Introducing Optimizely Opal
an all-new AI platform. See how it works
Skip to content
Optimizely Logo

Sikkerhet

Sist oppdatert: 27. juli 2021

Optimizely har innført flere tekniske og organisatoriske tiltak for å beskytte Optimizely-applikasjonene. Denne siden gir en beskrivelse av våre nåværende sikkerhetstiltak.

Organisasjonsstruktur

Trust Team legger til rette for sikkerhets-, personvern- og samsvarsprogrammer hos Optimizely. Teamet består av en Compliance Manager og en Director of Security Engineering, som rapporterer til Chief Information Security Officer.

Styring

Sikkerhetsprogrammet vårt overvåkes av vårt Security Governance Board, som består av toppledere og andre strategiske ledere.

Risikostyring

Sikkerhetsteamet gjennomfører regelmessige risikovurderinger ved hjelp av en metodikk basert påISO 27005:2018-retningslinjene for risikostyring innen informasjonssikkerhet. De største risikoene identifiseres, og det utarbeides planer for risikohåndtering. Risikovurderingen, utvelgelsen av de største risikoene og risikohåndteringsplanene gjennomgås, og fremdriften følges opp av Security Governance Board.

Tilgangskontroller

Autentisering

Optimizely krever autentisering for tilgang til alle applikasjonsinnganger, inkludert web og API, med unntak av de som er ment å være offentlige.

Sikker kommunikasjon av legitimasjon

Optimizely bruker for øyeblikket TLS til å overføre autentiseringsinformasjon til Optimizely-produkter.

Passordadministrasjon

Med prosesser som er utformet for å håndheve minimumskrav til passord for Optimizely-produkter, bruker vi følgende krav og sikkerhetsstandarder for sluttbrukerpassord på Optimizely-tjenesten:

  • Passordene må bestå av minst 8 tegn og inneholde en blanding av store og små bokstaver samt tall og symboler.
  • Flere pålogginger med feil brukernavn eller passord vil resultere i en låst konto, som vil bli deaktivert for å forhindre en brute-force-pålogging, men ikke lenge nok til å forhindre at legitime brukere ikke kan bruke applikasjonen
  • E-postbaserte lenker for tilbakestilling av passord sendes kun til brukerens forhåndsregistrerte e-postadresse med en midlertidig lenke
  • Optimizely begrenser hastigheten på flere påloggingsforsøk fra samme e-postadresse
  • Optimizely forhindrer gjenbruk av nylig brukte passord

Hashing av passord

Passordene til sluttbrukerkontoer som er lagret i Optimizely-tjenesten, hashes med et tilfeldig salt ved hjelp av bransjestandardteknikker.

2-trinns verifisering

Øk sikkerheten til Optimizely-kontoene dine ved å legge til et ekstra autentiseringsnivå når du logger på. I stedet for bare å stole på et passord, krever totrinnsbekreftelse at du oppgir en midlertidig kode som du får tilgang til fra mobiltelefonen din, og som er ment å hjelpe deg:

  • Beskytte nettstedet og mobilapplikasjonen din når Optimizely-passordet ditt blir stjålet
  • Legge til et ekstra sikkerhetslag mot phishing-angrep med passord
  • Overholde retningslinjene i bedriftens sikkerhetspolicy

Enkel pålogging

Med Optimizely kan du implementere Single Sign-On (SSO) gjennom SAML 2.0, et åpent standardformat for utveksling av autentiserings- og autorisasjonsinformasjon. Dette gjør at teamet ditt kan logge inn på Optimizely ved hjelp av bedriftens eksisterende legitimasjon. SSO er kun tilgjengelig på utvalgte pakker, så se bestillingsskjemaet for å se om du er kvalifisert.

Øktadministrasjon

Hver gang en bruker logger seg på Optimizely-tjenesten, tildeler systemet dem en ny, unik øktidentifikator som består av 64 byte med tilfeldige data som er utformet for å beskytte mot brute force-angrep.

Tidsavbrudd for økter

Optimizely-produktene håndhever tidsavbrudd for harde økter og inaktivitet som krever ny autentisering for API og direkte tilgang til webapplikasjoner.

Logg ut

Når du logger ut av Optimizely-tjenesten, er systemet utformet for å slette øktinformasjonskapsler fra klienten og ugyldiggjøre øktidentifikatorer på Optimizely-servere.

Nettverks- og overføringskontroller

Optimizely overvåker og oppdaterer kommunikasjonsteknologiene sine med jevne mellomrom med mål om å sørge for nettverkssikkerhet.

SSL/TLS

Som standard er all kommunikasjon fra sluttbrukere og besøkende på Optimizely-produkter kryptert ved hjelp av industristandard kommunikasjonskrypteringsteknologi. Optimizely bruker for øyeblikket Transport Layer Security (TLS) og oppdaterer krypteringssuiter og konfigurasjoner etter hvert som sårbarheter oppdages.

Nettverkssikkerhet

Optimizely oppdaterer jevnlig nettverksarkitekturskjemaet og opprettholder en forståelse av datastrømmene mellom systemene. Brannmurregler og tilgangsbegrensninger gjennomgås jevnlig for å sikre at de er hensiktsmessige.

Infrastruktursikkerhet

Optimizely bruker et IDS-system (Intrusion Detection System), SIEM-system (Security Incident Event Management) og andre verktøy for sikkerhetsovervåking på produksjonsservere som er vert for Optimizely-produkter. Varsler fra disse verktøyene sendes til Optimizelys sikkerhetsteam, som har en hendelseshåndteringsplan for å undersøke, isolere og redusere eventuelle identifiserte hendelser.

Tilgangslogger

Optimizely fører detaljerte tilgangslogger over infrastrukturen og produktene våre, som gjennomgås for hendelser som påvirker sikkerhet og tilgjengelighet. Loggene oppbevares i minst seks måneder av hensyn til kriminaltekniske formål.

Datakonfidensialitet og jobbkontroller

Intern tilgang til data

Tilgang til dine data som er lagret hos Optimizely, er begrenset til ansatte og underleverandører som har behov for å kjenne til denne informasjonen for å utføre sine arbeidsoppgaver. For eksempel for å gi kundestøtte, vedlikeholde infrastruktur, forbedre produktet eller for å forstå hvordan en teknisk endring påvirker en gruppe kunder.

Optimizely krever for tiden bruk av single sign-on, sterke passord og tofaktorautentisering for alle ansatte som skal ha tilgang til produksjonsdata.

Jobbkontroller

Optimizely har implementert flere jobbkontroller for å beskytte dataene dine:

  • Alle Optimizely-ansatte og underleverandører må signere konfidensialitetsavtaler før de får tilgang til produksjonssystemene våre.
  • Alle Optimizely-ansatte må få opplæring i sikkerhet og personvern ved ansettelse, samt årlig opplæring i sikkerhet og personvern.
  • Ansattes og underleverandørers tilgang til produksjonssystemer som inneholder dine data, logges og revideres.
  • Optimizely-ansatte er underlagt disiplinærtiltak, inkludert, men ikke begrenset til, oppsigelse hvis det viser seg at de har misbrukt sin tilgang til kundedata.
  • Optimizely-ansatte er underlagt en bakgrunnssjekk før ansettelse der loven tillater det.

Sikkerhet i utvikling

Oversikt over produktsikkerhet

Optimizelys praksis for programvaresikkerhet måles ved hjelp av bransjestandardiserte sikkerhetsmodeller - for tidenBuilding Security In Maturity Model (BSIMM). Livssyklusen for programvareutvikling (SDLC) for tjenestene våre omfatter mange aktiviteter som har til hensikt å fremme sikkerhet:

  • Definere sikkerhetskrav
  • Design (trusselmodellering, trusselanalyse og gjennomgang av sikkerhetsdesign)
  • Utviklingskontroller (statisk analyse og manuell gjennomgang av kode)
  • Test (dynamisk analyse, Bug Bounty Program og tredjepartsvurderinger av sikkerhetsproblemer)
  • Vi bruker for tiden enhets-, integrasjons- og ende-til-ende-tester, der det er aktuelt, for å fange opp regresjoner
  • Kontroll av distribusjon (for eksempel endringshåndtering og utgivelsesprosess)

Optimizely-programvaren er designet, gjennomgått og testet i henhold til gjeldendeOWASP-standarder.

Vurderinger av kode

Optimizely-utviklet programvare overvåkes og testes kontinuerlig ved hjelp av prosesser som er utformet for å proaktivt identifisere og utbedre sårbarheter. Vi gjennomfører regelmessig:

  • Automatiserte kildekodeanalyser for å finne vanlige feil
  • Fagfellevurdering av all kode før den settes i produksjon
  • Manuell kildekodeanalyse av sikkerhetssensitive kodeområder
  • Tredjeparts sikkerhetsvurderinger av applikasjoner og penetrasjonstester utføres årlig

Bug Bounty-program

Optimizely tilbyr for tiden et bug bounty-program for å oppmuntre til rapportering av sikkerhetsproblemer med produktet vårt. Feil kan rapporteres via programmet eller via e-post tilsecurityeng@optimizely.com.

Tilgjengelighetskontroller

Gjenoppretting etter katastrofe

Optimizely Service-infrastrukturen er utformet for å minimere tjenesteavbrudd på grunn av maskinvarefeil, naturkatastrofer eller andre katastrofer. Funksjonene inkluderer:

  • Toppmoderne skyleverandører: Vi bruker Azure, Google Compute Cloud og Amazon Web Services - som tusenvis av virksomheter stoler på når de lagrer og betjener datatjenestene sine.
  • Datareplikering: For å sikre tilgjengelighet i tilfelle en katastrofe kan vi replikere data både innenfor og på tvers av flere datasentre, avhengig av kravene til robusthet.
  • Sikkerhetskopiering:Vi tar hyppige sikkerhetskopier av data som er lagret gjennom Optimizely Services. Sikkerhetskopiene testes regelmessig for integritet.
  • Kontinuitetsplan:Vi har en kontinuitetsplan for alle typer tjenesteforstyrrelser. Teamet vårt er globalt og kan flytte ressurser hvis regionale problemer skulle forstyrre vår evne til å levere tjenester eller støtte.
  • Sikkerhet: Vi reduserer ikke sikkerheten under Disaster Recovery-operasjoner.

Respons ved hendelser

Optimizely har en hendelsesresponsplan som er utformet for å reagere raskt og systematisk på sikkerhets- og tilgjengelighetshendelser som kan oppstå. Planen for hendelsesrespons testes og forbedres regelmessig.

Segregeringskontroller

Segregering av data

Optimizely segregerer alle kundedata og sørger for sterke programmatiske kontroller og tilgangskontroller for å logisk isolere dine data fra andre kunders data.

Brukerroller

Optimizely-produktene gir deg muligheten til å begrense tilgangen til data og konfigurasjon ved å definere brukerroller. Du kan invitere brukere til kontoen din uten å gi alle teammedlemmer de samme rettighetsnivåene. Disse brukerrettighetsnivåene er spesielt nyttige når det er flere personer som jobber på samme prosjekt.

Fysisk sikkerhet

Optimizely bruker bransjeledende skyplattformer (Azure, Google Compute Cloud og Amazon Web Services) til å være vert for produksjonstjenestene. Disse skytjenestene tilbyr høye bransjestandarder for fysisk sikkerhet. Tilgang til disse datasentrene er begrenset til autorisert personell, noe som verifiseres ved hjelp av biometriske identitetsverifiseringstiltak. De fysiske sikkerhetstiltakene for disse datasentrene omfatter lokale sikkerhetsvakter, videoovervåking og ytterligere tiltak for å beskytte mot inntrenging. Vi stoler på tredjepartsattester for fysisk sikkerhet. På våre anlegg bruker vi en rekke fysiske sikkerhetskontroller av bransjestandard. Vi utdanner våre ansatte og underleverandører til å beskytte den fysiske sikkerheten til eiendelene deres, uansett hvor de befinner seg.

Ytterligere vilkår

Hvis du har ytterligere spørsmål om implementeringen av noen av disse sikkerhetstiltakene, kan du konsulterekunnskapsbasen. Sikkerhetstiltakene våre er i stadig utvikling for å holde tritt med det skiftende sikkerhetslandskapet, så vi kan oppdatere denne siden fra tid til annen for å gjenspeile disse tekniske og organisatoriske endringene. Kom tilbake ofte for å se de nyeste tiltakene våre. Som alltid er bruken av Optimizely-tjenesten underlagt vilkårene, betingelsene og ansvarsfraskrivelsene i våretjenestevilkår.