Datensicherheit ist entscheidend für Geschäftsbereiche. Kunden- und Klienteninformationen, Zahlungsinformationen, persönliche Dateien und Bankkontodaten sind oft unersetzlich, wenn sie verloren gehen, und gefährlich, wenn sie von Eindringlingen abgerufen werden. Datenverlust aufgrund von Katastrophen ist verheerend, aber Datendiebstahl durch Hacker oder Malware kann noch schwerwiegendere Folgen haben. Der Umgang mit und der Schutz von Daten stehen im Mittelpunkt der Sicherheitsanforderungen von Joomag.
Die Implementierung sicherer Webprodukte ist eine komplexe Aufgabe. Angesichts der offenen Natur und der ursprünglichen Absicht des Internets als Datenfreigabeumgebung zwischen verschiedenen Clients arbeiten viele Aspekte des Internets gegen die Sicherheitsinteressen von Webprodukten. Jeder Benutzer weltweit kann relativ anonym eine Website besuchen, und obwohl viele Internetdienste und Betriebssysteme Prüfmechanismen zur Benutzerverfolgung enthalten, können versierte Angreifer diese Mechanismen umgehen oder täuschen. Die Verfolgung eines Internet-Eindringlings ist eine komplizierte und arbeitsintensive Aufgabe.
Alle Organisationen verarbeiten in irgendeiner Form sensible Informationen, sei es Kunden-Zahlungsinformationen, Mitarbeiterdaten oder strategische Geschäftsinformationen. Um diese Informationen zu schützen und sicherzustellen, dass sie niemals in die Öffentlichkeit gelangen, ist es unerlässlich, unternehmenssensible Daten zu sichern, und Joomag ist keine Ausnahme. Joomag speichert keine Passwörter im Klartext; stattdessen werden Passwörter verschlüsselt und nur Passwort-Hashes gespeichert. Dies stellt sicher, dass Hacker keinen Zugriff auf sensible Daten erhalten, da gehashte Passwörter nicht entschlüsselt werden können. Joomag verwendet den Bcrypt-Ansatz, um ein hohes Maß an Sicherheit zu gewährleisten. Bcrypt beinhaltet ein Salt zum Schutz vor Rainbow-Table-Angriffen und ist anpassungsfähig, um gegen Brute-Force-Angriffe resistent zu bleiben.
Moderne Websites ermöglichen den Zugriff auf ihre Dienste über Drittanbieter-Identitätsanbieter wie Facebook und Google. Die Verwendung von Drittanbieter-Identitätsanbietern vereinfacht die Kontoerstellung, Anmeldung und Informationsfreigabe über Websites hinweg. Joomag verwendet das neueste Industriestandard-OAuth 2.0-Protokoll, um zuverlässige Verbindungsdienste mit Drittanbieter-Identitätsanbietern zu implementieren. Benutzer mit Publisher-Rollen können Google, LinkedIn und Microsoft-Identitätsanbieter nutzen, während Leser Facebook und Twitter verwenden können.
Die Sicherung von durch das Internet zugänglichen Webdiensten ist entscheidend für den Schutz von Kundendaten. Das Sicherheitsteam von Joomag treibt ein Programm zur Anwendungssicherheit voran, um die Sicherheitshygiene des Codes zu verbessern und die Joomag-Dienste regelmäßig auf gängige Anwendungssicherheitsprobleme wie CSRF, Injection-Angriffe (XSS, SQLi), Sitzungsmanagement, URL-Weiterleitungen und Clickjacking zu überprüfen. Joomag verwendet Acunetix-Cloud-Dienste, um Anwendungen und Dienste auf verschiedene Web-Schwachstellen zu testen und Fälle zur Behebung von Schwachstellen zu verwalten.
Joomag definiert Unternehmensnetzwerkgrenzen mit Firewalls, um zu steuern, welche Dienste dem Internet ausgesetzt sind und um das Produktionsnetzwerk vom Rest der IT-Infrastruktur zu segmentieren. Dieser Ansatz beschränkt den Zugriff auf die Produktionsinfrastruktur basierend auf geschäftlichen Anforderungen und stellt eine starke Authentifizierung für den Zugriff sicher. Nur ein Team von Experten hat Zugriff auf Produktionsserver und -daten. Zusätzlich verwendet Joomag Cloudflare-Sicherheitsdienste, um vor Denial-of-Service-Angriffen und anderen Bedrohungen zu schützen. Firewalls sind so konfiguriert, dass sie standardmäßig den gesamten Datenverkehr blockieren und nur bestimmten Verkehr zu bekannten Diensten explizit zulassen.
Joomag stellt eine sichere Kommunikation zwischen seinen Produkten und Kunden über das HTTPS-Protokoll sicher. HTTPS, was für HTTP Secure steht, ist ein Kommunikationsprotokoll für sichere Kommunikation über ein Computernetzwerk. Joomag verwendet 2048-Bit-Verschlüsselung und Extended Validation (EV)-Zertifikate, um das höchste Maß an Sicherheit für seine Produkte zu gewährleisten. EV-Zertifikate erfordern die Überprüfung der Identität der anfragenden Entität durch eine Zertifizierungsstelle, was eine zusätzliche Vertrauensschicht bietet.
Joomag nutzt mehrere Protokollierungssysteme in seiner Produktionsumgebung, um Informationen im Zusammenhang mit Sicherheitsüberwachung, Verfügbarkeit, Zugriff und anderen Metriken der Joomag-Plattform zu erfassen. Diese Protokolle sind entscheidend für die Analyse von Sicherheitsereignissen, das Erkennen von Anomalien und das Reagieren auf Vorfälle. Protokolle werden mithilfe automatisierter Überwachungssoftware analysiert und vom Sicherheitsteam überwacht, um kontinuierliche Wachsamkeit und schnelle Reaktionen auf potenzielle Bedrohungen sicherzustellen.
Joomag ist derzeit kein PCI-zertifizierter Dienstleister, sondern ein PCI Level 3-Händler und hat den Self-Assessment Questionaire-A (SAQ-A) des Payment Card Industry Data Security Standards abgeschlossen, der die Nutzung von Drittanbietern zur sicheren Verarbeitung von Kreditkarteninformationen ermöglicht. Die Umgebung, die die Joomag-Plattform hostet, verfügt über mehrere Zertifizierungen, darunter ISO 27001-Konformität und SOC-Berichte.
Joomag unterstützt die neuesten empfohlenen sicheren Verschlüsselungssuiten und -protokolle, um den gesamten Datenverkehr während der Übertragung und im Ruhezustand zu verschlüsseln. Das Team überwacht die kryptografische Landschaft genau und aktualisiert den Dienst umgehend, wenn neue kryptografische Schwachstellen auftreten.
Im Falle eines Sicherheitsvorfalls benachrichtigt Joomag betroffene Benutzer unverzüglich über jeden unbefugten Zugriff auf ihre Daten. Joomag hat Richtlinien und Verfahren zum Vorfallmanagement implementiert, um solche Ereignisse zu bewältigen.
Die Datenbank von Joomag wird redundant an mehreren Standorten in den Rechenzentren des Hosting-Anbieters gespeichert, um die Verfügbarkeit sicherzustellen. Das Unternehmen verfügt über gut getestete Sicherungs- und Wiederherstellungsverfahren, die eine Wiederherstellung nach größeren Katastrophen ermöglichen. Die Datenbank von Joomag wird jede Nacht automatisch gesichert, und das SRE-Team wird im Falle eines Fehlers benachrichtigt. Sicherungen werden mindestens alle 90 Tage vollständig getestet, um sicherzustellen, dass die Prozesse und Tools wie erwartet funktionieren.