CloudBlue unternimmt große Anstrengungen, um die Sicherheit und Zuverlässigkeit aller zu gewährleisten CloudBlue Produkte. Um Sicherheit in unseren Software Development Life Cycle (SDLC) zu bringen, befolgen wir die Software Assurance-Reifegradmodell (SAMM)-Methodik. Unser Secure SDLC stellt sicher, dass Sicherheitsmaßnahmen wie Penetrationstests, Codeüberprüfung und Architekturanalyse ein integraler Bestandteil der Entwicklungsanstrengungen sind.

Sicherheitsteam

Wir haben ein engagiertes Team, das dafür verantwortlich ist CloudBlue Produktsicherheit. Von Beginn der Entwicklung an nimmt das Sicherheitsteam an Design-Reviews teil, um die Sicherheitsanforderungen neben den funktionalen Anforderungen zu definieren und eine Architektur-Risikoanalyse durchzuführen.

Das Sicherheitsteam arbeitet täglich mit Entwicklern zusammen und sucht ständig nach Sicherheitsproblemen in der CloudBlue Codebasis. Das Sicherheitsteam baut auch die Sicherheitsinfrastruktur für Secure SDLC auf. Um die häufigsten Probleme zu erkennen, verwenden wir automatisches Scannen, das in unsere Softwareentwicklungs-Pipelines integriert ist:

  • Jedes Mal, wenn neuer Code in ein Repository übertragen wird, wird ein automatischer SAST-Scan (Static Application Security Testing) durchgeführt.
  • Für die bereitgestellten Instanzen von CloudBlue Produkten wird ein DAST-Scan (Dynamic Application Security Testing) durchgeführt, um Sicherheitsprobleme während der Laufzeit zu erkennen.
  • Die Ausführung von Software Composition Analysis (SCA) wird verwendet, um sicherzustellen, dass wir unser Produkt nicht mit anfälligen Abhängigkeiten ausliefern. Es verfolgt automatisch Abhängigkeiten von Drittanbietern und deren Lizenzen für jede Komponente. Jede bekannte Schwachstelle muss vor der Veröffentlichung behoben werden.

Wenn eine neue Funktion entwickelt wird, überprüft das Sicherheitsteam außerdem manuell den Quellcode und führt dynamische Tests mit verschiedenen branchenüblichen Tools durch.

Sicherheitsschulungen

Als Teil der SAMM Education & Guidance-Praxis wird jede Person, die am Software-Lebenszyklus teilnimmt, darin geschult, wie man sichere Software entwickelt und einsetzt. Unsere Entwickler sind sich der in OWASP Top Ten beschriebenen allgemeinen Sicherheitsrisiken bewusst, und unsere F&E-Teams werden regelmäßig geschult, um Sicherheitsthemen zu vertiefen, indem sie kommerzielle Schulungsplattformen sowie intern entwickelte Kurse und Materialien verwenden. Die Schulung wird jährlich durchgeführt und auf Anfrage angefordert.

Wir haben auch einen Schritt nach vorne gemacht, indem wir die Security Champions-Initiative angenommen haben. Security Champions sind aktive Mitglieder eines Teams mit Interesse an Sicherheit und dem Wunsch, zu unserer Produktsicherheit beizutragen. Sie fungieren als unterstützendes Element im Security Assurance-Prozess und haben in ihren Teams die Rolle des Single Point of Contact (SPOC).

Öffnen Sie das Web Application Security Project (OWASP).

Open-Source ist großartig! Wir glauben, dass die Verwendung von Community-gesteuerten offenen Standards und Tools ein wesentlicher Bestandteil einer sicheren Softwareentwicklung ist, insbesondere auf lange Sicht. Aus diesem Grund haben wir mehrere OWASP-Tools eingeführt, sie zu einem Teil unseres sicheren SDLC gemacht und OWASP SAMM zum Kern unseres sicheren SDLC gemacht. Mit Open Source wollen wir:

  • Profitieren Sie von Open Source, indem Sie Community-basierte Standards und Tools verwenden.
  • Tragen Sie zu Open Source bei, indem Sie überprüfen, ob es zu Unternehmenslösungen passt.

Um den Sicherheitsaspekt zu berücksichtigen CloudBlue Produkte transparenter, folgen wir Verifizierungsstandard für die Anwendungssicherheit (ASVS). ASVS ist ein von der Community betriebenes Framework für Sicherheitsanforderungen und -kontrollen, das sich auf die Definition der funktionalen und nicht funktionalen Sicherheitskontrollen konzentriert, die zum Entwerfen, Entwickeln und Testen moderner Webanwendungen und Webdienste erforderlich sind. Wir behandeln diesen Standard nicht als unveränderliche Quelle der Wahrheit, sondern als Ausgangspunkt für eine Diskussion über ein Sicherheitsthema.

Externe Penetrationstests

Wenn unsere Produkte an Kunden geliefert werden, werden sie Teil ihrer Infrastruktur und vergrößern die potenzielle Angriffsfläche. Aus diesem Grund beauftragen unsere Kunden regelmäßig ihre eigenen oder externen Sicherheitsteams mit der Durchführung von Penetrationstests an unseren Produkten, um sicherzustellen, dass die Gesamtsicherheit ihrer Infrastruktur nicht beeinträchtigt wird. Berichte über solche Tests geben uns die Möglichkeit, aus der Sicht des Kunden zu sehen und seine Bedürfnisse und Anforderungen besser zu verstehen.

Cryptography

Wir ergreifen eine Reihe von Maßnahmen, um sicherzustellen, dass die Daten in unseren Produkten verschlüsselt sind.

Zufälligkeit

Alle Werte, die zufällig sein müssen, wie etwa zufällig generierte Verschlüsselungsschlüssel und Initialisierungsvektoren, werden unter Verwendung eines kryptografisch sicheren Pseudonummerngenerators generiert.

Zusätzlich zur richtigen Zufallsquelle wird die folgende Mindestgröße von Zufallsdaten verwendet:

ZweckMinimale Entropie (Bits)
Kryptografische Schlüssel128+
IV-Vektor128+
Session ID80+

Symmetrische Krypto

CloudBlue Commerce verwendet den Advanced Encryption Standard (AES)-Algorithmus, um Daten zu verschlüsseln, wie er vom National Institute of Standards and Technology (NIST) für die Langzeitspeicherung empfohlen wird und weil er oft Teil der Kunden-Compliance-Anforderungen ist.

Wir verwenden die folgenden AES-Modi:

  • AES im Galois/Counter Mode (GCM)-Modus
  • AES im Cipher Block Chaining (CBC)-Modus mit Hashed Message Authentication Code (HMAC)

ChiffreZweckSpeicherformat
AES-128-CBC mit zufälliger IVSpeichern Sie sensible Daten$AES-128-CBC${IV}${Verschlüsselte Daten in BASE64}
AES-128-GCM mit zufälliger eindeutiger NonceSensible Daten speichern und versenden$AES-128-GCM${Nonce}${Verschlüsselte Daten in BASE64}
AES-128-CBC-HMAC mit zufälliger IVSensible Daten speichern und versenden$AES-128-CBC${IV}${Verschlüsselte Daten in BASE64}${HMAC BASE64}

Transportsicherheit

Um eine sichere Datenübertragung über das Netzwerk bereitzustellen, CloudBlue Commerce verwendet TLS 1.2 mit den folgenden Cipher Suites:

DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES256-SHA256 DHE-RSA-AES128-SHA256 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES128-SHA256

Zertifizierung

Wir arbeiten ständig daran, die Compliance-Abdeckung zu erweitern. Derzeit sind wir nach ISO27001:2013 zertifiziert.

CloudBlue verfügt über Richtlinien und Verfahren, um die DSGVO-Konformität und die Bestimmungen des DSGVO-Verhaltenskodex der Cloud Security Alliance nachzuweisen CloudBlue und unsere Unterauftragsverarbeiter. Um Konformität zu zeigen, CloudBlue folgende Nachweise erbringen kann:

  • STAR-Selbsteinschätzung verfügbar auf der Cloud Security Alliance-Website
  • Öffentliche Version der Informationssicherheitsrichtlinie und unterstützender Richtlinien
  • ISO 27001-Zertifikat (erfordert NDA)
  • Datenschutzerklärung: https://corp.ingrammicro.com/en-us/legal/privacy

Datenschutz & Datenschutz

CloudBlue Als global agierendes Unternehmen halten wir verschiedene Datenschutzgesetze und -vorschriften ein, darunter die Datenschutz-Grundverordnung (DSGVO), das California Consumer Privacy Act (CCPA) und den DSGVO-Verhaltenskodex der Cloud Security Alliance. Wir treffen die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen und wahren den Schutz der Rechte der betroffenen Person.

Durch die Nutzung der Dienste erklären Sie sich damit einverstanden, dass wir Daten in Übereinstimmung mit unserer Datenschutzerklärung verwenden, die verfügbar ist hier.

Jede Partei erkennt an und erklärt sich damit einverstanden, die Datenschutzgesetze einzuhalten, die für ihre Erfüllung dieser Bedingungen gelten („Datenschutzgesetze“), wie beispielsweise, ohne Einschränkung, das California Consumer Privacy Act („CCPA“) und das Europäische Gesetz Allgemeine Datenschutzverordnung der Union (Verordnung (EU) 2016/679) („DSGVO“), einschließlich bei der Nutzung, Handhabung, Offenlegung, Übertragung, Weitergabe oder Verarbeitung in irgendeiner Weise und für jeden Zweck von Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen Person („Personenbezogene Daten“), die von oder im Auftrag der anderen Partei für die Dauer der Laufzeit dieser Bedingungen erhalten wurden. Alle personenbezogenen Daten, die von einer Partei offengelegt und von der anderen Partei im Rahmen dieser Bedingungen verarbeitet werden, sind vertrauliche Informationen der offenlegenden Partei und unterliegen den Vertraulichkeitsverpflichtungen gemäß Ziffer 9 dieser Bedingungen.

Sie erkennen an, dass Sie bestimmte Funktionsfunktionen der Plattform nutzen können, um Endbenutzerinformationen und -daten für erforderliche Geschäftsvorgänge zu generieren. Wenn Endbenutzerdaten angefordert und Ihnen, Ihren Mitarbeitern, Vertretern oder Auftragnehmern zur Verfügung gestellt oder zugänglich gemacht werden, werden Sie alle geltenden Gesetze, Vorschriften und behördlichen Anordnungen, einschließlich derjenigen in Bezug auf personenbezogene Daten und/oder personenbezogene Daten ( „PII“) und Datenschutz in Bezug auf solche Daten, die Sie gemäß diesen Bedingungen oder in Verbindung mit der Erbringung anderer Dienstleistungen, die Sie oder ein Kunde erhalten, erhalten oder auf die Sie Zugriff haben. Sie werden personenbezogene Daten anderweitig schützen und diese personenbezogenen Daten nicht grenzüberschreitend verwenden, offenlegen oder übertragen, es sei denn, die betroffene Person hat dies autorisiert oder gemäß den geltenden Gesetzen. Soweit Sie personenbezogene Daten im Zusammenhang mit der Erfüllung dieser Bedingungen erhalten, schützen Sie die Privatsphäre und die gesetzlichen Rechte solcher Dritter.

Ungeachtet anderslautender Bestimmungen in diesen Bedingungen CloudBlue kann personenbezogene Daten, die von oder in Ihrem Namen erhalten wurden, kopieren, ändern, verteilen und anderweitig verwenden, soweit dies zum Zweck der Bereitstellung der Plattform und der Dienste erforderlich ist. Sie garantieren und versichern, dass Sie bereits alle Genehmigungen, Zustimmungen und Autorisierungen haben oder erhalten werden, die nach geltendem Recht erforderlich sind, um personenbezogene Daten bereitzustellen oder deren Bereitstellung zu veranlassen CloudBlue. Sie versichern und garantieren, dass Sie die volle Fähigkeit und das gesetzliche Recht haben, personenbezogene Daten bereitzustellen und verfügbar zu machen CloudBlue wie in diesen Bedingungen vorgesehen. Sie werden nicht durch irgendeine Handlung oder Unterlassung belastet CloudBlue unter Verstoß gegen seine gesetzlichen Verpflichtungen gemäß den geltenden Datenschutzgesetzen und in Verbindung mit diesen Bedingungen.

Soweit der CCPA für die Erfüllung dieser Bedingungen durch die Parteien gilt, umfassen personenbezogene Daten, wie sie in diesen Bedingungen verwendet werden, alle „personenbezogenen Daten“, wie dieser Begriff im CCPA definiert ist. Jede Partei erkennt an und stimmt zu, dass in Bezug auf die Weitergabe dieser personenbezogenen Daten an CloudBlue unter diesen Bedingungen, CloudBlue ist ein „Dienstleister“, wie dieser Begriff im CCPA definiert ist. In Bezug auf personenbezogene Daten, die aus „personenbezogenen Daten“ bestehen, wie dieser Begriff im CCPA definiert ist, CloudBlue bescheinigt hiermit, dass ihm bekannt ist, dass es untersagt ist, (a) diese personenbezogenen Daten zu verkaufen (wie „verkaufen“ im CCPA definiert ist), (b) diese personenbezogenen Daten für andere Zwecke als den spezifischen Zweck aufzubewahren, zu verwenden oder offenzulegen der Erbringung der Dienstleistungen oder wie anderweitig vom CCPA erlaubt, einschließlich der Aufbewahrung, Nutzung oder Offenlegung der personenbezogenen Daten für einen anderen kommerziellen Zweck als die Bereitstellung der Dienstleistungen, und (c) der Aufbewahrung, Nutzung oder Offenlegung der personenbezogenen Daten außerhalb seines direkten Geschäfts Beziehung mit dir.

CloudBlue verwendet den Advanced Encryption Standard (AES)-Algorithmus, um ruhende Daten zu verschlüsseln. Alle Daten auf Speicherebene werden standardmäßig mit AES256 verschlüsselt. Der Datenverkehr wird während der Übertragung mit Transport Layer Security 1.2 (TLS) mit einer branchenüblichen AES-256-Verschlüsselung verschlüsselt. TLS ist eine Reihe kryptografischer Protokolle nach Industriestandard, die zum Verschlüsseln von Informationen verwendet werden, die über das Netzwerk ausgetauscht werden.

Die Verfügbarkeit wird durch die Nutzung unserer Infrastruktur auf der Premium-Stufe von Azure garantiert, die durch regionale Redundanz Hochverfügbarkeit bietet.

DSGVO & Verarbeitung personenbezogener Daten

Für Zwecke der Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, der der DSGVO unterliegt, CloudBlue stimmt hiermit zu, gemäß dieser Klausel 11.2 eine Datenverarbeitungsvereinbarung (im Folgenden „DPA“) aufzunehmen, deren Bedingungen ein integraler Bestandteil dieser Bedingungen sind und nur gelten, wenn und in dem Umfang CloudBlue verarbeitet personenbezogene Daten im Rahmen der Bereitstellung der Plattform und der Dienste (zusammen „Cloud-Dienste“).

Begriffe, die in diesem DPA verwendet, aber hier nicht definiert werden (falls vorhanden), haben die in diesen Bedingungen, der DSGVO oder dem CCPA, wie jeweils anwendbar, festgelegte Bedeutung.

Jede Partei erkennt an und stimmt zu, dass, soweit personenbezogene Daten der DSGVO unterliegen, der Kunde der „Datenverantwortliche“ für diese personenbezogenen Daten ist CloudBlue verarbeitet in seinem Namen und CloudBlue ist der „Datenverarbeiter“.

Soweit das CloudBlue „verarbeitet“ (wie dieser Begriff in der DSGVO definiert ist) personenbezogene Daten, die der DSGVO unterliegen, im Auftrag des Kunden, CloudBlue soll:

  • Verarbeiten Sie die vom Kunden bereitgestellten personenbezogenen Daten nur in Übereinstimmung mit seinen Anweisungen und zu keinen anderen Zwecken als den vom Kunden festgelegten, wie dies zur Erfüllung seiner Verpflichtungen gemäß diesen Bedingungen und zur Erfüllung einer gesetzlichen Verpflichtung erforderlich ist.

Wenn jedoch zu irgendeinem Zeitpunkt während der Ausführung dieses DPA und dieser Bedingungen CloudBlue feststellt, dass die Anweisungen des Kunden in irgendeiner Weise rechtswidrig erscheinen oder nicht mit den geltenden Rechtsvorschriften vereinbar sind, CloudBlue wird den Kunden unverzüglich benachrichtigen und weitere Anweisungen abwarten.

Ergreifen Sie angemessene Maßnahmen, um die Zuverlässigkeit der Mitarbeiter sicherzustellen, die Zugriff auf die personenbezogenen Daten haben, die im Rahmen der Erfüllung der Verpflichtungen gemäß diesen Bedingungen verarbeitet werden, und dass alle Mitarbeiter an wen CloudBlue personenbezogene Daten offenlegt, wird darauf hingewiesen, dass die personenbezogenen Daten vertrauliche Informationen sind und den in diesem DPA und diesen Bedingungen festgelegten Verpflichtungen unterliegen.

  • Unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung und der Art der personenbezogenen Daten sowie des Risikos und der Schwere für die Rechte und Freiheiten natürlicher Personen, nehmen und aufrechterhalten während die Ausführung dieser DPA angemessene technische und organisatorische Maßnahmen gegen unbefugte oder rechtswidrige Verarbeitung dieser personenbezogenen Daten und gegen versehentlichen Verlust oder Zerstörung oder Beschädigung der personenbezogenen Daten. Zusätzliche Informationen zu den von implementierten Sicherheitsmaßnahmen CloudBlue ist gemäß Klausel 10 hier oben dieser Bedingungen und auf schriftliche Anfrage an erhältlich CloudBlue. Durch das Akzeptieren dieser Bedingungen und dieser DPA stimmt der Kunde den von ergriffenen und implementierten Sicherheitsmaßnahmen zu CloudBlue.
  • Informieren Sie den Kunden so schnell wie möglich über jeden Antrag einer betroffenen Person auf Ausübung ihrer Rechte auf Zugang, Berichtigung, Änderung, Einschränkung der Verarbeitung oder Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruch gegen die Verarbeitung der personenbezogenen Daten dieser Person Anfragen von Daten oder anderen betroffenen Personen, Mitteilungen Dritter, Verletzungen des Schutzes personenbezogener Daten oder Verlust von personenbezogenen Daten des Kunden und Unterstützung und Zusammenarbeit mit dem Kunden, um etwaige Folgen davon abzuwenden und die Einhaltung der geltenden Datenschutzgesetze sicherzustellen. Der Kunde trägt die dadurch entstehenden unverhältnismäßigen Kosten CloudBlue im Zusammenhang mit einer solchen Unterstützung und Zusammenarbeit.
  • Bereitstellung angemessener Unterstützung für den Kunden, damit dieser seinen Verpflichtungen gemäß den Datenschutzgesetzen nachkommen kann, einschließlich, aber nicht beschränkt auf Anfragen betroffener Personen, sofern der Kunde keinen anderweitigen Zugriff auf die relevanten Informationen hat und soweit solche Informationen stehen zur Verfügung CloudBlue. CloudBlue wird dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder vorherigen Konsultation mit der Aufsichtsbehörde in Bezug auf die Erfüllung ihrer Aufgaben gemäß diesem DPA leisten, soweit dies nach den Datenschutzgesetzen erforderlich ist. Die mit dieser Hilfeleistung verbundenen Kosten trägt der Kunde.
  • Stellen Sie nach Beendigung dieser Bedingungen jegliche Verarbeitung der personenbezogenen Daten des Kunden ein und löschen Sie alle Dateien, die die personenbezogenen Daten enthalten, oder geben Sie sie auf Anfrage des Kunden zurück, es sei denn, die Aufbewahrung der personenbezogenen Daten ist gesetzlich vorgeschrieben. Die mit einer solchen Rückgabe oder Löschung von Daten verbundenen Kosten trägt der Kunde. CloudBlue bietet Kunden während des zulässigen Zeitraums nach der Beendigung Kündigungsunterstützung (sofern zutreffend)
  • Alle Änderungen in Bezug auf relevante Cloud-Dienste werden den Kunden per E-Mail oder über technische Account Manager mitgeteilt
  • CloudBlue bleibt gegenüber unseren Kunden für die Erfüllung der Verpflichtungen unseres Unterauftragsverarbeiters haftbar.
  • CloudBlue wird die mit unseren Unterauftragsverarbeitern getroffenen Vereinbarungen teilweise auf Kundenanfrage weitergeben, wenn dies zum Nachweis der Einhaltung erforderlich ist.
  • CloudBlue Kunden können direkt eine Kopie der personenbezogenen Daten, die sie im Zusammenhang mit ihrer erbrachten Dienstleistung bereitgestellt haben, in einem strukturierten, allgemein verwendeten, maschinenlesbaren und interoperablen Format erhalten
  • Autorisierte Benutzer können dies über das Kundenportal anfordern CloudBlue Löschen Sie alle Kundendatensätze über eine Datenbanklöschung. CloudBlue löscht Kundendaten nur auf ausdrückliche Anweisung von Kunden gemäß unseren Standardbedingungen CloudBlue wird Daten in einem Standardformat auf Anfrage ohne zusätzliche Kosten an den Kunden (Datenverantwortlichen) zurücksenden.

Der Kunde erkennt dies an und stimmt zu CloudBlue muss möglicherweise alle seine Verarbeitungsvorgänge in Bezug auf die personenbezogenen Daten des Kunden an seine verbundenen Unternehmen oder Subunternehmer von Drittanbietern in verschiedenen Ländern vergeben. Zu diesem Zweck gewährt der Kunde hiermit durch Akzeptieren der Bedingungen in diesem DPA und diesen Bedingungen CloudBlue eine allgemeine Berechtigung zum Einsatz von Subunternehmern, falls dies erforderlich ist, um die Erbringung der Cloud-Dienste sicherzustellen, CloudBlueVerpflichtungen aus diesen Bedingungen zu erfüllen oder die Einhaltung gesetzlicher Verpflichtungen sicherzustellen. Um Zweifel auszuräumen, CloudBlue wird seine Verarbeitungsvorgänge im Rahmen dieser DPA und dieser Bedingungen nur in Übereinstimmung mit den Anforderungen der geltenden Datenschutzgesetze untervergeben. Auf schriftliche Anfrage des Kunden CloudBlue stellt dem Kunden hierunter eine Liste der an der Verarbeitung personenbezogener Daten beteiligten Subunternehmer zur Verfügung. Der Kunde erkennt dies an und stimmt zu CloudBlue muss möglicherweise den Zugriff auf personenbezogene Daten, die im Rahmen der Bereitstellung der Cloud-Dienste verarbeitet werden, an seine verbundenen Unternehmen oder Subunternehmer in verschiedenen Ländern, einschließlich außerhalb des Europäischen Wirtschaftsraums („EWR“), übertragen, offenlegen oder anderweitig gestatten, um dies zu gewährleisten die Leistung der Cloud-Dienste und CloudBlues Verpflichtungen aus diesem DPA und diesen Bedingungen oder um die Einhaltung einer gesetzlichen Verpflichtung sicherzustellen. Durch Akzeptieren der Bedingungen in diesem DPA und diesen Bedingungen stimmt der Kunde solchen Datenübertragungen zu. Eine Liste der Datenübertragungsorte kann dem Kunden auf schriftliche Anfrage an zur Verfügung gestellt werden CloudBlue. Um Zweifel auszuräumen, CloudBlue stimmt zu, dass jede Offenlegung, jeder Zugriff oder jede Übertragung von personenbezogenen Daten des Kunden, die hierunter verarbeitet werden, außerhalb des EWR in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt.

Der Kunde darf sie nicht verarbeiten, übermitteln oder zugänglich machen CloudBlue alle personenbezogenen Daten, es sei denn, die betroffene Person hat gegebenenfalls ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten gemäß den Datenschutzgesetzen gegeben. Der Kunde erkennt an und stimmt zu, dass er allein dafür verantwortlich ist, die erforderlichen Transparenzinformationen bereitzustellen und alle erforderlichen Zustimmungen der betroffenen Personen für die Verarbeitung personenbezogener Daten gemäß diesem DPA und diesen Bedingungen einzuholen. Der Kunde garantiert und erklärt damit, dass der Kunde, wenn eine solche Transparenz von Informationen und Zustimmungen erforderlich ist, diese Informationen bereitgestellt und die Zustimmung der betroffenen Person eingeholt hat, und auf schriftliche Anfrage Kopien dieser Zustimmungen zur Verfügung gestellt werden CloudBlue vor der Übermittlung der personenbezogenen Daten zur Verarbeitung.

CloudBlue stimmt zu, sich Audits zu unterziehen oder einen unabhängigen externen Prüfer, Inspektor, eine Regulierungsbehörde und andere Vertreter zu beauftragen, die vom Kunden schriftlich benannt wurden, um im Namen des Kunden ein Audit zur Validierung durchzuführen CloudBlueEinhaltung seiner Verpflichtungen aus diesem DPA, jedoch kann eine solche Prüfung nur nach vorheriger schriftlicher Ankündigung von dreißig (30) Werktagen verlangt und in den folgenden Monaten (Juli, August und September) und nur einmal alle zwölf (12) Monate. Ein solcher externer Wirtschaftsprüfer, Inspektor, eine Regulierungsbehörde oder ein anderer vom Kunden benannter Vertreter unterliegt einer Vertraulichkeitsvereinbarung, die bereitgestellt wird CloudBlue vor der Prüfung. CloudBlue stellt dem Kunden zum Zwecke der Prüfung und auf schriftliche Anfrage angemessene Informationen zur Verfügung, die zum Nachweis der Einhaltung erforderlich sind CloudBlueVerpflichtungen aus diesem DPA, mit Ausnahme von Informationen, Dokumenten oder Aufzeichnungen in Bezug auf die Geschäftsbeziehungen von CloudBlue mit Dritten oder die Dokumente oder Aufzeichnungen, die der Kunde bereits in den letzten zwölf (12) Monaten geprüft hat. Der Kunde führt die Inspektion zu einem einvernehmlich vereinbarten Termin während der normalen Arbeitszeit und ohne Beeinträchtigung des Betriebsablaufs durch CloudBlueGeschäftsbetrieb von . All diese Audits gehen zu Lasten des Kunden.

Ungeachtet gegenteiliger Bestimmungen in diesen Bedingungen ist der Kunde schadlos zu halten und zu halten CloudBlue schuldlos von jeglicher Haftung, Verlusten, Ansprüchen, Strafen, Schäden, Kosten und Ausgaben gleich welcher Art, auch wenn sie von der Aufsichtsbehörde auferlegt werden CloudBlue und aus Ansprüchen, Klagen, Verfahren oder Vergleichen, die sich aus der Verletzung oder Nichteinhaltung der Bestimmungen und Bedingungen dieser DPA, dieser Bedingungen und/oder der geltenden Datenschutzgesetze durch den Kunden ergeben.

Diese DPA tritt am Datum der Unterzeichnung dieser Bedingungen in Kraft und bleibt während der Laufzeit dieser Bedingungen in vollem Umfang in Kraft und wirksam. Diese DPA endet automatisch mit der Kündigung oder dem Ablauf der Bedingungen.

Informationen zur Datenverarbeitung

A. Zu den Kategorien betroffener Personen, deren personenbezogene Daten hierunter verarbeitet werden können, gehören unter anderem:

  1. Mitarbeiter des Kunden, die Konten auf der Plattform haben
  2. Reseller, Sub-Reseller und der Endverbraucher

B. Die Art der verarbeiteten personenbezogenen Daten kann Folgendes umfassen: Vorname, Nachname, Adresse, E-Mail, Telefonnummer und alle anderen Informationen, die erforderlich und verfügbar gemacht werden können CloudBlue durch den Kunden zum Zwecke der Erbringung der Dienstleistung.

C. Die personenbezogenen Daten werden in jedem Fall zum Zweck der Erbringung der Dienstleistungen verarbeitet.

D. Personenbezogene Daten werden während der Laufzeit der Bedingungen und gemäß den Datenschutzgesetzen verarbeitet.

E. Die Kontaktperson von CloudBlue in Bezug auf diesen Abschnitt elf (11) ist:

Name: Aaron Mendelsohn Ingram Micro Datenschutzbeauftragter

E-Mail-Adresse: privacy@ingrammicro.com.

So melden Sie ein Sicherheitsproblem

Über die Richtlinie

Ein hohes Maß an Produktsicherheit zu bieten, hat oberste Priorität CloudBlue. Wir glauben, dass die Transparenz der Sicherheitsbewertung uns, externen Sicherheitsteams und unseren Kunden helfen wird, in Sachen Sicherheit auf einer Wellenlänge zu sein CloudBlue. Wir sind bereit, mit jedem zusammenzuarbeiten, der in gutem Glauben Schwachstellenberichte wie in diesem Abschnitt beschrieben einreicht. Aus diesem Grund haben wir den Prozess zum Umgang mit Sicherheitslücken formalisiert.

Die Forschung

Wir fordern alle auf, diese Regeln bei der Recherche zu befolgen:

  • Halten Sie die geltenden Gesetze und alle geltenden Softwarelizenzanforderungen ein.
  • Bemühen Sie sich, Datenschutzverletzungen, Unterbrechungen von Produktionssystemen, Leistungseinbußen und Datenverluste während Sicherheitstests zu vermeiden.
  • Verwenden Sie die identifizierten Kommunikationskanäle, um uns Schwachstelleninformationen zu melden.
  • Halten Sie die Informationen über alle Schwachstellen, die Sie entdeckt haben, vertraulich zwischen sich und CloudBlue bis wir 90 Tage Zeit hatten, um das Problem zu lösen.

Anfälligkeitskriterien

Ausnutzbarkeit ist unser allgemeines Kriterium, um ein Problem als Schwachstelle zu behandeln. Mit anderen Worten, wir betrachten einen Fehler als Schwachstelle, wenn der Fehler Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit unseres Produkts haben kann. In allen anderen Fällen behandeln wir es als regulären Fehler und die im Abschnitt Analyse angegebenen Zeitrahmen sind nicht anwendbar.

Mit dem Begriff „Angreifer“ meinen wir einen böswilligen Akteur, der versucht, die Vertraulichkeit, Integrität oder Verfügbarkeit unseres Produkts zu beeinträchtigen. Wir gehen davon aus, dass ein Angreifer ein hochqualifizierter Experte mit fundierten Kenntnissen unseres Produkts und seiner internen Architektur ist und dass Sicherheitsmaßnahmen, die unter das Security-through-Obscurity-Prinzip fallen, keine Wirkung zeigen.

Jeder Fehler muss behoben werden. Das Verfahren zum Beheben eines Fehlers unterscheidet sich jedoch vom Beheben einer Schwachstelle. Im Abschnitt „Ausschlüsse“ weiter unten finden Sie die am häufigsten gemeldeten Probleme, die aus unserer Sicht keine Schwachstellen sind und anschließend als reguläre Fehler behandelt werden.

Ausschlüsse

  • Stack-Trace-Exposition.
  • Offenlegung interner IP-Adressen.
  • Aussagen, dass Software veraltet oder anfällig ist, ohne Proof-of-Concept-Exploit-Code.
  • Schwachstellen, die nicht ohne Beteiligung verwendet werden können CloudBlue Commerce-Benutzer können beispielsweise Self-xss verwenden oder einen Benutzer JavaScript-Code in die Browserkonsole einfügen lassen.
  • Nicht validierte Berichte von automatisierten Web-Schwachstellen-Scannern wie Acunetix, Owasp Zap und Burp Suite.
  • Protokollkonflikte.
  • Freiliegende Login-Panels.
  • Fehlende Cookie-Flags bei Nicht-Authentifizierungs-Cookies.
  • Probleme, die nur veraltete Benutzeragenten oder App-Versionen betreffen. Wir berücksichtigen nur Exploits in den neuesten Browserversionen für Safari, Mozilla Firefox, Google Chrome, Microsoft Edge und Internet Explorer.
  • Probleme, die physischen Zugriff auf den Computer oder das Gerät des Opfers erfordern.
  • Offenlegung des Pfades.
  • Probleme beim Erfassen von Bannern: Herausfinden, welchen Webserver wir verwenden, welche Version verwendet wird und so weiter.
  • Hochspekulative Berichte über theoretische Schäden.

Meldeverfahren

Report

Um eine Sicherheitslücke zu melden, die sich auf CloudBlue Produkte wenden Sie sich bitte an die CloudBlue Anwendungssicherheitsteam. Wir reagieren auf solche Meldungen innerhalb von drei Werktagen.

Bitte melden Sie die folgenden Informationen:

  • Eine Beschreibung der Schwachstelle, einschließlich des Proof-of-Concept-Exploit-Codes oder Netzwerkspuren (falls verfügbar).
  • Details des betroffenen Produkts, einschließlich der Version des Produkts und der betroffenen Komponente.
  • Bekanntmachung der Schwachstelle oder ob sie bereits öffentlich bekannt gegeben wurde.

Jeder wird ermutigt, entdeckte Schwachstellen zu melden, unabhängig von Serviceverträgen oder dem Status des Produktlebenszyklus. CloudBlue begrüßt Schwachstellenberichte von Forschern, Industriegruppen, CERTs, Partnern und anderen Quellen CloudBlue erfordert keine Geheimhaltungsvereinbarung als Voraussetzung für den Erhalt von Berichten. CloudBlue respektiert die Interessen der meldenden Partei (Meldungen können auf Anfrage anonymisiert werden) und verpflichtet sich, jede Schwachstelle zu behandeln, von der vernünftigerweise angenommen wird, dass sie damit zusammenhängt CloudBlue Produkte im Bereich Geltungsbereich. CloudBlue befolgt Coordinated Vulnerability Disclosure (CVD)-Praktiken, und um das Ökosystem zu schützen, bitten wir diejenigen, die uns Bericht erstatten, dasselbe zu tun.

Weitere Informationen zu CVD finden Sie im folgenden Dokument: Der CERT-Leitfaden zur koordinierten Offenlegung von Schwachstellen.

Analyse

Zuerst wird der CloudBlue Das Anwendungssicherheitsteam untersucht und reproduziert die Schwachstelle. Wenn benötigt, CloudBlue wird weitere Informationen vom Reporter anfordern.

Während dieser Phase wird die CloudBlue Das Anwendungssicherheitsteam führt die folgenden Aktionen aus:

  • Analysiert die Auswirkungen basierend auf den bestehenden Sicherheitsanforderungen, dem Umfang und dem Kontext der Schwachstelle.
  • Führt die Ausnutzungsphase der Schwachstelle durch.
  • Berechnet den Schweregrad der Schwachstelle anhand des CVSS v3.1-Scores.

Basierend auf den Ergebnissen weist das Anwendungssicherheitsteam der Schwachstelle dann einen der folgenden Schweregrade zu:

  • Kritisch: Schwachstellen, die nicht durch Sicherheitslösungen gemindert werden können und eine Hotfix-Veröffentlichung innerhalb einer Woche erfordern.
  • Mittel: Schwachstellen, die durch vorhandene Sicherheitslösungen, z. B. WAF, gemindert werden können, aber eine Hotfix-Veröffentlichung innerhalb von drei Wochen erfordern.
  • Niedrig: Schwachstellen und Probleme, die möglicherweise in der nächsten Version unseres Produkts behoben werden. Die Hotfix-Version wird möglicherweise in mehr als drei Wochen veröffentlicht.

Handling

CloudBlue führt internes Schwachstellenhandling in Zusammenarbeit mit den zuständigen Entwicklungsgruppen durch. Während dieser Zeit wird eine regelmäßige Kommunikation zwischen aufrechterhalten CloudBlue und dem Meldenden, sich gegenseitig über den aktuellen Stand zu informieren und sicherzustellen, dass der Melder Verständnis hat CloudBlues Stellung. Falls verfügbar, kann der meldenden Partei ein vorab veröffentlichter Software-Fix zur Verifizierung bereitgestellt werden.

Bekanntmachung

Nachdem das Problem erfolgreich analysiert wurde und ein Fix erforderlich ist, werden die entsprechenden Fixes entwickelt und für die Verteilung vorbereitet. CloudBlue verwendet bestehende Kundenbenachrichtigungsprozesse, um die Veröffentlichung von Patches zu verwalten, was eine direkte Kundenbenachrichtigung oder die öffentliche Veröffentlichung einer Sicherheitsempfehlung mit allen erforderlichen Informationen umfassen kann.

An CloudBlue Der Sicherheitshinweis enthält normalerweise die folgenden Informationen:

  • Die Beschreibung der Schwachstelle und ihre CVSS v.3.1-Punktzahl.
  • Die Wirkungsbeschreibung.
  • Die Liste bekannter betroffener Produkte und Software- oder Hardwareversionen.
  • Informationen zu schadensbegrenzenden Faktoren und Problemumgehungen.
  • Der Speicherort verfügbarer Fixes.

Geltungsbereich

  • CloudBlue Handelsplattform
  • CloudBlue Connect-Plattform

Außer Reichweite

Infrastrukturumgebungen mit Komponenten im Zusammenhang mit dem Produktbetrieb:

  • Fehlkonfiguration des Betriebssystems und Schwachstellen.
  • Alle Dienste von Drittanbietern oder Dienste, die von Drittanbietern gehostet werden.
  • Erkenntnisse für Anwendungen oder Systeme, die nicht im Abschnitt „Geltungsbereich“ aufgeführt sind.
  • UI- und UX-Bugs und Rechtschreibfehler.
  • Denial-of-Service-Schwachstellen (DoS/DDoS) auf Netzwerkebene.
  • Erkenntnisse aus physikalischen Tests wie z. B. Bürozugang, offene Türen oder dichtes Auffahren.
  • Erkenntnisse, die hauptsächlich aus Social Engineering stammen, z. B. Phishing.

Um Ihre Privatsphäre zu schützen, geben Sie bitte niemals weiter CloudBlue alle Informationen, die wir erkennen könnten als:

  • Personenbezogene Daten (PII);
  • Kreditkarteninhaberdaten.

Kontaktinformationen

Wenn Sie glauben, eine Sicherheitslücke in einem unserer Produkte gefunden zu haben, senden Sie uns bitte eine E-Mail an Sicherheit @cloudblue.com €XNUMX.

Bitte machen Sie folgende Angaben in Ihrem Bericht:

  • Die Beschreibung des Ortes und der potenziellen Auswirkungen der Schwachstelle.
  • Eine detaillierte Beschreibung der Schritte, die zum Reproduzieren der Schwachstelle erforderlich sind. Proof-of-Concept-Exploit-Code, Screenshots und komprimierte Screenshots sind hilfreich für uns.
  • Ihr Name oder Handle und ein Link zur Wiedererkennung in unserer Hall of Fame oder eine Bitte um Anonymität.

Bitte verwenden Sie nach Möglichkeit unseren PGP-Schlüssel, um Ihren Bericht zu verschlüsseln:

—–BEGINN PGP PUBLIC KEY BLOCK—–
 mQENBF2Df8wBCADGZg6pHjT+aBo1jeRKWamK/4ITw9jzN5lHSlsmmtzS5nFFM0fG
 2AGVMuB7P9zQNzDBqpSfydVysUS0I0aB+XNP0YTPzBQpKouLzcmu4vMgcOnoSg+s
 ija4BoMjae4LBM1rIjuZHJz9dEVr8WLMcOxkmZpFG1sp/kQFAsJoEDgXhTLf/Yk1
 gItEcfdwb6BATDK8LrCtpYf9QrC8Inrz+C4IB6WOWnLgyUB1J+ETRADaAukwZHHP
 qDl+wzc5X8K+oTI4DklVczwjz/E/4KmDyuCK1mCZKV9rbf3J4rlnANEwBWgljT2L
 mapYq4g8wNiUfSoN76npdG7IBKh73BPeRpylABEBAAG0MkFwcGxpY2F0aW9uIFNl
 Y3VyaXR5IDxhcHBzZWN1cml0eUBpbmdyYW1taWNyby5jb20+iQFUBBMBCAA+FiEE
 tSwZneL5D+vWJaosJSUaNxXdHuYFAl2Df8wCGwMFCQPDfEQFCwkIBwIGFQoJCAsC
 BBYCAwECHgECF4AACgkQJSUaNxXdHuaNAgf/SS/bpxlUmiHr1/oCZ25pbFmolwiL
 KqyBaue11rnzOqSpZkn/orIumGTBDkhxq1EFQPKTcCLZX4b3/iaFd/pkdA4A/95x
 /5KgijQ0V4YU6XUR+84KQD2nM+GFpAw9oWJa+0DbQkXA/6eunURzKWpZD+W5orbO
 892mTQsZVXgn3+deOEhqtp9bKx6Wgixf1k1Q5UaAu5TVCkpKeZn7Df4mZcLjgOuk
 fUrblbCnoe5oXfHa7Gtdl2gUMQMuxUIWUz3CdizXcITmjVdh2GZm4vYg9fnAd+me
 cK12yZueol/Nrlv+1Q1V905oVxxDevlPf/1LDaT8ifVnWP5og+V/+k1LGbkBDQRd
 g3/MAQgA2rGOMuzFKtwBHOZcsD6uI4hgrONuHMLEppk/AAmr26+pU99ezvgiOVaC
 n9lkgt5/Wl2iNe1P8R0ptfqWtmOIKcdtyVnpV8EyJ4Zk8DY/YH1TkTAR/CmeHAwm
 vKVQc9lnXgn3BNL0RfUk4lG5iH6CqXkKUAz82PJLXaCvG8LSD+u78pYXVHJ8Y61b
 hD3y4idfKeSwcsL0bmN4zelw4VY7z72+i30pzTQOkZUkkUasXEGy1CsdOhxKg/Ef
 8cBQE5LVTDGd6/OrnRLfoGYJS5uEBp5kCp36ruB0pIpRdE8ZyJXUczpIm1m962OD
 +Yem+OVGtDCerKfr6Bhy2tMXDxULbQARAQABiQE8BBgBCAAmFiEEtSwZneL5D+vW
 JaosJSUaNxXdHuYFAl2Df8wCGwwFCQPDfEQACgkQJSUaNxXdHuZP5gf/dLVXCqD8
 nVHGjllA2e4O8+Crhp3uQxS5U8/aK9i2W6jiSI3OqDPsS7Uzn/NF/7YpY/A2Lm6h
 cQIKSHHmiRt0STzzNKeDBRDX/JUkJOpl/8A77+8G0GG3d8lYzokn5NGYmyrtx1D/
 uZZfDuTh4ghSdljs+700vxnz1oBVckLiNP4FUp28gPVayhgENEVYxv3fypzI7btw
 M6FHc77kvk+cCK9aVxOGEp6fNUGz6Y6INGk1/m3orPuSdQTmGxXZtNas7nV4Opb0
 kbErrXy03rWO3YM7czqg+EcjC2yMbqkqqinMtvblxDQZMwabjCl3JKHuE84YscJc
 2g9N9g2aAOGWpw==
 =fpiJ
 —–ENDEN PGP ÖFFENTLICHEN TASTENBLOCK—–

CloudBlue, ein Ingram Micro Business, verwendet Cookies, um die Benutzerfreundlichkeit unserer Website zu verbessern. Indem Sie diese Website weiterhin nutzen und/oder sich anmelden, akzeptieren Sie die Verwendung dieser Cookies. Weitere Informationen finden Sie in unserem Datenschutzerklärung.
ICH NEHME AN