Vertrauen Sie uns den Schutz und die Sicherheit Ihrer Daten an
Die größten Unternehmen der Welt vertrauen uns beim Schutz und der Sicherheit ihrer Daten. Mit unserer integrierten KI-gestützten Bedrohungserkennung, den Zero Trust-Prinzipien und den Integrationen mit führenden Sicherheitspartnern können Sie uns auch Ihre Daten anvertrauen.
Unsere KI-gestützte Datensicherheitsplattform hilft Ihnen, Ihre Cyber-Resilienz zu stärken und Einblicke in Ihre Daten zu gewinnen.
Cohesity hält strenge Produktsicherheitsstandards ein und überprüft die Umsetzung in jeder Phase des Produktlebenszyklus. Dabei folgt Cohesity den bewährten Best Practices der Branche. Dank dieser Sicherheitspraktiken sowie der Einbeziehung von weiteren Sicherheitsmerkmalen und -funktionen liefert Cohesity seiner Kundschaft sichere, hochfunktionale Produkte und Services.
Von Grund auf sicher
Cohesity folgt grundlegenden Sicherheitsprinzipien, die unter anderem Folgendes beinhalten: Security by default, Ausfallsicherheit und sichere Implementierung von kryptographischen Algorithmen. Um die Sicherheit, Konformität und Zertifizierung der Produkte bei der Entwicklung neuer Funktionen zu gewährleisten, richtet Cohesity das Produktdesign an den aktuellen Best Practices im Bereich Sicherheit aus.
Sichere Entwicklung
Die Entwicklungsteams bei Cohesity arbeiten während der Entwurfs- und Planungsphasen mit einem spezialisierten Produktsicherheitsteam zusammen. Dieses Product Security Team von Cohesity spricht Empfehlungen für die Übernahme sicherer Designs aus, führt Bedrohungsmodelle durch, definiert geeignete Sicherheitsstandards und legt Sicherheitsanforderungen fest.
Bedrohungsmodelle
Cohesity hat das STRIDE-Framework in seine Designs aufgenommen, um Sicherheitsziele im Design zu erreichen und Risiken zu verringern. Dazu gehört die Identifizierung von Bedrohungen, Angriffen, Schwachstellen und Gegenmaßnahmen, die eine Anwendung oder ein System beeinträchtigen könnten. Cohesity aktualisiert sein Bedrohungsmodell regelmäßig auf der Grundlage neuer Funktionen und veränderter Bedrohungen.
Identifizierung und Festlegung von Sicherheitsanforderungen
Die Teams für Produktsicherheit, Informationssicherheit und Produktmanagement von Cohesity definieren die geltenden Sicherheitsstandards und legen die Sicherheitsanforderungen für das gesamte Produkt- und Serviceportfolio von Cohesity fest.
Garantierte Sicherheit
Die Plattform und die Infrastruktur von Cohesity werden regelmäßig Sicherheitstests unterzogen und optimiert, um die Sicherheit zu erhöhen. Das Betriebssystem und die Komponenten sind so konfiguriert, dass sie die Anforderungen für die Sicherheitshärtung erfüllen, einschließlich der Benchmarks des Center for Internet Security (CIS) und der Konfigurationsstandards des US-Verteidigungsministeriums (Security Technical Implementation Guide, STIG).
Sicherheitstests für statische Anwendungen
Cohesity führt statische und binäre Quellcodeanalysen durch, um die Sicherheit der Anwendung zu gewährleisten.
Sicherheitstests für dynamische Anwendungen
Dynamische Scans zur Überprüfung der Anwendungssicherheit sind in die Entwicklungsprozesse von Cohesity integriert. So können alle wichtigen Entwicklungszweige überprüft werden. Gefundene Schwachstellen werden gemäß der Richtlinie zum Schwachstellenmanagement entschärft.
Sicherheitsscans für Open Source Software
Cohesity führt regelmäßig Scans der von Cohesity entwickelten Codes sowie der Binärdateien von Drittanbietern in seinen Datenbanken durch, um die Verwendung von Open Source Software (OSS) zu identifizieren. Sowohl identifizierte Sicherheitslücken als auch die falsche Verwendung von OSS werden gemäß den Richtlinien von Cohesity behoben.
Penetrationstests
Cohesity führt kontinuierlich interne Penetrationstests durch, wobei verschiedene automatisierte Techniken in den Release-Zyklus integriert werden. Cohesity führt außerdem regelmäßig externe Penetrationstests durch. Bei Penetrationstests gefundene Schwachstellen werden gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity entschärft.
Cohesity REDLab
Cohesity validiert die Resilienz seiner Produkte unter realen Bedingungen rigoros mithilfe von Live-Malware, erweiterten Exploits und modernen Angriffstechniken in einer Umgebung mit Air Gapping, die darauf ausgelegt ist, Bedrohungstests zu ermöglichen und gleichzeitig die Infrastruktur von Cohesity zu schützen. Erfahren Sie mehr über Cohesity REDLab.
Schwachstellenmanagement
Cohesity nimmt kontinuierlich Bewertungen der Schwachstellen in seinen Produkten und internen Betriebsumgebungen vor. Schwachstellen werden regelmäßig aufgedeckt und die Ergebnisse fließen in die Entwicklung und das Deployment ein, um Risiken zu beseitigen. Cohesity behebt Schwachstellen gemäß seiner Richtlinie zum Schwachstellenmanagement.
Validierung der Software-Lieferkette
Alle in die Cohesity-Codes integrierten Komponenten von Drittanbietern, einschließlich (aber nicht beschränkt auf) Open-Source- und kommerziell lizenzierte Pakete, Quellcode, Binärdateien, Bibliotheken sowie OEM-Firmware, werden kontinuierlich auf Schwachstellen und andere Sicherheitsrisiken getestet. Praktiken zur Risikominderung und Patches für Schwachstellen von Dritten folgen der Richtlinie zum Schwachstellenmanagement von Cohesity.
Die Tools für die technische Infrastruktur werden mit konfiguriertem Sicherheitsschutz auf dem neuesten Stand gehalten. Sicherheitsprüfungen und Optionen für die Compiler und Linker werden durchgeführt.
App-Umgebung und Sicherheit des Marketplace
Cohesity nutzt diverse Kontrollen und Praktiken, um die Integrität der Kundendaten und die Sicherheit der Apps auf dem Cohesity Marketplace zu gewährleisten. Diese Kontrollen umfassen:
- Vor dem Onboarding werden alle Entwickler und Softwareanbieter (ISVs), die Apps für den Cohesity Marketplace entwickeln möchten, zunächst von Cohesity geprüft.
- Cohesity bewertet alle Apps, bevor sie auf dem Cohesity Marketplace veröffentlicht werden, einschließlich Design- und Schwachstellen-Scans.
- Alle Apps im Marketplace, die für die Verwendung auf der Plattform von Cohesity bestimmt sind, werden von Cohesity digital signiert. Unsignierte oder nicht ordnungsgemäß signierte Apps werden von der Plattform nicht ausgeführt. Cohesity vertreibt keine digital signierten Marketplace-Apps über andere Kanäle als seinen Marketplace.
- Die Verwendung von Apps auf der Plattform von Cohesity ist standardmäßig deaktiviert. Ein ausdrücklicher Opt-in ist also erforderlich.
- Apps werden auf der Plattform von Cohesity immer mit mehreren Isolationsgraden auf Netzwerk-, Speicher- und Microservices-Ebene ausgeführt.
- Verschiedene Apps, die auf der Plattform von Cohesity laufen, können standardmäßig nicht miteinander kommunizieren oder interagieren.
- Apps werden im Rahmen der rollenbasierten Zugriffskontrolle auf der Plattform ausgeführt.
Sicherheitsstandards und -programme
Cohesity orientiert sich an branchenüblichen Standards für das Schwachstellenmanagement, das Management einer sicheren Produktentwicklung und die Reaktion auf Vorfälle.
Common Vulnerability Scoring System sowie Common Vulnerabilities and Exposures
Cohesity bewertet und priorisiert bestätigte Schwachstellen anhand des Common Vulnerability Scoring System (CVSS) Version 3. Cohesity weist den bestätigten Sicherheitslücken eine CVE-Kennung (Common Vulnerabilities and Exposures) zu.
Multi-Practice-Zyklus für sichere Produktentwicklung
Cohesity folgt einem sicheren Produktentwicklungszyklus, um die Sicherheit während des gesamten Entwicklungs- und Lebenszyklus eines jeden Produkts zu gewährleisten. Cohesity wendet die folgenden sechs Praktiken an:
- Sicherheitstrainings
- Sicherheit im Design
- Bedrohungsmodelle
- Schwachstellenmanagement
- Sichere Software Releases
- Reaktion auf Produktsicherheit
Rahmen für die Reaktion auf Sicherheitsvorfälle (Security Incident Response Services)
Cohesity setzt ein Programm zur Reaktion auf Sicherheitsvorfälle um. Damit können Sicherheitsvorfälle schnell und effektiv erkannt, bearbeitet und behoben werden. Sicherheitsvorfälle werden der IT-Sicherheitsstelle (Information Security Office) gemeldet, wo die Probleme bis zur Lösung verfolgt und überwacht werden. Bereitschaftsteams bearbeiten Sicherheits- und Verfügbarkeitsprobleme mithilfe von regelmäßig getesteten Handlungsanweisungen und Verfahren.
Reaktion auf Produktfehler
Cohesity nutzt einen Plan zur Reaktion auf Produktzwischenfälle, der die Analyse, Eindämmung und Behebung von Sicherheitslücken in seinen Produkten unterstützt. Der Plan umfasst außerdem die verantwortungsvolle Offenlegung von Schwachstellen durch Drittanbieter und Kunden.
Sicherheitstrainings
Cohesity bietet seinen Entwicklern, Designern, Entwicklungsmanagern, Release Managern, QA-Ingenieuren und Produktmanagern Sicherheitsschulungen und -ressourcen an. Diese haben zum Ziel, Sicherheitspraktiken in den gesamten Produktentwicklungszyklus einzubeziehen. Des Weiteren führt Cohesity vierteljährlich Schulungen zum sicheren Coding durch, in denen bewährte Sicherheitspraktiken für die Produktentwicklung behandelt werden. Diese Schulungen sind für alle Programmierer verpflichtend.
Verantwortungsbewusste Meldungen
Cohesity folgt den Best Practices der Branche, um Schwachstellen während des gesamten Produktlebenszyklus zu entdecken, zu untersuchen und zu beheben – unter Verwendung eines risikobasierten Ansatzes. Das spezialisierte Produktsicherheitsteam (Product Security Team) von Cohesity untersucht und reagiert umgehend auf alle Meldungen über potenzielle Sicherheitsschwachstellen. Der Reaktionsplan von Cohesity für Produktvorfälle dient der Analyse, Eindämmung und Behebung von Sicherheitslücken in seinen Produkten. Der Plan umfasst außerdem Prozesse zur verantwortungsvollen Offenlegung von Problemen, die von externen Forschern, Kunden oder Partnern gemeldet werden.
Einstufung und Priorisierung von bestätigten Schwachstellen
Cohesity bewertet und priorisiert bestätigte Schwachstellen mithilfe des Common Vulnerability Scoring System (CVSS) Version 3 und unterhält ein Reaktions-SLA für jede Schweregradklasse.
Behebung von Sicherheitsschwachstellen
Die von Cohesity durchgeführten Maßnahmen zur Behebung identifizierter Schwachstellen richten sich (gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity) nach ihrer Schwere und ihren Auswirkungen und werden in einem entsprechenden Zeitrahmen umgesetzt.
Identifizierung bestätigter Schwachstellen
Cohesity weist den bestätigten Sicherheitslücken eine CVE-Kennung (Common Vulnerabilities and Exposures) zu.
Behebung von Sicherheitslücken in unterstützten Produktversionen
Sicherheitslücken, die in allen unterstützten Produktversionen identifiziert wurden, werden gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity behoben.
Kumulative Schwachstellenbehebungen
Die Haupt-, Neben- und LTS-Releases von Cohesity-Produkten enthalten mindestens die kumulativen Schwachstellenbehebungen der vorherigen Releases.
Wartungsreleases für kritische, schwerwiegende Schwachstellen
Cohesity kann von Zeit zu Zeit Wartungsreleases oder Patches von unterstützten Versionen seiner Produkte schneller herausgeben als die in der Richtlinie zum Schwachstellenmanagement von Cohesity festgelegten SLAs für kritische Schwachstellen mit hoher Auswirkung.
Benachrichtigung der Kunden über Schwachstellen
Cohesity informiert seine Kunden proaktiv über Schwachstellen und Sicherheitslücken durch Warnungen im Support-Portal, E-Mails und/oder Meldungen vor Ort. Es werden Artikel veröffentlicht, um die Auswirkungen bestimmter Schwachstellen zu dokumentieren und die erforderlichen Gegenmaßnahmen zu skizzieren.
Problemmeldungen
Kunden, Partner und externe Forscher können Schwachstellen in Cohesity-Produkten und -Dienstleistungen melden, indem sie sich an Cohesity Security wenden.
Cohesity hält bei seinen verwalteten Cloud-Services und bei den Software-as-a-Service-Angeboten (SaaS) strenge Standards für Sicherheit, Datenschutz und Resilienz ein. Erfahren Sie mehr über die wichtigsten Verfahren, die Cohesity anwendet, um die Helios-Plattform, die Services und die Kundendaten sicher und jederzeit verfügbar zu halten.
Helios Administration
Kunden können die cloudbasierte Helios-Plattform verwenden. Diese Plattform bietet zentralisiertes Management und Analysen für die selbst verwalteten Produkte und Dienste der Kunden (Helios Management Service).
Je nach eingesetztem Cohesity-Produkt oder -Service ist die Nutzung des Helios Management Service für den Kunden entweder vorgeschrieben oder optional.
Management Service
Der von Cohesity betriebene Helios Management Service bietet den Kunden zentralisiertes Management und Analysen ihrer selbst verwalteten Cohesity-Produkte sowie der von Cohesity verwalteten Datenmanagement-Services. Es ist nicht zwingend erforderlich, dass Kunden ihre selbst verwalteten Produkte bei Helios registrieren.
Wenn sich Kunden für eine Registrierung entscheiden, kommunizieren die Produkte des Kunden mit dem Helios Management Service, um Produkttelemetrie bereitzustellen. Dies ist notwendig, um Services anzubieten und cloudbasiertes, zentralisiertes Management sowie Analysen zu ermöglichen. Weitere Informationen zum Helios Management Service finden Sie im Helios SaaS Security Brief auf dem Dokumentationsportal von Cohesity.
Datenmanagement-Services
Die von Cohesity verwalteten Datenmanagement-Services umfassen eine Reihe von SaaS-Angeboten. Sie ermöglichen es Kunden, ihre Daten in der cloudbasierten Infrastruktur von Cohesity zu speichern, zu verwalten und zu sichern. Die Kunden müssen diese Dienste über den Helios Management Service verwalten. Die Datenmanagement-Services von Cohesity sind für Kunden auf Abonnementbasis verfügbar.
SaaS Connector
Bei einigen Datenmanagement-Services von Cohesity müssen Kunden den Helios SaaS Connector einsetzen. Dieser SaaS Connector ist eine VM, die im Rechenzentrum des Kunden installiert wird. Er stellt einen sicheren Verbindungskanal zwischen den Datenquellen vor Ort und den Datenmanagement-Services von Cohesity her.
Sicherheitsarchitektur und Isolation der Nutzer
In der Datenmanagement-Umgebung von Helios sind die Management- und Datendienste voneinander getrennt.
Die von Cohesity verwalteten Helios Management Services sind nativ für mehrere Kunden ausgelegt (multitenant), wobei jeder Kunde/Tenant als eigenständige Organisation definiert ist. Diese Organisationen sind strikt voneinander getrennt und die Ressourcen der Organisation – seien es Daten, Richtlinien, Administratoren usw. – sind auf diese eine Organisation beschränkt.
Separate Tenant-Datenspeicher stellen sicher, dass die Daten des einen Kunden von denen anderer Kunden isoliert sind.
Cloud-Infrastruktur
Cohesity sorgt für Sicherheit, indem Zugriffskontrollen auf der Grundlage von Zero Trust-Prinzipien eingesetzt werden, um den unbefugten Zugriff auf die Cloud-Infrastruktur oder deren Verletzung zu verhindern. Dazu gehören der Helios Management Service und die von Cohesity verwalteten Datenmanagement-Services.
Kundenauthentifizierung und Zugangskontrolle
Der Helios Management Service bietet Kunden ein breites Spektrum an Kontrollmöglichkeiten, um Benutzerkonten und den ihnen zugewiesenen Zugriff zu verwalten – in Übereinstimmung mit strengen Sicherheitsstandards und den jeweils eigenen Sicherheitsrichtlinien der Kunden. In jeder Tenant-Organisation verwaltet ein Administrator die anderen Benutzer in dieser Organisation. Die Administratoren können über Zugriffskontrollen (role-based access controls, RBAC) Benutzer hinzufügen und verwalten. Die Anwendung des Prinzips der geringsten Privilegien und der Aufgabentrennung kann mit einer fein abgestuften Kontrolle über standardmäßige und benutzerdefinierte Rollen erreicht werden. Tenant-Administratoren können den Helios Management Service auch in bereits bestehende Identitätskontrollen integrieren. Dies ermöglicht es jeder Organisation, ihre jeweils eigenen Authentifizierungsprozesse in Bezug auf Passwortrichtlinien, Multifaktor-Authentifizierung (MFA) und Ähnliches anzuwenden.
Mitarbeiterauthentifizierung und Zugangskontrolle
Cohesity verfolgt einen äußerst restriktiven Ansatz für den internen Zugriff auf die Helios Management Services. Zugang wird ausschließlich auf Grundlage der Zuständigkeit für die Verwaltung und Wartung des Systems gewährt. Cohesity hält sich an die Prinzipien der geringsten Privilegien und der Aufgabentrennung und wendet interne Zugriffs- und Autorisierungskontrollen an. Bevor sich ein Benutzer für eine bestimmte Funktion anmelden kann, muss er festgelegte Qualifikationskriterien erfüllen und in jedem Fall zuvor die dokumentierte Genehmigung einholen. Für alle Cohesity-Benutzer sind eine eindeutige Benutzer-ID und eine Multifaktor-Authentifizierung erforderlich.
Datenisolierung
Für den Helios Management Service sind die Daten und Metadaten jedes Tenants von denen anderer Tenants getrennt und isoliert. Für die von Cohesity verwalteten Datenmanagement-Services werden jedem Tenant eindeutige Speicherplätze zugewiesen. Dadurch wird sichergestellt, dass die Inhalte eines Tenants niemals mit anderen Tenants geteilt werden können oder für letztere zugänglich sind.
Datenresilienz und -verfügbarkeit
Der Helios Management Service bietet eine Verfügbarkeitsrate von 99,9 % – davon ausgenommen sind geplante oder Notfall-Wartungen. Die Helios Datenmanagement-Services stützen sich auf den S3-Service von Amazon Web Services (AWS) in vom Kunden definierten Regionen. Sie erstrecken sich über mindestens drei Verfügbarkeitszonen, die wiederum innerhalb derselben AWS-Region jeweils viele Kilometer voneinander entfernt liegen. Der AWS S3-Service garantiert eine Datenbeständigkeit von 99,999999999 %. Im Falle einer Störung kann der Helios Management Service die im Datenmanagement-Service gespeicherten Daten wiederherstellen, indem er die in S3 gespeicherten Daten verwendet.
Datenverschlüsselung
Alle Kundendaten – sowohl die Metadaten im Helios Management Service als auch die Daten in den Datenmanagement-Services selbst – werden im Ruhezustand und während der Übertragung mit starken, dem Industriestandard entsprechenden Verschlüsselungsalgorithmen und -protokollen verschlüsselt.
Während der Übertragung
Alle Kundendaten, die zum und vom Helios Management Service und den Datenmanagement-Services fließen, werden während der Übertragung verschlüsselt, um ein Höchstmaß an Vertraulichkeit zu gewährleisten und eine Offenlegung oder Veränderung der Daten zu verhindern. Cohesity verwendet bei der Übertragung die Protokolle TLS 1.2 und mTLS, mit ausschließlich FIPS-geprüften Verschlüsselungssuiten mit Perfect Forward Secrecy (PFS)-Schutz.
Im ruhenden Speicherzustand
Alle Kundendaten im Helios Management Service und den Datenmanagement-Services werden im Ruhezustand mit AES-256-Verschlüsselung gesichert. Alle Verschlüsselungen werden sicher in einem externen Schlüsselverwaltungssystem (Key Management System, KMS) gespeichert. Darüber hinaus haben Kunden, die einen von Cohesity verwalteten Datenmanagement-Service nutzen, mehrere Optionen für die sichere Verwaltung ihrer Verschlüsselungen: Sie können sich entweder auf den von Cohesity verwalteten Key Management Service (KMS) verlassen oder ihre eigenen Schlüssel über Amazon Web Services KMS verwalten.
Abwehr von Angriffen auf die Infrastruktur
Cohesity verfügt über diverse Maßnahmen zur Abwehr von Distributed Denial of Service (DDOS), Eindringversuchen und Malware-Angriffen. Diese Sicherheitsvorkehrungen sind in die Überwachungsinfrastruktur für die Helios-Umgebung integriert. Cohesity verwendet Firewalls, um Verbindungen ständig zu überwachen und Anomalien zu erkennen. Wenn Anomalien entdeckt werden, blockiert und bewertet Cohesity die Verbindung zur Helios Kontroll-Umgebung. Die Server, Container und die Infrastruktur innerhalb der Helios-Umgebung werden auf Schwachstellen überwacht, die regelmäßig behoben werden.
Sicherheit der Rechenzentren
Der Helios Management Service und die Datenmanagement-Services von Cohesity werden in Amazon Web Services (AWS) gehostet. Weitere Informationen über die Sicherheitskontrollen bei AWS-Rechenzentren finden Sie unter https://aws.amazon.com/compliance/data-center/controls/.
Geschäftskontinuität und Notfallwiederherstellung
Cohesity verfügt über einen Business Continuity Plan, der den Geschäftsbetrieb und die Notfallwiederherstellung abdeckt. Wir bewerten regelmäßig die Risiken für das Unternehmen und wenden geeignete Handlungspläne an, um die Risiken auf ein akzeptables Niveau zu bringen. Diese Pläne zeigen wichtige Geschäftsprozesse auf, dokumentieren Bedrohungen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten, und befassen sich mit der Wiederherstellung von Verbindungsmöglichkeiten sowie unterstützenden Systemen. Damit stellen wir sicher, dass die Verpflichtungen von Cohesity gegenüber seinen Kunden stets erfüllt werden können.
Schwachstellenmanagement
Cohesity verfügt über ein Programm zum Management von Bedrohungen und Schwachstellen. Dieses Programm dient der kontinuierlichen Überwachung von Schwachstellen, die von Herstellern bestätigt, von Forschern gemeldet oder intern durch Schwachstellen-Scans, Penetrationstests oder von Mitarbeitern von Cohesity entdeckt werden. Die Bedrohungen werden nach ihrem Schweregrad eingestuft und bei Bedarf zur Behebung zugewiesen.
Überwachung und Warnung
Helios setzt auf kontinuierliche Überwachung sowohl der Sicherheit als auch der Verfügbarkeit der Dienste.
Diese Überwachung ist eine Funktion in jedem Service, wobei wichtige Leistungsindikatoren und Metriken von Anfang an integriert sind. Dashboards und Metriken werden von den Überwachungs- und Reaktionsteams genau verfolgt. Warnungen werden bereits im Entwicklungsprozess konzipiert. Die Warnmeldungen werden vom Cloud-Betriebsteam und den Entwicklungsteams überprüft, um sicherzustellen, dass bei der Bereitstellung in der Produktion bestimmte Schwellenwerte festgelegt und entsprechend überwacht werden.
Die Sicherheitspraktiken von Cohesity unterstreichen unser Streben nach Sicherheit, Schutz und Compliance für die Assets von Cohesity und die unserer Kunden. Cohesity nimmt die Sicherheit der Informationen unserer Kunden sehr ernst. Die Umsetzung der hier beschriebenen Kontrollen zeigt, wie wir Vertrauen zu unseren Kunden, Partnern und anderen aufbauen.
Information Security
Die Informationssicherheit von Cohesity wird unter der Leitung des CISO von Cohesity und unter der Aufsicht des Cohesity Security Council von einem spezialisierten Expertenteam gewährleistet. Die Aufgabe des Teams besteht darin, die Sicherheit, den Schutz und die Konformität der Systeme, Prozesse, Daten und des Personals von Cohesity sowie der uns von unseren Kunden anvertrauten Assets zu garantieren.
Richtlinien zur Informationssicherheit
Das Richtlinienpaket von Cohesity für die Informationssicherheit deckt das Unternehmen, seine Mitarbeiter und die Datenbestände ab. Die Richtlinien orientieren sich an Industriestandards und umfassen Bereiche wie Sicherheitsorganisation, angemessene Nutzung von Assets, Zugriffskontrollen sowie Klassifizierung und Handhabung von Informationen. Die Richtlinien werden regelmäßig von Cohesity Information Security überprüft und bei Bedarf aktualisiert.
Schulungen zum Sicherheitsbewusstsein
Cohesity Information Security legt Anforderungen für Schulungen zur Informationssicherheit fest und stellt sicher, dass alle Mitarbeiter die Schulungen absolvieren und ihre jeweiligen Verantwortlichkeiten verstehen. Eine Schulung zur Informationssicherheit ist fester Bestandteil bei der Einarbeitung neuer Angestellter und muss jährlich wiederholt werden. Die Schulungen werden durch regelmäßige Präsentationen, Mitteilungen und Lerneinheiten zu bestimmten Themen ergänzt. Gegebenenfalls erhalten die einzelnen Geschäftsbereiche spezielle Schulungen für ihre jeweiligen Rollen und Aufgaben. So wird das Programmierteam regelmäßig in den Bereichen Sicherheitsprinzipien und sichere Entwicklungspraktiken geschult.
Cyber Risk Management
Cohesity setzt ein Cyber Risk Management-Programm ein, um Risiken für seine IT-Ressourcen – einschließlich Systeminfrastruktur, Netzwerke, Endpunkte, Daten und geistiges Eigentum – zu identifizieren, zu priorisieren und zu verwalten. Mit dem Cyber Risk Management-Programm ermittelt Cohesity interne und externe Cyber-Risiken, die Wahrscheinlichkeit ihres Auftretens und die potenziellen Auswirkungen. Cohesity arbeitet mit den jeweiligen Eigentümern zusammen, um die Risiken entsprechend der Risikoeinschätzung von Cohesity abzuschwächen und zu beseitigen.
Vendor Risk Management
Mithilfe des Vendor Risk Management-Programms prüft und validiert Cohesity die Sicherheitslage bei seinen Drittanbietern vor dem jeweiligen Onboarding. Darüber hinaus führen wir Folgeprüfungen durch. Cohesity verwaltet und überwacht die Sicherheitsrisiken dieser Anbieter durch sein Risikomanagementprogramm. Dies geschieht in Übereinstimmung mit der Sicherheitsstrategie von Cohesity, den Kundenverpflichtungen und den geltenden gesetzlichen Bestimmungen.
Informationen über Bedrohungen und Schwachstellenmanagement
Cohesity Information Security unterhält ein Management-Programm, das Schwachstellen identifiziert und in Zusammenarbeit mit den für die Kontrolle Verantwortlichen behebt. So werden Bedrohungen für die Produkte und die Infrastruktur von Cohesity verringert. Darüber hinaus werden Penetrationstests für die entsprechenden Assets von Cohesity durchgeführt und die Behebung der Schwachstellen nach Priorität geordnet, um so die Sicherheit bei und von Cohesity zu optimieren.
Reaktion auf Vorfälle
Cohesity Information Security verfügt über eine Richtlinie für das Management von Vorfällen. Dazu gehören Verfahren, die die genaue Struktur und die Leitlinien für unsere Reaktionsmaßnahmen vorgeben. Die Verfahren zur Reaktion auf Vorfälle in dieser Richtlinie geben die Schritte vor, die von den Mitarbeitern von Cohesity zu befolgen sind. Dadurch wird eine schnelle Erkennung von Sicherheitsvorfällen und Schwachstellen gewährleistet und eine zügige Reaktion auf derartige Sicherheitsvorfälle ermöglicht. Dies umfasst das Erkennen, Bewerten, Eindämmen und Abschwächen von Vorfällen sowie die folgende Wiederherstellung/Reparatur.
Personal
Bei der Einstellung neuer Mitarbeiter werden Hintergrundprüfungen durchgeführt. Die Mitarbeiter erhalten außerdem den Verhaltenskodex des Unternehmens sowie weitere Richtlinien und Vertraulichkeitsvereinbarungen, die sie alle bestätigen müssen.
Physische Sicherheit vor Ort
Die Büroräume von Cohesity sind physisch durch Wach- oder Empfangspersonal gesichert. Zugangskontrollen mit Ausweis werden zentral verwaltet und überwacht. Für den Zugang zu gesicherten Bereichen sind erweiterte Berechtigungen erforderlich. Es sind Kamerasysteme installiert. Alle Standorte verfügen über einen immer bewachten Zugang (24x7x365), verwenden Kamera- und Beleuchtungssysteme und gestatten den Zugang nur mit entsprechendem Ausweis. Cohesity ist SOC 2 zertifiziert und kann auf Anfrage zur Verfügung gestellt werden.
Cohesity befolgt alle Richtlinien zur Vertraulichkeit personenbezogener Daten und verarbeitet diese in Übereinstimmung mit den geltenden Datenschutzgesetzen und -vorschriften. Alle personenbezogenen Daten bleiben das Eigentum des Kunden. Informationen über die Einhaltung der Sicherheitsvorschriften und Zertifizierungen von Cohesity finden Sie hier. Darüber hinaus legt unsere Zusatzerklärung zur Datenverarbeitung (verfügbar unter www.cohesity.com/agreements) zahlreiche rechtliche, technische und betriebliche Schutzmaßnahmen fest, die gegebenenfalls für unsere Kunden greifen.
Datenschutzerklärung
Unsere Datenschutzerklärung finden Sie unter www.cohesity.com/agreements.
Verarbeitungsstandorte
Cohesity kann personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. Ein Beispiel dafür ist die Bereitstellung von 24/7-Supportdiensten, sofern sich der Kunde für die Weitergabe personenbezogener Daten an Cohesity entscheidet. Die rechtlichen Mechanismen, die zur Ermöglichung solcher Datenübertragungen verwendet werden, sind die Standardvertragsklauseln (SCC), die in der Zusatzerklärung zur Datenverarbeitung von Cohesity unter www.cohesity.com/agreements näher erläutert werden.
Support-Standorte
Cohesity verfügt derzeit über Support-Zentren in den USA, Irland, Indien, Kanada und Japan.
Grenzüberschreitende Datenübertragung
Grenzüberschreitende Datenübertragungen werden in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements ausführlich behandelt.
Einhaltung internationaler Gesetze
Cohesity verarbeitet personenbezogene Daten in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen und -vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union (DSGVO), des Europäischen Wirtschaftsraums und seiner Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, des California Consumer Privacy Act (CCPA) und des Personal Information Protection and Electronic Documents Act (Kanada), jeweils in dem Umfang, in dem sie für Cohesity in Bezug auf die Verarbeitung personenbezogener Daten gelten. Weitere Informationen finden Sie in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements.
DSGVO
Gemäß den anwendbaren und geltenden Datenschutzgesetzen und -vorschriften wie der DSGVO gilt: Wenn ein Kunde die Produkte und Services von Cohesity nutzt und personenbezogene Daten an Cohesity weitergibt, gilt der Kunde im Allgemeinen als Datenverantwortlicher und beauftragt Cohesity, als Datenverarbeiter zu handeln.
CCPA
Die Einhaltung des California Consumer Privacy Act (CCPA) wird in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements ausführlich behandelt.
Vereinbarung zur Datenverarbeitung
Die Zusatzerklärung zur Datenverarbeitung von Cohesity finden Sie unter www.cohesity.com/agreements. Sie gilt automatisch für alle Kunden, die Helios SaaS nutzen, und ist Bestandteil der Helios SaaS Nutzungsbedingungen von Cohesity (ebenfalls verfügbar unter www.cohesity.com/agreements). Wenn ein Kunde der Meinung ist, dass die Zusatzerklärung zur Datenverarbeitung für andere Aktivitäten gelten sollte, wenden Sie sich bitte an die Rechtsabteilung von Cohesity (Cohesity Legal).
Cohesity unterhält ein umfassendes Sicherheitszertifizierungsprogramm, das die Vertraulichkeit, Vollständigkeit und Verfügbarkeit der Daten unserer Kunden schützt. Dies geschieht entsprechend den Standards der Branche, der US-Regierung und weiteren internationalen Standards. Die Produkte und Services von Cohesity wurden außerdem von unabhängigen Prüfern auf die Einhaltung verschiedener Sicherheitsstandards hin zertifiziert. Zum Cohesity Security & Due Diligence Center gelangen Sie hier.
SOC 2 Typ II Bericht
Die Cohesity Helios SaaS-Plattform wird jährlich einem Typ II-Audit der Service Organization Controls 2 (SOC 2) unterzogen, um die Kontrollen des Informationssicherheitssystems in Bezug auf die Sicherheit, Verfügbarkeit und Vertraulichkeit der Trust Services Criteria zu bewerten.
ISO27001
Das Informationssicherheits-Managementsystem (ISMS), das die Cohesity Cloud Services unterstützt, ist gemäß ISO/IEC 27001:2022 zertifiziert.
HIPAA
Die Produkte und Services von Cohesity entsprechen den Sicherheitsmaßstäben und -anforderungen des Health Insurance Portability and Accountability Act (HIPAA).
Einhaltung des Trade Agreements Act
Cohesity hält sich an den Trade Agreements Act (TAA). Die Hardware wird aus San Jose, Kalifornien, geliefert. Die White-Label-Systeme von Cohesity werden in ausgewiesenen TAA-konformen Ländern hergestellt und montiert.
National Defense Authorization Act 2019
Cohesity erfüllt Abschnitt 889 des National Defense Authorization Act aus dem Jahr 2019.
Liste der zugelassenen Produkte des US-Verteidigungsministeriums (Department of Defense Information Network Approved Product List)
Die Cohesity-Plattform wurde von der Defense Information Systems Agency (DISA), einer Behörde des US-Verteidigungsministeriums (DoD), für die Aufnahme in die DoD Information Network (DoDIN) Approved Products List (APL) zertifiziert. Bei der DoDIN APL handelt es sich um eine konsolidierte Liste von Produkten, die die strengen Zertifizierungsanforderungen für Cybersicherheit und Interoperabilität für den Einsatz in DoD-Netzwerken erfüllen.
FedRAMP
FedRAMP ist ein Regierungsprogramm, das die Einführung von sicheren Cloud-Diensten in der gesamten Bundesregierung fördert, indem es einen standardisierten Ansatz für die Sicherheits- und Risikobewertung von Cloud-Technologien und Bundesbehörden bietet.
Cohesity ist FedRAMP Moderate- zertifiziert.
GovRAMP
GovRAMP ist eine eingetragene 501(c)(6) gemeinnützige Mitgliederorganisation, die sich aus Service Providern, die IaaS-, PaaS- und/oder SaaS-Lösungen anbieten, aus Drittbewertungsorganisationen und aus Regierungsbeamten zusammensetzt. Das 2020 gegründete StateRAMP (dba GovRAMP) entstand aus dem klaren Bedürfnis nach einem standardisierten Ansatz für die Cybersicherheitsstandards, die von Service Providern verlangt werden, die Lösungen für staatliche und lokale Behörden anbieten.
Cohesity ist GovRAMP-zertifiziert.
Betriebserlaubnis (Authorization to Operate, ATO)
Cohesity unterhält ATOs für seine Produkte für den Betrieb in streng geheimen Netzwerken des US-Verteidigungsministeriums (DoD), des US-Energieministeriums (DoE) und der US-Nachrichtendienste. Für die Produkte von Cohesity sind Security Technical Information Guides (STIG) für den Einsatz in DoD Top Secret-Netzwerken verfügbar.
Common Criteria EAL2+
Die Cohesity-Plattform ist nach Common Criteria mit EAL2+ ALC_FLR.1 zertifiziert. Common Criteria for Information Technology Security Evaluation (kurz Common Criteria) ist ein internationaler Standard (ISO/IEC 15408) für die Zertifizierung von Computersicherheit.
Mehr Informationen finden Sie hier.
NIST FIPS 140-2 Validierung des kryptografischen Moduls
Das in den Produkten von Cohesity verwendete kryptografische Modul wurde vom United States National Institute of Standards and Technology (NIST) gemäß dem Standard Federal Information Processing Standards (FIPS) 140-2 Level 1 validiert. FIPS 140-2 ist ein Standard der US-Regierung für kryptografische Module, der zusichert, dass das Moduldesign und die Implementierung kryptografischer Algorithmen sicher und korrekt sind.
Mehr Informationen finden Sie hier.
IPv6
Die Cohesity-Plattform wurde vom University of New Hampshire-InterOperability Lab (UNH-IOL) im Rahmen des USGv6-Testprogramms als USGv6-konform zertifiziert.
Mehr Informationen finden Sie unter https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity.
SEC 17a-4(f), FINRA Rule 4511(c) und CFTC Regulation 1.31(c)-(d)
Die Cohesity-Plattform verfügt über eine eingebaute Unterstützung für WORM-Funktionen (Write-Once, Read-Many). Die WORM-Implementierung wurde von Cohasset Associates als konform mit den Regeln in SEC 17a-4(f), FINRA Rule 4511(c) und CFTC Regulation 1.31(c)-(d) bewertet.
Mehr Informationen finden Sie hier.
In den folgenden Materialien finden Kunden und Partner von Cohesity nähere Informationen über die Sicherheits- und Datenschutzpraktiken von Cohesity für seine Produkte und Services.
Zusatzerklärung zur Datensicherheit
Mit Blick auf die Anforderungen in der DSGVO und dem CCPA bietet Cohesity eine Zusatzerklärung zur Datensicherheit (Data Processing Addendum, DPA) an.
Liste der Unterauftragsverarbeiter
Cohesity kann Drittanbieter als (Unter-)Verarbeiter von personenbezogenen Daten einsetzen, um seine Services zu erbringen.
Dokumentation zu Produkten und Services
Das Dokumentationsportal von Cohesity kann über MyCohesity aufgerufen werden.
Helios SaaS Security Brief
Das Helios SaaS Security Brief finden Sie im Dokumentationsportal von Cohesity.
DataPlatform Security Whitepaper
Das DataPlatform Security Whitepaper finden Sie im Dokumentationsportal von Cohesity.
DataPlatform Security Hardening Guide
Den DataPlatform Security Hardening Guide finden Sie im Dokumentationsportal von Cohesity.
Cohesity Ransomware Protection – Prepare and Recover
Das Cohesity Ransomware Protection – Prepare and Recover Whitepaper finden Sie im Dokumentationsportal von Cohesity.
Sicherheitsleitfaden
Sicherheitshinweise für hyperkonvergente Knoten von Cohesity.