Geleistete Sicherheitsdienste
-
Log4j / Log4Shell Aktualisierung
Unser Team ist sich der jüngsten Sicherheitslücke im Java Log4j-Protokollierungssystem bewusst. NutshellNachdem wir von der Sicherheitslücke erfahren haben, haben wir unsere Systeme überprüft. Wir haben kein System identifiziert, auf dem eine betroffene Version von Log4j läuft, einschließlich unserer Solr- und Jenkins-Infrastruktur.
Wir überprüfen unsere Systeme ständig, um die Sicherheit Ihrer Daten zu gewährleisten, und wir werden weiterhin die Sicherheitslisten der Branche auf solche Probleme hin überwachen.
-
Immer verschlüsselt
Wir verwenden eine 256-Bit-TLS-1.2-Verschlüsselung in Bankqualität, wenn Sie auf Ihr Nutshell -Konto zugreifen, sei es über das Internet oder unsere mobilen Anwendungen. Ihre Daten werden im Ruhezustand in unseren Datenbanken verschlüsselt.
-
Kontinuierliche Backups
Alle Daten werden sofort auf mehrere Server repliziert. Außerdem erstellen wir zweimal täglich, wöchentlich und monatlich Snapshots. Überwachungsdienste von Drittanbietern rufen unser Team bei jedem Problem sofort an. Aktuelle Informationen zur Verfügbarkeit finden Sie unter status.nutshell. com.
-
Geschützte Finanzdaten
Wir verwenden einen PCI-kompatiblen Anbieter, um Ihre Rechnungsdaten sicher zu speichern. Kreditkarteninformationen werden nicht auf unseren Servern gespeichert.
-
Gesicherte Passwörter
Die Passwörter sind einseitig verschlüsselt und können von den Mitarbeitern von Nutshell nicht eingesehen werden.
-
Erfolgreiche CASA-Bewertung
Wir haben eine CASA-Bewertung (Cloud Application Security Assessment) für unsere Webanwendung erfolgreich abgeschlossen und damit bestätigt, dass wir die von der App Defense Alliance (ADA) festgelegten Sicherheitsanforderungen erfüllen.
Zu den Anforderungen gehören die Angleichung an branchenführende Sicherheitsrahmen und das Fehlen von Feststellungen im Zusammenhang mit gemeinsamen Schwachstellenaufzählungen (CWEs) mit hohem oder mittlerem Risiko eines Missbrauchs.
Und hier sind die Details für die Sicherheitsprofis:
Sicherheit im Netz
Unser Entwicklungsteam hat Erfahrung in der sicheren und dauerhaften Verwaltung von Daten im Petabyte-Bereich. Wir ergreifen die folgenden Maßnahmen, um Ihre Daten im Ruhezustand und bei der Übertragung durch die Netzwerke zu schützen.
- Firewalls, VPNs, moderne Linux-Betriebssysteme, konservative Netzwerk- und Sicherheitsgruppenkonfiguration
- Verschlüsselung im Ruhezustand
- VPNs zur Sicherung des Mitarbeiterzugangs und zur Verschlüsselung aller Daten, die über Internetverbindungen übertragen werden
- Nutshell Passwörter sind gesalzen und einseitig verschlüsselt. Unser Personal kann Ihr Passwort nicht sehen oder darauf zugreifen
- Login-Seiten sind gegen Brute-Force-Angriffe geschützt
- Wir folgen den Sicherheitslisten der Branche und patchen kritische Probleme umgehend (wir haben Heartbleed innerhalb weniger Stunden gepatcht)
- Wir verwenden eine mehrmandantenfähige Datenspeicherarchitektur. Kundendaten werden in getrennten Silos pro Konto gespeichert, um Ihre Daten zu isolieren und zu schützen
Operative Sicherheit
Unser Support-Team arbeitet intern mit unserem technischen Team in Ann Arbor zusammen. Wir werden nur mit Ihrer Erlaubnis auf Ihr Konto zugreifen, um Support-Probleme zu beheben. Die Mitarbeiter werden Sie niemals nach Ihrem Nutshell Passwort fragen.
- Alle Personalcomputer werden mit Festplattenverschlüsselung und sicheren Passwörtern betrieben.
- Wir begrenzen die Exposition unseres internen Netzwerks gegenüber Windows
- Jeder Mitarbeiter von Nutshell erhält an seinem ersten Arbeitstag eine Kopie von 1Password.
- Die Büros sind mit individuellen Schlüsselkarten gesichert
Finanzielle Sicherheit
Ihre Kreditkarten- und Rechnungsdaten werden sicher gespeichert. Unser Rechnungsstellungsanbieter ist PCI-konform und wird getrennt von den Nutshell Anwendungssystemen verwaltet.
Passwörter
Nutshell verwendet One-Way-Hashing, um eine Darstellung Ihres Passworts sicher zu speichern. Wir können ein Passwort nicht wiederherstellen - Sie müssen unser Tool "Passwort vergessen" in Verbindung mit Ihrer E-Mail-Adresse verwenden, um Ihr Passwort wiederherzustellen. Es liegt in Ihrer Verantwortung, Ihre E-Mail-Adresse Nutshell auf dem neuesten Stand zu halten.
Es liegt in Ihrer Verantwortung, sichere Passwörter zu wählen und diese sicher aufzubewahren. Nutshell kann nicht für Daten verantwortlich gemacht werden, die durch ein unsicheres oder gestohlenes Benutzerpasswort gefährdet sind. Wenn Sie sich bei Nutshell über einen Drittanbieter (z. B. Google Apps) authentifizieren, müssen diese Passwörter ebenfalls sicher sein.
Verantwortungsvolle Offenlegung
Wenn Sie ein Sicherheitsforscher sind oder glauben, dass Sie auf ein Sicherheitsproblem bei Nutshellgestoßen sind, lesen Sie bitte die folgenden Hinweise.
Nutshell bietet kein Bug Bounty Programm an, um für Meldungen zu bezahlen.
Bitte melden Sie etwaige Sicherheitsbedenken an security@nutshell. com. Wenn Sie eine verschlüsselte Nachricht senden müssen, können Sie diese auf Keybase finden.
Wir bitten Sie, uns eine angemessene Zeit für die Beantwortung der Meldungen einzuräumen, bevor wir die Informationen veröffentlichen.
Bitte führen Sie keine Sicherheitsforschungen durch, die zur Zerstörung von Daten, Unterbrechung oder Beeinträchtigung des Dienstes führen könnten. Dies gilt auch für die Verwendung automatisierter Tools oder Scanner: Sie können dazu führen, dass Ihre IP-Adresse gesperrt wird.
Wir akzeptieren keine verantwortungsvollen Offenlegungsberichte zu den folgenden Themen:
- Iframe- / UI-Redress-Probleme im Zusammenhang mit X-Frame-Options-Headern
- HSTS-Implementierung
- Stärke des vom Benutzer bereitgestellten Passworts
- SPF-, DKIM- und DMARC-Konfigurationsprobleme
- Probleme mit der Benutzeraufzählung (wir verwenden zum Schutz unserer Benutzer eine Ratenbegrenzung)
- Vorhandensein von Bannern oder Versionsinformationen
Danksagungen
Wir haben von vielen Einzelpersonen und Organisationen Vorschläge erhalten, um Nutshell zu einem sichereren Ort zu machen. Sie können sie hier nachlesen.