Säkerhet

Optimizely har infört flera tekniska och organisatoriska åtgärder som är utformade för att skydda Optimizely-applikationer. Denna sida ger en beskrivning av våra nuvarande säkerhetsåtgärder.

Organisationsstruktur

Trust-teamet underlättar säkerhets-, integritetsskydds- och compliance-program hos Optimizely. Trust-teamet inkluderar en Compliance-chef och en Director of Security Engineering som rapporterar till Chief Information Security Officer. 

Styrning

Vårt säkerhetsprogram övervakas av vårt Security Governance Board som inkluderar ledande befattningshavare och andra strategiska ledare.

Riskhantering 

Security-teamet genomför periodiska riskbedömningar med en metodik baserad på ISO 27005:2018 riktlinjer för hantering av informationssäkerhetsrisker. De största riskerna identifieras och riskbehandlingsplaner utarbetas. Riskbedömningen, val av topprisker och riskbehandlingsplaner granskas, och framstegen spåras av Security Governance Board. 

Åtkomstkontroller 

Autentisering 

Optimizely kräver autentisering för åtkomst till alla applikationsinträdespunkter inklusive Web och API, förutom de som är avsedda att vara offentliga. 

Säker kommunikation av inloggningsuppgifter

Optimizely använder för närvarande TLS för att överföra autentiseringsuppgifter till Optimizely-produkter. 

Lösenordshantering 

Med processer utformade för att upprätthålla minimikrav på lösenord för Optimizely-produkter använder vi följande krav och säkerhetsstandarder för slutanvändarlösenord på Optimizely Service: 

  • Lösenord måste vara minst 8 tecken långa och innehålla en blandning av stora och små bokstäver samt siffror och symboler 
  • Flera inloggningsförsök med fel användarnamn eller lösenord resulterar i ett låst konto, som inaktiveras för att förhindra ett brute-force-angrepp, men inte länge nog för att förhindra att legitima användare inte kan använda applikationen 
  • E-postbaserade lösenordsåterställningslänkar skickas endast till en användares föranmälda e-postadress med en tillfällig länk 
  • Optimizely begränsar flera inloggningsförsök från samma e-postadress 
  • Optimizely förhindrar återanvändning av nyligen använda lösenord 

Lösenordshashning 

Slutanvändarkontons lösenord lagrade på Optimizely Service hashas med ett slumpmässigt salt med hjälp av branschstandardtekniker.  

2-stegsverifiering 

Öka säkerheten för dina Optimizely-konton genom att lägga till en andra autentiseringsnivå vid inloggning. Istället för att enbart förlita sig på ett lösenord kräver 2-stegsverifiering att du anger en tillfällig kod som du får tillgång till från din mobiltelefon och är avsedd att hjälpa dig: 

  • Skydda din webbplats och mobilapplikation när ditt Optimizely-lösenord stjäls 
  • Lägga till ett extra säkerhetslager mot lösenordsfiskeattacker 
  • Följa riktlinjer fastställda av din företagssäkerhetspolicy 

Single sign-on 

Optimizely låter dig implementera Single Sign-On (SSO) via SAML 2.0, ett öppet standarddataformat för utbyte av autentiserings- och auktoriseringsinformation. Detta gör att ditt team kan logga in på Optimizely med befintliga företagsuppgifter. SSO är tillgängligt för utvalda paket enbart, så konsultera ditt beställningsformulär för behörighet. 

Sessionshantering 

Varje gång en användare loggar in på Optimizely Service tilldelar systemet dem en ny, unik sessionsidentifierare som består av 64 byte slumpmässiga data utformade för skydd mot brute force-angrepp. 

Sessionstimeout 

Optimizely-produkter tillämpar fasta och inaktivitetsbaserade sessionstimeouts som kräver re-autentisering för API- och direkt webbapplikationsåtkomst. 

Logga ut 

Vid utloggning från Optimizely Service är systemet utformat för att radera sessionscookies från klienten och ogiltigförklara sessionsidentifierare på Optimizely-servrar.

Nätverks- & överföringskontroller 

Optimizely övervakar och uppdaterar sina kommunikationsteknologier regelbundet med målet att tillhandahålla nätverkssäkerhet. 

SSL/TLS 

Som standard krypteras all kommunikation från dina slutanvändare och besökare på Optimizely-produkter med branschstandard krypteringsteknik. Optimizely använder för närvarande Transport Layer Security (TLS) och uppdaterar krypteringssviter och konfigurationer när sårbarheter upptäcks. 

Nätverkssäkerhet 

Optimizely uppdaterar regelbundet nätverksarkitekturscheman och upprätthåller förståelse för dataflödena mellan systemen. Brandväggsregler och åtkomstbegränsningar granskas för lämplighet med jämna mellanrum. 

Infrastruktursäkerhet 

Optimizely använder ett Intrusion Detection System (IDS), ett Security Incident Event Management (SIEM)-system och andra säkerhetsövervakningsverktyg på produktionsservrar som hanterar Optimizely-produkter. Aviseringar från dessa verktyg skickas till Optimizely Security Team, som har en incidenthanteringsplan för att undersöka, isolera och begränsa identifierade händelser. 

Åtkomstloggar 

Optimizely för detaljerade åtkomstloggar över vår infrastruktur och produkter som granskas för händelser som påverkar säkerhet och tillgänglighet. Loggar behålls i minst sex månader för kriminalteknikändamål. 

Datakonfidentialitet & jobbkontroller 

Intern åtkomst till data 

Åtkomst till dina data lagrade hos Optimizely är begränsad till anställda och uppdragstagare som behöver denna information för att utföra sin arbetsuppgift. Till exempel för att tillhandahålla kundsupport, underhålla infrastruktur, förbättra produkten eller för att förstå hur en teknisk förändring påverkar en grupp kunder. 

Optimizely kräver för närvarande användning av single sign-on, starka lösenord och tvåfaktorsautentisering för alla anställda för att komma åt produktionsdata. 

Jobbkontroller 

Optimizely har implementerat flera anställdarelaterade jobbkontroller för att hjälpa till att skydda dina data: 

  • Alla Optimizely-anställda och -uppdragstagare är skyldiga att underteckna sekretessavtal innan de får tillgång till våra produktionssystem. 
  • Alla Optimizely-anställda är skyldiga att genomgå säkerhets- och integritetsskyddsutbildning vid anställning samt årlig säkerhets- och integritetsskyddsmedvetenhetsutbildning. 
  • Anställdas och uppdragstagares åtkomst till produktionssystem som innehåller dina data loggas och granskas.
  • Optimizely-anställda är föremål för disciplinära åtgärder, inklusive men inte begränsat till uppsägning, om de befinns ha missbrukat sin tillgång till kunddata.
  • Optimizely-anställda är föremål för bakgrundskontroll före anställning där det är tillåtet enligt lag. 

Säkerhet i ingenjörsarbete 

Produktsäkerhetsöversikt 

Optimizelys programvarusäkerhetspraxis mäts med hjälp av branschstandardsäkerhetsmodeller – för närvarande Building Security In Maturity Model (BSIMM). Programvaruutvecklingslivscykeln (SDLC) för våra tjänster inkluderar många aktiviteter avsedda att främja säkerhet: 

  • Definiera säkerhetskrav 
  • Design (hotmodellering, hotanalys och säkerhetsdesigngranskning) 
  • Utvecklingskontroller (statisk analys och manuell kollegial kodgranskning) 
  • Testning (dynamisk analys, Bug Bounty-program och tredjeparts säkerhetssårbarhetsbedömningar) 
  • Vi använder för närvarande enhets-, integrations- och end-to-end-tester, där det är tillämpligt, för att fånga regressioner 
  • Distributionskontroller (som ändringshantering och canary-releaseprocess) 

Optimizely-programvara är designad, granskad och testad med hjälp av tillämpliga OWASP-standarder. 

Kodbedömningar 

Optimizely-utvecklad programvara övervakas och testas kontinuerligt med processer utformade för att proaktivt identifiera och åtgärda sårbarheter. Vi genomför regelbundet: 

  • Automatiserad källkodsanalys utformad för att hitta vanliga defekter 
  • Kollegial granskning av all kod innan den publiceras till produktion 
  • Manuell källkodsanalys på säkerhetskänsliga kodområden 
  • Applikationssäkerhetsbedömningar och penetrationstester utförda av tredje part, genomförda årligen 

Bug Bounty-program 

Optimizely erbjuder för närvarande ett bug bounty-program för att uppmuntra rapportering av säkerhetsproblem med vår produkt. Buggar kan rapporteras via programmet eller via e-post till securityeng@optimizely.com

Tillgänglighetskontroller 

Disaster Recovery 

Optimizely-tjänstens infrastruktur är utformad för att minimera tjänstavbrott på grund av maskinvarufel, naturkatastrofer eller andra katastrofer. Funktioner inkluderar: 

  • Ledande molnleverantörer: Vi använder Azure, Google Compute Cloud och Amazon Web Services – betrodda av tusentals företag för att lagra och leverera sina datatjänster. 
  • Datareplikering: För att säkerställa tillgänglighet vid en katastrof, kan vi replikera data både inom och över flera datacenter beroende på resilienspkrav. 
  • Säkerhetskopior: Vi utför frekventa säkerhetskopior av data lagrade via Optimizely Services. Säkerhetskopior testas för integritet, regelbundet. 
  • Kontinuitetsplan: Vi har kontinuitetsplan för alla typer av tjänsteavbrott. Vårt team är globalt och kan flytta resurser om regionala problem stör vår förmåga att tillhandahålla tjänster eller support.
  • Säkerhet: Vi försämrar inte vår säkerhet under Disaster Recovery-operationer. 

Incidenthantering 

Optimizely har en incidenthanteringsplan utformad för att snabbt och systematiskt reagera på säkerhets- och tillgänglighetshändelser som kan uppstå. Incidenthanteringsplanen testas och förfinas regelbundet. 

Segregeringskontroller 

Datasegregering 

Optimizely segregerar alla kunddata och tillhandahåller starka programmatiska och åtkomstkontroller för att logiskt isolera dina data från andra kunders data. 

Användarroller 

Optimizely-produkter ger dig möjligheten att begränsa åtkomsten till dina data och konfiguration genom att definiera användarroller. Du kan bjuda in användare till ditt konto utan att ge alla teammedlemmar samma behörighetsnivåer. Dessa användarbehörighetsnivåer är särskilt användbara när det finns flera personer som arbetar på samma projekt. 

Fysisk säkerhet 

Optimizely använder branschledande molnplattformar (Azure, Google Compute Cloud och Amazon Web Services) för att hosta sina produktionstjänster. Dessa molntjänster tillhandahåller höga branschstandardnivåer av fysisk säkerhet. Tillgång till dessa datacenter är begränsad till auktoriserad personal, verifierad med biometriska identitetsverifieringsåtgärder. Fysiska säkerhetsåtgärder för dessa datacenter inkluderar säkerhetsvakter på plats, stängd krets-videoövervakning och ytterligare intrångsskyddsåtgärder. Vi förlitar oss på deras tredjepartsattesteringar av fysisk säkerhet. Inom våra lokaler använder vi ett antal branschstandardfysiska säkerhetskontroller. Vi utbildar våra anställda och uppdragstagare att skydda den fysiska säkerheten för sina tillgångar oavsett plats. 

Ytterligare villkor 

Om du har ytterligare frågor om implementering av dessa säkerhetsåtgärder, konsultera kunskapsbasen. Våra säkerhetsåtgärder utvecklas ständigt för att hålla jämna steg med det föränderliga säkerhetslandskapet, så vi kan uppdatera denna sida då och då för att återspegla dessa tekniska och organisatoriska förändringar. Kontrollera in ofta för att se våra senaste åtgärder. Som alltid är användningen av Optimizely Service föremål för villkoren, betingelserna och ansvarsfriskrivningarna i vår tjänstevillkor