Bei HALO haben Datensicherheit und Datenschutz oberste Priorität. Unsere Softwareentwicklung und Dienstleistungserbringung basieren auf strengen Sicherheits- und Datenschutzrichtlinien. Durch die Bereitstellung eines Dienstes, der sich an diesen Grundsätzen orientiert, können wir eine hohe Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Daten gewährleisten.

‍

Es gehört zur Unternehmenspolitik von HALO, in unserer gesamten Organisation und bei unseren Lieferanten das Bewusstsein dafür zu schärfen, wie wichtig es ist, Informationen zu schützen – unabhängig davon, in welcher Form diese vorliegen. Dies erreichen wir unter anderem durch regelmäßige Schulungen und Sensibilisierungsprogramme zum Thema Informationssicherheit (IS).

Bleiben Sie bei den Entwicklungen im Bereich des Informationssystems (IS) stets auf dem neuesten Stand. Dies erreichen wir, indem wir das sich ständig wandelnde IS-Umfeld aufmerksam beobachten und eine Kultur der kontinuierlichen Verbesserung (CI) fördern. Gehen Sie alle Abweichungen im Zusammenhang mit dem IS gründlich an. Wir stellen dies durch die Aufrechterhaltung eines robusten Meldesystems für Abweichungen sicher, das regelmäßig überprüft wird.

‍

Wir stellen die erforderlichen und angemessenen Ressourcen bereit, um unseren Verpflichtungen im Bereich der Informationssicherheit nachzukommen. Durch regelmäßige Messung und Überwachung unseres Informationssicherheits-Managementsystems (ISMS) stellen wir sicher, dass angemessene Ressourcen zur Verfügung stehen.

‍

Daten und Geräte sollten, wo immer möglich, verschlüsselt werden, und es sollte ein pragmatisches System zur Klassifizierung von Informationen gepflegt werden.

Wir verfolgen einen risikobasierten Ansatz im Bereich der Informationssicherheit. Dazu werden wir eine aktuelle Risikobewertung und einen Risikobehandlungsplan führen, die mindestens einmal jährlich überprüft werden.

‍

Wir legen jährlich S.M.A.R.T.-Ziele für das Informationssicherheitsmanagement fest und überprüfen diese regelmäßig sowie im Rahmen unserer Sitzungen zur Überprüfung des Informationssicherheitsmanagements. Diese Ziele werden allen Mitarbeitern im Rahmen unserer Schulungs- und Sensibilisierungsprogramme vermittelt.

‍

Unser Anbieter für sicheres Hosting

Alle HALO-Cloud-Anwendungen werden auf Amazon Web Services (AWS) bereitgestellt, einem branchenführenden Anbieter hochsicherer, skalierbarer Cloud-Infrastruktur.

‍

Physische Sicherheit

AWS ist führend bei der Bereitstellung modernster Rechenzentren. Der physische Zugang wird sorgfältig auf das vor Ort benötigte Personal beschränkt und widerrufen, sobald der Zugang nicht mehr erforderlich ist. Das Sicherheitspersonal setzt eine Kombination aus Überwachungskameras und Ausweiskarten ein, ergänzt durch mehrstufige Zwei-Faktor-Authentifizierung. Jeder gewährte Zugang ist je nach Rolle der jeweiligen Person auf den entsprechenden Bereich des Rechenzentrums beschränkt. Die AWS Security Operations Center überwachen kontinuierlich, ob unbefugte Zugriffe stattfinden – mithilfe von Zugriffsprotokollen, Videoüberwachung und Einbruchserkennung.

AWS pflegt seine SOC-Berichte und Zertifizierungen, darunter SOC, PCI, ISO und viele weitere, und baut diese kontinuierlich weiter aus. Weitere Informationen finden Sie im Abschnitt „AWS Compliance“ auf der AWS-Website.

‍

Geschäftskontinuität

Alle AWS-Rechenzentren sind sorgfältig ausgewählt, um Umweltrisiken wie Überschwemmungen, extreme Wetterereignisse und seismische Aktivitäten zu minimieren. Die Rechenzentren sind mit automatischen Brand- und Überschwemmungserkennungs- sowie Löschsystemen ausgestattet. HALO nutzt sechs AWS-Regionen – London, Nord-Virginia, Frankfurt, Montreal, Kapstadt und Sydney. Jede Region verfügt über mehrere Verfügbarkeitszonen, die physisch voneinander getrennt sind und so eine hohe Verfügbarkeit gewährleisten.

Klima und Temperatur werden durch Personal und Systeme präzise geregelt, um eine optimale Leistung der Server und anderer Hardware zu gewährleisten. Alle Systeme und Geräte werden überwacht und vorbeugend gewartet, um ihre kontinuierliche Betriebsbereitschaft sicherzustellen.

‍

Umweltsicherheit

Die Infrastruktur von Amazon zeichnet sich durch eine hohe Verfügbarkeit aus und bietet Kunden die Möglichkeit, eine ausfallsichere IT-Architektur zu implementieren. AWS hat seine Systeme so konzipiert, dass sie System- oder Hardwareausfälle mit minimalen Auswirkungen auf die Kunden verkraften können. Das Business-Continuity-Management für Rechenzentren bei AWS steht unter der Leitung der Amazon Infrastructure Group.

Kernanwendungen werden in einer N+1-Konfiguration bereitgestellt, sodass im Falle eines Ausfalls eines Rechenzentrums ausreichend Kapazität vorhanden ist, um den Datenverkehr auf die verbleibenden Standorte zu verteilen.

‍

Sichere Produktentwicklung

Produktverantwortung

Alle Produkte bei HALO haben einen Verantwortlichen, der für die Bereitstellung und die sichere Entwicklung der Anwendung zuständig ist. Der Verantwortliche überprüft regelmäßig die Roadmap für das Produkt und legt entsprechend die Prioritäten für Sicherheitskorrekturen fest.

‍

Versionskontrolle

Zur Verwaltung des Codes wird ein zentrales Repository verwendet, dessen Zugriff rollenbasiert geregelt ist. Dieses ist in die Entwicklungsumgebung und die Versionsverwaltung integriert. Jede Änderung am Code wird protokolliert und steht dem Kunden in Form von Versionshinweisen zur Verfügung.

‍

QA

Jede neue Version durchläuft ein strenges Qualitätssicherungsverfahren, bei dem Funktionalität, Leistung, Konfiguration, Benutzererfahrung und Stabilität geprüft werden. Erst wenn diese Tests erfolgreich bestanden wurden, wird die Version zur Nutzung freigegeben.

‍

Architektur

Datensicherung

Durch monatliche Tests der Wiederherstellung aus Backups wird sichergestellt, dass der Wiederherstellungsprozess wie erwartet funktioniert und dass die Backups in einwandfreiem Zustand erstellt werden. Dazu gehören: stündliche Transaktionsdatenbank-Backups, tägliche Vollbackups und monatliche Vollbackups – die jeweils 3 Tage, 2 Wochen und 3 Monate lang aufbewahrt werden. Die Backups werden in verschiedenen Amazon-Rechenzentren gespeichert.

‍

Automatische Skalierung

Verteilen Sie den Anwendungsdatenverkehr automatisch auf mehrere Verfügbarkeitszonen, um Hochverfügbarkeit, automatische Skalierung und robuste Sicherheit zu gewährleisten.

‍

Störungsmanagement

Robuste Verfahren zum Störungsmanagement, die die Meldung von Störungen und deren Nachverfolgung bis zur Behebung ermöglichen. Gemäß dem ITIL-Rahmenwerk werden Störungen priorisiert und SLAs nachverfolgt.

‍

Zertifizierung und Einhaltung von Vorschriften

Halo hat es sich zum Ziel gesetzt, eine Lösung anzubieten, die sowohl cybersicher ist als auch intern die korrekten Protokolle und Standards einhält.

Halo Service Solutions hat die Zertifizierung nach „Cyber Essentials“ abgeschlossen.

Halo Service Solutions Ltd erfüllt die Anforderungen von SOC 2 Typ 2; Einzelheiten dazu werden auf Anfrage gerne zur Verfügung gestellt.

Halo Service Solutions Ltd erfüllt die Anforderungen der Norm ISO 27001; Einzelheiten dazu werden auf Anfrage gerne mitgeteilt.

Für weitere Informationen senden Sie bitte eine E-Mail an security@imaginehalo.com.

Alternativ können Sie auch über unser Trust-Portal darauf zugreifen: https://trust.usehalo.com/

Erklärung zur Offenlegung von Sicherheitslücken

Zweck

Halo Service Solutions setzt sich für die Aufrechterhaltung der Sicherheit und Integrität unserer Plattform, unserer Produkte und unserer Dienstleistungen ein. Wir begrüßen die verantwortungsvolle Offenlegung von Sicherheitslücken und sind bestrebt, alle Meldungen transparent, zeitnah und koordiniert zu bearbeiten.

‍

Geltungsbereich

Diese Richtlinie gilt für alle Halo-Plattformen, darunter:

• SaaS-Anwendungen und APIs
• Integrierte Komponenten von Drittanbietern
• In der Cloud gehostete Infrastruktur
• Kundeninstallationen vor Ort
• Interne Systeme zur Unterstützung der Plattform

So melden Sie einen Vorfall

Bitte melden Sie mögliche Sicherheitslücken per E-Mail oder über unser Support-Portal.

Fügen Sie eine Beschreibung des Problems, Schritte zur Reproduktion sowie alle relevanten Belege bei. Falls sensible Daten betroffen sind, nutzen Sie bitte unser sicheres Übermittlungsverfahren.

‍

Aufnahme & Triage

Wir bestätigen den Eingang aller Meldungen innerhalb von 3 Werktagen

Meldungen werden nach Standard-Risikomodellen geprüft und nach Schweregrad eingestuft

‍

Koordination und Sanierungsmaßnahmen

• Risikoträger und Produktverantwortliche werden von Anfang an einbezogen
• Patches und Abhilfemaßnahmen werden je nach Schweregrad priorisiert:
  Kritisch/Hoch: Kunden werden innerhalb von 48 Stunden nach Bestätigung der Auswirkungen benachrichtigt
  Mittel/Niedrig: Behebung im nächsten geplanten Patch oder in der nächsten Sicherheitsmitteilung
• Kunden mit On-Premise-Lösungen erhalten vorübergehende Abhilfemaßnahmen und Anleitungen, falls eine sofortige Installation von Patches nicht möglich ist

Koordination mit Dritten

Wenn Sicherheitslücken Komponenten von Drittanbietern betreffen, koordinieren wir die Offenlegung mit den Anbietern, vereinbaren Termine für die öffentliche Bekanntgabe und ziehen die zuständigen Behörden hinzu.

‍

Offenlegung

Öffentliche Hinweise werden veröffentlicht, nachdem koordinierte Korrekturen bereitgestellt wurden

Sofern Sie in gutem Glauben handeln und diese Offenlegungsrichtlinie befolgen, wird Halo keine rechtlichen Schritte gegen Sie einleiten. Greifen Sie nicht auf Kundendaten zu, stören Sie keine Dienste und nutzen Sie Sicherheitslücken nicht über Proof-of-Concept-Tests hinaus aus.

‍

Kontakte

E-Mail: security@imaginehalo.com

CISO / Sicherheitsmanager: Endentscheidungsbefugnis bei öffentlichen Bekanntgaben und der externen Kommunikation

‍

Rückblick und Aktuelles

Diese Richtlinie wird jährlich oder nach schwerwiegenden Vorfällen überprüft, um sicherzustellen, dass sie weiterhin den bewährten Sicherheitsverfahren entspricht.

‍