HotDocs Document Services wurdeim Januar 2012 eingeführt und hat bereits einen großen Bedarf vieler Kunden erfüllt. Eine der Fragen, die uns seit der Einführung von HotDocs DocumentServiceshäufig gestellt wird, lautet: "Wie sind meine Daten geschützt?" Angesichts der sensiblen Informationen, die HotDocs regelmäßig verarbeitet, ist diese Frage durchaus berechtigt.
Als wir mit der Entwicklung von HotDocsDocument Services begannen, erkannten wir schnell, dass der Schutz der Kundendaten von größter Bedeutung ist. Bei der Entwicklung stand der Schutz der Kundendaten an erster Stelle - einschließlich der "coolen" Funktionen und des Komforts für die Benutzer. Wir sind uns bewusst, dassHotDocs Document Servicesohne strenge Sicherheitsvorkehrungen für niemanden von Nutzenwären, daher nehmen wir Sicherheit und Datenschutz sehr ernst.
DasDatensicherheitsmodellvon HotDocsDocument Servicesbasiert auf der Prämisse, dass Sicherheit an erster Stelle steht und Schadensbegrenzung an zweiter Stelle. Mit anderen Worten: Das Produkt ist so konzipiert, dass es luftdicht ist und keine Lücken aufweist. Wir haben jedoch auch Strategien zur Schadensbegrenzung in das Produkt integriert, um Ihre Daten zu schützen, selbst wenn sie gefährdet sind.
Sicherheit
Hier finden Sie eine Liste mit einigen der in HotDocsDocument Services integrierten Sicherheitsfunktionen:
- Die Dokumentendienstewerden auf der erstklassigen Microsoft Azure-Plattform gehostet. Microsoft hat viele relevante Zertifizierungen und Audits in Bezug auf den Rechenzentrumsbetrieb und den Azure-Software-Stack erhalten. Einzelheiten finden Sie hier:http://www.globalfoundationservices.com/
- Die gesamte Kommunikation zwischen den verschiedenen Komponenten vonHotDocs Document Services wird mit SSL/TLS verschlüsselt. Dies umfasst die Kommunikation zwischen dem Browser und dem Webserver, zwischen HotDocs Developer 10.2 und der Webanwendung sowie zwischen den verschiedenen Teilen und Komponenten des Document Services-Stacks. Darüber hinaus bieten das in den Hosting-Stack integrierte VLAN- und Paketfiltersystem eine zusätzliche Isolationsebene.
- Bei der Entwicklung von Document Services wurden die besten Entwicklungspraktiken angewandt. Unsere Mitarbeiter, die für das Design, den Aufbau und die Wartung der Sicherheit zuständig sind, sind allesamt erfahrene Ingenieure, die zuvor in einem Unternehmen für Sicherheitssoftware gearbeitet haben. Außerdem führen wir regelmäßig mehrere automatisierte Sicherheitstests für die Anwendung durch, um sicherzustellen, dass sie stabil bleibt.
- Der Zugriff auf die Datenbank der Dokumentendienste wird durch starke Berechtigungsnachweise kontrolliert und basiert auf dem Prinzip der geringsten Berechtigung. Alle sensiblen Daten sind verschlüsselt. Der Zugriff auf Dokumente, Antwortdateien und Vorlagen wird streng kontrolliert. Die Daten werden niemalsunverschlüsselt auf der Festplatte gespeichert. Die Schlüsselverwaltung ist dezentralisiert, so dass es selbst bei einer Kompromittierung einzelner Dienste in der Anwendung unmöglich wäre, Zugang zu allen erforderlichen Schlüsseln zu erhalten, um eine Datei aus dem DMS zu entschlüsseln. Die Daten werden mit dem Industriestandard AES-256 verschlüsselt.
Milderung
Der Komiker Emo Philips sagte: "Ein Computer hat mich einmal beim Schach geschlagen, aber beim Kickboxen war er mir nicht gewachsen. Es wäre dumm von uns zu glauben, dass wir nicht von entschlossenen Menschen geschlagen werden können, die andere Fähigkeiten haben als wir. Wir haben sehr hart daran gearbeitet, Software zu entwickeln, die eisenhart und resistent gegen alle Bedrohungen ist, aber wir sind uns bewusst, dass die Möglichkeit besteht, dass wir von jemandem geschlagen werden, der schlauer ist als wir. Um die Daten unserer Kunden für den Fall zu schützen, dass eine bisher unentdeckte Lücke in der Software auftaucht, haben wir eine Politik der Schadensbegrenzung eingeführt. Mit anderen Worten: Wir haben in das Programm Sicherheitsvorkehrungen eingebaut, die verhindern, dass eine Kompromittierung eines Teils des Systems Daten in anderen Teilen des Systems preisgibt. Außerdem haben wir das System so aufgebaut, dass eine Sicherheitslücke nicht zu einem Sprungbrett für Angreifer wird, um in andere Bereiche vorzudringen.
Für den höchst unwahrscheinlichen Fall, dass es einem Bösewicht gelingt, in die Datenbank einzudringen, möchten wir natürlich nicht, dass er daraus nützliche Daten gewinnt oder seinen Angriff auf andere Bereiche der Software ausdehnt (z. B. auf Daten, die nicht in der Datenbank gespeichert sind, einschließlich ausgefüllter Dokumente und Antwortdateien), daher haben wir alle sensiblen Daten mit Schlüsseln verschlüsselt, die von anderen Diensten verwaltet werden, und wir speichern nur Teile der erforderlichen Schlüssel an einem einzigen Ort.
Ein anderes Beispiel: Wenn ein Angreifer sich irgendwie in unseren DMS-Dienst einschleust (wo Dokumente, Antwortdateien und Vorlagen gespeichert sind), könnte er diese Elemente nicht lesen. Selbst wenn es ihm gelingt, auf unseren Code zuzugreifen, würden ihm unsere Dokumente und Antwortdateien ohne alle Teile des Puzzles als bedeutungslose Byteströme erscheinen.
Sicherheit der Benutzer
Egal, welche coolen, ausgefallenen, sicherheitsorientierten Funktionen wir in DocumentServices einbauen, um Sicherheitslücken zu verhindern, und egal, wie viele Firewalls, Sicherheitszugangsgeräte und Verschlüsselungen wir zum Schutz der Daten einsetzen, die größte Hintertür zu Ihren Kundendaten sind Ihre eigenen Benutzer. Jedes System, das für den Abruf von Daten für einen bestimmten Benutzer konzipiert ist, birgt das Risiko, dass diese Daten an einen Bösewicht weitergegeben werden, der sich als dieser Benutzer ausgibt. Unser System authentifiziert Benutzer mit Passwörtern, aber diese können erraten, erzwungen oder von anderen Systemen gestohlen werden, wenn das Passwort wiederverwendet wurde. Wir haben denAdministratoren der Dokumentendienstejedoch mehrere Werkzeuge an die Hand gegeben, um die Sicherheit ihrer Benutzerkonten zu gewährleisten, darunter
- Anforderungen an Länge und Komplexität des Passworts.
- Eine Benutzeroberfläche für die Passwortstärke, die den Benutzern hilft zu verstehen, wie stark ihr gewähltes Passwort ist.
- Konfigurierbare Richtlinien für den Ablauf von Kennwörtern, um zu verhindern, dass Benutzer dasselbe Kennwort über lange Zeiträume hinweg verwenden.
- IP-Zugriffsbeschränkungen. Administratoren können den Zugriff auf bestimmte IP-Adressbereiche beschränken. Selbst wenn jemand weiß, dass Ihr Lieblingspasswort "password123" lautet, nützt es ihm nichts, wenn er nicht von einem anerkannten IP-Netzwerk auf die Website zugreift.
- Mechanismen zur Verhinderung von Brute-Force-Angriffen. Wir verwenden CAPTCHA und andere Techniken, um Brute-Force-Angriffe teurer und schwieriger zu machen.
Dies ist natürlich keine vollständige und detaillierte Analyse all dessen, was wir tun, um Ihre Daten zu schützen, aber wir hoffen, dass sie als Versicherung dient, dass wir sehr hart daran arbeiten, sicherzustellen, dass alles inHotDocsDocument Servicesluftdichtist. Wir haben unser Bestes getan, um eine widerstandsfähige Software zu entwickeln, die jegliche Sicherheitsverletzungen isolieren kann. Wir hoffen, dass die Sicherheitselemente unseres Entwurfs niemals getestet werden - dass niemand jemals unsere ersten Verteidigungslinien überwinden kann. Wir sollten uns jedoch an das Zitat von Gene Spafford erinnern: "Das einzige wirklich sichere System ist eines, das ausgeschaltet, in einen Betonblock gegossen und in einem mit Blei ausgekleideten Raum mit bewaffneten Wachen versiegelt ist." Wenn wir dieses "wirklich sichere" System bauen würden, würde es leider niemand kaufen. Niemand will einen unzugänglichen Betonklotz, also haben wir uns für die nächstbeste Idee entschieden - und daraus wurde HotDocsDocument Services. Und wir sind sicher, dass Sie mit dem Ergebnis zufrieden sein werden.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf HotDocs.com. Im Juni 2024 erwarb Mitratech die fortschrittliche Dokumentenautomatisierungsplattform HotDocs. Der Inhalt wurde seither aktualisiert und enthält nun Informationen, die auf unser Produktangebot, Änderungen der Vorschriften und die Einhaltung von Vorschriften abgestimmt sind.
