgendeinem Zweck. Wir verwenden sie lediglich, um Ihnen den besten Service zu bieten und Sie bei Bedarf kontaktieren zu können. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Die für die Erbringung der Dienstleistung eingesetzten Anbieter erfüllen die gleichen Sicherheitsbedingungen wie wir und implementieren Sicherheitsmaßnahmen, die den geforderten überlegen oder gleichwertig sind.
Nach Beendigung des Vertragsverhältnisses der Organisation mit ihren Kunden, nach Ablauf der Datenspeicherfristen oder nach einer Anfrage des Kunden wird eine sichere Vernichtung der Informationen durchgeführt.
Betriebssicherheit
Die Organisation verfügt über einen Prozess zur Verwaltung von Schwachstellen, der die Implementierung der verschiedenen von den Herstellern mitgeteilten Änderungen sowie von Konfigurationsfehlern ermöglicht, die zu einem Sicherheitsproblem führen könnten.
Dieser Prozess hat mehrere Eingangsaktivitäten, wie z. B. die Erkennung möglicher Schwachstellen durch unser internes Team, ein externes Team, das regelmäßige Audits durchführt, oder durch die Hersteller selbst unter Verwendung der zu diesem Zweck eingerichteten Kommunikationskanäle.
Diese Überprüfungen werden intern verwaltet, wobei zusätzlich zu den externen Sicherheitsberichten und Nachrichten oder Mitteilungen von Interessengruppen, die die Infrastruktur oder die korrekte Erbringung der Dienstleistung beeinträchtigen könnten, aktiv analysiert werden.
Alle erkannten Schwachstellen, unabhängig von ihrem Ursprung, werden priorisiert, ihre Ursache identifiziert, eine Notfallmaßnahme so schnell wie möglich ergriffen, um die Möglichkeit einer Schwachstelle zu vermeiden, und schließlich behoben.
Alle Daten verfügen über eine Sicherung, die ihre Verfügbarkeit garantiert. Dieser Sicherungsprozess umfasst verschiedene Strategien und Richtlinien, die den gesamten Datenzyklus abdecken, von der Erstellung bis zur Vernichtung.
Unsere Replikationsrichtlinie umfasst die Speicherung in ausgelagerten Zentren, um den Verlust der Verfügbarkeit im Falle eines Vorfalls zu verhindern, der die Unmöglichkeit der Erbringung der Dienstleistung vom Hauptrechenzentrum aus mit sich bringt. Unsere Backup-Richtlinie beinhaltet Aktivitäten, die darauf abzielen, die Validierung und korrekte Wiederherstellung der Informationen in regelmäßigen Abständen sicherzustellen, wodurch mögliche Fehler im Replikationsprozess beseitigt werden.
Um den Verlust der Vertraulichkeit der Backup-Daten zu verhindern, werden alle mit sicheren Standards verschlüsselt, sowohl am Ursprungs- als auch am Zielort.
Die Organisation verfügt über ein System zur Verwaltung der Geschäftskontinuität, SGCN (Sistema de Gestión de Continuidad del Negocio) nach seinen Initialen, zertifiziert nach ISO 22301, das regelmäßig auditiert wird und so die vollständige Aktualisierung der verschiedenen Komponenten, aus denen es besteht, wie z. B. der Plan zur Wiederherstellung nach Katastrophen und der Plan zur Aufrechterhaltung der Geschäftstätigkeit, gewährleistet.
Jedes der drei Rechenzentren, aus denen die Infrastruktur von GlobalSuite® besteht, verfügt über Stromversorgungssysteme, Temperaturkontrolle, Brandschutz; verfügt über verschiedene Zertifizierungen, die den korrekten Zustand der Sicherheitsmaßnahmen belegen und regelmäßig auditiert werden.
Unser Prozess zur Aufrechterhaltung der Geschäftstätigkeit umfasst auch die internen Dienste für den korrekten Betrieb von GlobalSUITE®, wodurch eine vollständige Ausfallsicherheit des Dienstes erreicht wird.
Die Inbetriebnahme eines Servers zur Ausführung von Aktivitäten innerhalb der Organisation verfügt über eine vorherige „Hardening“-Phase, die es uns ermöglicht, Schwachstellen zu reduzieren, die sich aus den Standardkonfigurationen ergeben.
Dieser Hardening-Prozess befindet sich in ständiger Weiterentwicklung, parallel zu den neuen Diensten und Schwachstellen der Branche, jedoch immer geleitet von den bewährten Verfahren der CIS-Leitfäden (Center for Internet Security).
Zertifizierungen
Unsere feste Überzeugung von Sicherheit und Vertrauen hat sich in der Bereitstellung eines integrierten Managementsystems kristallisiert, das die Steuerung unserer Prozesse ermöglicht und nach ISO 27001, ISO 22301, ISO 9001, ISO 20000, ISO 37001, UNE 19601, ENS und anderen zertifiziert ist. Dieser Rahmen bietet uns die notwendigen Werkzeuge, um die Ziele der Organisation anzugehen, die Risiken zu verwalten und die notwendigen Kontrollen zu definieren.
Lassen Sie uns gemeinsam ein neues Projekt starten