Alle Kollektionen
Allgemeine Informationen zum Produkt
Sicherheitsmaßnahmen des Produkts
Sicherheitsmaßnahmen des Produkts

Als SaaS-Lösung sind wir bemüht aktuellste Sicherheitsmaßnahmen regelmäßig auszuspielen.

Adrian Fuchsluger avatar
Verfasst von Adrian Fuchsluger
Vor über einer Woche aktualisiert

Produktbeschreibung

ovos play ist eine Webbasierte Hybrid-App zum Zweck der Wissensvermittlung. ovos play wird als SaaS Lösung angeboten. Kund*innen übernehmen nach dem Erwerb die Erstellung, Verwaltung und Analyse von Lerninhalten über ein eigenes Backend, das “Admin Dashboard”.

ovos play wird mit einem 3-wöchigen Release-Zyklus agil entwickelt. Außerplanmäßige Patch- und Hotfix-Releases sind möglich.

Technische Struktur

Die technische Struktur von ovos play kann wie folgt dargestellt werden:

Darstellung der technischen Struktur von ovos play.

Sicherheitsmaßnahmen von ovos als SaaS Anbieter

ovos play wird von der ovos media gmbh als SaaS Lösung vertrieben.

ovos media gmbh

Schottenfeldgasse 60/36-38

1070 Wien

Maßnahmen der Sicherheitsorganisation

ovos stellt den Kontakt des CISO zur Verfügung. Mitarbeiter*innen werden zweijährlich auf vereinbarte Sicherheitsrichtlinien geschult.

Zertifizierung

ISO:27001 im Bereich Software-Dienstleistung und -entwicklung. Für die Zertifizierung erfolgt ein jährliches Audit.

Gewährleistung der Systemsicherheit

ovos play als Web- und Native-App kann nur über verschlüsseltes HTTPS erreicht werden mit Nutzung eines HTTP Strict-Transport-Security (HSTS) Header mit gesetzter expireTime.

OWASP Top Ten Recommendations werden angestrebt. In der laufenden Entwicklung werden Maßnahmen gegen Cross-Site Scripting implementiert und getestet. Alle Fileuploads im Admin Dashboard und in der App sind Typenbeschränkt.

Zum Schutz for Brute Force Attacken wird ein Rate Limiting bei einer gewissen Anzahl an fehlgeschlagenen Login-Versuchen eingesetzt. Benutzer*innen müssen auf einen neuen Login-Versuch warten, die Dauer erhöht sich mit weiteren fehlgeschlagenen Login-Versuchen. Auch der Hosting Provider verwendet ein Netzwerk-Traffic Monitoring und aktiviert gegebenenfalls IP-Restriktionen.

Authorisierungskonzept

Die verfügbare Authentifizierung von ovos play erfolgt über einen Nickname bzw. E-Mail und Passwort. Die Passwort-Policy beim internen Authentifizierungskonzept ist festgelegt mit einem Minimum von 4 Zeichen. Die Passwort-Policy kann über eine konfigurierte SSO-Anbindung festgelegt werden.

SSO-Anbindungen können auf Anfrage implementiert werden. Unterstützt werden u.A.:

  • OpenID

  • LDAP

  • SAML

  • Microsoft Azure

  • Individuelle Anbindungen auf Anfrage

Berechtigungskonzept

Durch Rollen und Berechtigungen können Zugriffe im Admin Dashboard reguliert werden und bei Bedarf kann der Zugang zum Admin Dashboard gänzlich deaktiviert werden.

Sicherheitsmaßnahmen von Internex als Hosting Provider

Das Rechenzentrum wird betrieben von Interxion Österreich an folgendem Standort:

Interxion Österreich

Louis-Häfliger-Gasse 10

1210 Wien

Maßnahmen zur Ausfallsicherheit des Rechenzentrums

Brandschutz

  • Gasbasierendes Brandlöschsystem

  • Brandfrüherkennungssystem (VESDA) Brandschutzwände (F90)

Klimatisierung

  • Temperatur zwischen 18°C und 23°C

  • Luftfeuchtigkeit zwischen 40% und 60%

  • Redundantes System (N+1)

Sicherheit

  • Kontaktlose Schlüsselkarten & biometrisches Zugangssystem

  • Personenvereinzelungsanlagen

  • 24x7 Sicherheitspersonal vor Ort

  • Nur autorisiertes Personal und Kunden haben Zutritt zum RZ

  • Serverhousing-Zugang 24x7 möglich

  • CCTV-Kameraüberwachung und Einbruchmeldeanlage

Strom

  • Die Speisung erfolgt durch zwei unterschiedliche Stromnetze

  • Redundantes Generator-Backup (2N)

  • 230V/400V AC und 48V DC verfügbar

  • USV gestütztes A+B Feed

  • "Clean-Earth" und Überspannungsschutz

Organisatorische Sicherheitsmaßnahmen

Zutrittskontrolle

  • Alarmanlage

  • Automatisches Zugangskontrollsystem

  • Biometrische Zugangssperren

  • Chipkarten / Transondersysteme

  • Manuelles Schließsystem

  • Sicherheitsschlösser

  • Absicherund der Gebädeschächte

  • Klingelanlage mit Kamera

  • Videoüberwachung der Eingänge

Technische Sicherheitsmaßnahmen

Zugangskontrolle

  • Login mit Benutzername + Passwort

  • Login mit biometrischen Daten

  • VPN bei Remotezugriffen

  • Sperre externer Schnittstellen (USB)

Zugriffskontrolle

  • Physische Löschung von Datenträgern

  • Protokollierung von Zugriffen

  • Einsatz von Berechtigungskonzepten

Firewall, Anti-Virus-System, IDS, DDoS Protection sind implementiert. OS Updates werden standardmäßig alle 6 Monate ausgeführt.

Daten werden für jede*n Kund*in in separierten Datenbanken gespeichert.

Der Datentransfer erfolgt über das Webservice mittels SSL/TLS und wird mit HTTPS verschlüsselt.

Zertifizierungen

ISO:27001, ISO 22301, SOC 2

IT-Security Assessments

Für interne Systeme gibt es periodische Systemtests.

Kundensysteme können nach Unterzeichnung einer Permission to Attack jederzeit auf dessen eigene Kosten überprüft werden.

Hat dies Ihre Frage beantwortet?