Die stabile, integrierte Sicherheit von Atera steht im Mittelpunkt unseres Handelns – so können Sie sicher sein, dass Ihre Daten stets sicher und geschützt sind.
Atera hat die ISO/IEC 27001, 27017, 27018 und 27032 Konformität erreicht.
ISO 27001 ist eine Norm für die Informationssicherheit, die ursprünglich im Jahr 2005 von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) veröffentlicht wurde. Im September 2013 wurde die Norm ISO 27001:2013 veröffentlicht, die die ursprüngliche Norm von 2005 ablöst. ISO 27001 ist ein weltweit anerkannter, auf Standards basierender Ansatz für Sicherheit, der die Anforderungen an das Informationssicherheitsmanagementsystem )ISMS einer Organisation festlegt.
ISO 27017 ist ein Sicherheitsstandard, der für Anbieter und Nutzer von Cloud-Diensten entwickelt wurde, um eine sichere Cloud-basierte Umgebung zu schaffen und das Risiko von Sicherheitsproblemen zu verringern.
ISO 27018 ist die erste internationale Norm, die speziell für den Datenschutz beim Cloud Computing entwickelt wurde. Laut der Internationalen Organisation für Normung (ISO) besteht ihr Hauptziel darin, “allgemein anerkannte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (PII) festzulegen”.
ISO 27032 ist eine internationale Norm, die Leitlinien für die Verbesserung der Cybersicherheit enthält und die besonderen Aspekte dieser Tätigkeit und ihre Abhängigkeiten von anderen Sicherheitsbereichen herausstellt, insbesondere von der Informationssicherheit, der Netzsicherheit, der Internetsicherheit und dem Schutz kritischer Informationsinfrastrukturen (CIIP).
Klicken Sie hier, um die Bescheinigungen herunterzuladen.
Atera ist mit SOC 2 Typ 2 akkreditiert. Diese Zertifizierung beinhaltet eine strenge Bewertung der operativen Effektivität unserer Kontrollen über einen längeren Zeitraum und stellt sicher, dass unser Engagement für die Datensicherheit nicht nur theoretisch ist, sondern konsequent aufrechterhalten wird. Diese Akkreditierung spiegelt den proaktiven Ansatz von Atera wider, anerkannte Industriestandards zu erfüllen und zu übertreffen, und gibt unseren Kunden die Gewissheit, dass ihre sensiblen Daten mit äußerster Sorgfalt und unter Einhaltung der Vorschriften behandelt werden.
Der Health Insurance Portability and Accountability Act setzt den Standard für den Schutz sensibler Patientendaten.
Atera hat das HIPAA Seal of Compliance erhalten. Dieser Nachweis bestätigt Ateras “gutgläubige Bemühungen”, die HIPAA-Gesetze und -Vorschriften einzuhalten, und ist ein Zeugnis für unser Engagement, die höchsten Standards für Sicherheit und Datenschutz aufrechtzuerhalten.
Klicken Sie hier, um das HIPAA-Konformitätszertifikat von Atera herunterzuladen.
Wenn Sie Kunde eines Enterprise- oder Superpower-Tarifs sind und ein unterzeichnetes BAA benötigen, senden Sie bitte eine Anfrage an [email protected] und unser BAA wird Ihnen zur Unterschrift zugesandt.
Um den Seal of Compliance Letter zu erhalten, senden Sie bitte eine Anfrage an [email protected].
Atera-Abonnementdienste fallen nicht in den Geltungsbereich von PCI-DSS, da wir keine Kartendaten im Namen unserer Kunden verarbeiten.
Atera unterhält Verwaltungsprotokolle sowie Protokolle für die Einrichtung und Änderung von Konten, einschließlich des Hinzufügens oder Entfernens von Benutzern, Segmenten, Quellen und Zielen.
Atera-Kunden können Protokolle von internen Atera-Angelegenheiten erhalten, die sich auf interne Änderungen am Status ihrer jeweiligen Atera-Konten beziehen. Häufige Änderungen sind CRUD-Operationen (Erstellen, Aktualisieren, Löschen) von Konten, Admin-Benutzern usw.
Atera macht es Ihnen leicht, eine Multi-Faktor-Authentifizierung zu Ihrem Atera-Konto-Login-Prozess hinzuzufügen, um die Sicherheit Ihres Kontos zu erhöhen.
Administratoren von Kundenkonten können problemlos Benutzer hinzufügen und entfernen. Atera verfügt über verschiedene definierte Benutzerrollen mit entsprechenden Berechtigungen.
Die Verbindung zur Atera-Umgebung erfolgt über kryptografische SSL/TLS-Protokolle unter Verwendung globaler Step-up-Zertifikate, die gewährleisten, dass unsere Nutzer eine sichere Verbindung von ihren Browsern zu unserem Dienst haben.
Einzelne Benutzersitzungen werden identifiziert und bei jeder Transaktion mit einem eindeutigen Code, der bei der Anmeldung erstellt wird, erneut verifiziert.
Zugriffslisten-IP-Bereiche schränken den unbefugten Zugriff ein, indem sie die Benutzer auffordern, sich von bestimmten IP-Adressen aus bei Atera anzumelden – typischerweise Ihr Firmennetzwerk, bestimmte Kundennetzwerke oder VPN. Durch die Verwendung von Login-IP-Bereichen können Administratoren einen Bereich von erlaubten IP-Adressen definieren, um den Zugang zu Atera zu kontrollieren. Diejenigen, die versuchen, sich von außerhalb der festgelegten IP-Adressen bei Atera anzumelden, erhalten keinen Zugang.
Sobald ein Agent eingesetzt wird, wird ihm ein eindeutiger Schlüssel zugewiesen. Dieser Schlüssel wird für die Authentifizierung verwendet. Die gesamte Kommunikation zwischen den Agenten und der Atera-Cloud wird anhand dieses eindeutigen Schlüssels überprüft und über Secure Socket Layer/Transport Layer Security (SSL/TLS) abgewickelt.
Bei der Verwendung des Atera Remote Control-Tools wird ein virtueller Tunnel zwischen dem Atera-Nutzer und dem Zielcomputer aufgebaut. Alle Daten, die zwischen dem Nutzer und dem Agent übertragen werden, sind verschlüsselt. Sowohl der Atera-Nutzer als auch der Agent verbinden sich nur über den TCP-Port 443.
Die Daten werden im Ruhezustand mit AES-256 verschlüsselt.
Wir verschlüsseln die Daten während der Übertragung mit HTTPS/TLS. Die unterstützte TLS-Version ist derzeit TLS 1.2 oder aktueller.
Die Kennwörter der Benutzerkonten werden verschlüsselt und mit einem SHA-256-Algorithmus verschlüsselt.
Die Atera-Datenschutzrichtlinie beschreibt, wie wir persönliche Informationen sammeln, nutzen und behandeln, wenn Sie unsere Plattform, Website(s), App(s), Datenanalyse-Software und andere Dienste nutzen.
Besuchen Sie unsere Datenschutzbestimmungen hier.
Atera hat sich dem Schutz Ihrer Daten verpflichtet und hält sich, soweit anwendbar, an die allgemeinen Datenschutzbestimmungen der EU, bekannt als GDPR. Weitere Informationen über Atera und GDPR finden Sie in unserem GDPR-Hinweis unter https://www.atera.com/gdpr-awareness-notice/
Nach Beendigung des Kundenkontos wird der Zugriff darauf entfernt, und die mit dem Konto verbundenen Kundendaten werden logisch gelöscht und anschließend überschrieben. Wenn die Medien, auf denen die Kundendaten gespeichert waren, nicht mehr brauchbar sind, werden sie in Übereinstimmung mit den NIST SP 800-88 Revision 1 Guidelines for Media Sanitation und den Sicherheitsrichtlinien des DoD vernichtet.
Wir gehen in unseren Dienstleistungsvereinbarungen auf die Datenverarbeitung ein und bieten unseren Kunden ein Addendum zur Datenverarbeitung an.
Um ein DPA anzufordern, wenden Sie sich bitte an: [email protected]
Kunden können die Löschung von Daten beantragen, indem sie sich an den Datenschutz-Support von Atera wenden. Jeder Antrag auf Löschung von Daten, der von einer betroffenen Person im Zusammenhang mit einem Kunden eingeht, wird an den betreffenden Kunden weitergeleitet.
Bei Bedenken, Anfragen oder zur Ausübung Ihrer Datenschutzrechte wenden Sie sich bitte an: [email protected]
Unser ernannter Datenschutzbeauftragter ist dafür verantwortlich, dass alle unsere Datenschutzmaßnahmen auf dem neuesten Stand sind und alle Verfahren eingehalten werden. Der DSB arbeitet mit erfahrenen Sicherheitsexperten zusammen (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).
Im Falle eines tatsächlichen oder vermuteten Verstoßes gegen die Informationssicherheit oder eines anderen Vorfalls, der die Sicherheit oder Integrität Ihrer Daten beeinträchtigt, wird Atera die im Atera Information Security Incident Response Plan definierten Richtlinien einhalten und Sie in Übereinstimmung mit dem geltenden Recht benachrichtigen.
Atera verfügt über einen formellen Prozess für das Management von Sicherheitsvorfällen im Rahmen einer entsprechenden Richtlinie und eines Verfahrens. Es gibt Eskalationsverfahren, um die rechtzeitige Mitteilung von Sicherheitsvorfällen über die Verwaltung und an alle betroffenen Kunden ohne unangemessene Verzögerung sicherzustellen.
Atera nutzt die Infrastruktur der Microsoft Azure-Plattform, da diese als eine der flexibelsten, zuverlässigsten und sichersten Cloud-Umgebungen konzipiert wurde, die heute verfügbar sind.
Unsere Infrastruktur ist auf mehrere, geografisch verteilte Einrichtungen in Rechenzentren verteilt, die für maximale Sicherheit und Verfügbarkeit ausgelegt sind. An allen Standorten kommen die besten Praktiken der Branche zum Einsatz, darunter Zugangssysteme mit Ausweisen und biometrischen Merkmalen, zusätzliche Stromquellen, zusätzliche Klimaanlagen und Feuerlöschsysteme. Sicherheitspersonal und Kameras überwachen diese Standorte 24 Stunden am Tag, 365 Tage im Jahr. Nur befugtes Personal darf diese Rechenzentren betreten, und alle Besuche werden protokolliert.
Wir haben unsere Datenerfassungsumgebung für Abonnementdienste auf eine hohe Verfügbarkeit von mindestens 99,75 % ausgelegt.
Wir ermöglichen eine automatische Skalierung in der Cloud.
Die Cloud-Infrastruktur von Atera kann skaliert werden, um Daten von Millionen von Geräten zu verarbeiten. Echte Cloud-Skalierung wird durch die automatische Skalierung der Cloud-Infrastruktur ohne Auswirkungen auf den Endbenutzer erreicht, der auf Daten zugreift oder sie schreibt.
Atera hat Cloudflare Security Services sowohl für die Web Application Firewall als auch für den Denial-of-Service-Schutz und das Content Delivery Network eingesetzt.
Die Atera-Dienste werden so eingesetzt, dass sie von der Überflüssigkeit der Infrastruktur der Microsoft Azure-Plattform profitieren.
Atera folgt einem Prozess des Änderungsmanagements für Änderungen an der Produktionsumgebung. Wenn die Validierung fehlschlägt, wird die Anwendung auf ihre vorherige Version zurückgesetzt.
Atera nutzt Azure Log Analytics und Application Insights zur Überwachung seiner Systeme, um servicebezogene Probleme zu erkennen. Das Atera-Team wird rund um die Uhr alarmiert, wenn die Schwellenwertkriterien überschritten werden.
Unsere Dienstleistungsvereinbarungen ermöglichen die vertrauliche Behandlung von vertraulichen Kundeninformationen, einschließlich Kundendaten. Um den absoluten Schutz vertraulicher Informationen zu gewährleisten, verlangen wir von allen unseren Mitarbeitern und Auftragnehmern sowie von Lieferanten die Unterzeichnung von Vertraulichkeitsvereinbarungen.
Wir schulen alle neuen Mitarbeiter im Rahmen ihrer Einführungsschulung über ihre Verpflichtungen in Bezug auf Vertraulichkeit, Datenschutz und Informationssicherheit. Eine obligatorische jährliche Sicherheits- und Datenschutzschulung sorgt dafür, dass die Mitarbeiter ihr Wissen und ihre Kenntnisse auffrischen. Ingenieurteams erhalten weitere Schulungen, die sich auf ihre Arbeitsaufgaben und ihren Zugang beziehen.
Die Workstations unserer Mitarbeiter werden über das von uns implementierte MDM-System nach einer bestimmten Zeit der Nichtbenutzung automatisch gesperrt.
Alle Workstations der Mitarbeiter werden verschlüsselt und zum Zeitpunkt der Außerbetriebnahme nach DoD-Standards gelöscht.
Atera folgt bei der Regelung des Mitarbeiterzugriffs auf unsere Systeme dem Prinzip des “geringsten Privilegs”. Der Zugang zu den Daten unserer Kunden ist auf legitime geschäftliche Erfordernisse beschränkt, einschließlich Aktivitäten, die zur Unterstützung der Nutzung unserer Dienstleistungen durch unsere Kunden erforderlich sind.
Wir ordnen unsere Netzwerkkonten direkt unseren Mitarbeitern zu, indem wir eine eindeutige Kennung verwenden; allgemeine administrative Konten werden nicht verwendet. Wir überprüfen regelmäßig den Zugang der Mitarbeiter zu internen Systemen, um sicherzustellen, dass die Zugriffsrechte und -muster der Mitarbeiter mit ihrer aktuellen Position übereinstimmen.
Es gibt ein förmliches Verfahren zur Benachrichtigung von Mitarbeitern über ihre Kündigung, das von unserer Personalabteilung eingeleitet wird. Nach der Benachrichtigung durch die Personalabteilung werden alle physischen und Systemzugänge unverzüglich entzogen.
Atera hat angemessene Kontrollen eingeführt, um den physischen Zugang zu seinen Büros zu beschränken.
Unsere Cloud-Dienstleister haben solide Sicherheitsmaßnahmen eingeführt, um den physischen Zugang zu den von uns genutzten Datenverarbeitungseinrichtungen zu kontrollieren.
Die Workstations der Mitarbeiter von Atera verwenden Zero Trust-Kontrollen, um eine End-to-End-Netzwerkverschlüsselung, mehrschichtige Sicherheit und Identitäts-Zugriffsmanagement mit MFA zu bieten, um eine private, sichere Verbindung sowohl zum Internet als auch zu den arbeitsbezogenen Netzwerkressourcen von Atera zu gewährleisten.
Alle Remote-Verbindungen werden regelmäßig überwacht, und die Mitarbeiter werden benachrichtigt, wenn die Verbindung zum Netzwerk unterbrochen wird oder wenn andere Sicherheitsmeldungen ausgelöst werden.
Um zu gewährleisten, dass Daten auf sichere Weise gespeichert, empfangen und zwischen Arbeitsplätzen übertragen werden, verwenden die Mitarbeiter von Atera Datentresore.
Atera ist sich der Bedeutung der Verwaltung von Benutzerpasswörtern bewusst und hat ein sicheres, unternehmensweites Passwortmanagementsystem implementiert, um die Passwörter der Mitarbeiter und des Unternehmens zu schützen und zu verwalten.
Atera hat eine integrierte Geschäftskontinuitäts- und Disaster-Recovery-Richtlinie eingeführt und unterhält im Rahmen dieser Richtlinie entsprechende Pläne.
Atera unterhält durch den Einsatz mehrerer geografisch verteilter Rechenzentren, unsere Plattformarchitektur, die externe Datensicherung und die Möglichkeiten des Fernzugriffs wesentliche Fähigkeiten zur Vermeidung von Katastrophen, zur Bereitschaft und zur Wiederherstellungsplanung. Wir verfügen außerdem über eine Geschäftskontinuitäts- und Notfallwiederherstellungsrichtlinie und entsprechende Pläne, die wir regelmäßig testen.
Atera speichert alle Kundendaten auf Microsoft Azure-Speichersystemen und verwendet Hot-Backups, die in sicheren Azure-Einrichtungen außerhalb der Produktionsstätten gespeichert werden. Der Zugang zu den Sicherungsmedien ist stark eingeschränkt.
Atera hostet seine Daten und Anwendungen auf Microsoft Azure, für seine Produktionsinfrastrukturumgebung.
Azure nutzt die hier erwähnten Schutzmaßnahmen, die auch Folgendes umfassen:
Zugangskontrolle und physische Sicherheit
Umgebungskontrollen
Leistung
Netzwerk
Branderkennung und -bekämpfung
Atera wird auf dem Goldstandard für Cloud-Sicherheit betrieben: Microsoft Azure.
Die Azure-Rechenzentren von Atera befinden sich in West-EU (Amsterdam) und US-Central (Iowa).
Azure-Rechenzentren halten robuste physische Sicherheitsstandards ein und sind ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 und SOC-2 konform.
Atera bietet seine Abonnementdienste in einer mandantenfähigen Architektur an, bei der die Daten in jedem Kundenkonto logisch von anderen Konten getrennt sind. Die Daten werden im Ruhezustand mit AES-256 verschlüsselt.
Microsoft Azure-Rechenzentren – zertifiziert nach den folgenden ISO-Normen: ISO 27001:2013, ISO 27017:2015 und ISO 27018:2019, ISO 27701:2020.
Die Microsoft Azure-Rechenzentren sind nach den SOC 2 Typ 2-Prinzipien für Sicherheit, Vertraulichkeit, Verfügbarkeit und Datenschutz zertifiziert.
Weitere Informationen finden Sie unter folgendem Link, der die Sicherheitsmaßnahmen von Microsoft rund um die Azure-Infrastruktur näher beschreibt.
https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security
Zero-Trust (ZT) ist der Begriff für eine sich entwickelnde Reihe von Cybersicherheit-Paradigmen, die die Verteidigung von statischen, netzwerkbasierten Parametern auf Benutzer, Anlagen und Ressourcen konzentrieren.
Atera wendet eine Zero-Trust-Architektur (ZTA) an und nutzt Zero-Trust-Prinzipien für die Planung und den Aufbau seiner Infrastruktur und Arbeitsabläufe, so dass kein implizites Vertrauen in Anlagen oder Benutzerkonten allein auf der Grundlage ihres physischen oder Netzwerk-Standorts gewährt wird.
Wir haben einen unabhängigen Sicherheitsanbieter, der vierteljährlich manuelle Penetrations-Tests unserer internen und externen Infrastruktur und Dienste durchführt. Diese manuellen Tests werden durch automatisierte Tests ergänzt, die monatlich mit einer Reihe von kommerziell erhältlichen Testtools durchgeführt werden.
Wenn Sie eine Kopie von Ateras letztem Bericht über Penetrationstests erhalten möchten, senden Sie bitte eine Anfrage an [email protected]. Da ein NDA erforderlich ist, geben Sie bitte den vollständigen Namen, die Adresse und den Sitz Ihres Unternehmens an.
Atera verwendet mehrere automatisierte Scanning-Tools, um sowohl die Infrastruktur als auch die Anwendungen regelmäßig auf Sicherheitslücken zu überprüfen. Die Scans werden bei jedem Code-Build und vor der Zusammenführung von Code durchgeführt.
Der Quellcode wird regelmäßig auf Schwachstellen gescannt, bevor er in die Produktion geht.
Die Kundendaten und die Privatsphäre von Atera sind von größter Bedeutung und werden in Übereinstimmung mit unserer Datenschutzpolitik behandelt. Aus diesem Grund ist Atera nicht in der Lage, Informationen über seine Nutzer oder Konten ohne einen Gerichtsbeschluss, eine Vorladung oder eine andere Form eines gerichtlichen Verfahrens herauszugeben. Für weitere Informationen, siehe hier.
Hier finden Sie eine aktuelle Liste der Namen und Standorte der Unterauftragsverarbeiter, die die personenbezogenen Daten der Nutzer der Kunden von Atera verarbeiten. Weitere Informationen zu unseren Unterauftragsverarbeitern finden Sie in unserer Datenschutzrichtlinie.