Sicherheit bei Bloomreach
Sorgen Sie dafür, dass Ihre Teams alle Kampagnen auf einer zentralen, nutzerfreundlichen Plattform erstellen, versenden, testen und analysieren – für maximalen Nutzen und höchste Verlässlichkeit.
Weil Kontrolle besser ist
SOC2 Type II
Bloomreach erhielt am 14. März 2023 seine SOC 2 Type II Zertifizierung und erfüllt seitdem nachweislich die strengen Kriterien des AICPA (American Institute of Certified Public Accountants).
Der SOC 2 Type II Bericht bestätigt die Effektivität unserer Informationssicherheitskontrollen, die garantieren, dass alle Daten, die über uns laufen, sicher sowie verfügbar sind und vertraulich behandelt werden. Der Bericht enthält zudem ein Schreiben, in dem das Prüfungsteam seine persönliche Meinung kundtut, ein Compliance-Statement der Geschäftsführung, Beschreibungen der geprüften Systeme und der durchgeführten Tests sowie deren Ergebnis.
Auf Basis einer Geheimhaltungserklärung kann unser SOC2 Type II Zertifikat auf Wunsch auch zur Verfügung gestellt werden.
Je nach Unternehmensart und den dazugehörigen Leistungen verfügt Bloomreach über diverse Zertifizierungen von unabhängigen Dritten für seine Sicherheitsprogramme und seine Betriebsumgebung:
Wir achten bei Bloomreach stets auf eine verlässliche Sicherheitskultur, da jeder und jede Mitarbeitende eine wichtige Rolle im Kampf gegen mögliche Verstöße spielt.
Unsere Sicherheitskultur zeigt sich in allen Phasen der Employee Journey: vom Recruiting über das Onboarding und die Weiterbildung bis hin zu Unternehmensveranstaltungen. Alle neue Mitarbeitenden unterzeichnen eine Geheimhaltungserklärung und absolvieren eine OWASP-Schulung. Mit Maßnahmen wie diesen zeigen wir, wie wichtig uns der Schutz der Daten unserer Unternehmenskunden ist.
Die Entwickler:innen in unserem IT-Team erhalten strikte Anweisungen zu Themen wie Best Practices für das Programmieren und die Entwicklung oder das Least-Privilege-Prinzip bei der Vergabe von Zugriffsrechten. Über einen eigenen Channel erhält unsere IT-Abteilung zudem regelmäßig Informationen über sicherheitsrelevante Themen und aktuelle Entwicklungen in der Cybersecurity.
Sicherheitsmanagement
Endpunktsicherheit
Wir stellen sicher, dass unsere Endpunktgeräte gemäß unserer Endpunktsicherheitsrichtlinie geschützt sind. Zu den Maßnahmen zählen die Festplattenverschlüsselung, Malwareschutz, keine Gastzugriffe, Firewall und regelmäßige Updates für Betriebssysteme. Darüber hinaus führen wir immer wieder Prüfungen durch, um sicherzugehen, dass wir unsere hohen Sicherheitslevel halten.
Schwachstellen-Management
Bloomreach hat eine eigene Richtlinie für das Management von Schwachstellen. Sie sieht Prozesse wie regelmäßige Webscans und Scans nach möglichen Bedrohungen vor. Sobald eine relevante Schwachstelle entdeckt wurde, wird sie genau untersucht, rasch zugeteilt und beseitigt.
Qualitätssicherung
Wir testen jede neue Funktion umfassend, bevor wir sie implementieren. Nur so können wir verhindern, dass es zu unerwarteten Schwachstellen in der Anwendung kommt. Unser Qualitätssicherungsteam garantiert, dass alle Erweiterungen unserer Anwendung vor ihrer Veröffentlichung fehlerfrei sind. Darüber hinaus testet das Team isolierte Instanzen für Neukunden, kurz bevor sie an unser Kundenservice-Team übergeben werden.
Monitoring
Unser Sicherheitsmonitoring umfasst alle Daten, die wir im Rahmen unseres internen Netzwerktraffics sammeln, sowie alle bekannten Schwachstellen. Der interne Traffic wird auf verdächtiges Verhalten geprüft. Netzwerkanalysen und Systemprotokollprüfungen zur Identifikation ungewöhnlichen Verhaltens sind ein wesentlicher Bestandteil unseres Monitorings. Wir platzieren Suchanfragen auf öffentlichen Datenbeständen, um nach Sicherheitsvorfällen zu suchen und Systemprotokolle zu analysieren.
Störfallmanagement
Bloomreach hat genau definierte Prozesse für das Management von Störfallen, die die Vertraulichkeit, die Integrität oder die Verfügbarkeit der Ressourcen oder der Daten unserer Kunden gefährden könnten. Jeder Störfall wird von unserem Sicherheitsteam identifiziert, dokumentiert, zugewiesen, nach Dringlichkeit priorisiert und gelöst. Vorfälle, die unsere Kunden direkt betreffen, werden immer priorisiert und damit am schnellsten bearbeitet. Teil unseres Prozesses sind Aktionspläne sowie Verfahren für die Identifikation, Eskalation, Mitigation und das Reporting.
Rückversicherung
Um sicherzustellen, dass unser Sicherheitsmanagement transparent ist und alle genau die Informationen bekommen, die sie am dringendsten benötigen, folgen wir dem SOC-2-Bericht. Nach Unterzeichnung einer Geheimhaltungserklärung kann dieser Bericht auf Nachfrage zur Verfügung gestellt werden. Er gibt einen Überblick über die technischen und organisatorischen Sicherheitsmaßnahmen von Bloomreach.
Wir schützen die Daten unserer Kunden
Datenverschlüsselung
Sobald wir Daten in der Cloud speichern, kommen mehrere Verschlüsselungsebenen zum Einsatz. Standardmäßig werden dabei sowohl ruhende Daten (Data-at-Rest) als auch bewegte Daten (Data-in-Transit) verschlüsselt. Je nach Bedarf unserer Kunden setzen wir auch zusätzliche Sicherheitsprotokolle um.
Ohne weitere Implementierungen verschlüsseln und authentifizieren unsere Cloud-Provider sämtliche Data-in-Transit auf einer oder mehreren Netzwerkebenen, sobald Daten physische Grenzen, die nicht mehr vom Cloud-Provider oder in dessen Auftrag kontrolliert werden, überschreiten. Google und Amazon nutzen den Advanced Encryption Standard (AES) Algorithmus, um Data-at-Rest zu verschlüsseln. Data-in-Transit werden mittels Transport Layer Security (TLS) verschlüsselt.
DSGVO-Compliance
Bloomreach unterstützt seine Kunden dabei, den besten Weg zur DSGVO-Compliance zu finden. Im Engagement-Bereich haben die Kunden die volle Kontrolle über das Consent Management (sie bestimmen den Verarbeitungszweck) und das Rechtemanagement für das Datensubjekt (sie können alle Kundendaten herunterladen sowie Kund:innen anonymisieren oder löschen).
Über das Access Management von Bloomreach können Nutzer:innen bestimmte Datentypen als PII auswählen, um die Anzeigegenehmigung für PII auf Nutzerebene einzustellen oder einzuschränken. Aufbewahrungs- und Ablauffristen können für jedes Event separat eingestellt werden. Darüber hinaus können Kunden über unsere Daten-API ihre Systeme integrieren, um alle Anfragen von Datensubjekten rasch zu bearbeiten.
Home Sicherheit bei Bloomreach