Hintergrundprüfungen für Mitarbeiter

Am Arbeitsplatz

Mit Hilfe von Zugangskarten kontrolliert Zoho den Zugriff auf deren Ressourcen (Gebäude, Infrastruktur und Einrichtungen), einschließlich Verbrauch, Zutritt und Nutzung. Wir stellen Mitarbeitern, Auftragnehmern, Lieferanten und Besuchern unterschiedliche Zugangskarten zur Verfügung, die nur den Zugang erlauben, der genau auf den Zweck ihres Zutritts zum Gelände zugeschnitten ist. Das HR-Team (Human Resource) von Zoho erstellt und verwaltet die rollenspezifischen Zwecke. Wir führen Zugriffsprotokolle, um Unregelmäßigkeiten zu erkennen und zu beheben. 

In Rechenzentren

In den Rechenzentren von Zoho übernimmt ein Co-Location-Anbieter die Verantwortung für Gebäude, Kühlung, Stromversorgung und physische Sicherheit, während Zoho die Server und den Speicher bereitstellen. Der Zugang zu den Rechenzentren ist auf eine kleine Gruppe autorisierter Personen begrenzt. Für jeden anderen Zugang wird ein Ticket erstellt und nur nach Genehmigung der jeweiligen Manager erlaubt. Für den Zutritt zum Gelände sind zusätzlich Zwei-Faktor-Authentifizierung und biometrische Authentifizierung erforderlich. Für den Fall, dass ein Vorfall auftritt, stehen Zugriffsprotokolle, Aktivitätsaufzeichnungen und Kameraaufnahmen zur Verfügung.

Überwachung

Zoho überwacht alle Ein- und Ausgangsbewegungen in allen Geschäftszentren und Rechenzentren durch Überwachungskameras, die gemäß den lokalen Vorschriften eingesetzt werden. Je nach den Anforderungen für den betreffenden Standort ist Sicherungsmaterial bis zu einem bestimmten Zeitraum verfügbar.

Netzwerksicherheit

Die Netzwerksicherheits- und Überwachungstechniken wurden von Zoho entwickelt, um mehrere Schutz- und Verteidigungsebenen bereitzustellen. Zoho verwendet Firewalls, um das Netzwerk vor unbefugtem Zugriff und unerwünschtem Datenverkehr zu schützen. Die Systeme sind in separate Netzwerke unterteilt, um vertrauliche Daten zu schützen. Systeme, die Test- und Entwicklungsaktivitäten unterstützen, werden in einem Netzwerk gehostet, das von dem Netzwerk abgetrennt ist, in dem sich die Systeme zur Unterstützung der Produktionsinfrastruktur von Zoho befinden.

Zoho überwacht den Firewall-Zugriff nach einem strengen, regelmäßigen Zeitplan. Ein Netzwerkingenieur prüft jeden Tag alle Änderungen an der Firewall. Darüber hinaus werden diese Änderungen alle drei Monate überprüft, um die Regeln zu aktualisieren und zu überarbeiten. Das dedizierte Network Operations Center-Team überwacht die Infrastruktur und Anwendungen auf Abweichungen oder verdächtige Aktivitäten. Alle wichtigen Parameter werden kontinuierlich mit unserem proprietären Tool überwacht, und in jedem Fall von ungewöhnlichen oder verdächtigen Aktivitäten in unserer Produktionsumgebung werden Benachrichtigungen ausgelöst.

Netzwerkredundanz

Alle Komponenten der Zoho-Plattform sind redundant. Zoho verwendet eine verteilte Rasterarchitektur, um das System und die Dienste vor den Auswirkungen möglicher Serverausfälle zu schützen. Bei einem Serverausfall können die Benutzer wie gewohnt weiterarbeiten, da ihre Daten und Zoho-Dienste weiterhin zur Verfügung stehen.

Außerdem verwendet Zoho mehrere Switches, Router und Sicherheits-Gateways, um Redundanz auf Geräteebene zu gewährleisten. Dies verhindert Single-Point-Ausfälle im internen Netzwerk.

DDoS-Schutz

Zoho verwendet Technologien von etablierten und vertrauenswürdigen Dienstanbietern, um DDoS-Angriffe auf die Server zu verhindern. Diese Technologien bieten mehrere Funktionen zur DDoS-Minderung, um Störungen durch fehlerhaften Datenverkehr zu verhindern und gleichzeitig einen guten Datenverkehr zu ermöglichen. Dadurch bleiben unsere Websites, Anwendungen und APIs hochverfügbar und leistungsfähig.

Server-Härtung

Alle Server, die für Entwicklungs- und Testaktivitäten bereitgestellt werden, werden gehärtet (indem nicht verwendete Ports und Konten deaktiviert, Standardpasswörter entfernt werden usw.). Das Image des Betriebssystems (BS) verfügt über eine integrierte Serverhärtung, und dieses BS-Image wird auf den Servern bereitgestellt, um die Konsistenz zwischen den Servern zu gewährleisten.

Erkennung und Abwehr von Eindringlingen

Der Intrusion Detection-Mechanismus von Zoho erfasst hostbasierte Signale einzelner Geräte und netzwerkbasierte Signale von Überwachungspunkten innerhalb unserer Server. Der administrative Zugriff, die Verwendung privilegierter Befehle und Systemaufrufe auf allen Servern in dem Produktionsnetzwerk werden protokolliert. Regeln und Maschinenintelligenz, die auf diesen Daten aufbauen, geben Sicherheitstechnikern Warnungen über mögliche Vorfälle. Auf der Anwendungsebene verfügt Zoho über unsere proprietäre WAF, die sowohl auf Whitelist- als auch auf Blacklist-Regeln basiert.

Auf ISP-Ebene (Internet Service Provider) wird ein mehrschichtiger Sicherheitsansatz mit Scrubbing, Netzwerkrouting, Begrenzung der Übertragungsrate und Filterung implementiert, um Angriffe von der Netzwerkebene bis zur Anwendungsebene zu bewältigen. Dieses System bietet sauberen Datenverkehr, zuverlässigen Proxy-Service und eine sofortige Meldung möglicher Angriffe.

Sicherheit durch Design

Jede Änderung und jede neue Funktion wird von einer Change-Management-Richtlinie geregelt, um sicherzustellen, dass alle Anwendungsänderungen vor der Implementierung in die Produktion autorisiert werden. Unser Softwareentwicklungszyklus (Software Development Life Cycle, SDLC) schreibt die Einhaltung sicherer Codierungsrichtlinien sowie die Überprüfung von Codeänderungen auf potenzielle Sicherheitsprobleme vor, mit unseren Codeanalysetools, Schwachstellenscannern und manuellen Überprüfungsprozessen.

Unser robustes Sicherheitsframework, das auf OWASP-Standards basiert und in der Anwendungsebene implementiert ist, bietet Funktionen zur Minderung von Bedrohungen wie SQL-Injektion, standortübergreifendes Scripting und DOS-Angriffe auf Anwendungsebene. 

Datenisolierung

Das Zoho-Framework verteilt und verwaltet den Cloud-Speicherplatz für die Kunden. Die Servicedaten jedes Kunden werden mithilfe einer Reihe sicherer Protokolle im Framework logisch von den Daten anderer Kunden getrennt. Dadurch wird sichergestellt, dass die Servicedaten eines Kunden für einen anderen Kunden nicht zugänglich sind.

Die Servicedaten werden auf unseren Servern gespeichert, wenn Sie unsere Dienste nutzen. Ihre Daten sind Eigentum von Ihnen und nicht von Zoho. Wir geben diese Daten ohne Ihre Zustimmung nicht an Dritte weiter.

Verschlüsselung

Bei der Übertragung: Alle Kundendaten, die über öffentliche Netzwerke an unsere Server übertragenen werden, werden mit strengen Verschlüsselungsprotokollen geschützt. Auf allen Verbindungen zu unseren Servern wird die Transport Layer Security-Verschlüsselung (TLS 1.2/1.3) mit starken Chiffrierschlüsseln angewendet. Dies gilt für alle Verbindungen, einschließlich Internetzugriff, API-Zugriff, unsere mobilen Apps und Zugriff auf den E-Mail-Client über IMAP/POP/SMTP. Dies stellt eine sichere Verbindung her, indem die Authentifizierung beider an der Verbindung beteiligten Parteien ermöglicht wird sowie durch Verschlüsselung der zu übertragenden Daten. Darüber hinaus nutzen die Zoho-Dienste standardmäßig opportunistisches TLS für E-Mails. TLS bietet eine sichere Verschlüsselung bzw. Zustellung von E-Mails und reduziert Abfangversuche zwischen Mail-Servern in den Fällen, in denen Peer-Services dieses Protokoll unterstützen.

Die verschlüsselten Verbindungen bieten volle Unterstützung für Perfect Forward Secrecy (PFS). Dadurch wird sichergestellt, dass selbst dann, wenn in Zukunft Gefährdungen auftreten würden, zuvor stattgefundene Kommunikation nicht entschlüsselt werden kann. Zoho hat für alle Internetverbindungen HTTP Strict Transport Security (HSTS) aktiviert. Dadurch wird allen modernen Browsern mitgeteilt, dass sie nur über eine verschlüsselte Verbindung mit uns kommunizieren dürfen, auch dann, wenn Sie auf unserer Website eine URL zu einer unsicheren Seite eingeben. Zusätzlich markiert Zoho im Internet alle unsere Authentifizierungs-Cookies als sicher.

Im Ruhezustand: Wir verschlüsseln ruhende Kundendaten mit dem 256-Bit-Standard AES (Advanced Encryption Standard). Die Daten, die im Ruhezustand verschlüsselt werden, sind von den Diensten abhängig, für die Sie sich entscheiden. Die Schlüssel gehören uns und wir verwalten sie mit unserem internen Schlüsselverwaltungsdienst (Key Management Service, KMS). Wir bieten zusätzliche Sicherheitsebenen, indem wir die Datenverschlüsselungsschlüssel mit Master-Schlüsseln verschlüsseln. Die Master-Schlüssel und Datenverschlüsselungsschlüssel sind physisch voneinander getrennt und werden auf unterschiedlichen Servern gespeichert, für die ein beschränkter Zugriff besteht.

Klicken Sie hier, um detaillierte Informationen über die Verschlüsselung bei Zoho zu erhalten, oder klicken Sie hier, um mehr darüber zu erfahren, welche Daten wir in unseren Diensten verschlüsseln.

Datenspeicherung und -löschung

Zoho speichert die Daten in Ihrem Konto, so lange Sie Zoho Services verwenden. Sobald Sie Ihr Zoho-Benutzerkonto kündigen, werden Ihre Daten bei der nächsten Bereinigung, die alle 6 Monate durchgeführt wird, aus der aktiven Datenbank gelöscht. Die aus der aktiven Datenbank gelöschten Daten werden nach 3 Monaten aus unseren Backups gelöscht. Falls Ihr kostenloses Konto 120 Tage lang ununterbrochen inaktiv ist, löst Zoho es auf, nachdem Zoho Sie entsprechend informiert und Ihnen die Möglichkeit gegeben haben, Ihre Daten zu sichern.

Die Entsorgung unbenutzbarer Geräte wird von einem geprüften und autorisierten Anbieter vorgenommen. Bis dahin kategorisieren und speichern wir sie an einem sicheren Standort. Alle auf den Geräten enthaltenen Daten werden vor der Entsorgung formatiert. Wir entmagnetisieren ausgefallene Festplatten und zerstören sie dann physisch mit einem Schredder. Fehlerhafte Solid State-Laufwerke (SSDs) werden dem Crypto Erase-Verfahren unterzogen und geschreddert.

Single Sign-On (SSO)

Zoho bietet Single Sign-On (SSO), mit dem Benutzer über die gleiche Anmeldeseite und mit den gleichen Authentifizierungsdaten auf mehrere Dienste zugreifen können. Die Anmeldung bei beliebigen Zoho-Services geschieht ausschließlich über unseren integrierten Service für Identitäts- und Zugriffsverwaltung (IAM). Wir unterstützen auch SAML für Single-Sign-On, sodass Kunden den Identitätsanbieter ihres Unternehmens integrieren können (wie LDAP, ADFS), wenn sie sich bei den Zoho-Services anmelden.

SSO vereinfacht den Anmeldeprozess, gewährleistet die Einhaltung von Richtlinien, bietet eine effektive Zugriffskontrolle und Berichterstellung und verringert das Risiko von Passwortmüdigkeit und damit von schwachen Passwörtern.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung bietet eine weitere Sicherheitsebene, indem neben dem Kennwort eine zusätzliche Überprüfung verlangt wird, die der Benutzer besitzen muss. Dies kann das Risiko eines unbefugten Zugriffs erheblich reduzieren, wenn das Kennwort eines Benutzers kompromittiert wird. Sie können die Multi-Faktor-Authentifizierung mit der Authentifizierung von Zoho One konfigurieren. Derzeit werden verschiedene Modi unterstützt, wie biometrische Touch-ID oder Face-ID, Push-Benachrichtigung, QR-Code und ein zeitbasiertes Einmalkennwort.

Zoho unterstützt auch Yubikey Hardware Security Key für die Multi-Faktor-Authentifizierung.

Administrativer Zugriff

Zoho setzt technische Zugriffskontrollen und interne Richtlinien ein, um Mitarbeitern den willkürlichen Zugriff auf Benutzerdaten zu untersagen. Zoho hält sich an die Prinzipien der geringsten Rechte und rollenbasierten Berechtigungen, um das Risiko einer Datengefährdung zu minimieren.

Der Zugriff auf Produktionsumgebungen wird über ein zentrales Verzeichnis verwaltet und mithilfe einer Kombination aus sicheren Passwörtern, Zwei-Faktor-Authentifizierung und passwortgeschützten SSH-Schlüsseln authentifiziert. Darüber hinaus ermöglicht Zoho diesen Zugriff über ein separates Netzwerk mit strengeren Regeln und gehärteten Geräten. Zudem protokolliert Zoho alle Vorgänge und prüft sie regelmäßig.

Protokollierung und Überwachung

Zoho überwacht und analysiert Informationen, die aus Diensten, dem internen Datenverkehr in unserem Netzwerk und der Nutzung von Geräten und Endgeräten gesammelt werden. Diese Informationen werden in Form von Ereignisprotokollen, Auditprotokollen, Fehlerprotokollen, Administratorprotokollen und Betreiberprotokollen aufgezeichnet. Diese Protokolle werden automatisch überwacht und in einem angemessenen Umfang analysiert, sodass wir Unregelmäßigkeiten wie ungewöhnliche Aktivitäten in den Konten von Mitarbeitern oder Zugriffsversuche auf Kundendaten erkennen können. Zoho speichert diese Protokolle auf einem sicheren, vom vollständigen Systemzugriff isolierten Server, um die Zugriffskontrolle zentral zu verwalten und die Verfügbarkeit sicherzustellen. 

Eine detaillierte Audit-Protokollierung, die alle vom Benutzer durchgeführten Aktualisierungs- und Löschvorgänge abdeckt, steht den Kunden in jedem Zoho-Dienst zur Verfügung.

Schwachstellen-Management

Zoho verfügt über einen dedizierten Prozess für das Schwachstellen-Management, bei dem man mit einer Kombination aus zertifizierten Scanner-Tools von Drittanbietern und internen Tools aktiv nach Sicherheitsbedrohungen suchen und automatisierte und manuelle Penetrationstests durchführen. Darüber hinaus überprüft das Zoho-Sicherheitsteam aktiv eingehende Sicherheitsberichte und überwacht öffentliche Mailinglisten, Blogbeiträge und Wikis, um Sicherheitsvorfälle zu identifizieren, die die Unternehmensinfrastruktur beeinträchtigen könnten.

Sobald eine Schwachstelle erkannt wird, die behoben werden muss, wird sie protokolliert, nach Schweregrad priorisiert und einem Eigentümer zugewiesen. Zoho identifiziert zudem die damit verbundenen Risiken und verfolgen die Schwachstelle, bis sie behoben ist, entweder durch Patchen der anfälligen Systeme oder durch Anwendung entsprechender Kontrollen.

Schutz vor Malware und Spam

Zoho scannt alle Benutzerdateien mit unseren automatischen Scanner-Systemen, die darauf ausgerichtet sind, das Eindringen von Malware in das Ökosystem von Zoho zu verhindern. Die benutzerdefinierte Anti-Malware-Engine, die regelmäßig von externen Bedrohungsanalysequellen aktualisiert wird, scannt Dateien auf schädliche Muster und Signaturen, die auf der Blacklist stehen. Darüber hinaus stellt die proprietäre Erkennungs-Engine zusammen mit maschinellen Lernverfahren sicher, dass Kundendaten vor Malware geschützt sind. 

Zoho unterstützt Domain-based Message Authentication, Reporting, and Conformance (DMARC), um Spam-Nachrichten zu verhindern. DMARC verwendet SPF und DKIM, um Nachrichten auf ihre Authentizität zu überprüfen. Zoho verwendet zudem eine proprietäre Erkennungs-Engine zur Identifizierung von Missbrauch bei Zoho-Diensten, wie Phishing und Spam-Nachrichten. Darüber hinaus verfügt Zoho über ein dediziertes Anti-Spam-Team, um die Signale der Software zu überwachen und Missbrauchsbeschwerden zu bearbeiten.
Wenn Sie mehr erfahren möchten, klicken Sie hier.

Datensicherung

In den Rechenzentren von Zoho führen wir täglich inkrementelle Datensicherungen und einmal wöchentlich komplette Datensicherungen unserer Datenbanken durch, und zwar über die Zoho Admin Console (ZAC). Sicherungsdaten werden im Rechenzentrum (DC) am gleichen Ort gespeichert und anhand des AES-Algorithmus mit 256 Bit verschlüsselt. Wir speichern sie im tar.gz.-Format Alle gesicherten Daten werden drei Monate lang aufbewahrt. Wenn Kunden innerhalb des Aufbewahrungszeitraums eine Datenwiederherstellung anfordern, stellen wir die jeweiligen Daten wieder her und stellen sie den Kunden sicher zur Verfügung. Der Zeitplan für die Datenwiederherstellung hängt von der Größe der Daten und der Komplexität ab.

Um die Sicherheit der gesicherten Daten zu gewährleisten, verwendet Zoho für die Datensicherungsserver ein redundantes Array unabhängiger Festplatten (RAID). Alle Datensicherungen werden regelmäßig geplant und nachverfolgt. Bei einem Fehlversuch wird ein erneuter Durchlauf initiiert und das Problem wird sofort behoben. Die Integritäts- und Validierungsprüfungen der vollständigen Datensicherungen werden automatisch vom ZAC-Tool durchgeführt.

Zoho empfiehlt allen Nutzern dringend, regelmäßige Datensicherungen durchzuführen, indem diese aus den jeweiligen Zoho-Services exportieren und lokal in Ihrer Infrastruktur speichern.

Disaster Recovery und Business Continuity

Anwendungsdaten werden in einem ausfallsicheren Speicher gesichert, der über Rechenzentren hinweg repliziert wird. Die Daten im primären Rechenzentrum werden nahezu in Echtzeit auf dem sekundären Rechenzentrum repliziert. Bei einem Ausfall des primären DC übernimmt das sekundäre DC, und der Betrieb erfolgt reibungslos mit minimalem oder ohne Zeitverlust. Beide Zentren sind mit mehreren ISPs ausgestattet.

Zoho verfügt über Reservespannungsversorgung, Temperaturregelungssysteme und Brandschutzsysteme als physikalische Maßnahmen zur Sicherstellung der Business Continuity. Diese Maßnahmen helfen Zoho dabei, Ausfallsicherheit zu erreichen. Neben der Redundanz von Daten haben wir einen Business Continuity-Plan für unsere wichtigsten Abläufe wie Support und Infrastrukturmanagement.

Berichterstellung

Zoho verfügt über ein dediziertes Incident-Management-Team. Es informiert Sie über die Vorfälle in unserer Umgebung, die Sie betreffen, sowie über geeignete Maßnahmen, die Sie ergreifen müssen. Zoho verfolgt und schließt die Vorfälle mit entsprechenden Korrekturmaßnahmen. Falls Sie betroffen sind, wird Zoho die erforderlichen Nachweise in Form von Anwendungs- und Prüfprotokollen identifizieren, erfassen, sammeln und Ihnen zur Verfügung stellen. Darüber hinaus implementiert Zoho Kontrollen, um ein erneutes Auftreten ähnlicher Situationen zu verhindern.

Zoho und CONRIOR reagieren mit hoher Priorität auf die Sicherheits- oder Datenschutzvorfälle, die Sie uns über incidents@zohocorp.com oder compliance@conrior.de melden. Bei allgemeinen Vorfällen informiert Zoho die Benutzer auf deren Blogs, in deren Foren und über soziale Medien. Bei Vorfällen, die sich speziell auf einzelne Benutzer oder Unternehmen beziehen, wird Zoho die Betroffenen per E-Mail benachrichtigen (unter Verwendung der primären E-Mail-Adresse des bei uns registrierten Organisationsadministrators).

Benachrichtigung bei Verstößen

Als Datenverantwortliche informiert Zoho die betroffene Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden über einen Verstoß gemäß der Datenschutz-Grundverordnung (DSGVO). Je nach spezifischen Anforderungen benachrichtigt Zoho die Kunden bei Bedarf ebenfalls. Als Datenverarbeiter informiert Zoho die betroffenen Datenverantwortlichen unverzüglich.

Im Rahmen von "Bug Bounty" gibt es ein Programm zur Meldung von Schwachstellen, das die Forscher-Community erreicht und die Arbeit von Sicherheitsforschern anerkennt und belohnt. Zoho verpflichtet sich, mit der Community zusammenzuarbeiten, um die gemeldeten Schwachstellen zu überprüfen, zu reproduzieren, darauf zu reagieren und geeignete Lösungen zu implementieren.

Wenn Sie auf Probleme mit Schwachstellen stoßen, melden Sie diese bitte unter https://bugbounty.zohocorp.com/. Wenn Sie Schwachstellen direkt an Zoho melden möchten, senden Sie eine E-Mail an security@zohocorp.com.