Sicherheit bei OutSystems

Sie haben ein Recht darauf zu verstehen, wie wir Ihre Applikationen und Kundendaten schützen.
Davon sind wir bei OutSystems überzeugt.
Unser Ansatz basiert auf branchenspezifischen Best Practices und Erfahrungen aus über 15 Jahren im Umgang
mit immer neuen Sicherheitsbedrohungen.

„OutSystems hat eine umfangreiche Erfolgsbilanz darin, strenge Sicherheitsanforderungen in stark regulierten Branchen wie dem Finanzsektor, dem Gesundheitswesen und der Verteidigung zu erfüllen. Wir suchen ständig nach Möglichkeiten, das Vertrauensverhältnis zu unseren Kunden durch erhöhte Transparenz und Sicherheitskontrollen weiter zu stärken.“José Casinha, OutSystems CISO

Sicherheit

Sichere Applikationen

Mit OutSystems erstellte Applikationen für Web und Mobile sind standardmäßig vor den größten Sicherheitsbedrohungen geschützt, die von OWASP identifiziert wurden. Der Low-Code-Ansatz von OutSystems beschleunigt die Entwicklung sicherer Applikationen wie folgt:

  • Jedes Plattform-Upgrade integriert automatisch die neuesten Sicherheitsfunktionen in all Ihre Applikationen.
  • Vorgefertigte Komponenten vereinfachen sicherheitsrelevante Aufgaben wie die Verschlüsselung von Daten im Ruhezustand oder die Integration mit Identitätsmanagementsystemen.
  • Rollenbasierter Zugriff stellt sicher, dass die richtigen Teammitglieder Zugriff haben, um Applikationen zu ändern oder bereitzustellen.
  • Mit jedem Release wird der generierte Code mit Hilfe von statischen Codeanalyse-Tools auf Schwachstellen geprüft.

Erfahren Sie mehr über Applikationssicherheit

Sichere Infrastruktur

Wenn Sie die OutSystems Cloud für die Entwicklung und den Betrieb Ihrer Applikationen nutzen, können Sie sich auf modernste Sicherheitslösungen verlassen:

  • Dedizierte Virtual Private Cloud (VPC) Infrastruktur für alle Kunden, sicherer Zugriff auf lokale Systeme mit VPN und einfaches Hochladen von benutzerdefinierten SSL-/TLS-Zertifikaten
  • Proaktive Aktualisierung von Betriebssystem- und Applikationsservern mit Updates und Patches, einschließlich Benachrichtigung der Kunden bei sicherheitsrelevanten Problemen
  • Unterstützung für Penetrationstests und Schwachstellenscans für Kundenapplikationen

Erfahren Sie mehr über die Sicherheit der Infrastruktur

Sicherheitsmaßnahmen

OutSystems bietet ein dediziertes Computer Security Incident Response Team (CSIRT) für die Verwaltung von Sicherheitsbedrohungen rund um die Uhr und die proaktive Überwachung anerkannter Branchenquellen auf neue Sicherheitslücken.
Um Vorfälle, wie z. B. Urheberrechtsprobleme, Spam und Missbrauch zu berichten, senden Sie bitte eine E-Mail an: csirt@outsystems.com.
Für Themen, die sich nicht auf Vorfälle beziehen, besuchen Sie bitte outsystems.com/support.
OutSystems CSIRT RFC 2350 Profil: https://www.outsystems.com/trust/csirt/
OutSystems bietet diverse robuste Betriebsverfahren. Dazu zählen:

  • Formale Einstellungsverfahren für Mitarbeitende und Auftragnehmer einschließlich Hintergrundprüfungen
  • Sicherheitsanforderungen, die in unseren gesamten Software-Lebenszyklus integriert sind, von der Planung bis zur Implementierung
  • Zugriffsmanagement, Patch-Management, Änderungsmanagement, Ereignismanagement und Vorfallsbearbeitung
  • Eine umfassende Business-Continuity-Strategie zum Schutz der wesentlichen Funktionen der Organisation im Katastrophenfall

Erfahren Sie mehr über Sicherheitsmaßnahmen

Forum of Incident Response and Security Teams (FIRST)

FIRST ist eine hoch angesehene Organisation, die im Bereich Vorfallsreaktion weltweit als führend gilt. Computersicherheitsvorfälle halten sich nicht an geografische, zeitliche oder administrative Grenzen im globalen Internet. Deshalb ist das OutSystems CSIRT Mitglied der vertrauenswürdigen FIRST-Gruppe globaler Unternehmen. Durch den Zugriff auf bewährte Verfahren, Tools und die zeitnahe Kommunikation mit anderen vertrauenswürdigen Mitgliedsteams können wir eine effizientere Reaktion auf Sicherheitsvorfälle ermöglichen.

Compliance und Datenschutz

Konformität mit SOC 2

OutSystems ist SOC-2-konform. SOC-Berichte (Service Organization Controls) zeigen, dass wir uns der Sicherheit von Kundendaten verpflichten. Die AICPA definiert ihr Ziel wie folgt:

„Eine Software-as-a-Service (SaaS) oder Cloud-Service-Organisation, die virtualisierte Computing-Umgebungen oder Dienste für Benutzer anbietet und ihren Kunden versichern möchte, dass die Service-Organisation die Vertraulichkeit der Informationen ihrer Kunden auf sichere Weise wahrt und die Informationen verfügbar sind, wenn sie benötigt werden.“

Unser SOC-2-Bericht steht Kunden unter NDA zur Verfügung. Kontaktieren Sie dazu bitte Ihren Account Manager.

Laden Sie unseren SOC-3-Bericht herunter

Zertifizierung nach ISO 27001 und ISO 22301

OutSystems ist nach den Normen ISO 27001 und ISO 22301 zertifiziert – zwei wichtigen internationalen Standards für Informationssicherheitsmanagement und Business-Continuity-Management. Durch die Einhaltung dieser Standards haben Kunden von OutSystems die Gewissheit, dass ihre Daten und Dienste bestmöglich geschützt sind.

ISO 27001 ist der internationale Standard für Informationssicherheitsmanagement. ISO 27001 spezifiziert formal ein Information Security Management System (ISMS). Dabei handelt es sich um eine Reihe von Aktivitäten zur Verwaltung von Informationssicherheitsrisiken. Durch die Implementierung des Standards können Unternehmen Sicherheitsrisiken identifizieren und Kontrollen einrichten, um sie zu managen oder zu beseitigen. Stakeholder und Kunden können dank der Standards darauf vertrauen, dass ihre vertraulichen Daten geschützt sind. So erreichen Unternehmen den Status eines bevorzugten Lieferanten, was den Gewinn neuer Kunden erleichtert.

Laden Sie unsere ISO 27001-Zertifizierung herunter

ISO 22301 spezifiziert die Anforderungen an ein Managementsystem, um Ihr Unternehmen vor Störfällen zu schützen, die Wahrscheinlichkeit ihres Auftretens zu verringern sowie sicherzustellen, dass es sich von Störfällen erholt. ISO 22301 legt Anforderungen fest, um ein dokumentiertes Managementsystem zu planen, einzurichten, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, zu warten und kontinuierlich zu verbessern. Ziel dabei ist es, vor Störfällen zu schützen, die Eintrittswahrscheinlichkeit zu verringern, sich auf Störfälle vorzubereiten, darauf zu reagieren und sich von ihnen zu erholen, wenn sie auftreten.

Laden Sie unsere ISO 22301-Zertifizierung herunter

Cloud Security Alliance (CSA)

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation mit dem Ziel, „die Anwendung von Best Practices zur Gewährleistung der Sicherheit im Rahmen von Cloud Computing zu fördern und Schulungen über den Einsatz von Cloud Computing zur Sicherung aller anderen Formen von Computing anzubieten.“

Im Rahmen unseres Engagements für Security Best Practices im Bereich Cloud Computing ist OutSystems Mitglied der CSA. Darüber hinaus haben wir das CSA STAR Self-Assessment abgeschlossen und die Ergebnisse auf deren Website veröffentlicht. Dies ist das neueste CAIQ (v3) der CSA.

PCI Data Security Standard SAQ A

PCI DSS SAQ A wurde für die Anforderungen von Händlern entwickelt, deren Karteninhaber-Datenfunktionen vollständig an validierte Dritte vergeben werden. OutSystems Sentry ist konform mit PCI DSS v3.2, SAQ A für E-Commerce-Applikationen, die sich in externe Zahlungssysteme integrieren lassen.

Compliance im Rechenzentrum

Die physische Infrastruktur der OutSystems Cloud wird in den sicheren und zertifizierten Rechenzentren von Amazon Web Services (AWS) gehostet.

  • AWS Rechenzentren verfügen über mehrere Ebenen operativer und physischer Sicherheitsmaßnahmen, um die Integrität und Sicherheit von Daten zu gewährleisten.
  • AWS Rechenzentrumsbetriebe sind nach verschiedenen Sicherheitsstandards wie ISO 27001, SOC 1/SSAE 16/ISAE 3402, SOC 2, SOC 3, FedRAMP und FIPS 140-2 akkreditiert.
  • Nutzen Sie die Sicherheit und Zuverlässigkeit von Microsoft Azure mit OutSystems auf Azure oder betreiben Sie OutSystems in Ihrem eigenen sicheren Rechenzentrum.

 

Vertraulichkeit und Datenschutz

OutSystems wendet branchenübliche Verfahren an, um die Vertraulichkeit von Daten in Applikationen zu gewährleisten, die in der OutSystems Cloud gehostet sind.

  • Je nach Aufgabenstellung kontrollieren wir den Zugriff von Mitarbeitenden auf Ihre Daten und Applikationen sorgfältig.
  • Kunden können die Region auswählen, in der ihre Daten gespeichert werden sollen, um Vorschriften zum Speicherort einzuhalten.
  • Während Ihres OutSystems Cloud-Abonnements können Sie jederzeit mit eigenen Tools auf Ihre Kundendaten zugreifen. Wenn Sie Ihr OutSystems Cloud-Abonnement beenden, regeln etablierte Standards und Prozesse, wie wir Ihre Kundendaten entfernen.

Erfahren Sie mehr über Vertraulichkeit und Datenschutz

Lesen Sie unsere Datenschutzerklärung

DSGVO bei OutSystems