Sicherheit

Zoho bietet Millionen von Benutzern weltweit SaaS-Produkte (Software-as-a-Service) an, um ihre Geschäftsprobleme zu lösen. Sicherheit ist eine Schlüsselkomponente in unseren Angeboten und spiegelt sich in unseren Mitarbeitern, Prozessen und Produkten wider. Auf dieser Seite werden Themen wie Datensicherheit, Betriebssicherheit und physische Sicherheit behandelt, um zu erklären, wie wir unseren Kunden Sicherheit bieten.

Aktualisiert am: 12. Juli 2020

Übersicht

Unsere Sicherheitsstrategie umfasst die folgenden Komponenten

  •   Unternehmenssicherheit
  •   Physische Sicherheit
  •   Infrastruktursicherheit
  •   Datensicherheit
  •   Identitäts- und Zugriffskontrolle
  •   Betriebssicherheit
  •   Incident Management
  •   Verantwortungsvolle Offenlegung
  •   Anbieterverwaltung
  •   Kundenkontrollen zur Sicherheit

Unternehmenssicherheit

Wir verfügen über ein Informationssicherheitsmanagementsystem (ISMS), das unsere Sicherheitsziele sowie die Risiken und Risikominderungen aller interessierten Parteien berücksichtigt. Wir setzen strenge Richtlinien und Verfahren ein, die die Sicherheit, Verfügbarkeit, Verarbeitung, Integrität und Vertraulichkeit von Kundendaten umfassen.

Hintergrundprüfungen für Mitarbeiter

Jeder Mitarbeiter durchläuft einen Prozess der Hintergrundprüfung. Wir beauftragen renommierte externe Agenturen, diese Prüfung in unserem Namen durchzuführen. Wir führen eine solche Prüfung durch, um ihre Vorstrafen und frühere Beschäftigungen, sofern vorhanden, sowie ihren Ausbildungshintergrund zu überprüfen. Bis zur Durchführung dieser Prüfung werden dem Mitarbeiter keine Aufgaben zugewiesen, die Risiken für Benutzer darstellen können. 

Sicherheitsbewusstsein

Alle Mitarbeiter unterschreiben auf Aufforderung eine Vertraulichkeitsvereinbarung und eine "Acceptable Use Policy" (Richtlinie zur akzeptablen Nutzung). Danach werden sie in den Bereichen Informationssicherheit, Datenschutz und Compliance geschult. Darüber hinaus bewerten wir ihr Verständnis anhand von Tests und Prüfungen, um zu ermitteln, in welchen Themen sie weitere Schulungen benötigen. Wir bieten Schulungen zu bestimmten Sicherheitsaspekten an, die sie je nach Rolle möglicherweise benötigen.

Wir schulen unsere Mitarbeiter kontinuierlich in den Bereichen Informationssicherheit, Datenschutz und Compliance in unserer internen Community, bei der sich unsere Mitarbeiter regelmäßig anmelden, um sich über die Sicherheitspraktiken des Unternehmens auf dem Laufenden zu halten. Außerdem veranstalten wir interne Veranstaltungen, um das Bewusstsein zu stärken und Innovationen in den Bereichen Sicherheit und Datenschutz fördern.

Dedizierte Sicherheits- und Datenschutzteams

Wir verfügen über dedizierte Sicherheits- und Datenschutzteams, die unsere Sicherheits- und Datenschutzprogramme umsetzen und verwalten. Sie konzipieren und verwalten unsere Verteidigungssysteme, entwickeln Prozesse zur Überprüfung der Sicherheit und überwachen ständig unsere Netzwerke, um verdächtige Aktivitäten zu entdecken. Sie erbringen domänenspezifische Beratungsservices und leiten unsere Technikteams an.

Interne Prüfung und Compliance

Wir verfügen über ein dediziertes Compliance-Team, das Verfahren und Richtlinien in Zoho überprüft bzw. an gängige Standards anpasst und die zur Erfüllung dieser Standards erforderlichen Kontrollen, Prozesse und Systeme festlegt. Dieses Team führt auch regelmäßige interne Prüfungen durch und ermöglicht unabhängige Prüfungen und Beurteilungen durch Dritte.

Weitere Details finden Sie in unserem Compliance-Portfolio.

Endpunkt-Sicherheit

Auf allen Workstations der Zoho-Mitarbeiter befindet sich eine aktuelle Betriebbssystemversion und Antivirensoftware. Die Workstations sind so konfiguriert, dass sie unsere Sicherheitsstandards erfüllen. Dafür müssen alle Workstations ordnungsgemäß und mit den erforderlichen Patches konfiguriert sein und von den Endpunktverwaltungslösungen von Zoho verfolgt und überwacht werden. Diese Workstations sind standardmäßig sicher, da sie so konfiguriert sind, dass Daten im Ruhezustand verschlüsselt, sichere Passwörter verwendet und sie gesperrt werden, wenn sie inaktiv sind. Mobile Geräte, die für geschäftliche Zwecke verwendet werden, werden in das Managementsystem für mobile Geräte aufgenommen, um sicherzustellen, dass sie unseren Sicherheitsstandards entsprechen.

Physische Sicherheit

Am Arbeitsplatz

Mit Hilfe von Zugangskarten kontrollieren wir den Zugriff auf unsere Ressourcen (Gebäude, Infrastruktur und Einrichtungen), einschließlich Verbrauch, Zutritt und Nutzung. Wir stellen Mitarbeitern, Auftragnehmern, Lieferanten und Besuchern unterschiedliche Zugangskarten zur Verfügung, die nur den Zugang erlauben, der genau auf den Zweck ihres Zutritts zum Gelände zugeschnitten ist. Das HR-Team (Human Resource) erstellt und verwaltet die rollenspezifischen Zwecke. Wir führen Zugriffsprotokolle, um Unregelmäßigkeiten zu erkennen und zu beheben. 

In Rechenzentren

In unseren Rechenzentren übernimmt ein Co-Location-Anbieter die Verantwortung für Gebäude, Kühlung, Stromversorgung und physische Sicherheit, während wir die Server und den Speicher bereitstellen. Der Zugang zu den Rechenzentren ist auf eine kleine Gruppe autorisierter Personen begrenzt. Für jeden anderen Zugang wird ein Ticket erstellt und nur nach Genehmigung der jeweiligen Manager erlaubt. Für den Zutritt zum Gelände sind zusätzlich Zwei-Faktor-Authentifizierung und biometrische Authentifizierung erforderlich. Für den Fall, dass ein Vorfall auftritt, stehen Zugriffsprotokolle, Aktivitätsaufzeichnungen und Kameraaufnahmen zur Verfügung.

Überwachung

Wir überwachen alle Ein- und Ausgangsbewegungen in allen unseren Geschäftszentren und Rechenzentren durch Überwachungskameras, die gemäß den lokalen Vorschriften eingesetzt werden. Je nach den Anforderungen für den betreffenden Standort ist Sicherungsmaterial bis zu einem bestimmten Zeitraum verfügbar.

Infrastruktursicherheit

Netzwerksicherheit

Unsere Netzwerksicherheits- und Überwachungstechniken wurden entwickelt, um mehrere Schutz- und Verteidigungsebenen bereitzustellen. Wir verwenden Firewalls, um unser Netzwerk vor unbefugtem Zugriff und unerwünschtem Datenverkehr zu schützen. Unsere Systeme sind in separate Netzwerke unterteilt, um vertrauliche Daten zu schützen. Systeme, die Test- und Entwicklungsaktivitäten unterstützen, werden in einem Netzwerk gehostet, das von dem Netzwerk abgetrennt ist, in dem sich die Systeme zur Unterstützung der Produktionsinfrastruktur von Zoho befinden.

Wir überwachen den Firewall-Zugriff nach einem strengen, regelmäßigen Zeitplan. Ein Netzwerkingenieur prüft jeden Tag alle Änderungen an der Firewall. Darüber hinaus werden diese Änderungen alle drei Monate überprüft, um die Regeln zu aktualisieren und zu überarbeiten. Unser dediziertes Network Operations Center-Team überwacht die Infrastruktur und Anwendungen auf Abweichungen oder verdächtige Aktivitäten. Alle wichtigen Parameter werden kontinuierlich mit unserem proprietären Tool überwacht, und in jedem Fall von ungewöhnlichen oder verdächtigen Aktivitäten in unserer Produktionsumgebung werden Benachrichtigungen ausgelöst.

Netzwerkredundanz

Alle Komponenten unserer Plattform sind redundant. Wir verwenden eine verteilte Rasterarchitektur, um unser System und unsere Dienste vor den Auswirkungen möglicher Serverausfälle zu schützen. Bei einem Serverausfall können die Benutzer wie gewohnt weiterarbeiten, da ihre Daten und Zoho-Dienste weiterhin zur Verfügung stehen.

Außerdem verwenden wir mehrere Switches, Router und Sicherheits-Gateways, um Redundanz auf Geräteebene zu gewährleisten. Dies verhindert Single-Point-Ausfälle im internen Netzwerk.

DDoS-Schutz

Wir verwenden Technologien von etablierten und vertrauenswürdigen Dienstanbietern, um DDoS-Angriffe auf unsere Server zu verhindern. Diese Technologien bieten mehrere Funktionen zur DDoS-Minderung, um Störungen durch fehlerhaften Datenverkehr zu verhindern und gleichzeitig einen guten Datenverkehr zu ermöglichen. Dadurch bleiben unsere Websites, Anwendungen und APIs hochverfügbar und leistungsfähig.

Server-Härtung

Alle Server, die für Entwicklungs- und Testaktivitäten bereitgestellt werden, werden gehärtet (indem nicht verwendete Ports und Konten deaktiviert, Standardpasswörter entfernt werden usw.). Das Image des Betriebssystems (BS) verfügt über eine integrierte Serverhärtung, und dieses BS-Image wird auf den Servern bereitgestellt, um die Konsistenz zwischen den Servern zu gewährleisten.

Erkennung und Abwehr von Eindringlingen

Unser Intrusion Detection-Mechanismus erfasst hostbasierte Signale einzelner Geräte und netzwerkbasierte Signale von Überwachungspunkten innerhalb unserer Server. Der administrative Zugriff, die Verwendung privilegierter Befehle und Systemaufrufe auf allen Servern in unserem Produktionsnetzwerk werden protokolliert. Regeln und Maschinenintelligenz, die auf diesen Daten aufbauen, geben Sicherheitstechnikern Warnungen über mögliche Vorfälle. Auf der Anwendungsebene verfügen wir über unsere proprietäre WAF, die sowohl auf Whitelist- als auch auf Blacklist-Regeln basiert.

Auf ISP-Ebene (Internet Service Provider) wird ein mehrschichtiger Sicherheitsansatz mit Scrubbing, Netzwerkrouting, Begrenzung der Übertragungsrate und Filterung implementiert, um Angriffe von der Netzwerkebene bis zur Anwendungsebene zu bewältigen. Dieses System bietet sauberen Datenverkehr, zuverlässigen Proxy-Service und eine sofortige Meldung möglicher Angriffe. 

Datensicherheit

Sicherheit durch Design

Jede Änderung und jede neue Funktion wird von einer Change-Management-Richtlinie geregelt, um sicherzustellen, dass alle Anwendungsänderungen vor der Implementierung in die Produktion autorisiert werden. Unser Softwareentwicklungszyklus (Software Development Life Cycle, SDLC) schreibt die Einhaltung sicherer Codierungsrichtlinien sowie die Überprüfung von Codeänderungen auf potenzielle Sicherheitsprobleme vor, mit unseren Codeanalysetools, Schwachstellenscannern und manuellen Überprüfungsprozessen.

Unser robustes Sicherheitsframework, das auf OWASP-Standards basiert und in der Anwendungsebene implementiert ist, bietet Funktionen zur Minderung von Bedrohungen wie SQL-Injektion, standortübergreifendes Scripting und DOS-Angriffe auf Anwendungsebene. 

Datenisolierung

Unser Framework verteilt und verwaltet den Cloud-Speicherplatz für unsere Kunden. Die Servicedaten jedes Kunden werden mithilfe einer Reihe sicherer Protokolle im Framework logisch von den Daten anderer Kunden getrennt. Dadurch wird sichergestellt, dass die Servicedaten eines Kunden für einen anderen Kunden nicht zugänglich sind.

Die Servicedaten werden auf unseren Servern gespeichert, wenn Sie unsere Dienste nutzen. Ihre Daten sind Eigentum von Ihnen und nicht von Zoho. Wir geben diese Daten ohne Ihre Zustimmung nicht an Dritte weiter.

Verschlüsselung

Bei der Übertragung: Alle Kundendaten, die über öffentliche Netzwerke an unsere Server übertragenen werden, werden mit strengen Verschlüsselungsprotokollen geschützt. Auf allen Verbindungen zu unseren Servern wird die Transport Layer Security-Verschlüsselung (TLS 1.2/1.3) mit starken Chiffrierschlüsseln angewendet. Dies gilt für alle Verbindungen, einschließlich Internetzugriff, API-Zugriff, unsere mobilen Apps und Zugriff auf den E-Mail-Client über IMAP/POP/SMTP. Dies stellt eine sichere Verbindung her, indem die Authentifizierung beider an der Verbindung beteiligten Parteien ermöglicht wird sowie durch Verschlüsselung der zu übertragenden Daten. Darüber hinaus nutzen unsere Dienste standardmäßig opportunistisches TLS für E-Mails. TLS bietet eine sichere Verschlüsselung bzw. Zustellung von E-Mails und reduziert Abfangversuche zwischen Mail-Servern in den Fällen, in denen Peer-Services dieses Protokoll unterstützen.

Unsere verschlüsselten Verbindungen bieten volle Unterstützung für Perfect Forward Secrecy (PFS). Dadurch wird sichergestellt, dass selbst dann, wenn in Zukunft Gefährdungen auftreten würden, zuvor stattgefundene Kommunikation nicht entschlüsselt werden kann. Wir haben für alle Internetverbindungen HTTP Strict Transport Security (HSTS) aktiviert. Dadurch wird allen modernen Browsern mitgeteilt, dass sie nur über eine verschlüsselte Verbindung mit uns kommunizieren dürfen, auch dann, wenn Sie auf unserer Website eine URL zu einer unsicheren Seite eingeben. Zusätzlich markieren wir im Internet alle unsere Authentifizierungs-Cookies als sicher.

Im Ruhezustand: Wir verschlüsseln ruhende Kundendaten mit dem 256-Bit-Standard AES (Advanced Encryption Standard). Die Daten, die im Ruhezustand verschlüsselt werden, sind von den Diensten abhängig, für die Sie sich entscheiden. Die Schlüssel gehören uns und wir verwalten sie mit unserem internen Schlüsselverwaltungsdienst (Key Management Service, KMS). Wir bieten zusätzliche Sicherheitsebenen, indem wir die Datenverschlüsselungsschlüssel mit Master-Schlüsseln verschlüsseln. Die Master-Schlüssel und Datenverschlüsselungsschlüssel sind physisch voneinander getrennt und werden auf unterschiedlichen Servern gespeichert, für die ein beschränkter Zugriff besteht.

Klicken Sie hier, um detaillierte Informationen über die Verschlüsselung bei Zoho zu erhalten, oder klicken Sie hier, um mehr darüber zu erfahren, welche Daten wir in unseren Diensten verschlüsseln.

Datenspeicherung und -löschung

Wir speichern die Daten in Ihrem Konto, so lange Sie Zoho Services verwenden. Sobald Sie Ihr Zoho-Benutzerkonto kündigen, werden Ihre Daten bei der nächsten Bereinigung, die alle 6 Monate durchgeführt wird, aus der aktiven Datenbank gelöscht. Die aus der aktiven Datenbank gelöschten Daten werden nach 3 Monaten aus unseren Backups gelöscht. Falls Ihr kostenloses Konto 120 Tage lang ununterbrochen inaktiv ist, lösen wir es auf, nachdem wir Sie entsprechend informiert und Ihnen die Möglichkeit gegeben haben, Ihre Daten zu sichern.

Die Entsorgung unbenutzbarer Geräte wird von einem geprüften und autorisierten Anbieter vorgenommen. Bis dahin kategorisieren und speichern wir sie an einem sicheren Standort. Alle auf den Geräten enthaltenen Daten werden vor der Entsorgung formatiert. Wir entmagnetisieren ausgefallene Festplatten und zerstören sie dann physisch mit einem Schredder. Fehlerhafte Solid State-Laufwerke (SSDs) werden dem Crypto Erase-Verfahren unterzogen und geschreddert.

Identitäts- und Zugriffskontrolle

Single Sign-On (SSO)

Zoho bietet Single Sign-On (SSO), mit dem Benutzer über die gleiche Anmeldeseite und mit den gleichen Authentifizierungsdaten auf mehrere Dienste zugreifen können. Die Anmeldung bei beliebigen Zoho-Services geschieht ausschließlich über unseren integrierten Service für Identitäts- und Zugriffsverwaltung (IAM). Wir unterstützen auch SAML für Single-Sign-On, sodass Kunden den Identitätsanbieter ihres Unternehmens integrieren können (wie LDAP, ADFS), wenn sie sich bei den Zoho-Services anmelden.

SSO vereinfacht den Anmeldeprozess, gewährleistet die Einhaltung von Richtlinien, bietet eine effektive Zugriffskontrolle und Berichterstellung und verringert das Risiko von Passwortmüdigkeit und damit von schwachen Passwörtern.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung bietet eine weitere Sicherheitsebene, indem neben dem Kennwort eine zusätzliche Überprüfung verlangt wird, die der Benutzer besitzen muss. Dies kann das Risiko eines unbefugten Zugriffs erheblich reduzieren, wenn das Kennwort eines Benutzers kompromittiert wird. Sie können die Multi-Faktor-Authentifizierung mit der Authentifizierung von Zoho One konfigurieren. Derzeit werden verschiedene Modi unterstützt, wie biometrische Touch-ID oder Face-ID, Push-Benachrichtigung, QR-Code und ein zeitbasiertes Einmalkennwort.

Wir unterstützen auch Yubikey Hardware Security Key für die Multi-Faktor-Authentifizierung.

Administrativer Zugriff

Wir setzen technische Zugriffskontrollen und interne Richtlinien ein, um Mitarbeitern den willkürlichen Zugriff auf Benutzerdaten zu untersagen. Wir halten uns an die Prinzipien der geringsten Rechte und rollenbasierten Berechtigungen, um das Risiko einer Datengefährdung zu minimieren.

Der Zugriff auf Produktionsumgebungen wird über ein zentrales Verzeichnis verwaltet und mithilfe einer Kombination aus sicheren Passwörtern, Zwei-Faktor-Authentifizierung und passwortgeschützten SSH-Schlüsseln authentifiziert. Darüber hinaus ermöglichen wir diesen Zugriff über ein separates Netzwerk mit strengeren Regeln und gehärteten Geräten. Zudem protokollieren wir alle Vorgänge und prüfen sie regelmäßig.

Betriebssicherheit

Protokollierung und Überwachung

Wir überwachen und analysieren Informationen, die aus Diensten, dem internen Datenverkehr in unserem Netzwerk und der Nutzung von Geräten und Endgeräten gesammelt werden. Diese Informationen werden in Form von Ereignisprotokollen, Auditprotokollen, Fehlerprotokollen, Administratorprotokollen und Betreiberprotokollen aufgezeichnet. Diese Protokolle werden automatisch überwacht und in einem angemessenen Umfang analysiert, sodass wir Unregelmäßigkeiten wie ungewöhnliche Aktivitäten in den Konten von Mitarbeitern oder Zugriffsversuche auf Kundendaten erkennen können. Wir speichern diese Protokolle auf einem sicheren, vom vollständigen Systemzugriff isolierten Server, um die Zugriffskontrolle zentral zu verwalten und die Verfügbarkeit sicherzustellen. 

Eine detaillierte Audit-Protokollierung, die alle vom Benutzer durchgeführten Aktualisierungs- und Löschvorgänge abdeckt, steht den Kunden in jedem Zoho-Dienst zur Verfügung.

Schwachstellen-Management

Wir verfügen über einen dedizierten Prozess für das Schwachstellen-Management, bei dem wir mit einer Kombination aus zertifizierten Scanner-Tools von Drittanbietern und internen Tools aktiv nach Sicherheitsbedrohungen suchen und automatisierte und manuelle Penetrationstests durchführen. Darüber hinaus überprüft unser Sicherheitsteam aktiv eingehende Sicherheitsberichte und überwacht öffentliche Mailinglisten, Blogbeiträge und Wikis, um Sicherheitsvorfälle zu identifizieren, die die Unternehmensinfrastruktur beeinträchtigen könnten.

Sobald wir eine Schwachstelle erkennen, die behoben werden muss, wird sie protokolliert, nach Schweregrad priorisiert und einem Eigentümer zugewiesen. Wir identifizieren zudem die damit verbundenen Risiken und verfolgen die Schwachstelle, bis sie behoben ist, entweder durch Patchen der anfälligen Systeme oder durch Anwendung entsprechender Kontrollen.

Schutz vor Malware und Spam

Wir scannen alle Benutzerdateien mit unseren automatischen Scanner-Systemen, die darauf ausgerichtet sind, das Eindringen von Malware in das Ökosystem von Zoho zu verhindern. Unsere benutzerdefinierte Anti-Malware-Engine, die regelmäßig von externen Bedrohungsanalysequellen aktualisiert wird, scannt Dateien auf schädliche Muster und Signaturen, die auf der Blacklist stehen. Darüber hinaus stellt unsere proprietäre Erkennungs-Engine zusammen mit maschinellen Lernverfahren sicher, dass Kundendaten vor Malware geschützt sind. 

Zoho unterstützt Domain-based Message Authentication, Reporting, and Conformance (DMARC), um Spam-Nachrichten zu verhindern. DMARC verwendet SPF und DKIM, um Nachrichten auf ihre Authentizität zu überprüfen. Wir verwenden zudem unsere proprietäre Erkennungs-Engine zur Identifizierung von Missbrauch bei Zoho-Diensten, wie Phishing und Spam-Nachrichten. Darüber hinaus verfügen wir über ein dediziertes Anti-Spam-Team, um die Signale der Software zu überwachen und Missbrauchsbeschwerden zu bearbeiten.
Wenn Sie mehr erfahren möchten, klicken Sie hier.

Datensicherung

In den Rechenzentren von Zoho führen wir täglich inkrementelle Datensicherungen und einmal wöchentlich komplette Datensicherungen unserer Datenbanken durch, und zwar über die Zoho Admin Console (ZAC). Sicherungsdaten werden im Rechenzentrum (DC) am gleichen Ort gespeichert und anhand des AES-Algorithmus mit 256 Bit verschlüsselt. Wir speichern sie im tar.gz.-Format Alle gesicherten Daten werden drei Monate lang aufbewahrt. Wenn Kunden innerhalb des Aufbewahrungszeitraums eine Datenwiederherstellung anfordern, stellen wir die jeweiligen Daten wieder her und stellen sie den Kunden sicher zur Verfügung. Der Zeitplan für die Datenwiederherstellung hängt von der Größe der Daten und der Komplexität ab.

Um die Sicherheit der gesicherten Daten zu gewährleisten, verwenden wir für die Datensicherungsserver ein redundantes Array unabhängiger Festplatten (RAID). Alle Datensicherungen werden regelmäßig geplant und nachverfolgt. Bei einem Fehlversuch wird ein erneuter Durchlauf initiiert und das Problem wird sofort behoben. Die Integritäts- und Validierungsprüfungen der vollständigen Datensicherungen werden automatisch vom ZAC-Tool durchgeführt.

Wir empfehlen Ihnen dringend, regelmäßige Datensicherungen durchzuführen, indem Sie diese aus den jeweiligen Zoho-Services exportieren und lokal in Ihrer Infrastruktur speichern.

Disaster Recovery und Business Continuity

Anwendungsdaten werden in einem ausfallsicheren Speicher gesichert, der über Rechenzentren hinweg repliziert wird. Die Daten im primären Rechenzentrum werden nahezu in Echtzeit auf dem sekundären Rechenzentrum repliziert. Bei einem Ausfall des primären DC übernimmt das sekundäre DC, und der Betrieb erfolgt reibungslos mit minimalem oder ohne Zeitverlust. Beide Zentren sind mit mehreren ISPs ausgestattet.

Wir verfügen über Reservespannungsversorgung, Temperaturregelungssysteme und Brandschutzsysteme als physikalische Maßnahmen zur Sicherstellung der Business Continuity. Diese Maßnahmen helfen uns dabei, Ausfallsicherheit zu erreichen. Neben der Redundanz von Daten haben wir einen Business Continuity-Plan für unsere wichtigsten Abläufe wie Support und Infrastrukturmanagement.

Incident Management

Berichterstellung

Wir verfügen über ein dediziertes Incident-Management-Team. Wir informieren Sie über die Vorfälle in unserer Umgebung, die Sie betreffen, sowie über geeignete Maßnahmen, die Sie ergreifen müssen. Wir verfolgen und schließen die Vorfälle mit entsprechenden Korrekturmaßnahmen. Falls Sie betroffen sind, werden wir die erforderlichen Nachweise in Form von Anwendungs- und Prüfprotokollen identifizieren, erfassen, sammeln und Ihnen zur Verfügung stellen. Darüber hinaus implementieren wir Kontrollen, um ein erneutes Auftreten ähnlicher Situationen zu verhindern.

Wir reagieren mit hoher Priorität auf die Sicherheits- oder Datenschutzvorfälle, die Sie uns über incidents@zohocorp.com melden. Bei allgemeinen Vorfällen informieren wir Benutzer auf unseren Blogs, in unseren Foren und über soziale Medien. Bei Vorfällen, die sich speziell auf einzelne Benutzer oder Unternehmen beziehen, werden wir die Betroffenen per E-Mail benachrichtigen (unter Verwendung der primären E-Mail-Adresse des bei uns registrierten Organisationsadministrators).

Benachrichtigung bei Verstößen

Als Datenverantwortliche informieren wir die betroffene Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden über einen Verstoß gemäß der Datenschutz-Grundverordnung (DSGVO). Je nach spezifischen Anforderungen benachrichtigen wir die Kunden bei Bedarf ebenfalls. Als Datenverarbeiter informieren wir die betroffenen Datenverantwortlichen unverzüglich. 

Verantwortungsvolle Offenlegungen

Im Rahmen von "Bug Bounty" gibt es ein Programm zur Meldung von Schwachstellen, das die Forscher-Community erreicht und die Arbeit von Sicherheitsforschern anerkennt und belohnt. Wir verpflichten uns, mit der Community zusammenzuarbeiten, um die gemeldeten Schwachstellen zu überprüfen, zu reproduzieren, darauf zu reagieren und geeignete Lösungen zu implementieren.

Wenn Sie auf Probleme mit Schwachstellen stoßen, melden Sie diese bitte unter https://bugbounty.zoho.com/. Wenn Sie Schwachstellen direkt an uns melden möchten, senden Sie uns eine E-Mail an security@zohocorp.com. 

Anbieter- und Drittanbietermanagement

Wir bewerten und qualifizieren unsere Anbieter auf der Grundlage unserer Anbieterverwaltungsrichtlinie. Wir engagieren neue Anbieter, nachdem wir ihre Prozesse für die Erbringung von Dienstleistungen an uns verstanden und eine Risikobewertung vorgenommen haben. Wir ergreifen angemessene Maßnahmen, um die Einhaltung unserer Sicherheitsstrategie sicherzustellen. Dazu gehören Vereinbarungen, nach denen die Anbieter die Verpflichtungen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität einhalten müssen, die wir unseren Kunden gegenüber zugesagt haben. Wir überwachen die effektiven Prozessschritte der Organisation und die Sicherheitsmaßnahmen, indem wir deren Kontrollen regelmäßig überprüfen.

Kundenkontrollen zur Sicherheit

Bislang haben wir darüber gesprochen, was wir tun, um unseren Kunden an mehreren Fronten Sicherheit zu bieten. Nachfolgend einige Überlegungen dazu, was Sie als Kunden tun können, um von Ihrer Seite aus für Sicherheit zu sorgen:

  •   Wählen Sie ein eindeutiges starkes Passwort, und schützen Sie es.
  •   Verwenden Sie Multi-Faktor-Authentifizierung
  •   Verwenden Sie die neueste Browserversion, das neueste BS für mobile Geräte und aktualisierte mobile Anwendungen, um sicherzustellen, dass die erforderlichen Patches für Schwachstellen und die neuesten Sicherheitsfunktionen vorhanden sind
  •   Treffen Sie angemessene Vorkehrungen, wenn Sie Daten aus unserer Cloud-Umgebung teilen.
  •   Klassifizieren Sie Ihre Daten in personenbezogene und sensible Daten und markieren Sie sie entsprechend.
  •   Überwachen Sie mit Ihrem Konto verknüpfte Geräte, aktive Websitzungen und den Zugriff von Dritten, um Anomalien bei den Aktivitäten auf Ihrem Konto zu erkennen, und verwalten Sie die Rollen und Berechtigungen für Ihr Konto.
  •   Achten Sie auf Bedrohungen durch Phishing und Malware, indem Sie auf ungewöhnliche E-Mails, Websites und Links achten, die Ihre sensiblen Daten abschöpfen können, indem sie Zoho oder andere Dienste, denen Sie vertrauen, imitieren.

Weitere Informationen darüber, wie Sie mit Zoho zusammenarbeiten können, um eine sichere Cloud-Umgebung zu schaffen, finden Sie in unserer Ressource zum Verständnis der gemeinsamen Verantwortung mit Zoho. Hier finden Sie eine gründliche Analyse des Modells der "gemeinsamen Verantwortung" und dazu, wie unsere Kunden und auch Zoho beim Thema Cloud-Sicherheit und Datenschutz zusammenarbeiten können, aber auch persönlich Verantwortung übernehmen müssen.

Schlussfolgerung

Die Sicherheit Ihrer Daten ist Ihr Recht und eine nie endende Aufgabe für Zoho. Wir werden auch weiterhin intensiv daran arbeiten, dass Ihre Daten sicher bleiben, so wie wir es immer getan haben. Wenn Sie weitere Fragen zu diesem Thema haben, werfen Sie einen Blick in unsere FAQs oder schreiben Sie uns einfach eine E-Mail an security@zohocorp.com.