Datenschutz und -sicherheit

SAI360 liefert Lösungen für das integrierte Risikomanagement (IRM), die skalierbar, sicher und zuverlässig sind. Wir setzen SaaS-Anwendungen ein, die mit den höchsten Standards für Compliance und Betriebszeit konzipiert wurden. Unser Hosting ist vollständig virtualisiert, auf höchste Zuverlässigkeit ausgelegt und vermeidet jeden einzelnen Ausfallpunkt (Single Point of Failure).

Sicherheit und Compliance

• Detailliertes und kontinuierliches Scannen von Schwachstellen, Virenscans und Intrusionsschutz
• Alle Systeme sind in ISO27001-zertifizierten Rechenzentren untergebracht, die weltweit führenden Unternehmen gehören und von diesen verwaltet werden.
• Alle Systeme werden vom SAI360 Hosting Service betrieben und verwaltet, der weltweit nach ISO27001:2013 zertifiziert ist.
• SOC2-Bericht Typ 2 (SSAE18)*
• Bericht eines unabhängigen Praktikers über das Informationssicherheitsprogramm der Lösungen für integriertes Risikomanagement (SAI360) im Zusammenhang mit HIPAA und HITECH

*Die SOC2-Prüfung 2018 fand auf der SAI360 Plattform für integriertes Risikomanagement statt, die auf dem amerikanischen Kontinent gehostet wird. Der Prüfungsumfang für Juli 2019 wurde auf die SAI360 Plattform für integriertes Risikomanagement erweitert, die in den Rechenzentren in Australien und Großbritannien gehostet wird und in AWS (Deutschland) betrieben wird. Die Berichte für 2019 werden auch auf die Berichte SOC1 Typ 2 (SSAE2018) und ISAE3402 ausgeweitet.

Datenzentren

SAI360 betreibt seine Anwendungen in regionalisierten Rechenzentren, darunter Sydney, Atlanta und Milton Keynes. Die wichtigsten Grundsätze unserer Rechenzentren sind:

• Der Rechenzentrumsdienstanbieter ist für die physische und ökologische Sicherheit unserer Systeme verantwortlich
• ISO 27001-zertifizierte Kolokationszentren
• 24 Stunden, 7 Tage die Woche bewacht
• Der Zugang zu den Systemen ist auf das Personal von SAI360 Hosting Services beschränkt.

Datenspeicherung, -sicherung und -wiederherstellung

SAI360 hat gesicherte Backups vor Ort und außerhalb implementiert, um eine nahtlose Erfahrung für Ihre kritischen Risikomanagementsysteme zu gewährleisten.

• Kundendaten werden auf einem Enterprise Storage Array gespeichert, das maximale Leistung, Schutz und Datenintegrität sowie in APAC & Amerika Speicherverschlüsselung bietet
• Offsite-Disaster-Recovery-Replikation in Echtzeit, mit einem RPO von einer Stunde und einem RTO von vier Stunden
• Tägliche Daten-Backups werden über unser privates Netzwerk zum DR-Standort unter ständiger Kontrolle von SAI360 repliziert
• Wir führen 28 Tage vollständiger Datenbank-Backups vor Ort und 12 Monate Offsite.

Netzwerksicherheit

SAI360 segmentiert sensible Produktionsserver und Daten hinter einer hochmodernen Firewall.

• SAI360 verwendet restriktive Firewall-Richtlinien für die Perimeter-Verteidigung und eine dreistufige Architektur, die mehrere getrennte Sicherheitszonen für maximalen Schutz der Daten vor externen oder internen Angriffen bietet
• Wir überwachen Produktionssysteme und Netzwerkkomponenten, einschließlich interner Systemleistungsmetriken und Datenbankzustand
• Wir beauftragen vertrauenswürdige Dritte mit der Durchführung regelmäßiger externer Penetrationstests für Netzwerke und Webanwendungen
• Wir führen wöchentliche interne Schwachstellen-Scans aller Systeme und Infrastruktur durch, mit jährlichen Penetrationstests von Netzwerk und Webanwendungen

Anwendungssicherheit und Authentifizierung

SAI360 bietet jedem unserer Kunden eine umfassende Selbstbedienungskontrolle und wendet standardmäßig strenge Sicherheitsmaßnahmen an.

• Die Passwörter werden mit dem Hash-Algorithmus SHA 256 verschlüsselt. Die Datenverschlüsselung im Ruhezustand wird pro Anwendung und pro Kundenanforderung definiert. Bei der Verwendung von verschlüsselten Daten wird mindestens AES256 Bit verwendet.
• Die Anwendung ist vollständig rechte- und rollengesteuert: Benutzer sehen nur das, wofür sie die Erlaubnis erhalten haben
• Die Anwendung unterstützt Single Sign-On (SSO), was erfordert, dass Benutzer über ihren Identitätsprovider unter Verwendung der Protokolle SAML 2.0 oder Shibboleth authentifiziert werden
• Der gesamte Datenzugriff erfolgt durch die Anwendung über HTTPS (TLS l.2), ein direkter Zugriff auf die Datenbank wird niemals gewährt
• Wenn kein SSO verwendet wird, sind die Passwortattribute von jedem Kunden konfigurierbar, einschließlich Passwortkomplexität, Passworthistorie und Passwortwiederverwendung, Anzahl fehlgeschlagener Anmeldeversuche und Sperrzeit sowie Challenge-Fragen
• Der Anwendungszugriff kann auf einen oder mehrere Bereiche von IP-Adressen beschränkt werden

Integration

SAI360 bietet verschiedene Methoden zur Integration mit Anwendungen von Drittanbietern unter Verwendung von Webdiensten und Datenintegrationstools an. Auch lokale Anwendungen können in die Lösungen von SAI360 integriert werden. Integrationsberatung von Drittanbietern ist verfügbar.