Ablauf Shop-Zertifizierung

Allgemeine Technologie

Der SECUREDSHOP-Partner Trust Guard hat bisher über 20 Millionen Scans für seine Kunden durchgeführt. Die Betreiber von über 75.000 Webseites vertrauen auf die täglichen Schwachstellenbewertungen von Trust Guard für den Schutz vor Hackern und für die Zertifizierung ihrer Sicherheit durch Dritte. Unsere fortschrittliche Technologie zur Aufdeckung und Verwaltung von Schwachstellen bietet eine hoch effektive Lösung.

Schwachstellen-Datenbank

Trust Guard aktuelle Schwachstellendatenbank ist die antreibende Kraft hinter unseren umfassenden Netzwerksicherheitsprüfungen und unserer Technologie zur Verwaltung von Schwachstellen. Wir aktualisieren die Datenbank alle 15 Minuten mit Tests für unsere neu aufgedeckten Schwachstellen und validierten Lösungen aus hunderten Quellen auf der ganzen Welt. Diese beständigen Aktualisierungen in Kombination mit proaktiven Benachrichtigungen zwischen Scans sorgen dafür, dass die Kunden von Trust Guard stets über die neuesten Schwachstellen informiert sind, die ihre Netzwerke beeinflussen.

Schwachstellen-Managementportal und -Benachrichtigungssystem

Das Schwachstellen-Managementportal von Trust Guard bietet äußerst sicheren Zugriff auf detaillierte Schwachstellenprüfungen und Informationen zu ihrer Behebung auf n-schichtigen Applikationsservern mit Lastverteilung. Unser webbasiertes Schwachstellen-Managementportal ermöglicht einfachen Zugriff auf Informationen zur Schwachstellenverwaltung von jedem beliebigen Ort aus. Umfassende Tools gestatten Ihnen das Durchführen von Scans, Untersuchen von Schwachstellendetails, Erstellen von Netzwerk-Gerätegruppen, Nachverfolgen von Trends, Zugreifen auf Reparaturinformationen, Konfigurieren von Benachrichtigungen, Zuweisen von Benutzerrollen und Benutzer-Verantwortungsgruppen zu Geräten sowie das Generieren benutzerdefinierter Berichte.

Scan-Anwendungen

Unser Netzwerk aus dezentralisierten, proprietären Scan-Servern mit Standorten in mehreren Datenzentren in Nordamerika und Asien ermöglicht uns die zuverlässige Durchführung täglicher Sicherheitsaudits für Tausende von Kunden in über 40 Ländern auf der ganzen Welt. Jede Scan-Anwendung wird durch unsere zentrale Wissensdatenbank und unser Schwachstellen-Managementsystem gesteuert, was dazu führt, dass jedem Gerät im Test automatisch die am besten passende Anwendung zugewiesen wird.

Datensicherheit

Trust Guard ist der einzige Anbieter von Sicherheitsscans, der durch Dritte für die Stufe 1 des CISP/AIS-Sicherheitsstandards von Visa International zertifiziert ist.

Unsere gesamte Portalinfrastruktur und alle Kundendaten werden in redundanten und höchst sicheren Tier-1-Datenzentren mit SAS-70-Sicherheitszertifizierung, 24/7-Bewachung vor Ort und biometrischer Zugangskontrolle gepflegt. Das Portal ist hinter hochverfügbaren Firewalls und Eindringungs-Überwachungssystemen untergebracht. Zusätzlich läuft auf jedem Server eine lokalisierte Firewall und IDS/IPS auf einem speziell definierten und gehärteten Linux-Distributions-OS.

Sicherer Zugriff auf jedes Benutzerkonto kann einfach mit Optionen für eingeschränkte IP-Adressen, Authentifizierung von Privatschlüsseln und Zwei-Faktoren-Authentifizierung für Einmal-Kennwörter konfiguriert werden.

Kundensupport

Die Trust Guard Zertifizierung beinhaltet auch uneingeschränkten Kundensupport online, per E-Mail oder Telefon durch CISSP zertifizierte Sicherheitsexperten. Egal welche technischen Fragen Sie möglicherweise haben und unabhängig von Ihrem Erfahrungshintergrund steht Ihnen unser erfahrenes Personal zur Verfügung, um Ihnen behilflich zu sein. Dank unserer beispiellosen Erfahrung im täglichen Scannen von Tausenden von Netzwerkgeräten können wir schnell genaue und verlässliche Hilfe anbieten.

Informationen zu SECUREDSHOP Scan

Was ist der Unterschied zwischen Ihnen und Ihrer Konkurrenz?

Wenn Sie die Zertifizierungsmarke von SECUREDSHOP anzeigen, erhöhen Sie nicht nur Ihren Absatz durch größeres Vertrauen auf Seiten Ihrer Käufer, Sie bauen auch Ihre Marke auf mit einem Sicherheitssiegel, das auf mehr Webseiten gesehen wird als jedes andere.

  • Auf über 60.000 Websites eingesetzt
  • Auf vielen Websites im Internet Top 500 vorhanden
  • Effektiver als andere Logos
  • Automatische Auflistung im Händlerverzeichnis
  • Marktführer in Sachen Sicherheit – gewählt von vielen großen Unternehmen

Tschüß Hacker, hallo Kunden

Errichten Sie das Vertrauen, das Ihr Geschäft errichtet. Schützen Sie Ihre Website und steigern Sie Ihren Umsatz.

Vorteile

Verkaufen Sie mehr mit dem SECUREDSHOP Logo

Das SECUREDSHOP Logo zu zeigen bedeutet Vertrauen zu zeigen. Mehr Vertrauen bedeutet mehr Absatz. 

Erhalten Sie PCI/DSS Zertifizierung als Anforderung von Visa/MasterCard/Amex

 Kreditkartenorganisationen haben gemeinsam den PCI/DSS Standard für Website-Sicherheit ins Leben gerufen. Dieser Payment Card Industry / Data Security Standard bedeutet, dass Sie Ihre gesamte Website mit allen IP-Nummern vierteljährlich auf Schwachstellen scannen müssen. Außer dem Scannen muss auch ein Selbstbewertungs-Fragebogen ausgefüllt werden. Ihr Erwerber möchte, dass Sie PCI zertifiziert sind. Wir können Ihnen behilflich sein!

Sichern Sie Ihre Website

Wenn Ihr Einkommen auf Onlineverkäufen über das Internet basiert, sollten Sie dafür sorgen, dass Ihre Website sicher ist. Haben Sie jemals ausgerechnet, was es kostet, wenn Ihre Website eingeschränkt ist? Denken Sie nicht nur an soundso viele Tage Umsatzausfall, sondern auch an den Schaden und die dazu gehörigen Reparaturkosten! Seien Sie schlau, sichern Sie Ihre Website mit Trust Guard optimiert.

Erzielen Sie höhere Suchmaschinenpositionen, z.B. in Google

Trust Guard zu sein bedeutet nicht nur, das Logo auf Ihrer Website anzuzeigen! Ergebnis: höhere Suchmaschinenposition!

Ihre Konkurrenz nutzt SECUREDSHOP auch…

Wenn Ihre Konkurrenten das SECUREDSHOP Logo anzeigen, verstehen Sie wahrscheinlich bereits die Stärke der Vermarktung der Sicherheit. Warten Sie nicht! Der Kampf um Kunden spielt sich innerhalb von Sekunden ab, wenn Kunden auf Ihrer Website ankommen und ihr vertrauen – oder auch nicht.

Datenschutzregulierungen

Merchants neigen dazu ein schwarzes Loch zu haben wenn es rechtliche Gesetze betrifft die Verbraucher / Bürger schützen. Datenschutzregulierung sollte Ihre Top-Priorität sein, wenn Sie kein Opfer von ID-Diebstahl und Imageschäden sobald Ihr Geschäft gefährdet ist!

Werkzeug für Ihre Systeminhaber

Selbst der fähigste Systeminhaber der Welt verfügt nicht über die Kenntnisse, Fähigkeiten und die Zeit, Ihre Website-Schwachstellen täglich zu überprüfen. SECUREDSHOP erhält von über 500 Anbietern die aktuell entdeckten Schwachstellen. Damit helfen wir unseren Systeminhabern, Ihre Systeme innerhalb von Tagen zu reparieren anstelle der ansonsten benötigten, durchschnittlichen 9 Monate!

Zertifizieren Sie sich für Standards wie HIPAA, SOX, ISO17799, SAS70

Ein Großteil vieler Standards betrifft Scans als Teil der Zertifizierung. SECUREDSHOP kann Ihnen behilflich sein!

Erfordernis von Ihrer Branchenvereinigung

Immer mehr Branchen und Organisationen verlangen, dass ihre Mitglieder Sicherheit umsetzen, um den Markt abzusichern, in dem sie tätig sind. Fragen Sie in Ihrer Vereinigung nach ihrer Sicherheitsrichtlinie und Ihren Verpflichtungen!

Schaden am Image kostet viel mehr!

Was würde passieren, wenn Ihre Website eingeschränkt ist und Ihr Name morgen im Newsletter erscheint? Müssen wir noch mehr sagen?

Scan Technologie

Überblick über den Schwachstellen Prüfprozess

Die SECUREDSHOP Zertifizierung wird erreicht durch Bestehen rigoroser täglicher Prüfungen der Netzwerksicherheit. Der Zertifizierungsprozess erfolgt in sechs Schritten: Die ersten drei Schritte sind die Schwachstellenprüfung selbst, bestehend aus dynamischem Portscan, Schwachstellentest bei Netzwerkservices auf Portebene sowie Schwachstellentest von Webapplikationen. Die Schritte vier und fünf sind Benachrichtigungen bei erkannten Schwachstellen sowie Behebungsmanagement mithilfe unseres umfassenden Schwachstellen-Managementportals. Das Ergebnis ist höchst effektive, proaktive Sicherheit.

Der Schwachstellen-Prüfablauf

Alle Scanaktivitäten sind sicher, sie unterbrechen ihre Netzwerkbetrieb nicht.

Scan zur Porterkennung

Die erste Phase ist ein gründlicher, interaktiver Portscan des Zielobjekts. Die genaue Ermittlung, welche Ports auf einer IP-Adresse offen sind, ist der wichtige erste Schritt zu einer umfassenden Sicherheitsprüfung. Die proprietäre Firewall und die IDS/IPS-fähige Technologie zur Netzwerkerkennung von Trust Guard ist so ausgelegt, dass sie genau die Größe und Komplexität der Netzwerkstruktur darlegen kann. Dies ist oft kein einfacher Prozess. Anders als die meisten Scan-Lösungen auf Basis von Nmap kann unser fortschrittlicher dynamischer Portscan alle Zielobjekte handhaben, von Desktop-PCs zu den aggressivsten Firewalls, IDS- und IPS-Systemen.

Scan von Schwachstellen in Netzwerkservices

Während dieser zweiten Stufe des Prüfprozesses befragen wir jeden laufenden Service auf jedem verfügbaren Port gründlich, um genau festzulegen, welche Software läuft und wie sie konfiguriert ist. Sobald diese Informationen erhalten worden sind, werden sie mit unserer Schwachstellen-Wissensdatenbank abgeglichen, um zusätzliche applikationsspezifische und generische Tests für jeden verfügbaren Service durchzuführen. Diese Tests basieren auf unserer umfassenden Wissensdatenbank mit über 10.000 Schwachstellen, die alle 15 Minuten aktualisiert wird.

Scan von Webapplikationen

Das Testen von Webapplikationen ist die dritte Phase des täglichen Sicherheitsaudits von Trust Guard, und vielleicht die wichtigste. Den Analytikern der Gartner Group zufolge sind heute ca. 70 % aller Sicherheitsverstöße auf Schwachstellen innerhalb der Webapplikationsebene zurückzuführen. Traditionelle Sicherheitsmechanismen wie Firewalls und IDSs bieten wenig oder keinen Schutz gegen Angriffe auf Ihre Webapplikationen. Während dieser Testphase werden alle HTTP-Services und virtuellen Domains auf die Existenz von potenziell gefährlichen Modulen, Konfigurationseinstellungen, CGIs, anderen Scripts und standardmäßig installierten Dateien hin überprüft. Die Webseite wird dann per „Deep Crawl“ indexiert, einschließlich in Flash eingebetteter Links und kennwortgeschützter Seiten, um Formulare und andere potenziell gefährliche „interaktive Elemente“ zu finden. Diese werden dann auf spezifische Wege ausgeübt, um Schwachstellen auf Applikationsebene aufzudecken, wie beispielsweise Codeaufdeckung, Site-übergreifendes Scripting und SQL-Injektion. Es werden sowohl generische als auch softwarespezifische Tests durchgeführt, um Schwachstellen aufgrund von Fehlkonfigurationen und Kodierungsfehlern aufzudecken. Dieser Dreiphasenansatz der Schwachstellenprüfung ermöglicht uns die Durchführung genauerer Audits mit weniger Belastung auf Ihren Servern. Er ermöglicht uns auch, auf einem Zielobjekt einen einzelnen Test oder eine einzelne Testphase durchzuführen, um Änderungen zu erkennen, spezifische Ports oder Schwachstellen zu scannen oder nur Tests von Webapplikationen auf mehreren Webseites auszuführen, die auf einem einzigen Server gelagert sind.

Warnungen

Nach jeder eingeplanten täglichen oder manuellen Prüfung erhalten Sie eine Benachrichtigung, sobald eine Schwachstelle entdeckt worden ist. Benachrichtigungen können nach Benutzer, Gerätegruppe und Grad der Schwere konfiguriert werden. Sie können auch an eine Vielzahl E-Mail-aktivierter Geräte wie Mobiltelefone, Pager etc. geschickt werden. Dies verringert die Gefahrenzeit zwischen täglichen Audits beträchtlich. Zusätzliche manuelle Audits können jederzeit gestartet werden. Manuelle Audits können so konfiguriert werden, dass sie nur aktuelle Schwachstellen erneut auf Ausbesserungsbestätigung testen oder aggressive DOS- und Exploit-Tests durchführen.

Analyse und Ausbesserung

Interaktive Tools und Assistenten ermöglichen Ihnen die einfache Verwaltung von Schwachstelleninformationen. Schwachstellen können aufgelistet sein, um eine Platzierung nach Kombinationen von Gerätegruppen, Schwere oder Reparaturaufwand zu ermöglichen. Konfigurier Bare Gerätegruppierung gestattet Express-Lösungsplanung, Delegierung und Ausbesserungsmanagement. Komplette und detaillierte, einfach zu befolgende Ausbesserungsanweisungen werden innerhalb des Schwachstellen-Managementportals angeboten. Links zu weiteren Informationen wie CVE, CERT, BugTraq sowie Verkäufer Ressourcen stehen ebenfalls zur Verfügung. Der Trust Guard Zertifizierungsservice beinhaltet auch uneingeschränkten technischen Support per E-Mail oder Telefon durch CISSP zertifizierte Sicherheitsexperten. Egal welche Fragen Sie möglicherweise haben und unabhängig von Ihrem Erfahrungshintergrund steht Ihnen unser erfahrenes Personal zur Verfügung, um Ihnen bei der Behebung behilflich zu sein.

Trust Guard Zertifizierung

Die zum Patent angemeldete Sicherheitsprüftechnologie von Trust Guard ermöglicht, dass die Trust Guard Marke nur dann angezeigt wird, wenn der derzeitige Sicherheitsstatus einer Webseite den höchsten veröffentlichten Regierungsstandards entspricht. Maximal 72 Stunden sind gestattet für die Ausbesserung von Schwachstellen, bevor das Zertifizierungslogo nicht mehr angezeigt wird, bis die Sicherheitslücke geschlossen ist. Die Zertifizierungsmarke erscheint erneut, sobald eine neue Prüfung bestanden worden ist. Die Trust Guard Zertifizierung ist voll anerkannt, um die Scan-Anforderungen des PCI Standards (Payment Card Industry) zu erfüllen.

Datenschutz

Datenschutz und Regulierungen

Zu oft wird Sicherheit nicht genügend Priorität gegeben. Inhaber von Websites konzentrieren sich eher auf Funktionalitäten als auf Sicherheit. Seien Sie ehrlich: testen Sie Ihre Website mit einem „Akzeptanztest“ zu Funktionalität UND Sicherheit?

Warten Sie nicht darauf, dass Visa und MasterCard mit ihrem PCI Compliance Programm aufkommen. Basierend auf nationalen und internationalen Gesetzen sollten Website-Besitzer bereits auf den Datenschutz bezogene Informationen „auf bestmögliche Weise“ sichern und schützen. Durch die Verwendung von SECUREDSHOP und/oder Erlangung der PCI Zertifizierung erschaffen Sie eine stärkere rechtliche Position, bekannt als „Entlastungsbedingung“.

Damit gemeint ist eine vertragliche Bedingung, bei der eine juristische Person beansprucht, völlig oder teilweise frei zu sein in Fällen, bei denen es einer vertraglichen oder außervertraglichen Haftung bedarf. Auf Basis der Prinzipien der Rechtsfähigkeit und Vertragsfreiheit ist Entlastung grundsätzlich möglich sowohl bezüglich vertraglicher als auch außervertraglicher Haftung. Natürlich müssen Beweise erbracht werden, damit die Entlastung angenommen werden kann.

Einige Zitate und Informationen

Richtlinie 95/46/EC des Europäischen Parlaments

„(46) Für den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung, um insbesondere deren Sicherheit zu gewährleisten und somit jede unrechtmäßige Verarbeitung zu verhindern. Die Mitgliedstaaten haben dafür Sorge zu tragen, dass der für die Verarbeitung Verantwortliche diese Maßnahmen einhält. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist.“

Safe Harbor

„Sicherheitsunternehmen müssen angemessene Vorkehrungen treffen, um personenbezogene Daten vor Verlust, Missbrauch und unautorisiertem/r Zugriff, Bekanntgabe Veränderung und Zerstörung zu schützen.“

Die Richtlinie der Europäischen Kommission zum Datenschutz trat im Oktober 1998 in Kraft. Sie untersagte den Transfer von persönlichen Daten an Länder außerhalb der Europäischen Union, die nicht den europäischen „Angemessenheit“ Standard für den Schutz der Privatsphäre erfüllten. Während die Vereinigten Staaten und die Europäische Union das Ziel des verbesserten Datenschutzes für ihre Bürger verfolgen, liegt in den Vereinigten Staaten ein anderer Ansatz des Datenschutzes zu Grunde als in der Europäischen Union. Um diese unterschiedlichen Ansätze des Datenschutzes zu überbrücken und vereinheitlichte Maßnahmen zu bieten, damit US-Organisationen mit der Richtlinie übereinstimmen, hat das US-amerikanische Department of Commerce in Zusammenarbeit mit der Europäischen Kommission ein „Safe Harbor“ Rahmenwerk entwickelt sowie diese Website, um die Informationen anzubieten, die ein Unternehmen benötigt, um Safe Harbor zu bewerten und anschließend selbst zu nutzen. Informationssicherheit ist ebenfalls ein Teil der Safe Harbor Gesetzgebung.

© Copyright SECUREDSHOP, powered by pörtner consulting