Sitefinity CMS Plattform Sicherheit & Compliance

Bewährte Sicherheitsmethoden

Regierungsbehörden und Unternehmen aller Größen und Branchen vertrauen Progress ihre Anwendungen und Daten an. Bestehend aus einem Web Content Management System und Sitefinity Insight können Kunden ihr CMS vor Ort oder in der Cloud einsetzen und verwalten, während sie auf Sitefinity Insight als SaaS-Anwendung zugreifen. Um dies zu gewährleisten, konzentrieren wir uns auf vier Sicherheitsbereiche: Security by Design, Sicherheit im Cloud-Betrieb, Schutz der Kundendaten und Einhaltung von Standards.

Sicherheit durch Design

• Designiertes Sicherheitsteam
• Proaktive Überwachung von Security Bulletins (z.B. SANS, CERT und NIST)
• Scannen von Abhängigkeiten von Drittanbietern auf Schwachstellen
• Regelmäßige statische Codeanalyse (z.B. Veracode)
• Obligatorische Code- und Sicherheitsüberprüfungen (OWASP und CWE/SANS)
• Umfassendes Management von Sicherheitslücken und Sicherheitsvorfällen
• Regelmäßige Risikobewertungen von Sicherheitsrichtlinien, Verfahren, Kontrollen und Standards
• Regelmäßige Code- und Datensicherungen
• Integriertes Web Security-Modul zum Konfigurieren von HTTP-Sicherheitsheadern, Umleit- und Referrer-Validierung und Schutz vor Cross-Site-Scripting (XSS), Click-Jacking, Code-Injection oder Man-in-the-Middle-Angriffen und Content-Sniffing
• Integrierte Benutzerauthentifizierung und -verwaltung
• Endpoint Protection zur kontinuierlichen Bewertung von Staging- und Produktionsumgebungen
• Web Application Firewall, um schneller auf Sicherheitsbedrohungen zu reagieren, indem bekannte Schwachstellen zentral gepatcht werden

Cloud-Sicherheitsbetrieb

Eine vertrauenswürdige und zuverlässige Infrastruktur, hohe Verfügbarkeit, proaktive Überwachung aller Systemkomponenten und sichere Verschlüsselung stehen im Mittelpunkt des täglichen Sitefinity Insight-Betriebs.

• Proaktives Cloud-Monitoring aller Systemkomponenten
• Vertrauenswürdige und zuverlässige Cloud-Infrastruktur – Microsoft Azure
• Sehr hohe Datenausfallsicherheit und Verfügbarkeit der Cloud-Dienste 
• Umfassende Performance-Dashboards mit Last, Leistung, Verfügbarkeit, Fehlern und mehr
  

Schutz von Kundendaten

• Unterstützt anforderungen der Datenschutz-Grundverordnung (DSGVO) durch:
  • Ermöglichen des Auffindens und Löschens personenbezogener Daten
  • Verwendung sicherer APIs für integrierte Lösungen
  • Sicherer Umgang mit personenbezogenen Daten (PII)
  • Bereitstellen eines integrierten Tracking-Zustimmungs-Widgets
  • Bereitstellung von Sitefinity Insight-Rechenzentren, die in Europa gehostet werden
• Erforderliche Zustimmung des Kunden, bevor auf Kundendaten zugegriffen wird (z. B. zur Behebung eines gemeldeten Problems)
  Least-Privilege-Prinzip mit Audit-Trail, Filterung und Firewalls
  Strenge Datenzugriffsrichtlinien und -kontrollen (z. B. Zugangs-, Umfangs- und Zeitbeschränkungen)
• Speicherung und Isolierung von Kundendaten auf gemeinsam genutztem oder vollständig eigenem Speicher
• Interne Kontrollen stellen sicher, dass Kundendaten niemals repliziert oder in Nicht-Produktionsumgebungen verwendet werden
• Regelmäßige und hochsichere Datensicherungen mit Azure Storage

Einhaltung gesetzlicher Standards

Progress ist ein börsennotiertes Unternehmen (NASDAQ: PRGS) und als solches verpflichtet, den Sarbanes-Oxley Act einzuhalten und wird entsprechend geprüft.