SICHERHEITSMAẞNAHMEN
RingCentral Sicherheitsmaßnahmen
Um Ihre Daten zu schützen und einen reibungslosen Betriebsablauf zu gewährleisten, ergreifen wir verschiedene Maßnahmen.
Die Grundlagen unserer Sicherheitsmaßnahmen
Das „Information Technology Security Management Program“ von RingCentral umfasst Maßnahmen zum Schutz von RingCentral und RingCentral-Kunden vor Datenverlust und -missbrauch. So können wir den dauerhaften Betrieb unserer Services sicherstellen und damit sowohl unser Geschäft als auch den Betrieb unserer Kunden optimal unterstützen.
INFORMATION SECURITY MANAGEMENT PROGRAM
Sicherheit, Richtlinien und Risikomanagement
Das schriftliche Dokument zu unserem Informationssicherheitsprogramm umfasst Richtlinien, die sich an etablierten Branchenstandards orientieren und mit Blick auf Veränderungen innerhalb der Branche sowie unsere fortlaufenden Cybersicherheitsmaßnahmen kontinuierlich überprüft und aktualisiert werden.
SICHERHEITSMAẞNAHMEN
Sicherheitsmaßnahmen für UCaaS und CCaaS
Wenn es darum geht, die Vertraulichkeit, Integrität und Verfügbarkeit unserer Services und Daten sicherzustellen, legen wir bei der Verwaltung unserer UcaaS- (Unified Communications as a Service) und CCaaS-Angebote (Contact Center as a Service) dieselben Standards an wie für unsere internen Umgebungen und Anwendungen.
Unsere ganzheitlicher operativer Sicherheitsansatz
Wir setzen qualifizierte unabhängige Auditor:innen für unsere Sicherheitsprüfungen ein. Dabei werden wir nach vielen verschiedenen Standards und Rahmenwerken auditiert, darunter ISO 27001, ISO 27017, ISO 27018, SOC 2 Typ II mit FINRA- und HIPAA-Kontrollen, BSI C5:2020, PCI und HITRUST.
Mithilfe verschiedener Richtlinien und Verfahren stellen wir sicher, dass wir für die jeweiligen Aufgaben auch die passenden Personen einstellen. Wir führen (soweit gesetzlich zulässig) Hintergrundprüfungen durch, validieren Fähigkeiten und Qualifikationen und bieten bzw. verlangen fortlaufende Schulungen zu Sicherheit, Datenschutz und Geschäftsgebaren. Außerdem werden alle Mitarbeiten für ihre jeweilige Rolle speziell geschult. Die Nichteinhaltung unserer Richtlinien kann zu disziplinarischen Maßnahmen führen.
Wir stellen außerdem sicher, dass auch unsere Subunternehmer diese Richtlinien und Verfahren einhalten.
Geräte, wie zum Beispiel Laptops und Mobilgeräte, müssen die Standards von RingCentral erfüllen, bevor sie über unsere Zero-Trust-Architektur Zugriff auf unsere Netzwerke erhalten. Das bedeutet, dass die Geräte über alle erforderlichen Patches verfügen und sicherheitstechnisch auf dem neuesten Stand sein müssen. Das umfasst unter anderem vollständige Festplattenverschlüsselung, keinen Administratorzugriff und Kontrollen für die Erkennung von/Reaktion auf Bedrohungen an Endpunkten (Endpoint Detection and Response, EDR) und für den Schutz vor Datenverlust (Data Loss Prevention, DLP).
Der Zugang zu den Einrichtungen von RingCentral ist beschränkt und wird kontrolliert. Besucher:innen müssen eine Genehmigung vorweisen und werden begleitet, wenn sie sich auf dem Gelände aufhalten. Sie haben keinen Zutritt zu unseren Rechenzentren oder den Rechenzentren unserer Cloud-Service-Anbieter.
Unsere Rechenzentren und die Rechenzentren unserer Cloud-Service-Anbieter werden gemäß einer kontinuierlichen Bereitstellungsarchitektur gewartet, die redundante Versorgungsleitungen und Netzwerkverbindungen von mehreren Anbietern umfasst.
Der physische Zugang zu unseren Systemen wird nur denjenigen gestattet, die ihn wirklich benötigen. Aus diesem Grund verfügen wir über einen dokumentierten Lebenszyklus-Managementprozess, der den gesamten "Transition and Termination"-Prozess (TnT) für unsere Mitarbeitenden unterstützt, um sicherzustellen, dass Benutzer:innen zeitnah und ordnungsgemäß zu Gruppen/Rollen hinzugefügt und aus diesen entfernt werden.
Die Nutzer:innen haben eindeutige Konten, um die Rückverfolgbarkeit zu gewährleisten. Sie verwenden keine gemeinsamen Konten. Passwörter entsprechen den Richtlinien des National Institute of Standards and Technology (NIST). Für den Zugang zu geschützten Umgebungen, wie zum Beispiel unserer Zero-Trust Architektur, ist eine Zwei-Faktor-Authentifizierung (2FA) erforderlich.
Unser Netzwerksicherheitsprogramm umfasst sowohl die externe Netzwerksicherheit einschließlich Firewall (FW), Web Application Firewall (WAF), Intrusion Detection Systems (IDS) und DDoS-Schutz (Distributed Denial of Service), als auch den internen Netzwerkschutz durch Segmentierung und Isolierung. Das Netzwerk wird regelmäßig auf Schwachstellen gescannt, um sicherzustellen, dass die Systeme, die mit dem öffentlichen Netz in Berührung kommen, kontinuierlich gemäß Best Practices konfiguriert werden.
Wir führen eine aktuelle und detaillierte Liste der Systeme und Komponenten in all unseren Netzwerksegmenten, damit wir immer einen Überblick darüber haben, was sich wo befindet. Wir konfigurieren unsere Systeme und Anwendungen stets nach Standards wie den Benchmarks des Center for Information Security (CIS) und den Empfehlungen der Hersteller. Dazu gehört auch ein striktes Patch-Management, das sicherstellt, dass alle Patches vor der Bereitstellung getestet werden. Das Netzwerk wird regelmäßig auf Schwachstellen gescannt, um sicherzustellen, dass die Systeme kontinuierlich gemäß Best Practices konfiguriert werden.
Wir führen eine aktuelle und detaillierte Liste der Systeme und Komponenten in all unseren Netzwerksegmenten, damit wir immer einen Überblick darüber haben, was sich wo befindet. Der Zugriff unserer Operations-Teams auf unsere Produktionsumgebung ist durch einen VPN-Zugriff mit Zwei-Faktor-Authentifizierung gesichert. Alle Zugriffe werden protokolliert und überwacht. Die Zugriffsdaten der Operations-Teams werden in einem von unserem Unternehmensverzeichnis getrennten Verzeichnis verwaltet, was eine zusätzliche Trennung von den übrigen RingCentral-Mitarbeitenden bedeutet.
Unser sicherer Entwicklungsprozess umfasst Design, Entwicklung, Tests und die Überführung in die Produktion (oder allgemeine Verfügbarkeit). Die Produkte werden mithilfe von Tools und praxisbezogenen Prüfungen und Tests auf ihre Sicherheit geprüft und darüber hinaus mindestens einmal jährlich externen Penetrationstests unterzogen.
Unsere Build- und CI/CD-Pipelines sind gesichert. Der Zugriff ist auf befugte Personen beschränkt und wird kontrolliert.
Alle RingCentral-Daten sind entweder öffentlich oder vertraulich, und alle Daten, die wir im Auftrag unserer Kunden verarbeiten, gelten als vertraulich. Dies bedeutet, dass alle Kundendaten einem strengen Schutz unterliegen, der unter anderem Verschlüsselung bei der Übertragung und Speicherung sowie Zugriffskontrollen für Systeme und Anwendungen, in denen Daten gespeichert sind, umfasst.
Die Daten werden entsprechend den gesetzlichen Vorschriften und wenn sie nicht mehr benötigt werden, gelöscht, und die elektronischen Datenträger werden nach Ablauf ihrer Lebensdauer vernichtet.
Die Prozesse bei RingCentral für die Reaktion auf Vorfälle (Incident Response) und Cybersicherheitsvorfälle (Cybersecurity Incident Response) sind darauf ausgelegt, Ereignisse, die die Verfügbarkeit, Vertraulichkeit und Integrität von Systemen und Daten beeinträchtigen können, schnell zu identifizieren und effektiv darauf zu reagieren.
Das für Servicemissbrauchs- und Betrugsmanagement zuständige Team bei RingCentral arbeitet rund um die Uhr, um verdächtige Aktivitäten zu erkennen, die auf Servicemissbrauch oder Betrug hinweisen. Dazu gehören zum Beispiel die Kontoübernahme, Betrugsversuche bei der Telefonverifizierung und mehr. Personen oder Konten, bei denen ein Verstoß gegen unsere Richtlinien für die zulässige Nutzung oder unsere Servicebedingungen festgestellt wird, werden identifiziert und die Verstöße behoben. Das gilt auch bei Missbrauchs- oder Betrugsversuchen.
Die Business-Continuity-Maßnahmen von RingCentral sind Teil eines zuverlässigen Plans zur Gewährleistung einer Verfügbarkeit von 99,999 %. Unser Business-Continuity-Plan wurde entwickelt, um eine ununterbrochene Servicebereitstellung auch im Falle von Ereignissen mit schwerwiegenden Auswirkungen sicherzustellen. Zu solchen Ereignissen zählt beispielsweise auch eine weltweiten Pandemie, die uns dazu zwingt, unsere gesamte Belegschaft ins Homeoffice zu schicken.
Unser Disaster-Recovery-Plan umfasst unsere Infrastruktur, Technologie, Systeme und Services und wird regelmäßig getestet. (Prüfen Sie Ihr E-Mail-Postfach auf Benachrichtigungen zu unseren Prüfungen – dies ist ein wichtiger Teil unserer Tests.)
So wie unsere Kunden uns strengen Überprüfungen einschließlich Risikobewertungen unterziehen, führen wir ebenfalls Prüfungen im Rahmen unseres Lieferanten- und Anbietermanagements durch. Unsere strategischen IT-Anbieter legen uns externe Prüfberichte vor (z. B. SOC 2 Typ II) oder werden regelmäßigen Datenschutz- und Sicherheitsprüfungen unterzogen.
Finden Sie die richtige Lösung für Ihr Unternehmen
Mit unseren Lösungen sind Sie sofort einsatzbereit.