Die Produkte und Dienste von Contrast Security, Inc. stellen eine revolutionäre Herangehensweise an den fortlaufenden Schutz von Anwendungen dar. Vergleichbar revolutionär ist die Datenschutz-Grundverordnung des Europäischen Wirtschaftsraums in Bezug auf die Kontrolle der Menschen über ihre personenbezogenen Daten. Contrast Security, Inc. legt großen Wert darauf, die bestmöglichen Datenschutz- und Informationssicherheitsstandards einzuhalten. Dieses Engagement spiegelt sich auch in unserem Produktangebot und in unserer internen Compliance-Umgebung wider.
Die Prinzipien der Verantwortung, Integrität, Transparenz und von Privacy by Design sowie unsere Sicherheitsstandards beeinflussen nahezu alle Entscheidungen bei Contrast
Sie teilen beim Besuch unserer Website und bei Verwendung unserer Dienste Daten mit uns. Wir möchten Ihnen gegenüber transparent sein, was die von uns erhobenen Daten, deren Verwendung und Weitergabe sowie die Möglichkeiten angeht, die wir Ihnen zum Zugriff, zur Änderung und zur Löschung Ihrer Daten bieten.
Diese Informationen möchten wir Ihnen auf leicht verständliche Art und Weise präsentieren. Gesetzliche und behördliche Vorschriften sind wichtig, doch wir setzen darauf, sämtlichen verwirrenden „Juristenjargon“ zu vermeiden. Sie können auch gerne jederzeit unter privacy@contrastsecurity.com Kontakt mit uns aufnehmen.
In unserer Datenschutzrichtlinie finden sich einige Informationen, die nur auf die Bewohner des Europäischen Wirtschaftsraums zutreffen. Am Ende unserer Datenschutzrichtlinie findet sich ein eigener Abschnitt bezüglich der Datenschutz-Grundverordnung („DSGVO“).
Wir erheben auf unserer Website ausschließlich personenbezogene Daten („PBD“), die Sie uns freiwillig zur Verfügung stellen. PBD sind Daten, mit denen wir Sie als Person identifizieren können. Darunter fallen etwa Ihr Name, Ihre Adresse, Ihre Unternehmens-E-Mail, Ihre Telefonnummer und sämtliche weitere Daten, die direkt mit Ihnen als Person in Verbindung stehen.
Sollten Sie jemals von jemandem, der behauptet, ein Vertreter von Contrast Security zu sein, dazu aufgefordert werden, ihm PBD oder andere vertrauliche Informationen zu übermitteln, benachrichtigen Sie bitte umgehend privacy@contrastsecurity.com. Falls Sie denken, eine Sicherheitslücke bei Contrast oder bei einem unserer Produkte oder Dienste gefunden zu haben, klicken Sie bitte hier: Bekanntgabe von Sicherheitslücken.
Wir verpflichten uns zum Schutz der Daten in unserem Gewahrsam und unter unserer Kontrolle. Unser Compliance-Programm ist dynamisch und proaktiv, wodurch wir stets mit den aktuellsten Änderungen und Verbesserungen der sich kontinuierlich weiterentwickelnden globalen Compliance-Umgebung Schritt halten können. Wir haben praktische und vernünftige administrative, technische und physische Sicherheitsvorkehrungen getroffen, um den unautorisierten Zugriff auf diese Daten sowie deren Verwendung, Veränderung und Veröffentlichung bestmöglich zu unterbinden. Diese Pflicht nehmen wir sehr ernst, weshalb wir strikte interne Kontrollen bezüglich Änderungsmanagement und Angestelltenverantwortlichkeit verfolgen.
Ein Mitgründer von Contrast Security ist darüber hinaus ein Gründer und wichtiger Mitwirkender bei „The Open Web Application Security Project“ („OWASP“), wo er mitunter acht Jahre lang als Vorstandsmitglied gedient hat und die OWASP Top 10, die OWASP Enterprise Security API, den OWASP Application Security Verification Standard, das XSS Prevention Cheat Sheet sowie viele andere, nun weitverbreitete kostenlose und offene Projekte ins Leben gerufen hat. OWASP ist eine weltweit agierende Non-Profit-Organisation, die ihren Schwerpunkt auf die Steigerung von Softwaresicherheit setzt. Die Organisation bietet natürlichen Personen, Unternehmen und anderen Einrichtungen weltweit unvoreingenommene sowie praktische Informationen zu AppSec. Ein weiterer Beweis für die Priorität, die wir bei Contrast unserer Compliance-Umgebung zuweisen: Wir beschäftigen einen eigenen Beauftragten für die Bereiche Datenschutz, Privatsphäre und Compliance, der mehr als 25 Jahre Erfahrung vorweisen kann. Er ist primär für die Aufsicht über unsere operative Risikoumgebung zuständig. Darüber hinaus agiert er als ernannter Datenschutzbeauftragter im Rahmen der Datenschutz-Grundverordnung („DSGVO“).
Für unsere gehosteten Produkte bedienen wir uns der Amazon Web Services („AWS“), die sich ebenfalls an die strengsten Compliance-Standards halten. Die AWS sind CSA-, DSGVO-, ISO-, PCI- und SOC-konform und haben als erster Cloud-Serviceanbieter bereits vor der verpflichtenden Deadline am 1. Februar 2018 die neuen Bewertungsrichtlinien für PCI DSS 3.2 umgesetzt. Wir akzeptieren keine Onlinezahlungen und erheben auch anderweitig keine Zahlungsinformationen, doch wir sind überzeugt davon, dass diese proaktive Compliance repräsentativ für das starke Informationssicherheitsframework unseres Hostinganbieters ist. Die AWS sind FedRamp-zertifiziert, entsprechen allen Anforderungen des FERPA, des HIPAA sowie der EU-Datenschutzrichtlinie und sind seit dem 26. März 2018 vollständig konform mit der DSGVO. Nähere Informationen erhalten Sie hier: AWS/DSGVO-Compliance. Contrast hat im Rahmen der DSGVO eine Datenverarbeitungsvereinbarung mit den AWS abgeschlossen. Die AWS ermöglichen die Einhaltung des FISMA und befolgen die Bestimmungen des NIST-Frameworks. Für eine vollständige Liste der Compliance-Programme klicken Sie bitte hier. Wir beantworten Ihnen gerne sämtliche Fragen zu den Maßnahmen, die Contrast verfolgt, um die robustesten Standards und Verfahren der Branche umzusetzen.
CONTRAST SECURITY UND DAS EU-U.S. / SWISS-U.S. PRIVACY SHIELD FRAMEWORK
Contrast Security, Inc. entspricht den Anforderungen der EU-U.S. Privacy Shield und Swiss-U.S. Privacy Shield Frameworks („Privacy Shield“), die vom Handelsministerium der Vereinigten Staaten bezüglich der Erhebung, Verwendung und Speicherung personenbezogener Daten festgelegt wurden, welche im Vertrauen auf Privacy Shield aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten übertragen werden. Contrast Security, Inc. hat sich vom Handelsministerium der Vereinigten Staaten bestätigen lassen, dass das Unternehmen den Regelungen von Privacy Shield hinsichtlich derartiger Daten entspricht. Falls es zu einem Widerspruch zwischen den Bedingungen dieser Datenschutzrichtlinie und den Regelungen von Privacy Shield kommen sollte, gelten letztere. Um mehr über das Privacy-Shield-Programm zu erfahren und/oder unser Zertifikat einzusehen, besuchen Sie bitte https://www.privacyshield.gov/.
CONTRAST SECURITY UND DIE DATENSCHUTZ-GRUNDVERORDNUNG DER EU (DSGVO)
Wie bereits oben angeführt, stellen die Produkte und Dienste von Contrast Security, Inc. eine revolutionäre Herangehensweise an den fortlaufenden Schutz von Anwendungen dar. Vergleichbar revolutionär ist die DSGVO in Bezug auf die Kontrolle der Menschen über ihre personenbezogenen Daten.
Contrast Security, Inc. hat alle denkmöglichen Maßnahmen unternommen, um die Anforderungen der Datenschutz-Grundverordnung der EU (DSGVO) zu erfüllen und wird auch weiterhin auf internationaler Ebene auf Empfehlungen achten, die Bezug zur Durchsetzung der DSGVO seit dem 25. Mai 2018 haben. Weitere Informationen zur DSGVO entnehmen Sie bitte unserer unten stehenden Datenschutzrichtlinie.
Für nähere Informationen zur EU-DSGVO klicken Sie bitte hier.
Für nähere Informationen zum NIST klicken Sie bitte hier.
Seit dem 31. Januar 2017 ist Contrast konform mit SOC2 Typ II und seit dem 31. Oktober 2017 verfolgen wird einen fortlaufenden Jahresplan hinsichtlich SOC2.
CONTRAST SECURITY – DATENSCHUTZRICHTLINIE
Aktualisiert am 25. Mai 2018.
Contrast Security, Inc. („Contrast“, „wir“, „uns“ oder „unser“) engagiert sich für den Schutz Ihrer Anwendungen vor Schwachstellen. Diese Datenschutzrichtlinie beschreibt unser Protokoll hinsichtlich der Erhebung, Verwendung und Veröffentlichung von Daten, die in Bezug zu Produkten und Angeboten von Contrast (der „Dienst“) oder anderen verwandten Produkten und Angeboten stehen. Diese Richtlinie ist fester Bestandteil unserer Nutzungsbedingungen, die Sie hier finden können: Nutzungsbedingungen. Die erhobenen Daten werden ausschließlich dazu verwendet, um den von Ihnen gewünschten Dienst für Sie bereitstellen zu können.
Aufgrund von regelmäßigen Änderungen durch Aufsichtsbehörden, Best Practices und Erweiterungen der Compliance- und Kontrollumgebung steht unsere Datenschutzrichtlinie unter Änderungsvorbehalt. Sollten wir je wesentliche Änderungen an der Verwendungsart Ihrer Anwendungsdaten oder personenbezogenen Daten vornehmen, werden wir Sie per E-Mail an die zuletzt von Ihnen an uns übermittelte E-Mail-Adresse darüber in Kenntnis setzen und/oder diese Änderungen auf unserer Website durch eine gut sichtbar platzierte Mitteilung bekannt machen. Inhaltliche Änderungen an dieser Datenschutzrichtlinie sind ab dem Zeitpunkt gültig, an dem sie auf unserer Website eingepflegt werden. Diese Änderungen sind für neue Nutzer unserer Website oder unseres Dienstes sofort wirksam. Die an eine Benachrichtigung über solche Änderungen anschließende Verwendung unserer Website, unseres Dienstes oder verwandter Produkte ist als Zurkenntnisnahme dieser Änderungen durch Sie zu verstehen und entspricht Ihrer Zustimmung der damit einhergehenden Nutzungsbedingungen.
Informationen über unsere Website
Wenn Sie unsere Website unter www.contrastsecurity.com (die „Website“) aufrufen, erheben wir Ihre Internetprotokolladresse („IP“) sowie weitere verwandte Informationen wie Seitenabrufe, Browsertyp, Verweis- und Exitseiten, auf unserer Seite abgerufene Dateien (z. B. HTML-Seiten, Grafiken und andere), Betriebssystem und die durchschnittlich auf unserer Website verbrachte Zeit. Wir verwenden diese Daten, um die Aktivität auf unserer Website besser verstehen zu können und unsere Website zu überwachen und zu optimieren.
Cookies
Unsere Website verwendet eine Technologie namens „Cookies“. Klicken Sie hier, um mehr über Cookies zu erfahren: Cookies. Cookies sind kleine, oft verschlüsselte Textdateien, die in der lokalen Ablage des Browsers gespeichert werden. Sie werden von Webentwicklern verwendet, um die Nutzer bei der effizienteren Navigation ihrer Websites zu unterstützen und bestimmte Funktionen zu ermöglichen. Sie können in Ihrem Browser festlegen, dass Sie über neue Cookies benachrichtigt werden oder gewisse Cookies grundsätzlich ablehnen möchten. Allerdings funktionieren bestimmte Features möglicherweise nicht wie vorgesehen, falls Sie Cookies unserer Website ablehnen. Sie können Cookies auch wieder entfernen. Hier erfahren Sie, wie Sie dafür vorgehen müssen: Cookies löschen.
Do-Not-Track
Es gibt verschiedene Möglichkeiten, mit denen Sie verhindern können, dass Ihre Onlineaktivität nachverfolgt wird. Mitunter können Sie in Ihrem Browser festlegen, dass dieser von Ihnen besuchten Websites mitteilen soll, dass bestimmte Daten über Sie nicht erhoben werden dürfen. Das bezeichnet man als „Do-Not-Track“-Signal („DNT“).
Möglicherweise erkennt die Website von Contrast DNT-Signale von Webbrowsern nicht oder reagiert nicht auf diese. Das liegt daran, dass derzeit kein allgemeingültiger Standard darüber besteht, wie ein Unternehmen bei Feststellung eines DNT-Signals konkret verfahren soll. Nachdem ein derartiger Standard etabliert wurde, werden wir prüfen, wie wir bestmöglich auf diese Signale reagieren können. Klicken Sie bitte hier, um weitere Informationen zu erhalten: DNT-Signale.
Andere Links
Unsere Website enthält möglicherweise Links auf andere Websites, die nicht in unserem Eigentum stehen und nicht von uns betrieben werden. Diese Links bieten wir Ihnen nur zu Ihrem eigenen Komfort und ausschließlich zu Informationszwecken an. Die Einbindung dieser Links kommt nicht einer Befürwortung oder Empfehlung der verlinkten Websites gleich. Die verlinkten Websites verfügen über gesonderte und unabhängige Datenschutzerklärungen und Nutzungsbedingungen. Wir haben keine Kontrolle über diese Websites und sind daher weder verantwortlich noch haftbar dafür, wie diese betrieben oder welche personenbezogene Daten auf diesen erhoben, verwendet, veröffentlicht, gesichert oder anderweitig verarbeitet werden. Wenn Sie auf diese Links klicken, verlassen Sie unsere Website und werden auf eine andere weitergeleitet. Im Rahmen dieses Vorgangs erhebt möglicherweise ein Dritter personenbezogene oder anonyme Daten über Sie. Contrast ist nicht für dessen Verwendung Ihrer Daten verantwortlich. Falls Sie sich in der Europäischen Union aufhalten und Bedenken bezüglich Ihrer Daten haben, sollten Sie Kontakt mit der Datenschutzabteilung des Dritten oder dessen ernanntem Datenschutzbeauftragten aufnehmen.
Auf anderen Websites sehen Sie möglicherweise Links, die auf unsere Website verweisen. Wir haben keine Kontrolle über diese Websites und sind daher weder verantwortlich noch haftbar dafür, wie diese betrieben werden. Sie sollten die Datenschutzrichtlinien und Nutzungsbedingungen einer jeden Seite verstehen, die Sie besuchen. Falls Sie der Ansicht sind, dass jemand einen Link zu Contrast Security gesetzt hat, der irreführend ist oder die Integrität von Contrast Security untergräbt, kontaktieren Sie uns bitte unter privacy@contrastsecurity.com. Derartige Benachrichtigungen werden streng vertraulich behandelt.
Social Media
Unsere Website verfügt über Social-Media-Funktionen für Twitter, LinkedIn, Google Circles usw. Falls Sie diese Seiten aufrufen, erheben sie möglicherweise Ihre IP-Adresse sowie die Verweisseite und setzen eventuell einen Cookie, um die ordnungsgemäße Funktionsweise des Features zu gewährleisten. Social-Media-Funktionen und -Widgets werden entweder von einem Dritten oder direkt auf unserer Website bereitgestellt. Ihre Interaktionen mit diesen Funktionen unterliegen der Datenschutzrichtlinie des jeweiligen Anbieterunternehmens und nicht jener von Contrast Security.
Wir legen Ihnen nahe, die Datenschutzerklärung jeder von Ihnen besuchten Website aufmerksam durchzulesen, ganz gleich, ob es sich dabei um www.contrastsecurity.com oder eine andere Seite handelt.
Erhebung und Verwendung von Daten
Indem Sie Anwendungsdaten, personenbezogene oder andersartige Daten oder Informationen (die „Daten“) an Contrast übermitteln oder Contrast zur Verfügung stellen, stimmen Sie den Bedingungen dieser Datenschutzrichtlinie zu und erklären sich ausdrücklich mit der richtlinienkonformen Verarbeitung Ihrer Daten einverstanden.
Daten, die Sie uns zur Verfügung stellen, werden primär dazu verwendet, um Ihre Anfragen zu beantworten oder Ihnen einen besseren Dienst bieten zu können. Sobald Sie ein Kunde von Contrast sind, schicken wir Ihnen ggf. eine Willkommens-E-Mail, administrative E-Mail-Benachrichtigungen zu Sicherheits-, Support- und Wartungsangelegenheiten, Werbenachrichten, Anfragen zur Teilnahme an einer Umfrage, Upgrade- und Sonderangebote mit Bezug zu unserem Dienst oder Mitteilungen zu anderen Zwecken, die Contrast betreffen. Ggf. nehmen wir telefonisch mit Ihnen Kontakt auf, um Informationen zu verifizieren, potenzielle Schwachstellen zu überprüfen und Rückmeldungen von Ihnen einzuholen.
Da wir Dienste und Produkte anbieten, welche die Sicherheit von Webanwendungen zum Ziel haben, wird unsere Software in die Webanwendungen unserer Kunden eingebettet, um diese auf Schwachstellen zu untersuchen und Angriffe zu verhindern. Um diese Dienste zur Sicherung von Webanwendungen für unsere Kunden erbringen zu können, erheben wir über die Webanwendungen unserer Kunden ggf. bestimmte Daten und verwenden diese weiter. Wir erheben und verwenden personenbezogene Daten auf diesem Wege nur, sofern diese zur Erbringung des von Ihnen gebuchten Dienstes erforderlich sind. Darunter fällt auch die Erbringung von Support-Leistungen und die Beantwortung von Fragen, die Sie ggf. zum Dienst haben.
Unter „Anwendungsdaten“ sind Leistungsdaten Ihrer Anwendung, Systemdaten (z. B. Versionsdaten, Plug-in-Namen usw.) der Betriebsumgebung Ihrer Anwendung, Daten zu den Transaktionen in Ihrer Anwendung („Transaktionsdaten“), Stack-Traces und Auszüge von Quellcode für bestimmte Klassen und Fehler sowie weitere ähnliche Daten zu verstehen, die Bezug zu Ihrer Anwendung haben.
Sämtliche von uns erhobene Anwendungsdaten werden dazu verwendet, um Sie über Schwachstellen und Angriffe zu benachrichtigen und Informationen zur Leistung Ihrer Anwendung mit Ihnen zu teilen. Ggf. sammeln wir Anwendungsdaten über mehrere Konten hinweg an und verwenden diese, um Branchenbenchmarks oder Vergleichsmetriken für die Anwendungsleistung zu erstellen und zu veröffentlichen. Wir verschleiern standardmäßig sämtliche von uns erhobene individuelle Transaktionsdaten. Sie können unsere Produkte so konfigurieren, dass individuelle Transaktionsdaten nicht verschleiert werden. Sie können darüber hinaus bestimmte Regeln bezüglich Schwachstellen und/oder die Erhebung bestimmter Arten von Anwendungsdaten durch unseren Dienst deaktivieren. Weitere Informationen diesbezüglich finden Sie hier.
Sie stimmen der Weitergabe Ihrer Anwendungsdaten gemäß dieser Richtlinie ausdrücklich zu.
Entscheidungen bezüglich Ihrer Daten
Sie können bei uns selbst über die Erhebung, Verwendung und Weitergabe Ihrer Daten entscheiden. Ggf. schicken wir Ihnen gelegentlich E-Mails bezüglich geplanter Wartungsarbeiten oder E-Mails, die unsere Produkte oder unseren Dienst bewerben usw. Sie können sich jederzeit von weiteren Mitteilungen abmelden, indem Sie den Anweisungen zur Abbestellung derselbigen folgen, die in jeder dieser E-Mails enthalten sind, oder indem Sie uns unter privacy@contrastsecurity.com kontaktieren. Sollten Sie sich von zukünftigen Mitteilungen abmelden, werden wir auch etwaige Dritte, mit denen wir bezüglich des Servicing Ihres Kontos in Verbindung stehen, darüber informieren, sodass Sie von diesen keine weiteren Mitteilungen mehr erhalten. Unabhängig davon, ob Sie sich abmelden oder nicht, werden wir Ihnen ggf. – auf freiwilliger Basis unsererseits – E-Mails und/oder andere Mitteilungen bezüglich Änderungen unserer Datenschutzrichtlinie oder Nutzungsbedingungen schicken.
Wenn wir Ihre Kontodaten löschen, werden diese aus der aktiven Datenbank entfernt, doch sie verbleiben ggf. in unseren Archiven. Abseits davon werden wir Ihre Daten solange aufbewahren, wie Ihr Konto aktiv ist, oder diese benötigt werden, um den von Ihnen gebuchten Dienst zu erbringen. Ihre Daten werden darüber hinaus solange aufbewahrt, wie es gesetzliche Verpflichtungen vorsehen oder sie zur Beilegung von Streitigkeiten oder der Durchsetzung unserer Verträge erforderlich sind.
Wir werden Ihre personenbezogenen Daten nur mit Ihrem vorherigen Einverständnis veröffentlichen, verkaufen oder anderweitig übertragen, sofern nichts anderes in dieser Richtlinie oder, falls zutreffend, in Ihrer Vereinbarung oder Ihrem Dienstleistungsvertrag mit uns bestimmt wurde.
Wir übertragen oder veröffentlichen personenbezogene Daten möglicherweise in den folgenden Fällen:
Sollte die Offenlegung Ihrer Daten unter derartigen Umständen erforderlich sein, werden wir Sie unmittelbar benachrichtigen, falls möglich bereits bevor wir diesen Erfordernissen nachkommen (und soweit uns dies nicht untersagt ist). Daher ist es wichtig, dass Sie Ihre Daten bei uns stets auf dem aktuellen Stand halten.
Bitte beachten Sie:
DER CHILDREN’S ONLINE PRIVACY PROTECTION ACT („COPPA“)
Contrast wird niemals vorsätzlich Daten von Kindern im Alter von 13 Jahren oder jünger erheben. Falls ein Elternteil, Erziehungsberechtigter oder eine andere Person den Verdacht hegt, dass ein Kind im Alter von 13 Jahren oder jünger Contrast Daten zur Verfügung gestellt hat, sollte diese Person dies umgehend unter privacy@contrastsecurity.com melden. Contrast speichert diese Daten nur, bis sämtliche angemessene Löschungsmaßnahmen abgeschlossen wurden, die erforderlich sind, um den unautorisierten Zugriff auf diese Daten und deren unbefugte Verwendung bestmöglich zu unterbinden und den gesetzlichen sowie behördlichen Anforderungen zu entsprechen.
DAS „PRIVACY SHIELD“-PROGRAMM
Contrast Security, Inc. entspricht den Anforderungen der EU-U.S. Privacy Shield und Swiss-U.S. Privacy Shield Frameworks („Privacy Shield“), die vom Handelsministerium der Vereinigten Staaten bezüglich der Erhebung, Verwendung und Speicherung personenbezogener Daten festgelegt wurden, welche im Vertrauen auf Privacy Shield aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die Vereinigten Staaten übertragen werden. Contrast Security, Inc. hat sich vom Handelsministerium der Vereinigten Staaten bestätigen lassen, dass das Unternehmen den Regelungen von Privacy Shield hinsichtlich derartiger Daten entspricht. Falls es zu einem Widerspruch zwischen den Bedingungen dieser Datenschutzrichtlinie und den Regelungen von Privacy Shield kommen sollte, gelten letztere. Um mehr über das Privacy-Shield-Programm zu erfahren und/oder unser Zertifikat einzusehen, besuchen Sie bitte https://www.privacyshield.gov/.
Die wesentlichen Ziele von Privacy Shield bestehen darin, betroffene Personen über Folgendes zu informieren:
Contrast Security, Inc. verpflichtet sich dazu, Beschwerden bezüglich der Erhebung oder Verwendung Ihrer personenbezogenen Daten durch uns gemäß den Regelungen von Privacy Shield beizulegen. Bürger der EU, des Vereinigten Königreichs und der Schweiz, die eine Anfrage oder Beschwerde hinsichtlich unserer Privacy-Shield-Richtlinie einreichen möchten, bitten wir darum, Contrast Security, Inc. zunächst unter privacy@contrastsecurity.com zu kontaktieren.
Contrast hat sich darüber hinaus dazu verpflichtet, hinsichtlich strittiger Privacy-Shield-Beschwerden, die Personaldaten betreffen, welche im Rahmen eines Anstellungsverhältnisses aus der EU oder dem Vereinigten Königreich übertragen wurden, mit dem von den EU-Datenschutzbehörden (DSB) errichteten Panel zu kooperieren. Nicht zuletzt hat sich Contrast auch dazu verpflichtet, mit dem eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten („EDÖB“) zu kooperieren und dessen Empfehlungen hinsichtlich Personaldaten, die im Rahmen eines Anstellungsverhältnisses aus der Schweiz übertragen werden, zu befolgen.
Die Zertifizierung für Privacy Shield nimmt Contrast selbst vor. Eine derartige Selbsteinschätzung wird mindestens einmal pro Jahr durchgeführt und von einem Vorstand oder einem anderen befugten Vertreter des Unternehmens unterzeichnet. Eine Vorlage des Dokuments ist auf Anfrage oder im Rahmen einer Untersuchung bezüglich einer Beschwerde wegen Nichteinhaltung möglich. Contrast ist dazu verpflichtet, zeitnah auf individuelle Anfragen sowie andere Auskunftsersuchen des Handelsministeriums der Vereinigten Staaten zu reagieren, die Bezug zur Einhaltung der Privacy-Shield-Regelungen haben.
Betroffene Personen können gemäß Privacy Shield unter bestimmten Umständen ein bindendes Schlichtungsverfahren hinsichtlich Beschwerden bezüglich der Einhaltung von Privacy Shield einleiten, sofern diese nicht durch andere Privacy-Shield-Verfahren geregelt werden. Contrast ist gemäß Privacy Shield dazu verpflichtet, binnen 45 Tagen auf individuelle Beschwerden zu antworten. Besuchen Sie für weitere Informationen: Privacy Shield/Beschwerden.
REFERENZEN
Möglicherweise veröffentlichen wir auf unserer Website Empfehlungen unserer Kunden, die personenbezogene Daten enthalten können. Kunden stellen uns diese Empfehlungen auf freiwilliger Basis zur Veröffentlichung zur Verfügung. Falls Sie uns in der Vergangenheit eine Empfehlung ausgestellt haben und diese nun von der Website entfernen möchten, nehmen Sie bitte unter marketing@contrastsecurity.com Kontakt mit uns auf.
IHRE DATENSCHUTZRECHTE IN KALIFORNIEN
Gemäß Abschnitt 1798.83 des Bürgerlichen Gesetzbuchs von Kalifornien (California Civil Code), haben Bürger des Staates Kalifornien das Recht, gewisse Daten über Dritte anzufragen, denen gegenüber das Unternehmen bestimmte Arten personenbezogener Daten während des Vorjahres zum Zwecke von Direktmarketing durch diese Dritten offengelegt hat. Das Gesetz gestattet es Unternehmen wie Contrast, die über eine Datenschutzrichtlinie verfügen, welche Verbrauchern Möglichkeiten bezüglich der Weitergabe personenbezogener Daten an Dritte zu Zwecken von Direktmarketing durch diese Dritten bietet, dem Verbraucher stattdessen Informationen zur Ausübung dieser Möglichkeiten zur Verfügung zu stellen. Falls Sie nicht möchten, dass wir zu diesem Zweck weiterhin Daten mit Dritten teilen, schreiben Sie bitte eine E-Mail mit dem Betreff „Opt Out“ (Abmeldung) an privacy@contrastsecurity.com.
KONTAKT
Falls Sie Fragen oder Anmerkungen haben sollten oder eine Beschwerde erheben möchten, nehmen Sie bitte unter privacy@contrastsecurity.com Kontakt mit uns auf. Sie können uns zudem telefonisch unter +1(650) 567-4734, Durchwahl 8, mutmaßliche Verstöße gegen ethische Verpflichtungen melden.
Alternativ können Sie uns auch anonym oder in anderer Form unter folgender Adresse schreiben:
Contrast Security, Inc.
Attn: Privacy
240 3rd Street
Los Altos, CA 94022
Digital Millennium Copyright Act
Contrast respektiert die Rechte anderer an geistigem Eigentum und erwartet dasselbe von seinen Nutzern. Im Einklang mit dem Digital Millennium Copyright Act von 1998, dessen Wortlaut unter http://www.copyright.gov/legislation/dmca.pdf auf der Website des Urheberrechtsamtes der Vereinigten Staaten zu finden ist, reagiert Contrast unverzüglich auf Benachrichtigungen über eine Urheberrechtsverletzung bei der Nutzung unseres Dienstes oder unserer Website. Derartige Rechtsverletzungen sind dem zuständigen Urheberrechtsbeauftragten von Contrast zu melden.
Wenn Sie Urheberrechtseigentümer sind oder bevollmächtigt sind, im Namen eines Urheberrechtseigentümers oder aufgrund eines ausschließlichen Rechts im Rahmen des Urheberrechts zu handeln, teilen Sie uns mutmaßliche Urheberrechtsverletzungen bitte mit, indem Sie die DMCA-Benachrichtigung über eine mutmaßliche Urheberrechtsverletzung ausfüllen und an den zuständigen Urheberrechtsbeauftragten von Contrast übermitteln. Nach Erhalt der unten beschriebenen Benachrichtigung ergreift Contrast Maßnahmen, die wir nach alleinigem Ermessen für angemessen halten, einschließlich der Entfernung des betroffenen Inhalts von der Website.
DMCA-BENACHRICHTIGUNG ÜBER EINE MUTMASSLICHE URHEBERRECHTSVERLETZUNG („BENACHRICHTIGUNG“)
Bezeichnen Sie das urheberrechtlich geschützte Werk, das mutmaßlich von einer Urheberrechtsverletzung betroffen ist. Falls sich Ihre Benachrichtigung auf mehrere urheberrechtlich geschützte Werke bezieht, können Sie eine repräsentative Liste der betroffenen Werke anführen.
Contrast Security, Inc.
Attn: Copyright Agent
240 3rd Street
Los Altos, CA 94022
WESENTLICHE ÄNDERUNGEN DIESER RICHTLINIE:
Die Änderungen, die am 29.03.2019 an dieser Richtlinie vorgenommen wurden, betreffen den Transfer von Daten aus der EU in das Vereinigte Königreich (siehe Informationen zu Privacy Shield).
Aktualisiert am 24. Mai 2018.
Aktualisiert am 1. Februar 2018.
Aktualisiert am 9. Januar 2018.
Aktualisiert am 29. September 2017.
Ursprünglich veröffentlicht am 1. September 2016.
DIE DATENSCHUTZ-GRUNDVERORDNUNG („DSGVO“)
WAS IST DIE DSGVO?
Die DSGVO befasst sich mit den technologischen Veränderungen, die in den letzten zwei Jahrzehnten Einzug in die globale Wirtschaftswelt gehalten haben. Sie strebt mithilfe eines einzigen, gemeinsamen Regelwerks und entsprechenden Sanktionen bei Nichteinhaltung die Harmonisierung des Datenschutzes im Europäischen Wirtschaftsraum an. Die Verordnung wurde am 27. April 2016 verabschiedet und ist seit dem 25. Mai 2018 rechtskräftig. Die DSGVO ersetzt die Datenschutzrichtlinie, ein 20 Jahre altes Gesetz mit Anforderungen, die der DSGVO zwar ähneln, die von den verschiedenen Mitgliedsstaaten des Europäischen Wirtschaftsraums aber unterschiedlich ausgelegt und angewendet wurden. Es mangelte ebenso an konkreten Vollstreckungsbefugnissen. Die DSGVO hingegen findet auch weltweit Anwendung, da sie selbst ausländische Unternehmen betrifft, die über Daten von EU-Bürgern verfügen oder diese kontrollieren. Dadurch ist die DSGVO als erster weltweiter Datenschutzstandard zu betrachten.
Contrast Security bedient sich Verfahren, welche die Einhaltung der DSGVO-Vorschriften gewährleisten und dazu beitragen, unsere Verpflichtungen gegenüber unseren Kunden und Angestellten zu erfüllen. Wir haben einen Datenschutzbeauftragten ernannt, der die Einhaltung fortlaufend überwacht und eine vollständige Datenschutz-Folgeabschätzung (DSFA) durchgeführt sowie unsere aktuelle Richtlinie hinsichtlich der Reaktion auf Vorfälle und Benachrichtigungen über Datenschutzverletzungen angepasst hat, um den Erfordernissen der DSGVO zu entsprechen. Darüber hinaus haben wir geschäftliche Prozesse eingerichtet, die sich mit datenschutzbezogenen Anfragen außerhalb der Plattform von Contrast Security beschäftigen. Auf diesem Wege können wir sicherstellen, dass sämtliche Anfragen Ihrer Angestellten an uns Ihnen zeitnah mitgeteilt werden, falls zutreffend.
RECHTSGRUNDLAGE FÜR DIE VERARBEITUNG
In der DSGVO werden sechs rechtmäßige Gründe für die Verarbeitung angeführt:
CONTRAST VERARBEITET ALLE DATEN AUF GRUNDLAGE BERECHTIGTER INTERESSEN
PRODUKTE UND DIENSTE VON CONTRAST
Contrast Security erhebt gewisse Unternehmensdaten und personenbezogene Daten. Die von uns erhobenen Daten können in folgende Kategorien eingeteilt werden:
Wir erheben derzeit keine personenbezogenen Daten (Namen und E-Mail-Adressen von Unternehmen) zwecks Business-to-Business-Marketing für die Vermarktung unserer Dienste. Wir unterhalten nur Kontakte, die Interesse an unseren Diensten gezeigt haben. Falls Sie in der Vergangenheit Interesse an unseren Diensten gezeigt haben sollten, übermitteln wir Ihnen ggf. Neuigkeiten oder Produktangebote, für die Sie sich ebenfalls interessieren könnten. Sollten diese Mitteilungen nicht länger von Belang für Sie sein, können Sie sich jederzeit gerne von diesen abmelden. Contrast ist der Auffassung, dass wir ein berechtigtes Interesse daran haben, Unternehmen mehr Informationen über unsere Dienste zukommen zu lassen. Wir bedienen uns Kontrollmechanismen, die gewährleisten, dass dafür erforderliche Daten gemäß unserem Informationssicherheitsprogramm gespeichert und verwendet werden.
Contrast Security erhebt im Rahmen des Angebots unserer Anwendungssicherheitsdienste keine „personenbezogenen Daten“ von betroffenen Personen. Wir holen lediglich die Einwilligung Ihres Unternehmens ein, vertrauliche Daten Ihres Unternehmens erheben und verwenden zu dürfen (Daten zur Anwendungsleistung, Transaktionsaufzeichnungen von Anwendungen usw.). Diese vertraulichen Daten sind von höchster Wichtigkeit für uns und wir unternehmen alles Erdenkliche, um sie zu schützen. Allerdings dürfen diese Daten nicht mit den „personenbezogenen Daten“ von betroffene Personen nach Verständnis der DSGVO verwechselt werden. Contrast verpflichtet sich daher einerseits zur Einhaltung der allgemeinen Datenschutzmaßnahmen unserer Datenschutzrichtlinie und andererseits auch zur Einhaltung jener Maßnahmen, die sich speziell auf die DSGVO beziehen. Wir nehmen die Vertraulichkeit der Daten unserer Kunden sehr ernst. Darüber hinaus unterziehen wir uns jährlich einer unabhängigen Überprüfung.
Wir sind der Überzeugung, dass es maßgeblich zu unserer fortwährenden Datenschutzcompliance mit vorbildlichen Verfahren sowie zur Einhaltung der DSGVO beiträgt, unsere Anbieter und Unterauftragsverarbeiter hinsichtlich ihrer Sicherheits- und Datenschutzstandards zur Rechenschaft zu ziehen. Contrast verfügt über ein ausgereiftes Programm zum Management von Drittanbietern und überprüft sämtliche Dritte regelmäßig auf die fortwährende Einhaltung ihrer Sicherheits-, Datenschutz- und Vertraulichkeitsstandards.
Cookies: Wie in unserer übergeordneten Datenschutzrichtlinie erwähnt, setzen wir auf unserer Website eine Technologie namens „Cookies“ ein. Klicken Sie bitte hier, um mehr über Cookies zu erfahren: Cookies. Cookies sind kleine, oft verschlüsselte Textdateien, die in der lokalen Ablage des Browsers gespeichert werden. Sie werden von Webentwicklern verwendet, um die Nutzer bei der effizienteren Navigation ihrer Websites zu unterstützen und bestimmte Funktionen zu ermöglichen. Sie können in Ihrem Browser festlegen, dass Sie über neue Cookies benachrichtigt werden oder gewisse Cookies grundsätzlich ablehnen möchten. Allerdings funktionieren bestimmte Features möglicherweise nicht wie vorgesehen, falls Sie Cookies unserer Website ablehnen. Sie können Cookies auch wieder entfernen. Hier erfahren Sie, wie Sie dafür vorgehen müssen: Cookies löschen.
Do-Not-Track: Es gibt verschiedene Möglichkeiten, mit denen Sie verhindern können, dass Ihre Onlineaktivität nachverfolgt wird. Mitunter können Sie in Ihrem Browser festlegen, dass dieser von Ihnen besuchten Websites mitteilen soll, dass bestimmte Daten über Sie nicht erhoben werden dürfen. Das bezeichnet man als „Do-Not-Track“-Signal („DNT“).
Möglicherweise erkennt die Website von Contrast DNT-Signale von Webbrowsern nicht oder reagiert nicht auf diese. Das liegt daran, dass derzeit kein allgemeingültiger Standard darüber besteht, wie ein Unternehmen bei Feststellung eines DNT-Signals konkret verfahren soll. Nachdem ein derartiger Standard etabliert wurde, werden wir prüfen, wie wir bestmöglich auf diese Signale reagieren können. Klicken Sie bitte hier, um weitere Informationen zu erhalten: DNT-Signale.
HINWEIS AN ENDNUTZER
Soweit unsere Dienste Ihnen durch ein Unternehmen (z. B. Ihren Arbeitgeber) zur Verfügung gestellt werden, fungiert dieses als Administrator der Dienste und ist für die Konten und/oder Seiten des Dienstes, die unter Kontrolle des Unternehmens stehen, verantwortlich. Bitte wenden Sie sich in einem solchen Fall mit Ihren Datenschutzfragen an Ihren Administrator, da Ihre Nutzung der Dienste den Richtlinien Ihres Unternehmens unterliegt. Wir sind nicht verantwortlich für die Datenschutz- und Sicherheitsverfahren des Administratorunternehmens. Diese weichen möglicherweise von dieser Richtlinie ab.
Administratoren können:
In manchen Fällen können Administratoren darüber hinaus:
Selbst wenn Ihnen die Dienste derzeit nicht von einem Unternehmen bereitgestellt werden, kann der Eigentümer der Domain Ihrer E-Mail-Adresse (z. B. Ihr Arbeitgeber) in Zukunft administrative Maßnahmen bezüglich Ihres Kontos und Ihrer Nutzung der Dienste ergreifen, falls Sie eine entsprechende E-Mail-Adresse für den Zugriff auf die Dienste verwenden (z. B. die E-Mail-Adresse Ihrer Arbeitsstelle).
Bitte nehmen Sie Kontakt mit Ihrem Unternehmen auf oder lesen Sie die Unternehmensrichtlinien Ihres Administrators, um weitere Informationen zu erhalten.
ANSTELLUNG BEI CONTRAST SECURITY
KANDIDATEN
Falls Sie sich im Europäischen Wirtschaftsraum aufhalten und Interesse an einer Anstellung bei Contrast Security, Inc. haben, müssen Sie uns bestimmte Daten übermitteln (Anschreiben, Lebenslauf, Referenzen, Qualifikationen und andere beschäftigungsbezogene Daten). Wir verwenden diese Daten zur Bearbeitung Ihrer Bewerbung und um auf diese zu antworten. Dies gilt für aktuelle und künftige Stellenangebote. Diesbezüglich werden Sie als betroffene Person und die Daten, die Sie uns zur Verfügung stellen, als personenbezogene Daten behandelt.
Auf unserer Website ist ein „Karriere“-Link zu finden. Alle Bewerbungen müssen über diese Webseite erfolgen. Sämtliche Instanzen, die im Auftrag von Contrast Daten verarbeiten, halten sich in allen Belangen an die DSGVO. Sie müssen einwilligen, dass wir Kontakt mit Ihnen bezüglich Ihrer Bewerbung aufnehmen dürfen. Sie können dies unterlassen, allerdings können wir Ihre Bewerbung in einem solchen Fall nicht bearbeiten und Sie daher nicht für die Anstellung berücksichtigen. Wir verarbeiten und verwalten Ihre Daten mit Ihrem Einverständnis nur auf Grundlage berechtigter Interessen.
Eine begrenzte Anzahl an Angestellten von Contrast Security hat Zugriff auf Ihre Daten, wenn Sie sich auf eine Stelle bewerben. Die Empfänger Ihrer personenbezogenen Daten sind ausgewählte Angestellte von Contrast wie jene im Personalwesen, die Führungskraft im Einstellungsverfahren, Teilnehmer am Vorstellungsgespräch usw. Alle Daten werden gemäß dem Prinzip der geringsten Privilegien geteilt. Alle diese Angestellten haben an einem DSGVO-Training teilgenommen. Eine begrenzte Anzahl an Drittanbietern, mit denen Contrast in einem Vertragsverhältnis steht, haben ggf. ebenfalls Zugriff auf Ihre personenbezogenen Daten. Wir stellen sicher, dass solche Anbieter Datenschutzstandards einhalten, die mindestens jenen dieser Datenschutzerklärung entsprechen.
Falls wir uns für Sie entscheiden, schließen wir mit Ihnen den entsprechenden Vertrag, die entsprechende Vereinbarung oder ein anderes einschlägiges Übereinkommen gemäß den Vorschriften Ihres Wohnsitzlands ab. Alle Unterlagen und Handlungen, einschließlich jenen, die Ihr zusätzliches Einverständnis erfordern, entsprechen vollumfänglich den Vorschriften der DSGVO.
ANGESTELLTE
Als Teil Ihrer Anstellung bei Contrast Security, Inc. wird Ihnen eine Datenschutzerklärung für Angestellte übermittelt, in der Ihnen Ihre Rechte und Rechtsmittel erläutert werden. Zur selben Zeit werden Ihnen auch sämtliche Unterlagen und Informationen bezüglich Ihres Status als betroffene Person gemäß DSGVO und als Angestellter von Contrast Security, Inc. übermittelt.
AUSKUNFTSERSUCHEN
Ein Auskunftsersuchen ist eine schriftliche Anfrage bezüglich Ihrer personenbezogenen Informationen/personenbezogenen Daten, über die wir verfügen. Sie haben das Recht, zu erfahren, über welche Ihrer personenbezogenen Daten wir verfügen. Wir sind dazu verpflichtet, Ihnen eine Beschreibung der Daten, deren Verwendungszweck, deren potenzielle Empfänger und Informationen zu deren Ursprung zu übermitteln. Dieses Recht unterliegt gewissen Ausnahmen und Beschränkungen, die in der DSGVO angeführt werden.
DATENSCHUTZBEAUFTRAGTER UND AUSKUNFTSERSUCHEN
Um ein Auskunftsersuchen vorzubringen, senden Sie bitte eine E-Mail an GDPR@contrastsecurity.com oder schreiben Sie an:
Sharron Reed Gavin, Data Protection Officer
Contrast Security, Inc.
240 3rd Street
Los Altos, CA 94022
Gemäß DSGVO müssen wir Ihnen die folgenden Informationen zur Verfügung stellen:
Weiterhin haben Sie das Recht, Beschwerde beim Information Commissioners’ Office („ICO“) einzureichen, falls Sie der Ansicht sind, dass wir die Anforderungen der DSGVO in Bezug auf Ihre personenbezogenen Daten nicht eingehalten haben. Die ICO ermutigt die betroffene Person, ihre Bedenken zunächst dem Unternehmen mitzuteilen, das über ihre Daten verfügt oder diese verarbeitet. Bitte rufen Sie folgende Seite auf, um weitere Informationen zu erhalten: ICO/Bedenken vorbringen.
SICHERHEITSSTANDARDS BEI CONTRAST SECURITY (JENSEITS DER DATENSICHERHEIT)
Die Sicherheit Ihrer Daten hat für uns bei Contrast Security höchste Priorität. Wer befolgen die Best Practices der Branche hinsichtlich Anwendungs-, Netzwerk- und Produktsicherheit, um zu gewährleisten, dass Ihre Daten bestmöglich geschützt sind. Wir arbeiten auf eine Welt hin, in der wir Software die wichtigsten Aufgaben der Menschheit anvertrauen können. Wir lieben Software und es schmerzt uns zu sehen, wie sie von manchen missbraucht wird, um anderen zu schaden. Als Sicherheitsfirma schützen wir nicht nur unser eigenes Unternehmen, sondern auch Ihres. Contrast Security setzt für unsere gehosteten Produkte auf die höchsten Anwendungs- und Netzwerksicherheitsstandards. Im Zentrum unseres Sicherheitsansatzes steht die Verpflichtung zu Transparenz – das gilt für unsere Schutzmaßnahmen, unsere Prozesse und sogar unsere potenziellen Probleme.
Contrast hat sich erfolgreich der „Service Organization Control“-Überprüfung (SOC 2 Typ II) durch einen Dritten unterzogen. Der SOC-2-Bericht belegt, dass unsere entwickelten und eingesetzten Sicherheitskontrollen den SOC-2-Standards entsprechen, die auf feststehenden „Trust Services Criteria“ aufbauen. Im Rahmen der Untersuchung werteten die unabhängigen Prüfer Kontrollmechanismen in den folgenden Bereichen aus und testeten diese:
Betrifft Sicherheit, Verfügbarkeit, Vertraulichkeit und – seit 2018 – Datenschutz.
SICHERHEIT DER RECHENZENTREN UND DES NETZWERKS
Die Anwendungsdienste und -daten von Contrast Security werden derzeit auf den Servern der Amazon Web Services (AWS) gehostet. Diese sind in ISO-27001-zertifizierten Einrichtungen in den Vereinigten Staaten untergebracht. Die AWS werden regelmäßig überprüft und setzen auf Sicherheit durch Transparenz. Eine Auswahl der von den AWS befolgten Sicherungsprogramme: FedRAMP, ISO 27001, FIPS, SOC2/Typ 2, FERPA und HIPAA. Seit dem 26. März 2018 entsprechen die AWS vollumfänglich den Vorgaben der DSGVO; weitere Informationen finden Sie hier: AWS/DSGVO-Compliance. Contrast hat einen Datenverarbeitungsvertrag mit den AWS abgeschlossen.
Eine vollständige Liste der AWS-Zertifizierungen können Sie hier einsehen: http://aws.amazon.com/compliance/.
Darüber hinaus haben die Amazon Web Services diesen Artikel zum Modell der gemeinsamen Verantwortung veröffentlicht, in dem die Trennung der Verantwortlichkeiten zwischen den AWS und dem Kunden erläutert wird. Grundsätzlich sind die AWS für die Sicherheit der Cloud verantwortlich und der Kunde für die Sicherheit in der Cloud. Kein Angestellter von Contrast hat physischen Zugang zu den AWS-Rechenzentren.
DATENBACKUPS UND NOTFALLWIEDERHERSTELLUNG
Wir speichern unsere Daten verteilt über mehrere AWS-Verfügbarkeitszonen und führen täglich mehrere Datenbank-Backups durch. Diese Backups werden in geografisch verteilten Objektspeichern aufbewahrt. Die Integrität der Backups wird täglich automatisch überprüft. Hostprotokolle werden zur Abwicklung von Support- und Betriebsabläufen in eine Protokollmanagementplattform eingespeist.
KONFIGURATION DES BETRIEBSSYSTEMS, DES NETZWERKS UND DER FIREWALL
Wir halten uns an die Standards des Center for Internet Security und befolgen abhängig von der Rolle des Hosts weitere Best Practices der Branche, um die Betriebssysteme noch besser abzusichern. Systemkonfigurationen und -patches werden sowohl im Rahmen von geplanten als auch spontanen Prozessen eingespielt, die von Konfigurationsmanagementtools gesteuert werden. Der Code wird committed, getestet und durchläuft vor der Bereitstellung eine Peer-Review.
Sicherheitspatches werden für alle Hosts automatisch verwaltet. Sollte ein Sicherheitspatch außerhalb dieses Prozesses notwendig sein, können wir Patches auch massenweise auf alle Hosts anwenden. Sollte außerplanmäßig ein dringender Patch erforderlich sein, überprüfen wir zunächst, ob unsere Infrastruktur verwundbar ist und wenden erst dann den Patch an.
Wir achten auf Mitteilungen von cert.org, us-cert.gov und unseren eigenen Softwareprozessen, um über etwaige Sicherheitslücken benachrichtigt zu werden, die einen Patch erfordern.
Unser Netzwerk wurde so entwickelt und ist darauf ausgelegt, dass der Zugriff nach Ursprung und Port zwischen Hosts und Diensten beschränkt wird (AWS-Sicherheitsgruppen). Wo möglich, werden eigenständige private Netzwerke (AWS-VPCs) erstellt, die komplett unabhängig von anderen Netzwerken sind. Alle Netzwerk- und Firewallregeln werden in unsere Quellcode-Repository eingepflegt und über Pull Requests durch Angestellte überprüft. Erst nach Kontrolle und Überprüfung werden sie bereitgestellt. Das Netzwerk verfügt nur über begrenzte öffentlich zugängliche Systeme.
Neben unseren eigenen Produkten betreiben wir auch einige Monitoring-Lösungen, um den Zustand unseres Dienstes zu überwachen.
PRODUKTSICHERHEIT
SPÄRLICHE DATENERHEBUNG
Contrast Security erhebt nur Daten, die unerlässlich sind, um die von uns angebotenen Analysen und Messwerte bereitzustellen. Unsere Agents reduzieren das Maß der erhobenen Daten auf ein Minimum, indem sie ausschließlich bestätigte Schwachstellen melden. Ihr Quellcode und Ihre Binärprogramme verlassen niemals unsere Server. Contrast erhebt die folgenden Arten von Daten:
VERSCHLÜSSELUNG
Contrast Security verschlüsselt alle Daten im Ruhezustand und verschickt sowie empfängt alle Daten über HTTPS unter Verwendung von TLS.
Unsere primären Sicherheitsvorkehrungen wehren Angreifer ab und sind für die Zugangskontrolle zuständig. Darüber hinaus verwenden wir starke Verschlüsselungsalgorithmen, um zu gewährleisten, dass alle von uns gespeicherten Daten keinem Angreifer zugänglich sind. Alle Daten von Contrast werden auf verschlüsselten Datenträgern oder verschlüsseltem Objektspeicher untergebracht.
Wir verschlüsseln zudem Backups, Protokolle und sämtliche andere Daten, die mit dem Contrast-Dienst in Verbindung stehen.
Wo möglich, verwenden wir den Key Management Service von Amazon, um die von unseren Diensten verwendeten Schlüssel zu generieren und zu rotieren.
Die Schlüsselmanagementinfrastruktur von Amazon setzt auf nach Federal Information Processing Standards (FIPS) 140-2 genehmigte kryptographische Algorithmen und entspricht den Empfehlungen 800-57 des National Institute of Standards and Technology (NIST).
Contrast verwendet für alle Verbindungen starke Verschlüsselungsalgorithmen und gegenseitige Authentifizierung. So werden diese vor Sniffing, Spoofing und anderen Angriffen auf die Kommunikationswege geschützt. Die Verbindung der Contrast Agents zum Contrast TeamServer setzt auf eine TLS-Socket-Verbindung, für die ein Outbound-Proxy festgelegt werden kann. Die Agents überprüfen das Zertifikat des Contrast TeamServers und übermitteln den Client-Autorisierungsschlüssel an den TeamServer, um eine gegenseitige Authentifizierung durchzuführen. Auch die Back-End-Verbindungen sind verschlüsselt und unterliegen einer gegenseitigen Authentifizierung. Sämtliche Zugriffsversuche auf unseren Dienst über eine Verbindung, die nicht SSL-gesichert ist, werden auf eine HTTPS-Verbindung umgeleitet.
Wir bedienen uns mehrerer AWS-Verschlüsselungsdienste.
BERECHTIGUNGEN
Wir bieten in der App Berechtigungsstufen für Administratoren, Manager und einzelne Mitwirkende. Diesen können Sie individuelle Nutzer zuweisen. Die Berechtigungsstufen regeln die Befugnisse des Nutzers hinsichtlich der Änderung von Einstellungen, des Aufrufs von Informationen sowie der Bearbeitung, Löschung und des Exports von Daten. Der Kunde kann diese Berechtigungsstufen konfigurieren.
AUTHENTIFIZIERUNG
Wir sind der Überzeugung, dass alle Abläufe innerhalb von Contrast vollständig authentifiziert und auf eine bestimmte Person zurückverfolgbar sein sollten. Daher raten wir von der Verwendung gemeinsam genutzter Log-ins ab. Wir begrenzen weder die Anzahl der möglichen Nutzer, die einem Unternehmen zur Verfügung stehen, noch stellen wir diese in Rechnung. Wir überprüfen die Stärke von Passwörtern und erfassen Aussperrungen aufgrund von fehlgeschlagenen Log-ins. So können wir gewährleisten, dass Contrast nicht anfällig für Brute-Force-Attacken ist. Wir gestatten es Unternehmen und Nutzern, unser zweistufiges Verifizierungsverfahren einzurichten, das auf zeitbasierte Einmalpasswörter (time-based one-time passwords; TOTP) setzt.
SICHERE ENTWICKLUNG
Contrast wurde von Grund auf so entwickelt, dass es nicht für „Injection“-Angriffe wie SQL-Injections, Cross-Site-Scripting (XSS), LDAP-Injections, XML-Entity-Angriffe, Command-Injections und andere Risiken anfällig ist. Unsere Softwarearchitektur erfordert vor deren Verwendung die strikte Validierung sämtlicher Eingaben. Wir setzen Interpreter so spärlich wie möglich ein und verwenden, falls verfügbar, parameterisierte Schnittstellen.
Contrast verwendet TeamServer, um Schwachstellen während des Software-Entwicklungslebenszyklus zu identifizieren, zu verfolgen und zu beheben. Unser Agent läuft sowohl in automatisierten Testumgebungen als auch manuellen Verifizierungsumgebungen.
ANWENDUNGSSICHERHEIT
SCHWACHSTELLENSCANNING
Contrast Security scannt regelmäßig und aus verschiedenen Perspektiven nach Schwachstellen.
PENETRATIONSTESTS
Zumindest einmal jährlich beauftragt Contrast Security angesehene Sicherheitsexperten außerhalb des Unternehmens damit, einen Penetrationstest an unserem Quellcode und unserer Produktionsinfrastruktur durchzuführen.
ÜBERWACHUNG
Contrast Security schränkt den Zugriff auf unsere Produktionsumgebung auf Grundlage des „Need-to-know“-Prinzips ein und bedient sich eines umfassenden Logging-Systems, um Zugriff und Ereignisse zu protokollieren.
Contrast Security ist der weltweit führende Anbieter von Sicherheitstechnologien, mit denen Software-Anwendungen sich selbstständig gegen Cyberangriffe schützen können. Dadurch wird die neue Ära der sich selbst schützenden Software eingeläutet. Die patentierte, tief greifende Sicherheitsinstrumentation von Contrast stellt eine bahnbrechende Technologie dar, die höchstgenaues Assessment und fortlaufenden Schutz eines gesamten Anwendungsportfolios ermöglicht – ganz ohne störende Scanvorgänge oder teure Sicherheitsexperten. Nur Contrast verfügt über Sensoren, die aktiv innerhalb einer Anwendung agieren und Schwachstellen entdecken, Datenpannen vermeiden sowie das gesamte Unternehmen schützen: von der Entwicklungsabteilung über den Betrieb bis hin zur Produktion.