DigiCert nutzt einen mehrstufigen Sicherheitsansatz

 

Richtlinien

DigiCert unterhält, testet und überprüft mindestens jährlich eine Informationssicherheitsrichtlinie, einen Business-Continuity-Plan, einen Disaster-Recovery-Plan und Incident-Response-Prozesse. Jährlich wird eine umfassende Risikobewertung durchgeführt, mit der alle vernünftigerweise vorhersehbaren internen und externen Bedrohungen der Sicherheit, der Vertraulichkeit und Integrität identifiziert werden.

Netzwerksicherheitsmaßnahmen

Die Systemadministratoren von DigiCert stellen sicher, dass öffentlich zugängliche Komponenten der Informationssysteme (z. B. öffentliche Webserver) auf getrennten Unternetzwerken mit separaten physischen Netzwerkschnittstellen untergebracht sind. Die Systemadministratoren von DigiCert stellen ebenfalls sicher, dass gesteuerte Schnittstellen, die die Netzwerkumgebung schützen, bestimmte Datenpakettypen herausfiltern, um Geräte im internen DigiCert-Netzwerk vor direkten Denial-of-Service-Angriffen zu schützen. Firewalls und Geräte zur Kontrolle der Netzwerkgrenzen sind so konfiguriert, dass sie den Zugriff nur für jene Adressen, Schnittstellen, Protokolle und Befehle erlauben, die für die Durchführung der DigiCert-Operationen notwendig sind.

Datenbanksicherheitsmaßnahmen

Jeder Zugriff (über ein System oder direkt durch Mitarbeitende) auf DigiCert-Datenbanken wird im Hinblick auf unautorisierte Änderungen protokolliert und überwacht. Sensible Daten werden in der Datenbank mithilfe einer in der Branche empfohlenen Chiffrierung verschlüsselt und der direkte Zugriff wird über die Rollen beschränkt, die in DigiCerts Informationssicherheitsrichtilinie und der Zertifizierungspraxiserklärung festgelegt sind.

Physische Sicherheitsmaßnahmen

Der Zugang zu jedem Büro, Computerraum und Arbeitsbereich, in dem sich sensible Daten befinden, ist physisch eingeschränkt. Alle Bürotüren haben Schlösser und alle Eingangstüren zu den Einrichtungen sind jederzeit verschlossen. Diese Türen können nur mit Zutrittskarten geöffnet werden, die nach Bestätigung einer makellosen Hintergrundprüfung ausgegeben werden. Die DigiCert-Rechenzentren, Räume und Büros werden mit Video überwacht. Die gesicherten Räume können nur mit biometrischer Kennung von zwei zuständigen Mitarbeitenden betreten werden. Jeder Zugang wird protokolliert.

Zugangskontrolle

Die Rollen sind in DigiCerts Informationssicherheitsrichtlinie festgelegt. Alle Nutzerinteraktionen mit den Systemen von DigiCert können bis zu der Person zurückverfolgt werden, die die Aktion ausgeführt hat. Die Identität jedes Benutzers muss vor der Interaktion mit den DigiCert-Systemen bestätigt sein. Bevor Mitarbeitende von DigiCert an Komponenten des Systems arbeiten können, um die ihnen anvertrauten Aufgaben zu erfüllen, müssen sie sich zunächst für die Systeme von DigiCert authentifizieren. Nutzerkonten und sonstige Arten des Zugangs zu den Computersystemen von DigiCert müssen gemäß der Richtlinie für Benutzerzugriff genehmigt werden.

Schwachstellenmanagement/Patches

Alle DigiCert-Geräte und -Systeme werden monatlich gescannt. Für Systeme, die Maßnahmen erfordern, sind innerhalb der von Global Security Operations vorgegebenen Fristen Patches einzuspielen. Diese Fristen basieren auf dem jeweils zugewiesenen CVSS-Wert. Bei kritischen Schwachstellen werden die Patches innerhalb von 96 Stunden eingespielt, bei Schwachstellen von hoher/mittlerer Dringlichkeit innerhalb von 30 Tagen und bei Schwachstellen mit niedriger Kritikalität und Schwachstellen, die der reinen Informationsverbesserung dienen, werden die Patches im Ermessen von DigiCert eingespielt (in der Regel innerhalb von 180 Tagen).

Penetrationsbewertung/Externe Bewertung

Es wird mindestens eine Penetrationsbewertung durch Dritte pro Jahr durchgeführt. In der Regel führt DigiCert mehrere Penetrationstests am Code, an der Infrastruktur und an Systemen sowie Red-Team-Assessments durch.