Materielle Sicherheit
* Alle Server und Daten werden innerhalb des IS/KPN Datenzentrums mit der Adresse Kabelweg 48 in Amsterdam platziert.
* Zugang dazu wird über initiale Zulassung von Notice verwaltet. Das Datenzentrum erfordert einen Ausweis, einen Fingerscan und eine Genehmigung, auf das Rack zuzugreifen.
* Die Racks sind zudem durch ein physisches Schloss gesichert.
* Sämtliche Aktivität wird registriert und mit Bemerkungen gespeichert.
Verwaltungssicherheit
* Der Verwaltungszugang zu Servern ist nicht ans Internet angeschlossen. Auf die Server kann physisch Zugriff genommen werden, oder über einen VPN Tunnel.
* Accounts, die Zugang zum internen Netzwerk haben, können auf eine oder alle Netzwerkquellen beschränkt werden.
* Sämtliche Aktivität wird registriert.
* Wie das in Zukunft gehandhabt wird: VPN Accounts werden persönlich durch den Admin verwaltet.
Datensicherheit
* Von sämtlichen Daten, die innerhalb der Platform gespeichert werden, wird täglich ein backup von zwei unabhängigen Speicherknoten gemacht (RPO= 1 Tag, RTO= 2 bis 48 Stunden).
* Alle Mediendateien werden bei Notice Office auf einen backup Server kopiert (RPO= 1 Tag).
* Alle Speicherknoten verwenden entweder Raid6 und/ oder Raid10 als Festplattenredundanz.
* Wie das in Zukunft gehandhabt wird: Momentaner Speicher wird vom alten Lebenszyklus zum neuen umgesiedelt (Speicherung des Betriebs).
Serversicherheit
* Server, auf denen unsere Software läuft, werden von einer Langzeitversion unterstützt, die vierteljährlich oder ad-hoc (in Ernstfällen) geupdatet wird.
* Unser Sicherheitsteam empfängt täglich Sicherheitsreports für sämtliche Softwareversionen, die wir am Laufen haben und reagiert entsprechend auf diese.
* Wir verwenden den Zertifikattyp Geotrust / RapidSSL v3 SHA256 bit (RSA 2048 bits).
* Zertifikate, über die Webdienste laufen, werden in regelmäßigen Abständen durch Qualys SSL überprüft, um bestehen zu bleiben.
* Wie das in Zukunft gehandhabt wird: Der alte Server wird ausgemustert, damit alles auf den neuen Servern läuft.
Softwaresicherheit
* Wir erstellen Sicherheitsberichte auf Kundenwunsch.
* Notice arbeitet nach einem F&E Verfahren, für das zwei Entwickler in Paarprogrammierung erforderlich sind. Sie überprüfen gegenseitig den Code des anderen Entwicklers nach Fertigstellung eines Arbeitsschritts oder Behebung eines bugs mit Hilfe der Scrum Methode.
*Jede Veränderung des Codes wird automatisch mehreren Tausend Tests unterzogen, um dessen Qualität zu gewährleisten.
* Wie das in Zukunft gehandhabt wird: In regelmäßigen Abständen wird die Schadenanfälligkeit mit industrieüblichen Vulnerabilitätsscanning Software überprüft.
Zusätzliche Sicherheit
* Eine vollständige Überprüfung des Strafregisters ist Teil des umfangreichen Einstellungsgesprächs.