Sicher, zuverlässig, robust

Die Richtlinie

Paragin verfügt über eine umfangreiche Reihe von Sicherheitsverfahren, die sich auf eine Reihe von Themen beziehen. Mitarbeiter und Partner werden über diese Richtlinien informiert und geschult, und die darin enthaltenen Abweichungen werden registriert.

Neue Mitarbeiter nehmen an einem Bewusstseinstraining zu Best Practices, ISO 27001 und Datensicherheit teil. Intern wird regelmäßig über neue Entwicklungen, Ergebnisse von Tests und Lernmomente bei Vorfällen informiert. Das Management von Paragin is here nauw bij betrokken, we see this as a core task of Paragin and willen zo richting all involved het belang hiervan understrepen.

Bewährte Verfahren Gaat u binnen uw organisatie om met gevoelige persoonsgevevens or neemt u belangrijke summatieve toetsen af?

Wir können Ihnen helfen, diesen Prozess so sicher, mogelijk within Ihrer Organisation in die richtige Richtung zu bringen. Unsere Software unterstützt verschiedene Formen der Authentifizierung, sodass nur die richtigen Personen auf den Daten zugreifen können. Sie bietet jedoch auch die Möglichkeit, Ihre Tasten so auf den Bildschirm zu bringen, dass sie auf sichere Weise abgerufen werden können (mit Netzwerkeinschränkungen, Zugriff über spezielle Browser und mehr).

In unserer Software ist die Richtlinie, dass Benutzer in principe nergens zugriff haben, tot daar expliciet een uitzondering op wordt gemaakt ('need to know'). Auf diese Weise kann es nie passieren, dass ein Benutzer aufgrund von zufälligen, empfindlichen Daten in das System gelangen kann.

Überwachung Alle Systeme, Netzwerke und Hardware werden rund um die Uhr aktiv überwacht. Bei (möglichen) Problemen oder Rückfragen von außen nach innen werden verschiedene Alarmsysteme und Benachrichtigungen auf verschiedenen Ebenen aktiviert. Alle Aktionen und Anfragen an und von Servern werden protokolliert und können im Rahmen forensischer Untersuchungen analysiert werden oder beispielsweise auf mögliche Betrugsfälle (Prüfungen) hinweisen.

Disaster Recovery Unser Disaster Recovery (DR) -Programm stellt sicher, dass unsere Service- und Softwareprodukte auch bei größeren Vorfällen verfügbar sind oder so schnell wie möglich verfügbar sind. Dies wird durch ein Maßregelpaket wie externe Backups, eine redundante und ausgeglichene Infrastruktur und Disaster Recovery-Verfahren bearbeitet.

Die Paragin-APIs sind nur SSL/TLS und müssen authentifiziert werden, um sie aufrufen zu können. Den API-Anmeldeinformationen können Bereiche und IP-Beschränkungen hinzugefügt werden, sodass der Datenaustausch auf sichere Weise erfolgt und nur die Daten abgerufen werden können, die jedoch über die API gesperrt werden müssen.

Hosting und Sicherheit vor Ort Die Software

von Paragin wird über eine umfangreiche, in mehreren Ländern untergebrachte Serverinfrastruktur als SaaS (Software as a Service) bereitgestellt. Alle Server werden in ISO 27001-zertifizierten Rechenzentren innerhalb des EER gehostet, und auch unsere externen Backups werden innerhalb des EER gespeichert.

Unsere Rechenzentren bieten biometrische Zugriffssicherheit, physische Sicherheit rund um die Uhr, Videoüberwachung, Alarmanlagen, Brandschutz sowie zusätzliche Energieversorgungen, um den Stromverbrauch zu überwachen.

Schutz und Sicherheitsüberprüfungen

Unser Netzwerk ist durch Firewalls, erstklassige Router, ein abgetrenntes Netzwerk für Entwickler per VPN, SSL/TLS HTTPS-Datentransport über das Internet auf A+-Niveau und Erkennung von Netzwerkangriffen geschützt. Wir kontrollieren und überwachen dies auf natürliche Weise, arbeiten aber auch mit Partnern zusammen, die dies überwachen und uns darauf achten.

Der Zugriff auf die Infrastruktur von Paragin ist auf einer expliziten Need-to-Have-Basis beschränkt. Der Zugriff erfolgt einfach über das sichere interne Netzwerk. Mitarbeiter, die als Administrator Zugriff auf die Anwendungen haben, können dies einfach per Zwei-Faktor-Authentifizierung tun und explizit unterschreiben, indem sie eine Integritätserklärung über die Prozeduren und Ausgangspunkte von Paragin erhalten.

Unsere Software kann ohne Ausfallzeiten sicher ausgeführt werden, indem die Bereitstellungsprozesse mit den erforderlichen Ausfallzeiten automatisiert werden. Darüber hinaus ist in unserer Software ein einheitlicher Schutz gegen alle gängigen Sicherheitsvorkehrungen integriert: XSS, CSRF, SQL-Injection, Brute-Force-Passwort-Hijacking werden alle eingeschränkt und bei jeder Sicherheitsüberprüfung auf Codeebene von einem angesehenen IT-Sicherheitsunternehmen durchgeführt. Während der Entwicklung unserer Software ist jeder Entwickler über alle relevanten Sicherheitsrisiken aus der OWASP-Liste informiert und weiß, wie er diese auf sichere und einheitliche Weise zu mindern hat.

Verschlüsselung und sichere Speicherung von Anmeldeinformationen Die

Kommunikation zwischen Ihren Benutzern und unserer Software wird über HTTPS und Transport Layer Security (TLS) mit der Bewertung A+ verschlüsselt. Paragin folgt den Best Practices op het bereied van secure credential storage, door nooit passwoorden op te slaan in een door mensen (or machines) lesbaar format but this enkel op te slaan middels een safe, salted, adaptive (also toekomstbestendige) one-way hash.

Verantwortungsvolle Offenlegung Bei Paragin halten wir die Sicherheit und den Schutz unserer Software für sehr wichtig. Ondanks onze zorg voor de beveiliging van onze systems zoals hierboven to lezen, kan het altijd voorkomen dat er toch een zwakke plek is.

Wenn Sie in einem unserer Systeme eine schwache Stelle gefunden haben, dann hören Sie uns diese Stelle an, damit wir so schnell wie möglich die Maßregeln treffen können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden, Benutzer, Partner und unsere Systeme so gut wie möglich zu schützen.

Wij vragen u in het kader of responsible disclosure:

• Uw bevindingen te mailen naar support@paragin.nl;
• Het geconstateerde probleem niet te misusuken, indem beispielsweise weitere Daten heruntergeladen werden müssen, dann nodig is nodig, um das Leck zu zeigen oder Daten von dort anzusehen, zu entfernen oder anzupassen;
• Het probleem niet met other to delen totdat is gelöst und alle traurigen Daten, die durch das Spiel verloren wurden direct na het dichtes van het lek te verwijderen;
• Geen genruik te maken van aanvallen op fysieke beveiliging, distributed denial of service, spam or applicaties van derden;
• Voldoende informatie te geven om het reproduceren zodat wij het zo snel mogelijk kunnen lösen. In den meisten Fällen sind die URL des Systems und eine Umschreibung der Vertrauenswürdigkeit damit verbunden, aber bei komplexeren Sicherheitsanforderungen kann es mehr erforderlich sein.

Wat wij beloven in het kader of responsible disclosure:

• Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melde under een pseudonym is mogelijk;
• Wij houden u op de hoogte van de voortgang van het oplossing van het probleem;
• In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst en op prijs stelt, uw naam vermelden als de ontdekker;
• Indien u het probleem gemeld heft in line with this verze klaring of responsible disclosure, zullen wij op geen enkele wijze juridische stappen ondernemen — we stellen uw input juist op prijs en waarderen deze zeer;
• Als Dank für Ihre Hilfe bieten wir eine Belohnung für jede Nachricht von einem uns noch unbekannten Sicherheitsproblem. Die Größe der Belohnung bestimmt, dass wir den Ernst des Fehlers und die Qualität der Nachricht berücksichtigen.

Wir bemühen uns, Probleme so schnell wie möglich zu lösen und arbeiten gerne aktiv mit allen zusammen, die uns hier helfen können.

Bovenstaande verklaring is onderdeel van het initiatief responsible disclosure om het niveau qua beveiliging van software te verhogen. Mit freundlicher Genehmigung von Floor Terra und responsibledisclosure.nl.