Sicherheitdienst

Latenode und die DSGVO

Verständlicherweise ist die DSGVO ein heißes Thema. Obwohl die Gesetzgebung vor einem Jahr in Kraft getreten ist, kämpfen viele Unternehmen immer noch damit, DSGVO-konform zu werden. Es vergeht kein Tag, ohne dass in den Zeitungen Unternehmen erwähnt werden, die die DSGVO-Standards nicht erfüllen oder die Grenzen der DSGVO-Konformität austesten.

Bei Latenode haben wir uns immer bewusst gemacht, wie wir mit Daten umgehen, da sie das Fundament unserer Plattform bilden. Wir haben viel Zeit und Mühe investiert, um sicherzustellen, dass wir DSGVO-konform sind, und sogar einen Einführungsleitfaden für andere geschrieben.

Von Google verifizierte Sicherheitsstandards mit CASA-Bewertung

Latenode erfüllt die höchsten Sicherheitsstandards und implementiert branchenführende Protokolle, um sicherzustellen, dass Ihre Daten bei jedem Schritt geschützt sind. Unser Engagement für Sicherheit gibt Ihnen die Gewissheit, Arbeitsabläufe sicher und effizient zu automatisieren.

Kundendatenschutz und Verschlüsselung

Benutzerkonten, Authentifizierung und Autorisierung

Latenode Cloud

Wenn Sie sich für ein Latenode-Cloud-Konto anmelden, erstellen Sie direkt bei Latenode ein Konto. Wenn Sie auf Latenode.cloud ein Konto mit einem Benutzernamen und einem Passwort erstellen, implementiert Latenode Best Practices für die Kontoverwaltung. Beispielsweise salzt und hasht Latenode Ihr Passwort und speichert das gehashte Passwort dann in einer Datenbank, die im Ruhezustand verschlüsselt ist.

Drittanbieterkonten

Ein wichtiger Teil der Latenode-Funktionalität ist die Verknüpfung von Diensten Dritter. Wenn Sie ein Konto aus einer Drittanbieteranwendung verknüpfen, müssen Sie möglicherweise entweder der Latenode OAuth-Anwendung den Zugriff auf Ihr Konto autorisieren oder einen API-Schlüssel oder andere Anmeldeinformationen angeben.

Latenode empfiehlt die Verwendung OAuth für Drittanbieteranwendungen, die dies unterstützen. Das OAuth-Protokoll ermöglicht es Latenode, einen eingeschränkten Zugriff auf bestimmte Ressourcen in Ihrem Drittanbieterkonto anzufordern, ohne dass Sie langfristige Anmeldeinformationen direkt angeben müssen. Latenode muss in regelmäßigen Abständen kurzfristige Zugriffstoken anfordern, und die meisten Anwendungen bieten eine Möglichkeit, Latenodes Zugriff auf Ihr Konto jederzeit zu widerrufen.

Einige Anwendungen von Drittanbietern bieten keine OAuth-Schnittstelle. Um auf diese Dienste zuzugreifen, müssen Sie den erforderlichen Autorisierungsmechanismus (häufig einen API-Schlüssel) bereitstellen. Wenn Ihre Anwendung eine solche Funktionalität bietet, empfiehlt Latenode als bewährte Methode, den Zugriff dieses API-Schlüssels auf die Ressourcen zu beschränken, auf die Sie innerhalb von Latenode zugreifen müssen.

Wenn Sie Anmeldeinformationen in einem Workflow verwenden, lädt Latenode sie in die Ausführungsumgebung Ihrer Latenode-Instanz. Bei Latenode Cloud sind Kundeninstanzen logisch voneinander isoliert. Latenode protokolliert oder exportiert standardmäßig keine Anmeldeinformationen. Wenn Sie ihre Werte protokollieren, können Sie die Daten für diese Ausführung jederzeit löschen. Die Plattform löscht Ausführungsdaten automatisch basierend auf den Aufbewahrungseinstellungen Ihres Kontos.

Sie können Ihre OAuth-Zuweisungen oder schlüsselbasierten Anmeldeinformationen jederzeit löschen. Das Löschen von OAuth-Zuweisungen innerhalb von Latenode entzieht Latenode nicht den Zugriff auf Ihr Konto. Sie müssen diesen Zugriff überall dort entziehen, wo Sie OAuth-Zuweisungen in Ihrer Drittanbieteranwendung verwalten.

Benutzerauthentifizierung

Zur Authentifizierung bei der App sind ein Benutzername und ein Passwort erforderlich.

Cloud-Hosting und -Speicherung

Latenode Cloud verwendet Microsoft Azure zum Hosting.

Latenode sichert den Zugriff auf Azure-Ressourcen zusätzlich durch eine Reihe von Kontrollen, darunter:

  • Verwenden der mehrstufigen Authentifizierung für den Zugriff auf Azure
  • Hosting-Dienste innerhalb eines privaten Netzwerks, das über das öffentliche Internet nicht zugänglich ist.

Latenode speichert alle OAuth-Token, schlüsselbasierten Anmeldeinformationen und den Rest der Datenbank Ihrer Cloud-Instanz auf einer Festplatte, die im Ruhezustand mit Azure-Server-seitiger Verschlüsselung verschlüsselt ist (zum Zeitpunkt des Schreibens mit AES256 und einer FIPS-140-2-kompatiblen Implementierung). Für die Latenode-Cloud befindet sich diese Datenbank auch in einem privaten Netzwerk. Backups dieser Datenbank werden ebenfalls verschlüsselt.

Datenverschlüsselung

Latenode Cloud

Wenn Sie die Latenode-Webanwendung verwenden, verschlüsselt sie den Datenverkehr zwischen Ihrem Client und den Latenode-Diensten während der Übertragung. Dasselbe gilt für den Datenverkehr im Zusammenhang mit der öffentlichen API oder Webhook-Triggerknoten. Latenode verwendet Cloudflare zum Verwalten und Erneuern von SSL-Zertifikaten.

Netzwerkschutz

Ein operatives Prüfsystem überwacht ständig die Cloud-Infrastruktur von Latenode und sendet bei Bedarf Warnmeldungen an das entsprechende Personal. Wir verwenden nur Konfigurationen, die genehmigte Netzwerkports und -protokolle implementieren, einschließlich Firewalls. Beispielsweise unterhalten wir eine Web Application Firewall, um die Webanwendung von Latenode vor bösartigem Datenverkehr und externen Bedrohungen zu schützen. Und ein Intrusion Detection System, um potenzielle Eindringlinge zu erkennen.

Audit-Protokollierung

Latenode sammelt und speichert alle Ihre Serverprotokolle an einem zentralen Ort. Autorisierte Benutzer können die Protokollinformationen bei Bedarf abfragen, um Aktionen auf einzelne Benutzer zurückzuführen. Wir bewahren den Prüfprotokollverlauf und die historischen Aktivitätsaufzeichnungen mindestens 3 Monate lang auf, wobei mindestens der letzte Monat sofort zur Analyse verfügbar ist.

Sichere Entwicklungspraktiken

Versionskontrollsystem

Latenode verwendet ein Versionskontrollsystem, um Quellcode, Dokumentation, Release-Kennzeichnung und andere Aufgaben des Änderungsmanagements zu verwalten. Jeder Mitarbeiter muss sich seinen Zugriff von einem Systemadministrator genehmigen lassen, um Codeänderungen vornehmen zu können.

Codeüberprüfungsprozess

Wenn sich der Anwendungscode von Latenode ändert, überprüft und testet eine andere Person als die Person, die die Änderung vorgenommen hat, den neuen Code.

Separate Test- und Produktionsumgebungen

Latenode verwendet für unsere Anwendung separate Umgebungen zum Testen und Produzieren.

Eingeschränkter Produktionscodewechsel

Nur autorisiertes Latenode-Personal kann Produktionscode pushen oder Änderungen daran vornehmen.

Statische Anwendungssicherheitstests (SAST)

Latenode verwendet statische Anwendungssicherheitstests (SAST) oder ein gleichwertiges Tool als Teil der CI/CD-Pipeline, um Schwachstellen in seiner Codebasis zu erkennen. Wenn Schwachstellen identifiziert werden, werden je nach Art der Schwachstelle vor der Veröffentlichung entsprechende Korrekturen implementiert.

Systemüberwachung

Latenode überwacht seinen Code, seine Infrastruktur und seine Kernanwendungen auf bekannte Schwachstellen und behebt kritische Schwachstellen umgehend.

Zugangskontrollen

Streng vertraulicher Zugriff auf Daten

Latenode gewährt Mitarbeitern Zugriff auf Systeme mit vertraulichen Daten auf der Grundlage der geringsten Berechtigungen. Das bedeutet, dass Mitarbeiter nur auf die Daten zugreifen können, die sie zur Ausführung ihrer Arbeit benötigen. Das Unternehmen überprüft den Systemzugriff vierteljährlich, bei jeder Änderung der Rolle und bei der Kündigung.

Eingeschränkter Zugriff auf den Produktionscode

Latenode verwendet GitLab, um den gesamten Produktionscode zu speichern und zu versionieren. Mitarbeiter verwenden eine Multi-Faktor-Authentifizierung, um auf die GitLab-Organisation zuzugreifen. Und nur autorisiertes Latenode-Personal kann Produktionscode bereitstellen oder Änderungen daran vornehmen.

Erforderliche Multi-Faktor-Authentifizierung

Wir verlangen MFA, wo immer es verfügbar ist.

Verschlüsselter webbasierter Zugriff

Latenode verwendet Verschlüsselung, um die über das Internet übertragene Benutzerauthentifizierung und Administratorsitzungen des internen Administratortools zu schützen. Alle Verbindungen erfolgen über SSL/TLS mit einem gültigen Zertifikat einer zuverlässigen Zertifizierungsstelle.

Unternehmenssicherheit

Rigoroses Einstellungsverfahren

Bewerber müssen mehrere umfassende Hintergrundprüfungen und Interviews durchlaufen, um sicherzustellen, dass sie die geltenden Gesetze, Vorschriften und ethischen Grundsätze einhalten. Alle neuen Mitarbeiter müssen bei der Einstellung unsere Datenschutzrichtlinie unterzeichnen.

Strenger Offboarding-Prozess

Wenn ein Mitarbeiter Latenode verlässt, verwenden wir eine Kündigungscheckliste, um sicherzustellen, dass der Systemzugriff des Mitarbeiters, einschließlich des physischen Zugriffs, innerhalb eines Arbeitstages entfernt und sämtliche Vermögenswerte der Organisation (physisch oder elektronisch) zurückgegeben werden.

Bedrohungs- und Schwachstellenmanagement

Schwachstellen-Scans

Latenode führt mindestens alle 90 Tage Schwachstellenscans seiner Produktionsumgebung durch Dritte durch.

Penetrationstests

Latenode führt mindestens einmal jährlich Penetrationstests seiner Produktionsumgebung durch Dritte durch.

Eindringlingserkennung

Latenode betreibt ein Intrusion Detection System (IDS), um potenzielle Eindringlinge zu erkennen und das Personal zu alarmieren, wenn ein potenzieller Eindringling erkannt wird. Einschließlich einer ständig aktualisierten Anti-Malware-Lösung, die kontinuierlich scannt, um alle Arten bekannter Malware zu erkennen, zu entfernen oder zu blockieren.

Phishing-Simulationen

Latenode führt im Rahmen der Initiativen des Unternehmens zur Sensibilisierung für Sicherheit regelmäßig Phishing-Simulationen durch.

Bedrohungsinformationen

Latenode hat Mechanismen zum Sammeln von Bedrohungsinformationen und zum Erstellen von Bedrohungsinformationen (z. B. kommerzielle Cyber-Bedrohungsinformationen-Tools, Informations-Feeds zu Sicherheitsprodukten/-anbietern, Open-Source-Feeds usw.) gemäß definierter Bedrohungsinformationen-Ziele implementiert.

Backup, Wiederherstellung und Geschäftskontinuität

Latenode speichert Kundendaten in einem sicheren Produktionskonto in Azure. Latenode sichert alle Kunden- und Systemdaten täglich automatisch, um sie vor katastrophalen Verlusten durch unvorhergesehene Ereignisse zu schützen, die das gesamte System beeinträchtigen. Bei diesem Prozess werden Daten in einer separaten Region im selben Land gesichert oder repliziert. Und die Sicherungen werden auf die gleiche Weise verschlüsselt wie Live-Produktionsdaten.

Der Backup-Dienst von Latenode überwacht den gesamten Backup-Prozess und alle Fehler lösen automatisch eine Warnung an das Incident Response Team aus.

Latenode verfügt über einen definierten und regelmäßig getesteten Geschäftskontinuitätsplan, der die Verfahren zur Reaktion, Wiederherstellung, Wiederaufnahme und Wiederaufnahme des Betriebs nach einer größeren Naturkatastrophe oder einem katastrophalen Systemausfall beschreibt.

Notfallwiederherstellungsplan

Latenode hat einen detaillierten Notfallwiederherstellungsplan erstellt, der die Rollen, Verantwortlichkeiten und detaillierten Verfahren zur Wiederherstellung von Systemen im Fehlerfall umreißt.

Sicherheitsprotokolle

Latenode sammelt und speichert Serverprotokolle an einem zentralen Ort. Das System kann von autorisierten Benutzern ad hoc abgefragt werden.

Informationssicherheitsrichtlinie

Latenode verfügt über eine Informationssicherheitsrichtlinie, in der die Sicherheitspflichten für Mitarbeiter und Auftragnehmer sowie das Disziplinarverfahren bei Verstößen gegen die Richtlinie festgelegt sind.

Offenlegung von Sicherheitslücken

Latenode verfügt über ein spezielles Verfahren, mit dem Mitarbeiter Fehler, Vorfälle und Bedenken in Bezug auf Sicherheit, Vertraulichkeit, Integrität und Verfügbarkeit melden können.

Darüber hinaus unterhält Latenode für Kunden zugängliche Supportdokumentation, in der Sie Support-Kontaktinformationen finden. Wir setzen uns dafür ein, dass Latenode für alle unsere Benutzer ein sicheres Tool ist. Sollten Sie also Betriebs- oder Sicherheitsfehler, Vorfälle, Systemprobleme, Bedenken oder andere Probleme/Beschwerden feststellen, zögern Sie bitte nicht, sich an das entsprechende Latenode-Personal zu wenden.

Unterstützt von

Können wir auf die Langlebigkeit Ihrer Plattform vertrauen?

Man hat Automatisierungsplattformen kommen und gehen sehen ...

– Ja, ja und ja 😎

Der Grund dafür ist, dass wir uns genauso wie Sie auf Latenode verlassen. Eines unserer Projekte, Debexpert.com, ist vollständig in Latenode investiert und unterstützt mit mehr als 250 automatisierten Szenarien nahezu jeden Aspekt des Geschäftsbetriebs. Das bedeutet, dass wir vollständig auf unsere eigene Lösung ausgerichtet sind.

Latenode ist gekommen, um zu bleiben und wird seine Entwicklung fortsetzen, wobei wir vollständig autark sein werden von dem, was wir bereits erfolgreich aufgebaut haben. Gleichzeitig betrachten wir Latenode als ein Leidenschaftsprojekt, da wir echte Fans der Automatisierung sind und unsere Begeisterung für Latenode gerne mit der Welt teilen möchten.