Cohesity erneut zum Leader ernannt! Erhalten Sie den 2023 Gartner® Magic Quadrant™ for Enterprise Backup and Recovery Software Solutions
Viele der größten Unternehmen der Welt vertrauen beim Next-Gen Data Management auf Cohesity. Mit Cohesity können Sie sich darauf verlassen, dass Ihre Daten geschützt und sicher sind.
Die neueste Plattform für Datenmanagement von Cohesity unterstützt intelligente IT-Operationen, um den vollen Wert von Daten für betriebliche Effizienz und Innovation zu erschließen. Die Sicherheitsarchitektur von Cohesity bietet umfassende Schutzmaßnahmen zur Erkennung und Vereitelung von Cyberangriffen.
Cohesity hält strenge Produktsicherheitsstandards ein und überprüft die Umsetzung in jeder Phase des Produktlebenszyklus. Dabei folgt Cohesity den bewährten Best Practices der Branche. Dank dieser Sicherheitspraktiken sowie der Einbeziehung von weiteren Sicherheitsmerkmalen und -funktionen liefert Cohesity seiner Kundschaft sichere, hochfunktionale Produkte und Services.
Cohesity folgt grundlegenden Sicherheitsprinzipien, die unter anderem Folgendes beinhalten: Security by default, Ausfallsicherheit und sichere Implementierung von kryptographischen Algorithmen. Um die Sicherheit, Konformität und Zertifizierung der Produkte bei der Entwicklung neuer Funktionen zu gewährleisten, richtet Cohesity das Produktdesign an den aktuellen Best Practices im Bereich Sicherheit aus.
Die Entwicklungsteams bei Cohesity arbeiten während der Entwurfs- und Planungsphasen mit einem spezialisierten Produktsicherheitsteam zusammen. Dieses Product Security Team von Cohesity spricht Empfehlungen für die Übernahme sicherer Designs aus, führt Bedrohungsmodelle durch, definiert geeignete Sicherheitsstandards und legt Sicherheitsanforderungen fest.
Expand AllCohesity hat das STRIDE-Framework in seine Designs aufgenommen, um Sicherheitsziele im Design zu erreichen und Risiken zu verringern. Dazu gehört die Identifizierung von Bedrohungen, Angriffen, Schwachstellen und Gegenmaßnahmen, die eine Anwendung oder ein System beeinträchtigen könnten. Cohesity aktualisiert sein Bedrohungsmodell regelmäßig auf der Grundlage neuer Funktionen und veränderter Bedrohungen.
Die Teams für Produktsicherheit, Informationssicherheit und Produktmanagement von Cohesity definieren die geltenden Sicherheitsstandards und legen die Sicherheitsanforderungen für das gesamte Produkt- und Serviceportfolio von Cohesity fest.
Die Plattform und die Infrastruktur von Cohesity werden regelmäßig Sicherheitstests unterzogen und optimiert, um die Sicherheit zu erhöhen. Das Betriebssystem und die Komponenten sind so konfiguriert, dass sie die Anforderungen für die Sicherheitshärtung erfüllen, einschließlich der Benchmarks des Center for Internet Security (CIS) und der Konfigurationsstandards des US-Verteidigungsministeriums (Security Technical Implementation Guide, STIG).
Expand AllCohesity führt statische und binäre Quellcodeanalysen durch, um die Sicherheit der Anwendung zu gewährleisten.
Dynamische Scans zur Überprüfung der Anwendungssicherheit sind in die Entwicklungsprozesse von Cohesity integriert. So können alle wichtigen Entwicklungszweige überprüft werden. Gefundene Schwachstellen werden gemäß der Richtlinie zum Schwachstellenmanagement entschärft.
Cohesity führt regelmäßig Scans der von Cohesity entwickelten Codes sowie der Binärdateien von Drittanbietern in seinen Datenbanken durch, um die Verwendung von Open Source Software (OSS) zu identifizieren. Sowohl identifizierte Schwachstellen als auch die falsche Verwendung von OSS werden gemäß den Richtlinien von Cohesity behoben.
Cohesity führt kontinuierlich interne Penetrationstests durch, wobei verschiedene automatisierte Techniken in den Release-Zyklus integriert werden. Cohesity führt außerdem regelmäßig externe Penetrationstests durch. Schwachstellen, die bei Penetrationstests gefunden werden, werden gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity entschärft.
Cohesity nimmt kontinuierlich Bewertungen der Schwachstellen in seinen Produkten und internen Betriebsumgebungen vor. Schwachstellen werden regelmäßig aufgedeckt und die Ergebnisse fließen in die Entwicklung und das Deployment ein, um Risiken zu beseitigen. Cohesity behebt Schwachstellen gemäß seiner Richtlinie zum Schwachstellenmanagement.
Alle in die Cohesity-Codes integrierten Komponenten von Drittanbietern, einschließlich (aber nicht beschränkt auf) Open-Source- und kommerziell lizenzierte Pakete, Quellcode, Binärdateien, Bibliotheken sowie OEM-Firmware, werden kontinuierlich auf Schwachstellen und andere Sicherheitsrisiken getestet. Praktiken zur Risikominderung und Patches zu Schwachstellen von Dritten folgen den Richtlinien zum Schwachstellenmanagement von Cohesity.
Die Tools für die technische Infrastruktur werden mit konfiguriertem Sicherheitsschutz auf dem neuesten Stand gehalten. Sicherheitsprüfungen und Optionen für die Compiler und Linker werden durchgeführt.
Cohesity nutzt diverse Kontrollen und Praktiken, um die Integrität der Kundendaten und die Sicherheit der Apps auf dem Cohesity Marketplace zu gewährleisten. Diese Kontrollen umfassen:
Cohesity orientiert sich an branchenüblichen Standards für das Schwachstellenmanagement, das Management einer sicheren Produktentwicklung und die Reaktion auf Vorfälle.
Expand AllCohesity bewertet und priorisiert bestätigte Schwachstellen anhand des Common Vulnerability Scoring System (CVSS) Version 3. Cohesity weist den bestätigten Sicherheitslücken eine CVE-Kennung (Common Vulnerabilities and Exposures) zu.
Cohesity folgt einem sicheren Produktentwicklungszyklus, um die Sicherheit während des gesamten Entwicklungs- und Lebenszyklus eines jeden Produkts zu gewährleisten. Cohesity wendet die folgenden sechs Praktiken an:
Cohesity setzt ein Programm zur Reaktion auf Sicherheitsvorfälle um. Damit können Sicherheitsvorfälle schnell und effektiv erkannt, bearbeitet und behoben werden. Sicherheitsvorfälle werden der IT-Sicherheitsstelle (Information Security Office) gemeldet, wo die Probleme bis zur Lösung verfolgt und überwacht werden. Bereitschaftsteams bearbeiten Sicherheits- und Verfügbarkeitsprobleme mithilfe von regelmäßig getesteten Handlungsanweisungen und Verfahren.
Cohesity nutzt einen Plan zur Reaktion auf Produktzwischenfälle, der die Analyse, Eindämmung und Behebung von Sicherheitslücken in seinen Produkten unterstützt. Der Plan umfasst außerdem die verantwortungsvolle Offenlegung von Schwachstellen durch Drittanbieter und Kunden.
Cohesity bietet seinen Entwicklern, Designern, Entwicklungsmanagern, Release Managern, QA-Ingenieuren und Produktmanagern Sicherheitsschulungen und -ressourcen an. Diese haben zum Ziel, Sicherheitspraktiken in den gesamten Produktentwicklungszyklus einzubeziehen. Des Weiteren führt Cohesity vierteljährlich Schulungen zum sicheren Coding durch, in denen bewährte Sicherheitspraktiken für die Produktentwicklung behandelt werden. Diese Schulungen sind für alle Programmierer verpflichtend.
Cohesity folgt den Best Practices der Branche, um Schwachstellen während des gesamten Produktlebenszyklus zu entdecken, zu untersuchen und zu beheben – unter Verwendung eines risikobasierten Ansatzes. Das spezialisierte Produktsicherheitsteam (Product Security Team) von Cohesity untersucht und reagiert umgehend auf alle Meldungen über potenzielle Sicherheitsschwachstellen. Der Reaktionsplan von Cohesity für Produktvorfälle dient der Analyse, Eindämmung und Behebung von Sicherheitslücken in seinen Produkten. Der Plan umfasst außerdem Prozesse zur verantwortungsvollen Offenlegung von Problemen, die von externen Forschern, Kunden oder Partnern gemeldet werden.
Expand AllCohesity bewertet und priorisiert bestätigte Schwachstellen mithilfe des Common Vulnerability Scoring System (CVSS) Version 3 und unterhält ein Reaktions-SLA für jede Schweregradklasse.
Die von Cohesity durchgeführten Maßnahmen zur Behebung identifizierter Schwachstellen richten sich (gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity) nach ihrer Schwere und ihren Auswirkungen und werden in einem entsprechenden Zeitrahmen umgesetzt.
Cohesity weist den bestätigten Sicherheitslücken eine CVE-Kennung (Common Vulnerabilities and Exposures) zu.
Sicherheitslücken, die in allen unterstützten Produktversionen identifiziert werden, werden gemäß der Richtlinie zum Schwachstellenmanagement von Cohesity behoben.
Die Haupt-, Neben- und LTS-Releases von Cohesity-Produkten enthalten mindestens die kumulativen Schwachstellenbehebungen der vorherigen Releases.
Cohesity kann von Zeit zu Zeit Wartungsreleases oder Patches von unterstützten Versionen seiner Produkte schneller herausgeben als die in der Richtlinie zum Schwachstellenmanagement von Cohesity festgelegten SLAs für kritische Schwachstellen mit hoher Auswirkung.
Cohesity informiert seine Kunden proaktiv über Schwachstellen und Sicherheitslücken durch Warnungen im Support-Portal, E-Mails und/oder Meldungen vor Ort. Es werden Artikel veröffentlicht, um die Auswirkungen bestimmter Schwachstellen zu dokumentieren und die erforderlichen Gegenmaßnahmen zu skizzieren.
Kunden, Partner und externe Forscher können Schwachstellen in Produkten und Services von Cohesity melden, indem sie sich an Cohesity Security wenden.
Cohesity hält bei seinen verwalteten Cloud-Services und bei den Software-as-a-Service-Angeboten (SaaS) strenge Standards für Sicherheit, Datenschutz und Resilienz ein. Erfahren Sie mehr über die wichtigsten Verfahren, die Cohesity anwendet, um die Helios-Plattform, die Services und die Kundendaten sicher und jederzeit verfügbar zu halten.
Kunden können die cloudbasierte Helios-Plattform verwenden. Diese Plattform bietet zentralisiertes Management und Analysen für die selbst verwalteten Produkte und Dienste der Kunden (Helios Management Service).
Je nach eingesetztem Cohesity-Produkt oder -Service ist die Nutzung des Helios Management Service für den Kunden entweder vorgeschrieben oder optional.
Expand AllDer von Cohesity betriebene Helios Management Service bietet den Kunden zentralisiertes Management und Analysen ihrer selbst verwalteten Cohesity-Produkte sowie der von Cohesity verwalteten Datenmanagement-Services. Es ist nicht zwingend erforderlich, dass Kunden ihre selbst verwalteten Produkte bei Helios registrieren.
Wenn sich Kunden für eine Registrierung entscheiden, kommunizieren die Produkte des Kunden mit dem Helios Management Service, um Produkttelemetrie bereitzustellen. Dies ist notwendig, um Services anzubieten und cloudbasiertes, zentralisiertes Management sowie Analysen zu ermöglichen. Weitere Informationen zum Helios Management Service finden Sie im Helios SaaS Security Brief auf dem Dokumentationsportal von Cohesity.
Die von Cohesity verwalteten Datenmanagement-Services umfassen eine Reihe von SaaS-Angeboten. Sie ermöglichen es Kunden, ihre Daten in der cloudbasierten Infrastruktur von Cohesity zu speichern, zu verwalten und zu sichern. Die Kunden müssen diese Dienste über den Helios Management Service verwalten. Die Datenmanagement-Services von Cohesity sind für Kunden auf Abonnementbasis verfügbar.
Bei einigen Datenmanagement-Services von Cohesity müssen Kunden den Helios SaaS Connector einsetzen. Dieser SaaS Connector ist eine VM, die im Rechenzentrum des Kunden installiert wird. Er stellt einen sicheren Verbindungskanal zwischen den Datenquellen vor Ort und den Datenmanagement-Services von Cohesity her.
In der Datenmanagement-Umgebung von Helios sind die Management- und Datendienste voneinander getrennt.
Die von Cohesity verwalteten Helios Management Services sind nativ für mehrere Kunden ausgelegt (multitenant), wobei jeder Kunde/Tenant als eigenständige Organisation definiert ist. Diese Organisationen sind strikt voneinander getrennt und die Ressourcen der Organisation – seien es Daten, Richtlinien, Administratoren usw. – sind auf diese eine Organisation beschränkt.
Separate Tenant-Datenspeicher stellen sicher, dass die Daten des einen Kunden von denen anderer Kunden isoliert sind.
Cohesity sorgt für Sicherheit, indem Zugriffskontrollen auf der Grundlage von Zero Trust-Prinzipien eingesetzt werden, um den unbefugten Zugriff auf die Cloud-Infrastruktur oder deren Verletzung zu verhindern. Dazu gehören der Helios Management Service und die von Cohesity verwalteten Datenmanagement-Services.
Der Helios Management Service bietet Kunden ein breites Spektrum an Kontrollmöglichkeiten, um Benutzerkonten und den ihnen zugewiesenen Zugriff zu verwalten – in Übereinstimmung mit strengen Sicherheitsstandards und den jeweils eigenen Sicherheitsrichtlinien der Kunden. In jeder Tenant-Organisation verwaltet ein Administrator die anderen Benutzer in dieser Organisation. Die Administratoren können über Zugriffskontrollen (role-based access controls, RBAC) Benutzer hinzufügen und verwalten. Die Anwendung des Prinzips der geringsten Privilegien und der Aufgabentrennung kann mit einer fein abgestuften Kontrolle über standardmäßige und benutzerdefinierte Rollen erreicht werden. Tenant-Administratoren können den Helios Management Service auch in bereits bestehende Identitätskontrollen integrieren. Dies ermöglicht es jeder Organisation, ihre jeweils eigenen Authentifizierungsprozesse in Bezug auf Passwortrichtlinien, Multifaktor-Authentifizierung (MFA) und Ähnliches anzuwenden.
Cohesity verfolgt einen äußerst restriktiven Ansatz für den internen Zugriff auf die Helios Management Services. Zugang wird ausschließlich auf Grundlage der Zuständigkeit für die Verwaltung und Wartung des Systems gewährt. Cohesity hält sich an die Prinzipien der geringsten Privilegien und der Aufgabentrennung und wendet interne Zugriffs- und Autorisierungskontrollen an. Bevor sich ein Benutzer für eine bestimmte Funktion anmelden kann, muss er festgelegte Qualifikationskriterien erfüllen und in jedem Fall zuvor die dokumentierte Genehmigung einholen. Für alle Cohesity-Benutzer sind eine eindeutige Benutzer-ID und eine Multifaktor-Authentifizierung erforderlich.
Für den Helios Management Service sind die Daten und Metadaten jedes Tenants von denen anderer Tenants getrennt und isoliert. Für die von Cohesity verwalteten Datenmanagement-Services werden jedem Tenant eindeutige Speicherplätze zugewiesen. Dadurch wird sichergestellt, dass die Inhalte eines Tenants niemals mit anderen Tenants geteilt werden können oder für letztere zugänglich sind.
Der Helios Management Service bietet eine Verfügbarkeitsrate von 99,9 % – davon ausgenommen sind geplante oder Notfall-Wartungen. Die Helios Datenmanagement-Services stützen sich auf den S3-Service von Amazon Web Services (AWS) in vom Kunden definierten Regionen. Sie erstrecken sich über mindestens drei Verfügbarkeitszonen, die wiederum innerhalb derselben AWS-Region jeweils viele Kilometer voneinander entfernt liegen. Der AWS S3-Service garantiert eine Datenbeständigkeit von 99,999999999 %. Im Falle einer Störung kann der Helios Management Service die im Datenmanagement-Service gespeicherten Daten wiederherstellen, indem er die in S3 gespeicherten Daten verwendet.
Alle Kundendaten – sowohl die Metadaten im Helios Management Service als auch die Daten in den Datenmanagement-Services selbst – werden im Ruhezustand und während der Übertragung mit starken, dem Industriestandard entsprechenden Verschlüsselungsalgorithmen und -protokollen verschlüsselt.
Expand AllAlle Kundendaten, die zum und vom Helios Management Service und den Datenmanagement-Services fließen, werden während der Übertragung verschlüsselt, um ein Höchstmaß an Vertraulichkeit zu gewährleisten und eine Offenlegung oder Veränderung der Daten zu verhindern. Cohesity verwendet bei der Übertragung die Protokolle TLS 1.2 und mTLS, mit ausschließlich FIPS-geprüften Verschlüsselungssuiten mit Perfect Forward Secrecy (PFS)-Schutz.
Alle Kundendaten im Helios Management Service und den Datenmanagement-Services werden im Ruhezustand mit AES-256-Verschlüsselung gesichert. Alle Verschlüsselungen werden sicher in einem externen Schlüsselverwaltungssystem (Key Management System, KMS) gespeichert. Darüber hinaus haben Kunden, die einen von Cohesity verwalteten Management Service nutzen, mehrere Optionen für die sichere Verwaltung ihrer Verschlüsselungen: Sie können sich entweder auf den von Cohesity verwalteten Key Management Service (KMS) verlassen oder ihre eigenen Schlüssel über Amazon Web Services KMS verwalten.
Cohesity verfügt über diverse Maßnahmen zur Abwehr von Distributed Denial of Service (DDOS), Eindringversuchen und Malware-Angriffen. Diese Sicherheitsvorkehrungen sind in die Überwachungsinfrastruktur für die Helios-Umgebung integriert. Cohesity verwendet Firewalls, um Verbindungen ständig zu überwachen und Anomalien zu erkennen. Wenn Anomalien entdeckt werden, blockiert und bewertet Cohesity die Verbindung zur Helios Kontroll-Umgebung. Die Server, Container und die Infrastruktur innerhalb der Helios-Umgebung werden auf Schwachstellen überwacht, die regelmäßig behoben werden.
Der Helios Management Service und die Datenmanagement-Services von Cohesity werden in Amazon Web Services (AWS) gehostet. Weitere Informationen über die Sicherheitskontrollen bei AWS-Rechenzentren finden Sie unter https://aws.amazon.com/compliance/data-center/controls/.
Cohesity verfügt über einen Business Continuity Plan, der den Geschäftsbetrieb und die Notfallwiederherstellung abdeckt. Wir bewerten regelmäßig die Risiken für das Unternehmen und wenden geeignete Handlungspläne an, um die Risiken auf ein akzeptables Niveau zu bringen. Diese Pläne zeigen wichtige Geschäftsprozesse auf, dokumentieren Bedrohungen, die zu einer Unterbrechung des Geschäftsbetriebs führen könnten, und befassen sich mit der Wiederherstellung von Verbindungsmöglichkeiten sowie unterstützenden Systemen. Damit stellen wir sicher, dass die Verpflichtungen von Cohesity gegenüber seinen Kunden stets erfüllt werden können.
Cohesity verfügt über ein Programm zum Management von Bedrohungen und Schwachstellen. Dieses Programm dient der kontinuierlichen Überwachung von Schwachstellen, die von Herstellern bestätigt, von Forschern gemeldet oder intern durch Schwachstellen-Scans, Penetrationstests oder von Mitarbeitern von Cohesity entdeckt werden. Die Bedrohungen werden nach ihrem Schweregrad eingestuft und bei Bedarf zur Behebung zugewiesen.
Helios setzt auf kontinuierliche Überwachung sowohl der Sicherheit als auch der Verfügbarkeit der Dienste.
Diese Überwachung ist eine Funktion in jedem Service, wobei wichtige Leistungsindikatoren und Metriken von Anfang an integriert sind. Dashboards und Metriken werden von den Überwachungs- und Reaktionsteams genau verfolgt. Warnungen werden bereits im Entwicklungsprozess konzipiert. Die Warnmeldungen werden vom Cloud-Betriebsteam und den Entwicklungsteams überprüft, um sicherzustellen, dass bei der Bereitstellung in der Produktion bestimmte Schwellenwerte festgelegt und entsprechend überwacht werden.
Die Sicherheitspraktiken von Cohesity unterstreichen unser Streben nach Sicherheit, Schutz und Compliance für die Assets von Cohesity und die unserer Kunden. Cohesity nimmt die Sicherheit der Informationen unserer Kunden sehr ernst. Die Umsetzung der hier beschriebenen Kontrollen zeigt, wie wir Vertrauen zu unseren Kunden, Partnern und anderen aufbauen.
Die Informationssicherheit von Cohesity wird unter der Leitung des CISO von Cohesity und unter der Aufsicht des Cohesity Security Council von einem spezialisierten Expertenteam gewährleistet. Die Aufgabe des Teams besteht darin, die Sicherheit, den Schutz und die Konformität der Systeme, Prozesse, Daten und des Personals von Cohesity sowie der uns von unseren Kunden anvertrauten Assets zu garantieren.
Das Richtlinienpaket von Cohesity für die Informationssicherheit deckt das Unternehmen, seine Mitarbeiter und die Datenbestände ab. Die Richtlinien orientieren sich an Industriestandards und umfassen Bereiche wie Sicherheitsorganisation, angemessene Nutzung von Assets, Zugriffskontrollen sowie Klassifizierung und Handhabung von Informationen. Die Richtlinien werden regelmäßig von Cohesity Information Security überprüft und bei Bedarf aktualisiert.
Cohesity Information Security legt Anforderungen für Schulungen zur Informationssicherheit fest und stellt sicher, dass alle Mitarbeiter die Schulungen absolvieren und ihre jeweiligen Verantwortlichkeiten verstehen. Eine Schulung zur Informationssicherheit ist fester Bestandteil bei der Einarbeitung neuer Angestellter und muss jährlich wiederholt werden. Die Schulungen werden durch regelmäßige Präsentationen, Mitteilungen und Lerneinheiten zu bestimmten Themen ergänzt. Gegebenenfalls erhalten die einzelnen Geschäftsbereiche spezielle Schulungen für ihre jeweiligen Rollen und Aufgaben. So wird das Programmierteam regelmäßig in den Bereichen Sicherheitsprinzipien und sichere Entwicklungspraktiken geschult.
Cohesity setzt ein Cyber Risk Management-Programm ein, um Risiken für seine IT-Ressourcen – einschließlich Systeminfrastruktur, Netzwerke, Endpunkte, Daten und geistiges Eigentum – zu identifizieren, zu priorisieren und zu verwalten. Mit dem Cyber Risk Management-Programm ermittelt Cohesity interne und externe Cyber-Risiken, die Wahrscheinlichkeit ihres Auftretens und die potenziellen Auswirkungen. Cohesity arbeitet mit den jeweiligen Eigentümern zusammen, um die Risiken entsprechend der Risikoeinschätzung von Cohesity abzuschwächen und zu beseitigen.
Mithilfe des Vendor Risk Management-Programms prüft und validiert Cohesity die Sicherheitslage bei seinen Drittanbietern vor dem jeweiligen Onboarding. Darüber hinaus führen wir Folgeprüfungen durch. Cohesity verwaltet und überwacht die Sicherheitsrisiken dieser Anbieter durch sein Risikomanagementprogramm. Dies geschieht in Übereinstimmung mit der Sicherheitsstrategie von Cohesity, den Kundenverpflichtungen und den geltenden gesetzlichen Bestimmungen.
Cohesity Information Security unterhält ein Management-Programm, das Schwachstellen identifiziert und in Zusammenarbeit mit den für die Kontrolle Verantwortlichen behebt. So werden Bedrohungen für die Produkte und die Infrastruktur von Cohesity verringert. Darüber hinaus werden Penetrationstests für die entsprechenden Assets von Cohesity durchgeführt und die Behebung der Schwachstellen nach Priorität geordnet, um so die Sicherheit bei und von Cohesity zu optimieren.
Cohesity Information Security verfügt über eine Richtlinie für das Management von Vorfällen. Dazu gehören Verfahren, die die genaue Struktur und die Leitlinien für unsere Reaktionsmaßnahmen vorgeben. Die Verfahren zur Reaktion auf Vorfälle in dieser Richtlinie geben die Schritte vor, die von den Mitarbeitern von Cohesity zu befolgen sind. Dadurch wird eine schnelle Erkennung von Sicherheitsvorfällen und Schwachstellen gewährleistet und eine zügige Reaktion auf derartige Sicherheitsvorfälle ermöglicht. Dies umfasst das Erkennen, Bewerten, Eindämmen und Abschwächen von Vorfällen sowie die folgende Wiederherstellung/Reparatur.
Bei der Einstellung neuer Mitarbeiter werden Hintergrundprüfungen durchgeführt. Die Mitarbeiter erhalten außerdem den Verhaltenskodex des Unternehmens sowie weitere Richtlinien und Vertraulichkeitsvereinbarungen, die sie alle bestätigen müssen.
Die Büroräume von Cohesity sind physisch durch Wach- oder Empfangspersonal gesichert. Zugangskontrollen mit Ausweis werden zentral verwaltet und überwacht. Für den Zugang zu gesicherten Bereichen sind erweiterte Berechtigungen erforderlich. Es sind Kamerasysteme installiert. Die Rechenzentren von Cohesity sind nach ISO 27001, SOC 2 und PCI DSS sowie nach anderen Standards zertifiziert. Alle Standorte verfügen über einen immer bewachten Zugang (24x7x365), verwenden Kamera- und Beleuchtungssysteme und gestatten den Zugang nur mit entsprechendem Ausweis.
Cohesity befolgt alle Richtlinien zur Vertraulichkeit personenbezogener Daten und verarbeitet diese in Übereinstimmung mit den geltenden Datenschutzgesetzen und -vorschriften. Alle persönlichen Daten bleiben das Eigentum des Kunden. Informationen über die Einhaltung der Sicherheitsvorschriften und Zertifizierungen von Cohesity finden Sie hier. Darüber hinaus legt unsere Zusatzerklärung zur Datenverarbeitung (verfügbar unter www.cohesity.com/agreements) zahlreiche rechtliche, technische und betriebliche Schutzmaßnahmen fest, die gegebenenfalls für unsere Kunden greifen.
Unsere Datenschutzerklärung finden Sie unter www.cohesity.com/agreements.
Cohesity kann personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeiten. Ein Beispiel dafür ist die Bereitstellung von 24/7-Supportdiensten, sofern sich der Kunde für die Weitergabe personenbezogener Daten an Cohesity entscheidet. Die rechtlichen Mechanismen, die zur Ermöglichung solcher Datenübertragungen verwendet werden, sind die Standardvertragsklauseln (SCC), die in der Zusatzerklärung zur Datenverarbeitung von Cohesity unter www.cohesity.com/agreements näher erläutert werden.
Cohesity verfügt derzeit über Support-Zentren in den USA, Irland, Indien, Kanada und Japan.
Grenzüberschreitende Datenübertragungen werden in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements ausführlich behandelt.
Cohesity verarbeitet personenbezogene Daten in Übereinstimmung mit allen anwendbaren Datenschutzgesetzen und -vorschriften, einschließlich der Gesetze und Vorschriften der Europäischen Union (DSGVO), des Europäischen Wirtschaftsraums und seiner Mitgliedsstaaten, der Schweiz und des Vereinigten Königreichs, des California Consumer Privacy Act (CCPA) und des Personal Information Protection and Electronic Documents Act (Kanada), jeweils in dem Umfang, in dem sie für Cohesity in Bezug auf die Verarbeitung personenbezogener Daten gelten. Weitere Informationen finden Sie in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements.
Expand AllGemäß den anwendbaren und geltenden Datenschutzgesetzen und -vorschriften wie der DSGVO gilt: Wenn ein Kunde die Produkte und Services von Cohesity nutzt und personenbezogene Daten an Cohesity weitergibt, gilt der Kunde im Allgemeinen als Datenverantwortlicher und beauftragt Cohesity, als Datenverarbeiter zu handeln.
Die Einhaltung des California Consumer Privacy Act (CCPA) wird in unserer Zusatzerklärung zur Datenverarbeitung unter www.cohesity.com/agreements ausführlich behandelt.
Die Zusatzerklärung zur Datenverarbeitung von Cohesity finden Sie unter www.cohesity.com/agreements. Sie gilt automatisch für alle Kunden, die Helios SaaS nutzen, und ist Bestandteil der Helios SaaS Nutzungsbedingungen von Cohesity (ebenfalls verfügbar unter www.cohesity.com/agreements). Wenn ein Kunde der Meinung ist, dass die Zusatzerklärung zur Datenverarbeitung für andere Aktivitäten gelten sollte, wenden Sie sich bitte an die Rechtsabteilung von Cohesity (Cohesity Legal).
Cohesity unterhält ein umfassendes Sicherheitszertifizierungsprogramm, das die Vertraulichkeit, Vollständigkeit und Verfügbarkeit der Daten unserer Kunden schützt. Dies geschieht entsprechend den Standards der Branche, der US-Regierung und weiteren internationalen Standards. Die Produkte und Services von Cohesity wurden außerdem von unabhängigen Prüfern auf die Einhaltung verschiedener Sicherheitsstandards hin zertifiziert.
Die Cohesity Helios SaaS-Plattform wird jährlich einem Typ II-Audit der Service Organization Controls 2 (SOC 2) unterzogen, um die Kontrollen des Informationssicherheitssystems in Bezug auf die Sicherheit, Verfügbarkeit und Vertraulichkeit der Trust Services Criteria zu bewerten.
Die Produkte und Services von Cohesity entsprechen den Sicherheitsmaßstäben und -anforderungen des Health Insurance Portability and Accountability Act (HIPAA).
Cohesity hält sich an den Trade Agreements Act (TAA). Die Hardware wird aus San Jose, Kalifornien, geliefert. Die White-Label-Systeme von Cohesity werden in ausgewiesenen TAA-konformen Ländern hergestellt und montiert.
Cohesity erfüllt Abschnitt 889 des National Defense Authorization Act aus dem Jahr 2019.
Die Cohesity-Plattform wurde von der Defense Information Systems Agency (DISA), einer Behörde des US-Verteidigungsministeriums (DoD), für die Aufnahme in die DoD Information Network (DoDIN) Approved Products List (APL) zertifiziert. Bei der DoDIN APL handelt es sich um eine konsolidierte Liste von Produkten, die die strengen Zertifizierungsanforderungen für Cybersicherheit und Interoperabilität für den Einsatz in DoD-Netzwerken erfüllen.
Cohesity unterhält ATOs für seine Produkte für den Betrieb in streng geheimen Netzwerken des US-Verteidigungsministeriums (DoD), des US-Energieministeriums (DoE) und der US-Nachrichtendienste. Für die Produkte von Cohesity sind Security Technical Information Guides (STIG) für den Einsatz in DoD Top Secret-Netzwerken verfügbar.
Die Cohesity-Plattform ist nach Common Criteria mit EAL2+ ALC_FLR.1 zertifiziert. Common Criteria for Information Technology Security Evaluation (kurz Common Criteria) ist ein internationaler Standard (ISO/IEC 15408) für die Zertifizierung von Computersicherheit.
Mehr Informationen finden Sie hier.
Das in den Produkten von Cohesity verwendete kryptografische Modul wurde vom United States National Institute of Standards and Technology (NIST) gemäß dem Standard Federal Information Processing Standards (FIPS) 140-2 Level 1 validiert. FIPS 140-2 ist ein Standard der US-Regierung für kryptografische Module, der zusichert, dass das Moduldesign und die Implementierung kryptografischer Algorithmen sicher und korrekt sind.
Mehr Informationen finden Sie hier.
Die Cohesity-Plattform wurde vom University of New Hampshire-InterOperability Lab (UNH-IOL) im Rahmen des USGv6-Testprogramms als USGv6-konform zertifiziert.
Mehr Informationen finden Sie unter https://www.iol.unh.edu/registry/usgv6-2008?name=cohesity.
Die Cohesity-Plattform verfügt über eine eingebaute Unterstützung für WORM-Funktionen (Write-Once, Read-Many). Die WORM-Implementierung wurde von Cohasset Associates als konform mit den Regeln in SEC 17a-4(f), FINRA Rule 4511(c) und CFTC Regulation 1.31(c)-(d) bewertet.
Mehr Informationen finden Sie hier.
In den folgenden Materialien finden Kunden und Partner von Cohesity nähere Informationen über die Sicherheits- und Datenschutzpraktiken von Cohesity für seine Produkte und Services.
Mit Blick auf die Anforderungen in der DSGVO und dem CCPA bietet Cohesity eine Zusatzerklärung zur Datensicherheit (Data Processing Addendum, DPA) an.
Cohesity kann Dritte als (Unter-)Verarbeiter von personenbezogenen Daten einsetzen, um seine Services zu erbringen.
Das Dokumentationsportal von Cohesity kann über MyCohesity aufgerufen werden.
Das Helios SaaS Security Brief finden Sie im Dokumentationsportal von Cohesity.
Das DataPlatform Security Whitepaper finden Sie im Dokumentationsportal von Cohesity.
Den DataPlatform Security Hardening Guide finden Sie im Dokumentationsportal von Cohesity.
Das Cohesity Ransomware Protection – Prepare and Recover Whitepaper finden Sie im Dokumentationsportal von Cohesity.
