Introducing Optimizely Opal
an all-new AI platform. See how it works
Skip to content
Optimizely Logo

Säkerhet

Senast uppdaterad: 27 juli 2021

Optimizely har infört flera tekniska och organisatoriska åtgärder för att skydda Optimizely Applications. Denna sida ger en beskrivning av våra nuvarande säkerhetsåtgärder.

Organisatorisk struktur

Trust Team underlättar program för säkerhet, integritet och regelefterlevnad på Optimizely. I Trust Team ingår en Manager of Compliance och en Director of Security Engineering som rapporterar till Chief Information Officer.

Styrning

Vårt säkerhetsprogram övervakas av vår Security Governance Board som inkluderar ledande befattningshavare och andra strategiska ledare.

Riskhantering

Säkerhetsteamet genomför regelbundna riskbedömningar med hjälp av en metodik som bygger påISO 27005:2018:s riktlinjer för riskhantering inom informationssäkerhet. De största riskerna identifieras och riskhanteringsplaner utarbetas. Riskbedömningen, urvalet av topprisker och riskhanteringsplanerna granskas och framstegen följs upp av Security Governance Board.

Kontroll av åtkomst

Autentisering

Optimizely kräver autentisering för åtkomst till alla applikationspunkter inklusive webb och API, förutom de som är avsedda att vara offentliga.

Säker kommunikation av referenser

Optimizely använder för närvarande TLS för att överföra autentiseringsuppgifter till Optimizelys produkter.

Lösenordshantering

Med processer som är utformade för att upprätthålla minimikrav för lösenord för Optimizelys produkter använder vi följande krav och säkerhetsstandarder för slutanvändarlösenord på Optimizely-tjänsten:

  • Lösenord måste vara minst 8 tecken långa och innehålla en blandning av stora och små bokstäver samt siffror och symboler
  • Flera inloggningar med fel användarnamn eller lösenord kommer att resultera i ett låst konto, som kommer att inaktiveras för att förhindra en brute-force-inloggning, men inte tillräckligt länge för att förhindra legitima användare från att inte kunna använda applikationen
  • E-postbaserade länkar för återställning av lösenord skickas endast till en användares förregistrerade e-postadress med en tillfällig länk
  • Optimizely hastighetsbegränsar flera inloggningsförsök från samma e-postadress
  • Optimizely förhindrar återanvändning av lösenord som nyligen använts

Hashing av lösenord

Lösenord för slutanvändarkonton som lagras på Optimizely Service hashas med ett slumpmässigt salt med hjälp av industristandardtekniker.

2-stegsverifiering

Öka säkerheten för dina konton på Optimizely genom att lägga till en andra nivå av autentisering när du loggar in. Istället för att bara förlita sig på ett lösenord kräver tvåstegsverifiering att du anger en tillfällig kod som du kommer åt från din mobiltelefon och är avsedd att hjälpa dig:

  • Skydda din webbplats och mobilapplikation när ditt lösenord för Optimizely Mobile blir stulet
  • Lägga till ett extra lager av säkerhet mot phishing-attacker med lösenord
  • Följa riktlinjerna i företagets policy för säkerhet

Enkel inloggning

Optimizely låter dig implementera Single Sign-On (SSO) genom SAML 2.0, ett dataformat med öppen standard för utbyte av autentiserings- och auktoriseringsinformation. Detta gör att ditt team kan logga in på Optimizely med hjälp av sina befintliga företagsuppgifter. SSO är endast tillgängligt på utvalda paket, så se ditt beställningsformulär för behörighet.

Hantering av sessioner

Varje gång en användare loggar in i Optimizely-tjänsten tilldelar systemet dem en ny, unik sessionsidentifierare som består av 64 byte slumpmässig data utformad för skydd mot en brute force-attack.

Timeout för sessioner

Optimizelys produkter verkställer hårda och inaktiva tidsgränser för sessioner som kräver omautentisering för API och direkt åtkomst till webbapplikationer.

Logga ut

När du loggar ut från Optimizely-tjänsten är systemet utformat för att ta bort sessionskakor från klienten och ogiltigförklara sessionsidentifierare på Optimizely-servrar.

Kontroll av nätverk och överföring

Optimizely övervakar och uppdaterar sin kommunikationsteknik regelbundet med målet att tillhandahålla nätverkssäkerhet.

SSL/TLS

Som standard krypteras all kommunikation från dina slutanvändare och besökare på Optimizelys produkter med hjälp av industristandard teknik för kommunikationskryptering. Optimizely använder för närvarande Transport Layer Security (TLS) och uppdateringar av chiffersviter och konfigurationer när sårbarheter upptäcks.

Nätverkssäkerhet

Optimizely uppdaterar regelbundet nätverksarkitekturschemat och upprätthåller en förståelse för dataflödena mellan systemen. Brandväggsregler och åtkomstbegränsningar granskas regelbundet för att säkerställa att de är lämpliga.

Säkerhet för infrastruktur

Optimizely använder ett IDS-system (Intrusion Detection System), SIEM-system (Security Incident Event Management) och andra verktyg för säkerhetsövervakning på produktionsservrar som driver Optimizelys produkter. Meddelanden från dessa verktyg skickas till Optimizely Security Team, som har en plan för incidenthantering för att undersöka, isolera och mildra alla identifierade händelser.

Åtkomstloggar

Optimizely för detaljerade åtkomstloggar över vår infrastruktur och våra produkter som granskas för händelser som påverkar säkerhet och tillgänglighet. Loggar bevaras i minst sex månader för kriminaltekniska ändamål.

Datasekretess och jobbkontroller

Intern åtkomst till data

Åtkomst till dina uppgifter som lagras hos Optimizely One är begränsad till anställda och entreprenörer som har behov av att känna till denna information för att utföra sina arbetsuppgifter. Till exempel för att tillhandahålla kundsupport, underhålla infrastruktur, förbättra produkten eller för att förstå hur en teknisk förändring påverkar en grupp kunder.

Optimizely kräver för närvarande användning av single sign-on, starka lösenord och tvåfaktorsautentisering för alla anställda för att få tillgång till produktionsdata.

Jobbkontroller

Optimizely har implementerat flera anställdas jobbkontroller för att skydda dina uppgifter:

  • Alla anställda och entreprenörer på Optimizely måste underteckna sekretessavtal innan de får tillgång till våra produktionssystem.
  • Alla anställda på Optimizely One måste få säkerhets- och integritetsutbildning vid anställningstillfället samt årlig säkerhets- och integritetsutbildning.
  • Anställdas och entreprenörers åtkomst till produktionssystem som innehåller dina uppgifter loggas och granskas.
  • Anställda på Optimizely One är föremål för disciplinära åtgärder, inklusive men inte begränsat till uppsägning, om de visar sig ha missbrukat sin tillgång till kunddata.
  • Anställda på Optimizely One är föremål för en bakgrundskontroll före anställning där det är tillåtet enligt lag.

Säkerhet inom teknik

Översikt över produktsäkerhet

Optimizely's programvarusäkerhetsrutiner mäts med hjälp av industristandardiserade säkerhetsmodeller - för närvarandeBuilding Security In Maturity Model (BSIMM). Livscykeln för programvaruutveckling (SDLC) för våra tjänster innehåller många aktiviteter som syftar till att främja säkerhet:

  • Definiera säkerhetskrav
  • Design (hotmodellering, hotanalys och granskning av säkerhetsdesignen)
  • Utvecklingskontroller (statisk analys och manuell granskning av kollegial kod)
  • Testning (dynamisk analys, Bug Bounty Program och tredjepartsutvärderingar av säkerhetsproblem)
  • Vi använder för närvarande enhets-, integrations- och end-to-end-tester, där så är tillämpligt, för att fånga upp regressioner
  • Kontroll av distribution (t.ex. ändringshantering och Canary Release-process)

Optimizely mjukvara är utformad, granskad och testad med hjälp av tillämpligaOWASP-standarder.

Bedömningar av kod

Programvara som utvecklats av Optimizely övervakas och testas kontinuerligt med hjälp av processer som är utformade för att proaktivt identifiera och åtgärda sårbarheter. Vi genomför regelbundet:

  • Automatiserad källkodsanalys utformad för att hitta vanliga defekter
  • Kollegial granskning av all kod innan den tas i produktion
  • Manuell källkodsanalys av säkerhetskänsliga delar av koden
  • Tredjepartsutvärderingar av applikationssäkerhet och penetrationstester som utförs årligen

Bug Bounty-program

Optimizely erbjuder för närvarande ett bug bounty-program för att uppmuntra rapportering av säkerhetsproblem med vår produkt. Buggar kan rapporteras via programmet eller via e-post påsecurityeng@optimizely.com.

Tillgänglighetskontroller

Katastrofberedskap

Optimizely Service infrastruktur är utformad för att minimera serviceavbrott på grund av hårdvarufel, naturkatastrof eller andra katastrofer. Funktionerna inkluderar:

  • Toppmoderna molnleverantörer: Vi använder Azure, Google Molntjänster och Amazon Web Services - alla betrodda av tusentals företag för att lagra och tillhandahålla sina datatjänster.
  • Datareplikering: För att säkerställa tillgängligheten i händelse av en katastrof kan vi replikera data både inom och mellan flera datacenter beroende på kraven på motståndskraft.
  • Säkerhetskopiering:Vi utför frekventa säkerhetskopior av data som lagras genom Optimizely Services. Säkerhetskopior testas regelbundet med avseende på integritet.
  • Kontinuitetsplan:Vi har en kontinuitetsplan för alla typer av serviceavbrott. Vårt team är globalt och kan skifta resurser om regionala problem skulle störa vår förmåga att tillhandahålla tjänster eller support.
  • Säkerhet: Vi försämrar inte vår säkerhet under katastrofberedskap.

Svar på incidenter

Optimizely har en Incident Response Plan som är utformad för att snabbt och systematiskt svara på säkerhets- och tillgänglighetsincidenter som kan uppstå. Incidentresponsplanen testas och förfinas på regelbunden basis.

Kontroller för segregering

Segregering av data

Optimizely separerar all kunddata och tillhandahåller starka programmatiska och åtkomstkontroller för att logiskt isolera dina data från andra kunders data.

Användarroller

Optimizelys produkter ger dig möjlighet att begränsa åtkomsten till dina data och din konfiguration genom att definiera användarroller. Du kan bjuda in användare till ditt konto utan att ge alla teammedlemmar samma behörighetsnivåer. Dessa användarbehörighetsnivåer är särskilt användbara när det finns flera personer som arbetar med samma projekt.

Fysisk säkerhet

Optimizely använder branschledande molnplattformar (Azure, Google Compute Cloud och Amazon Web Services) för att drifta sina produktionstjänster. Dessa molntjänster ger höga industristandardnivåer av fysisk säkerhet. Tillgång till dessa datacenter är begränsad till endast auktoriserad personal, vilket verifieras av biometriska identitetsverifieringsåtgärder. Fysiska säkerhetsåtgärder för dessa datacenter inkluderar säkerhetsvakter på plats, videoövervakning med slutna kretsar och ytterligare åtgärder för intrångsskydd. Vi förlitar oss på deras tredjepartsintyg om fysisk säkerhet. Inom våra anläggningar använder vi ett antal fysiska säkerhetskontroller enligt branschstandard. Vi utbildar våra anställda och entreprenörer i att skydda den fysiska säkerheten för deras innehåll oavsett var de befinner sig.

Ytterligare villkor

Om du har ytterligare frågor om implementering av någon av dessa säkerhetsåtgärder, vänligen konsulteraKunskapsbasen. Våra säkerhetsåtgärder utvecklas ständigt för att hålla jämna steg med det föränderliga säkerhetslandskapet, så vi kan uppdatera den här sidan då och då för att återspegla dessa tekniska och organisatoriska förändringar. Kom tillbaka ofta för att se våra senaste åtgärder. Som alltid är användningen av Optimizely One föremål för villkoren och ansvarsfriskrivningarna i våraanvändarvillkor.