MicroStrategy ONE

MicroStrategy Security-Assurance-Programm

Klicken Sie hier, um eine PDF-Version dieser Seite anzuzeigen.

MicroStrategy verfügt über ein umfassendes Sicherheitsprogramm, das auf den Schutz Ihrer Daten ausgerichtet ist, unabhängig davon, ob unser Produkt über unser Cloud Managed Service-Angebot oder vor Ort bereitgestellt wird. Vom Engineering bis hin zur Schwachstellenbehebung haben wir uns verpflichtet, sicherzustellen, dass unsere Produkte fortwährend Ihren Geschäfts- und Sicherheitsanforderungen entsprechen.

Zertifizierungen

  • ISO 27001 zertifiziert für MicroStrategy Cloud Umfeld
  • SOC2 Typ II Audit für MicroStrategy Cloud Umfeld
  • Privacy Shield-kompatibel
  • PCI DSS-konforme Cloud-Plattform
  • MicroStrategy vollständig verwaltete HIPAA-konforme Cloud-Lösung
  • Konform mit Corporate Financial System SOX
  • Ursprungsland des Produkts: USA

Persönliche Sicherheit

  • Hintergrundüberprüfungen für alle Mitarbeiter
  • Anmeldedaten für Schulungen validiert
  • Finanz-/Kredithistorie überprüft
  • Kriminellen Hintergrund überprüft

Sicherheitsschulungen und Zertifizierungen für Mitarbeiter

  • Sicherheitsprinzipien
  • Bedrohungsmodellierung
  • Websicherheit und Penetrationstests
  • Mobile Sicherheit

Sicherheitsdesignprozess

  • Bedrohungsmodellierung basierend auf STRIDE und anderen, intern entwickelten Modellen
  • Anwendung von Sicherheitsprinzipien (z. B. „Defense in Depth“)
  • Berücksichtigung von OWASP-10-Schwachstellen
  • Designüberprüfung durch dediziertes Security Engineering Team

Integrierte Sicherheitsfunktionen

  • Benutzerauthentifizierung
    • OIDC
    • SAML
    • SSO
    • LDAP/AD
    • Standard (Benutzername/Kennwort)
    • Kerberos
  • HTTPS-/TLS-Schutz für Daten, die übertragen werden
  • AES-256-Bit-Verschlüsselung für inaktive Daten
  • Rollenbasierte Zugriffskontrolle
  • Sicherheit auf Zeilenebene
  • CSRF, Clickjacking und HTML-Ausgabecodierung (für XSS-Prävention)

Sichere Entwicklung

  • Standards zur sicheren Programmierung für alle verwendeten Sprachen
  • Code-Überprüfung auf mehreren Ebenen
  • Statische Quellcodeanalyse
  • Binäres Scannen des kompilierten Codes mit de Veracode-Binärscanner
  • Manuelle Penetrationstests

Kontrolle von Drittanbieter-Komponenten

Die Verwendung von Drittanbieter-Komponenten wird streng kontrolliert. Für die Einführung neuer Komponenten in die Produkte wird ein formaler Prozess vorgeschrieben. Die unabhängige Bestätigung von Komponenten von Drittanbietern, die in die Produkte integriert sind, erfolgt über das Tool Synopsys Black Duck. Für Komponenten, die Sicherheitslücken aufweisen, wird mit höchster Priorität eine Aktualisierung oder Ersetzung geplant.

Interne Sicherheitstests

Während des gesamten Entwicklungszyklus MicroStrategy führt interne Penetrationstests durch, um die Sicherheit neuer oder geänderter Funktionen zu validieren und die Sicherheit der vorhandenen Produktsuite gegenüber neuen Bedrohungen erneut zu validieren. Diese Tests umfassen die in OWASP-10 identifizierten Risiken und andere bekannte Schwachstellen. Während des Produktdesigns entwickelte Bedrohungsmodelle bieten zusätzliche Anleitungen für diese Tests.

Unabhängige Penetrationstests

Wir beauftragen mehrere Sicherheitsunternehmen jährlich mit der Durchführung von Penetrationstests. Die Tests sind umfangreich und umfassen sowohl Black-Box-Testtechniken als auch White-Box-Tests, die vollständigen Zugriff auf den Produktquellcode beinhalten. Die Behebung der bei diesen Tests identifizierten Probleme im Produkt wird sofort nach Risikopriorität geplant. Nachfolgende erneute Tests werden dann von den Sicherheitsunternehmen durchgeführt, um zu verifizieren, dass die Probleme erfolgreich gelöst wurden.

Sichere Veröffentlichung

Ein zentralisiertes Code-Repository (GitHub Enterprise) wird für die Entwicklung verwaltet. Repository-Check-Ins werden bereichsspezifischen Verfahren zur Code-Überprüfung unterzogen. Der Build-Prozess wird vom DevOps-Team gesteuert. Alle Computer, die für die Produktentwicklung eingesetzt werden, nutzen einen Virenscanner der Enterprise-Klasse, der mit den neuesten Signaturen aktualisiert wurde.

Sicherheitspatches und -upgrades

Sicherheit ist das A und O bei MicroStrategy. Schwachstellen werden als Probleme mit höchster Priorität behandelt und im nächsten Release behoben. Daher ist die Aktualisierung Ihrer Software eine der einfachsten, aber wichtigsten Sicherheitsvorkehrungen, die Sie treffen können, um Ihre MicroStrategy Produktsicherheit. Im Falle eines kritischen Sicherheitsproblems außerhalb des regulären Update-Zyklus, MicroStrategy Möglicherweise wird ein vorläufiger Patch oder Workaround herausgegeben, aber um Ihre Bereitstellungen so sicher wie möglich zu halten, ist dennoch ein Upgrade erforderlich.

Melden eines Sicherheitsproblems

Aktuell MicroStrategy Kunden können potenzielle Sicherheitsprobleme und Fragen melden über MicroStrategy Technische Unterstützung. Wissenschaftler können Probleme über unsere Berichtsseite melden.

Wenn Sie weitere Informationen benötigen, wenden Sie sich bitte an Ihren Ansprechpartner.