Sikkerhet

Optimizely har innført flere tekniske og organisatoriske tiltak som er utformet for å beskytte Optimizely-applikasjoner. Denne siden gir en beskrivelse av våre nåværende sikkerhetstiltak.

Organisasjonsstruktur

Trust-teamet tilrettelegger for sikkerhets-, personvern- og compliance-programmer hos Optimizely. Trust-teamet inkluderer en Compliance-manager og en Director of Security Engineering som rapporterer til Chief Information Security Officer. 

Styring

Sikkerhetsprogrammet vårt overvåkes av vårt Security Governance Board, som inkluderer toppledere og andre strategiske ledere.

Risikostyring 

Security-teamet gjennomfører periodiske risikovurderinger ved hjelp av en metodikk basert på ISO 27005:2018 retningslinjer for styring av informasjonssikkerhetsrisiko. Topprisikorer identifiseres, og risikobehandlingsplaner utarbeides. Risikovurderingen, valg av topprisiko og risikobehandlingsplaner gjennomgås, og fremgangen spores av Security Governance Board. 

Tilgangskontroller 

Autentisering 

Optimizely krever autentisering for tilgang til alle applikasjonsinngangspunkter inkludert Web og API, bortsett fra de som er ment å være offentlige. 

Sikker kommunikasjon av legitimasjon

Optimizely bruker for øyeblikket TLS til å overføre autentiseringslegitimasjon til Optimizely-produkter. 

Passordadministrasjon 

Med prosesser som er utformet for å håndheve minimumskrav til passord for Optimizely-produkter, benytter vi følgende krav og sikkerhetsstandarder for sluttbrukerpassord på Optimizely Service: 

  • Passord må være minimum 8 tegn lange og inneholde en blanding av store og små bokstaver samt tall og symboler 
  • Flere innloggingsforsøk med feil brukernavn eller passord vil resultere i en låst konto, som deaktiveres for å bidra til å forhindre et brute-force-angrep, men ikke lenge nok til å forhindre at legitime brukere ikke kan bruke applikasjonen 
  • E-postbaserte lenker for tilbakestilling av passord sendes kun til brukerens forhåndsregistrerte e-postadresse med en midlertidig lenke 
  • Optimizely begrenser flere innloggingsforsøk fra samme e-postadresse 
  • Optimizely forhindrer gjenbruk av nylig brukte passord 

Passordhashing 

Sluttbrukerkontopassord lagret på Optimizely Service hashes med en tilfeldig salt ved hjelp av bransjestandardteknikker.  

2-trinns verifisering 

Øk sikkerheten til Optimizely-kontoene dine ved å legge til et andre autentiseringsnivå ved innlogging. I stedet for å stole kun på et passord krever 2-trinns verifisering at du angir en midlertidig kode som du får tilgang til fra mobiltelefonen din, og er ment å hjelpe deg: 

  • Beskytte nettstedet og mobilapplikasjonen din når Optimizely-passordet ditt er stjålet 
  • Legge til et ekstra sikkerhetslag mot passord-phishing-angrep 
  • Overholde retningslinjer fastsatt av bedriftens sikkerhetspolicy 

Single sign-on 

Optimizely lar deg implementere Single Sign-On (SSO) gjennom SAML 2.0, et åpent standarddataformat for utveksling av autentiserings- og autorisasjonsinformasjon. Dette gjør at teamet ditt kan logge inn på Optimizely ved hjelp av eksisterende bedriftslegitimasjon. SSO er tilgjengelig kun for utvalgte pakker, så vennligst se ordreformularet for berettigelse. 

Øktadministrasjon 

Hver gang en bruker logger inn på Optimizely Service, tildeler systemet dem en ny, unik øktidentifikator som består av 64 byte med tilfeldige data utformet for beskyttelse mot brute force-angrep. 

Økt-timeout 

Optimizely-produkter håndhever faste og inaktivitetsbaserte økt-timeouts som krever re-autentisering for API- og direkte webapplikasjonstilgang. 

Logg ut 

Når du logger ut av Optimizely Service er systemet utformet for å slette økt-informasjonskapsler fra klienten og ugyldiggjøre øktidentifikatorer på Optimizely-servere.

Nettverks- & overføringskontroller 

Optimizely overvåker og oppdaterer kommunikasjonsteknologiene sine periodisk med målet om å tilby nettverkssikkerhet. 

SSL/TLS 

Som standard krypteres all kommunikasjon fra sluttbrukerne og besøkende på Optimizely-produkter ved hjelp av bransjestandardteknologi for kommunikasjonskryptering. Optimizely bruker for øyeblikket Transport Layer Security (TLS) og oppdaterer krypteringssuiter og konfigurasjoner etter hvert som sårbarheter oppdages. 

Nettverkssikkerhet 

Optimizely oppdaterer regelmessig nettverksarkitekturskjemaet og opprettholder forståelse av dataflyten mellom systemer. Brannmurregler og tilgangsbegrensninger gjennomgås for hensiktsmessighet med jevne mellomrom. 

Infrastruktursikkerhet 

Optimizely bruker et Intrusion Detection System (IDS), et Security Incident Event Management (SIEM)-system og andre sikkerhetsovervåkingsverktøy på produksjonsservere som hoster Optimizely-produkter. Varsler fra disse verktøyene sendes til Optimizely Security Team, som har en hendelseshåndteringsplan for å undersøke, isolere og avbøte identifiserte hendelser. 

Tilgangslogger 

Optimizely fører detaljerte tilgangslogger over infrastrukturen og produktene våre, som gjennomgås for hendelser som påvirker sikkerhet og tilgjengelighet. Logger oppbevares i minimum seks måneder for etterforskningsformål. 

Datakonfidensialitet & jobbkontroller 

Intern tilgang til data 

Tilgang til dataene dine lagret hos Optimizely er begrenset til ansatte og kontraktører som har behov for denne informasjonen for å utføre arbeidsoppgavene sine. For eksempel for å gi kundestøtte, vedlikeholde infrastruktur, forbedre produktet eller for å forstå hvordan en teknisk endring påvirker en gruppe kunder. 

Optimizely krever for øyeblikket bruk av single sign-on, sterke passord og tofaktorautentisering for alle ansatte for å få tilgang til produksjonsdata. 

Jobbkontroller 

Optimizely har implementert flere ansattebaserte jobbkontroller for å bidra til å beskytte dataene dine: 

  • Alle Optimizely-ansatte og -kontraktører er påkrevd å signere taushetsavtaler før de får tilgang til produksjonssystemene våre. 
  • Alle Optimizely-ansatte er påkrevd å gjennomgå sikkerhets- og personvernopplæring ved ansettelse samt årlig sikkerhets- og personvernbevissthetstrening. 
  • Ansatte og kontraktørers tilgang til produksjonssystemer som inneholder dataene dine, logges og revideres.
  • Optimizely-ansatte er underlagt disiplinære tiltak, inkludert men ikke begrenset til oppsigelse, dersom de blir funnet å ha misbrukt tilgangen sin til kundedata.
  • Optimizely-ansatte er underlagt bakgrunnssjekk før ansettelse der det er tillatt ved lov. 

Sikkerhet i engineering 

Produktsikkerhetsoppsummering 

Optimizely sin programvaresikkerhetspraksis måles ved hjelp av bransjestandardsikkerhetsmodeller – for øyeblikket Building Security In Maturity Model (BSIMM). Programvareutviklingslivssyklusen (SDLC) for tjenestene våre inkluderer mange aktiviteter ment for å fremme sikkerhet: 

  • Definere sikkerhetskrav 
  • Design (trusselsmodellering, trusselanalyse og sikkerhetsdesigngjennomgang) 
  • Utviklingskontroller (statisk analyse og manuell fagfellevurdering av kode) 
  • Testing (dynamisk analyse, Bug Bounty-program og sikkerhetssårbarhetsvurderinger av tredjepart) 
  • Vi bruker for øyeblikket enhets-, integrasjons- og ende-til-ende-tester, der det er aktuelt, for å fange opp regresjoner 
  • Distribusjonskontroller (som endringshåndtering og canary-utgivelsesprosess) 

Optimizely-programvare er designet, gjennomgått og testet ved hjelp av gjeldende OWASP-standarder. 

Kodevurderinger 

Optimizely-utviklet programvare overvåkes og testes kontinuerlig ved hjelp av prosesser utformet for proaktivt å identifisere og utbedre sårbarheter. Vi gjennomfører regelmessig: 

  • Automatisert kildekodeanalyse utformet for å finne vanlige feil 
  • Fagfellevurdering av all kode før den sendes til produksjon 
  • Manuell kildekodeanalyse på sikkerhetssensitive kodeområder 
  • Applikasjonssikkerhetsvurderinger og penetrasjonstester utført av tredjepart, gjennomført årlig 

Bug Bounty-program 

Optimizely tilbyr for øyeblikket et bug bounty-program for å oppmuntre til rapportering av sikkerhetsproblemer med produktet vårt. Feil kan rapporteres via programmet eller via e-post til securityeng@optimizely.com

Tilgjengelighetskontroller 

Disaster Recovery 

Optimizely-tjenestens infrastruktur er utformet for å minimere tjenesteavbrudd på grunn av maskinvarefeil, naturkatastrofer eller andre katastrofer. Funksjoner inkluderer: 

  • Bransjeledende skytilbydere: Vi bruker Azure, Google Compute Cloud og Amazon Web Services – betrodd av tusenvis av virksomheter for å lagre og levere datatjenestene deres. 
  • Datareplikering: For å bidra til å sikre tilgjengelighet i tilfelle katastrofe, kan vi replikere data både innenfor og på tvers av flere datasentre avhengig av resilienspkravene. 
  • Sikkerhetskopier: Vi utfører hyppige sikkerhetskopier av data lagret gjennom Optimizely Services. Sikkerhetskopier testes for integritet, regelmessig. 
  • Kontinuitetsplan: Vi har en kontinuitetsplan for alle typer tjenestesforstyrrelser. Teamet vårt er globalt og kan flytte ressurser dersom regionale problemer forstyrrer vår evne til å levere tjenester eller støtte.
  • Sikkerhet: Vi degraderer ikke sikkerheten vår under Disaster Recovery-operasjoner. 

Hendelseshåndtering 

Optimizely har en hendelseshåndteringsplan utformet for raskt og systematisk å reagere på sikkerhets- og tilgjengelighetshendelser som kan oppstå. Hendelseshåndteringsplanen testes og forbedres regelmessig. 

Segregeringskontroller 

Datasegregering 

Optimizely segregerer alle kundedata og tilbyr sterke programmatiske og tilgangskontroller for å logisk isolere dataene dine fra andre kunders data. 

Brukerroller 

Optimizely-produkter gir deg muligheten til å begrense tilgangen til dataene dine og konfigurasjonen ved å definere brukerroller. Du kan invitere brukere til kontoen din uten å gi alle teammedlemmer samme tilgangsnivå. Disse brukertilgangsnivåene er spesielt nyttige når det er flere personer som arbeider på samme prosjekt. 

Fysisk sikkerhet 

Optimizely bruker bransjeledende skyplattformer (Azure, Google Compute Cloud og Amazon Web Services) for å hoste produksjonstjenestene sine. Disse skytjenestene tilbyr høye bransjestandardnivåer for fysisk sikkerhet. Tilgang til disse datasentrene er begrenset til autorisert personell, verifisert gjennom biometriske identitetsverifikasjonstiltak. Fysiske sikkerhetstiltak for disse datasentrene inkluderer sikkerhetsvakter på stedet, lukket krets-videoovervåking og ytterligere inntrengingsbeskyttelsestiltak. Vi stoler på deres tredjepartsattesteringer av fysisk sikkerhet. Innenfor våre lokaler benytter vi en rekke bransjestandardfysiske sikkerhetskontroller. Vi opplærer våre ansatte og kontraktører til å beskytte den fysiske sikkerheten til eiendelene sine uavhengig av sted. 

Ytterligere vilkår 

Hvis du har ytterligere spørsmål om implementering av disse sikkerhetstiltakene, vennligst se kunnskapsbasen. Sikkerhetstiltakene våre er i konstant utvikling for å holde tritt med det skiftende sikkerhetslandskapet, så vi kan oppdatere denne siden fra tid til annen for å gjenspeile disse tekniske og organisatoriske endringene. Vennligst sjekk inn ofte for å se de siste tiltakene våre. Som alltid er bruk av Optimizely Service underlagt vilkårene, betingelsene og ansvarsfrasigelsene i vår tjenestevilkår