Trust Center

Wir wenden für all unsere geschäftlichen Verfahren und Strategien strenge, in der Branche akzeptierte Informationssicherheitsrichtlinien an.

Die IFS-Informationssicherheitsrichtlinien sind Teil unseres globalen Information Security Management Systems (ISMS), das unter Einhaltung vieler international anerkannter Security Frameworks, u. a. ISO 27001, betrieben wird.

Wie wir detaillierte, bewährte Sicherheitspraktiken zur Verwaltung und zum Schutz Ihrer Daten verwenden.

IFS befolgt Best Practices der Branche und übernimmt einen risikobasierten Ansatz, wobei ein besonderer Schwerpunkt auf einer Reihe bewährter Praktiken liegt.

Security Operations Center (SOC)
Wir investieren kontinuierlich in unsere Plattform- und Netzwerksicherheit. Diese Aktivitäten werden von unserem Security Operations Center (SOC) koordiniert. Durch eine Kombination aus konventionellen und KI-Tools von Weltklasse und regelmäßige Penetrationstests stellen wir sicher, dass unser Geschäftsbetrieb rund um die Uhr überwacht wird und sicher ist.

Zugriffssteuerung
Unser Ansatz für die Zugriffssteuerung stellt sicher, dass Anwender, Partner und Lieferanten nur über die Zugriffsebene verfügen, die sie für eine effiziente und effektive Ausübung ihrer Rollen benötigen.

Single Sign-on (SSO) und Multi-Factor Authentication (MFA) werden auch in all unseren Systemen verwendet. Daten werden sowohl während der Übertragung als auch während der Speicherung verschlüsselt, wodurch höchster Datenschutz greift, wann immer Informationen geteilt werden.

Business Continuity
Durch eine gründliche Business-Continuity-Planung haben wir eine robuste Backup- und Wiederherstellungsrichtlinie etabliert, auf der unser Notfallwiederherstellungsplan basiert. Wir haben resiliente Systeme und Prozesse implementiert, die uns unterstützen, wenn die Business Continuity an einem oder mehreren unserer Betriebsstandorte gefährdet ist.

Unsere Mitarbeiter
Wir führen umfangreiche Hintergrundprüfungen vor der Einstellung durch und neue Mitarbeiter müssen rigorose Einführungsschulungen durchlaufen. Danach wird ein jährliches Sicherheitsschulungsprogramm durchgeführt, um eine sichere Arbeitsumgebung, sowohl physisch als auch digital, sicherzustellen. Wir befolgen formelle On- und Offboarding-Prozesse für Mitarbeiter, die sicherstellen, dass der Zugriff auf unsere IT-Domains jederzeit streng kontrolliert wird und dass die Vertraulichkeit von Daten auch nach dem Anstellungsverhältnis des jeweiligen Mitarbeiters gewahrt bleibt.

Wir stellen sicher, dass alle Drittlieferanten, die die Bereitstellung unserer Dienstleistungen unterstützen, die gleichen hohen Standards wie wir selbst anwenden.

Manchmal kann es erforderlich sein, dass Drittparteien auf sensible oder vertrauliche Informationen zugreifen. Egal ob diese Informationen zu IFS oder zu Kunden von IFS gehören, alle Drittparteien, die darauf zugreifen, müssen die folgenden Richtlinien, Standards und Praktiken zur Informationssicherheit einhalten. Unsere Lieferantenmanagement- und Partnermanagementprozesse stellen sicher, dass die Dienstleistungen und Ergebnisse, die über unser Drittparteien-Ökosystem geliefert werden, die gleichen hohen Standards erfüllen, die wir uns selbst setzen.

IFS Lifecycle Experience (LE) bezeichnet unsere Reihe an Prozessen, die den gesamten Implementierungs- und Produktionslebenszyklus abdecken. LE umspannt alles von der Entdeckung und Erkundung von Lösungen bis hin zur fortgesetzten Lösungsoptimierung, noch Jahre nach der Produktivsetzung. Dabei ist Sicherheit ein integraler Bestandteil unserer Prozesse und beinhaltet eine Trennung von Umgebungen, formelles Change Management und eine streng kontrollierte Veröffentlichung und Distribution von Software. Bei all dem sind eine strenge Zugriffskontrolle und Datenschutz von zentraler Bedeutung.

IFS Lifecycle Experience bietet die obengenannten Sicherheitskontrollen unabhängig davon, ob sich Kunden für ein selbstständiges Hosting oder die Vorteile des IFS Cloud Service entscheiden.

Dank sicherer Coding-Praktiken und global anerkannter Leitlinien wie OWASP Top 10 können wir sicherstellen, dass das Risiko von Produktschwachstellen minimiert wird.

Um die Produktsicherheit während des gesamten Entwicklungslebenszyklus zu prüfen, setzen wir externe spezialisierte Penetrationstester ein. Potenzielle Schwachstellen werden bereits vor der Produkteinführung behoben.

Sicherheit ist nicht ein einzelner Arbeitsschritt. Wir testen unsere Produkte durchgängig, auch nachdem sie veröffentlicht wurden, um aufkommende Bedrohungen und damit verbundene Schwachstellen zu untersuchen. Dazu gehört die Suche nach potenziellen Schwachstellen, nicht nur in von IFS entwickelten Produkten, sondern auch in Drittanbieterprodukten, auf denen die IFS-Produkte basieren.

Wir bieten für alle in unseren Produkten erkannten Schwachstellen Sicherheitspatches und bieten Informationen zu nötigen Patches für Drittanbieterprodukte, die nicht von IFS bereitgestellt werden. Kunden des IFS Cloud Service profitieren von diesen Patches, die von IFS im Rahmen des Service bereitgestellt werden.

Wenn sich Kunden für unseren IFS Cloud Service entscheiden, haben sie den Vorteil zu wissen, das Best Practices für die Cloud-Sicherheit für sie implementiert werden, u. a.:

• Sichere, vollständig getrennte Single-Tenant-Architektur, um die Trennung zwischen den Umgebungen einzelner Kunden sicherzustellen
• Datenverschlüsselung während der Speicherung und der Übertragung
• Viren- und Malware-Schutz
• MDR-Dienste (Monitoring, Detection & Remediation), täglich und rund um die Uhr, mit Enterprise-Grade-Toolsets, die von erfahrenen Fachleuten eingesetzt werden
• DDoS-Erkennung und -Schutz für die gesamte Plattform
• Multi-Level-Backups mit geografisch getrennten Backup-Speichern und Multi-Level-Wiederherstellungsfunktionen
• Notfallwiederherstellungsfunktion an einem geografisch getrennten Standort

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Kunden mit Data-Residency-Anforderungen stehen verschiedene unterstützte Regionen zur Auswahl. Dadurch wird der physische Standard des Diensthostings und somit implizit der physische Standort der Speicherung und Verarbeitung ihrer Daten bestimmt.

Um robuste Richtlinien, Praktiken und Verfahren sicherzustellen, wird das Datenschutzfachwissen des internen Teams durch die Perspektive externer Datenschutzspezialisten ergänzt. Außerdem werden die ersten beiden Verteidigungslinien gemäß Best Practice konsequent getrennt.

Die Sicherheit ist in jedes Produkt integriert, unabhängig vom Hosting. Alles beginnt mit dem sicheren Produktentwicklungsprozess, der die Sicherheit bereits während des Designs mit einbezieht und zu einer Konfiguration mit Security by Default führt.

Bei IFS überwachen wir die Lieferantenleistung genau, wodurch wir sicherstellen, dass alle Verträge erfüllt und die Qualitäts- und Informationssicherheitsanforderungen eingehalten werden. Dies schließt Vereinbarungen mit ein, um die Sicherheitsprozesse und -praktiken der Lieferanten genau zu prüfen. Durch unser globales Datenschutzprogramm stellen wir konforme Datenübertragungen aus dem EWR an Unterauftragsverarbeiter (u. a. IFS-Konzernfirmen) in anderen Ländern sicher. Wir haben eine Reihe standardmäßiger Vertragsklauseln und andere rechtmäßige Übertragungsmechanismen für jeden Unterauftragsverarbeiter und stellen sicher, dass angemessene technische und organisatorische Maßnahmen zum Schutz der Daten unserer Kunden umgesetzt werden.

Wir stellen eine bereits unterzeichnete Ergänzung zur Datenverarbeitung bereit, die die Datenverarbeitung der vom Kunden kontrollierten Daten durch IFS unter Einhaltung der Datenschutzgesetze behandelt. Dies beinhaltet eine Beschreibung aller Verarbeitungen durch IFS während der Erbringung der in unseren Kundenverträgen festgelegten Dienstleistungen. Zu den einbezogenen Datenschutzgesetzen gehören die Datenschutz-Grundverordnung (DSGVO) und der California Consumer Privacy Act (CCPA). Außerdem bieten wir eine Ergänzung, die nur Standardvertragsklauseln enthält.