Sicherheitsmaßnahmen des Produkts (TOMs)

Produktbeschreibung

ovos play ist eine Webbasierte Hybrid-App zum Zweck der Wissensvermittlung. ovos play wird als SaaS Lösung angeboten. Kund*innen übernehmen nach dem Erwerb die Erstellung, Verwaltung und Analyse von Lerninhalten über ein eigenes Backend, das “Admin Dashboard”.

ovos play wird mit einem 3-wöchigen Release-Zyklus agil entwickelt. Außerplanmäßige Patch- und Hotfix-Releases sind möglich.

Sicherheitsmaßnahmen von ovos als SaaS Anbieter

ovos play wird von der ovos media gmbh als SaaS Lösung vertrieben.

• ovos media gmbh

• Schottenfeldgasse 60/36-38

• 1070 Wien

Maßnahmen der Sicherheitsorganisation

ovos stellt den Kontakt des CISO zur Verfügung. Mitarbeiter*innen werden zweijährlich auf vereinbarte Sicherheitsrichtlinien geschult.

Zertifizierung

ISO:27001 im Bereich Software-Dienstleistung und -entwicklung. Für die Zertifizierung erfolgt ein jährliches Audit.

Authorisierungskonzept

Die verfügbare Authentifizierung von ovos play erfolgt über einen Nickname bzw. E-Mail und Passwort. Die Passwort-Policy kann über eine konfigurierte SSO-Anbindung festgelegt werden.

SSO-Anbindungen können auf Anfrage implementiert werden. Unterstützt werden u.A.:

• OpenID

• LDAP

• SAML

• Microsoft Azure

• Individuelle Anbindungen auf Anfrage

Berechtigungskonzept

Durch Rollen und Berechtigungen können Zugriffe im Admin Dashboard reguliert werden und bei Bedarf kann der Zugang zum Admin Dashboard gänzlich deaktiviert werden.

Sicherheitsmaßnahmen von Internex als Hosting Provider

Das Rechenzentrum wird betrieben von Interxion Österreich an folgendem Standort:

• Interxion Österreich

• Louis-Häfliger-Gasse 10

• 1210 Wien

Maßnahmen zur Ausfallsicherheit des Rechenzentrums

Brandschutz

• Gasbasierendes Brandlöschsystem

• Brandfrüherkennungssystem (VESDA) Brandschutzwände (F90)

Klimatisierung

• Temperatur zwischen 18°C und 23°C

• Luftfeuchtigkeit zwischen 40% und 60%

• Redundantes System (N+1)

Sicherheit

• Kontaktlose Schlüsselkarten & biometrisches Zugangssystem

• Personenvereinzelungsanlagen

• 24x7 Sicherheitspersonal vor Ort

• Nur autorisiertes Personal und Kunden haben Zutritt zum RZ

• Serverhousing-Zugang 24x7 möglich

• CCTV-Kameraüberwachung und Einbruchmeldeanlage

Strom

• Die Speisung erfolgt durch zwei unterschiedliche Stromnetze

• Redundantes Generator-Backup (2N)

• 230V/400V AC und 48V DC verfügbar

• USV gestütztes A+B Feed

• "Clean-Earth" und Überspannungsschutz

Organisatorische Sicherheitsmaßnahmen

Zutrittskontrolle

• Alarmanlage

• Automatisches Zugangskontrollsystem

• Biometrische Zugangssperren

• Chipkarten / Transondersysteme

• Manuelles Schließsystem

• Sicherheitsschlösser

• Absicherund der Gebädeschächte

• Klingelanlage mit Kamera

• Videoüberwachung der Eingänge

Technische Sicherheitsmaßnahmen

Zugangskontrolle

• Login mit Benutzername + Passwort

• Login mit biometrischen Daten

• VPN bei Remotezugriffen

• Sperre externer Schnittstellen (USB)

Zugriffskontrolle

• Physische Löschung von Datenträgern

• Protokollierung von Zugriffen

• Einsatz von Berechtigungskonzepten

Firewall, Anti-Virus-System, IDS, DDoS Protection sind implementiert. OS Updates werden standardmäßig alle 6 Monate ausgeführt.

Daten werden für jede*n Kund*in in separierten Datenbanken gespeichert.

Der Datentransfer erfolgt über das Webservice mittels SSL/TLS und wird mit HTTPS verschlüsselt.

Zertifizierungen

ISO:27001, ISO 22301, SOC 2

IT-Security Assessments

Für interne Systeme gibt es periodische Systemtests.

Kundensysteme können nach Unterzeichnung einer Permission to Attack jederzeit auf dessen eigene Kosten überprüft werden.