Sicherheit
Customer Trust Portal
Übersicht
Vertrauen Sie auf Rubrik
Bei Rubrik geht es uns um Sie – unseren Kunden.
Um erfolgreich zu sein und Ihr Vertrauen zu gewinnen, muss Rubrik Ihre Erwartungen jeden Tag und bei jeder Interaktion erfüllen. Rubrik weiß auch, dass Sicherheit und Transparenz die Grundlage für Vertrauen sind. Auf dieser Seite finden Sie Informationen über die Sicherheits-, Datenschutz- und Compliance-Praktiken von Rubrik.
Compliance und Datenschutz
Compliance-Programm
Multi-Cloud Data Control™-Produkte und -Services von Rubrik werden regelmäßig und unabhängig auf branchenführende Standards hinsichtlich Compliance, Datenschutz und Sicherheit geprüft, um Sie beim Erfüllen der Compliance-Anforderungen Ihres Unternehmens zu unterstützen. Erfahren Sie unter https://www.rubrik.com/compliance-program mehr über Rubriks Compliance-Programm.
Datenschutzrichtlinie
Erfahren Sie hier mehr über die Datenschutzpraktiken von Rubrik.
Rubrik unterhält ein Datenschutzprogramm, das die Einhaltung der gesetzlichen Anforderungen überwacht und von speziellen Datenschutzbeauftragten beaufsichtigt wird. Erfahren Sie unter https://www.rubrik.com/en/privacy-policy mehr über Rubriks Datenschutzrichtlinie.
Berichte
Rubriks Compliance-Zertifikate und -Bescheinigungen finden Sie in der Geheimhaltungsvereinbarung. Bitte wenden Sie sich an Ihren Rubrik-Vertreter, um Zugang zu diesen Berichten zu erhalten. Bitte wenden Sie sich an compliance@rubrik.com, um weitere Informationen über die Compliance-Zertifizierungen und -Programme von Rubrik zu erhalten.
Sicherheitskultur
Sicherheitsteam
Unter der Führung des CISO verfügen wir über ein engagiertes, weltweit aktives Sicherheitsteam, das sich auf Produkt- und Unternehmenssicherheitsfunktionen wie sichere Produktentwicklung und -tests, Cloud-Sicherheit, Endpunkt-, Benutzer- und Kommunikationssicherheit, Schwachstellenmanagement, Vorfallsmanagement, Sicherheitskultur und -schulungen, sichere Protokollierung und Überwachung, Sicherheits-Governance, Sicherheitsrisikomanagement, Anbieterrisikomanagement sowie Identitäts- und Zugriffsmanagement konzentriert.
Hintergrundprüfungen
Für alle Rubrik-Mitarbeiter in den USA und einigen anderen Ländern werden bei der Einstellung Hintergrundprüfungen durchgeführt, sofern die örtlichen Gesetze dies zulassen. Mitarbeiter von Rubrik müssen bei ihrer Einstellung eine Vertraulichkeitserklärung unterzeichnen.
Sicherheitsbewusstsein
Richtlinien
Rubrik hat eine Reihe von Sicherheitsrichtlinien entwickelt, die basierend auf ISO 27001 ein breites Spektrum von Themen abdecken, die für die Betriebsumgebung von Rubrik relevant sind. Benutzer müssen nicht nur bei ihrer Einstellung und im Rahmen der vorgeschriebenen jährlichen Schulungen bestätigen, dass sie diese Richtlinien verstanden haben, sondern diese werden auch in unserem Intranet für alle Mitarbeiter und Auftragnehmer mit Zugang zu Rubrik-Informationsressourcen verfügbar gemacht.
Schulung
Alle Mitarbeiter und Auftragnehmer mit Zugang zu Rubrik-Informationsbeständen sind verpflichtet, bei ihrer Einstellung und danach jährlich eine Schulung zur Stärkung des Bewusstseins für Sicherheit und Datenschutz zu absolvieren. Rubrik führt regelmäßig Phishing-Kampagnen im gesamten Unternehmen durch und bietet maßgeschneiderte rollenbasierte Schulungen sowie bedarfsgerechte Kurzschulungen für relevante Benutzer im gesamten Unternehmen basierend auf erkannten Risikofaktoren an.
Produktsicherheit und Tests
Sichere Produktentwicklung
Rubriks sicherer Software-Entwicklungs-Lebenszyklus (SDLC, Software Development Life Cycle) umfasst vier Phasen im Produktentwicklungslebenszyklus: sicheres Design, sichere Kodierung, sicheres Testen und sichere Freigabe. Die Richtlinie für den Lebenszyklus der Softwareentwicklung schreibt Liefer-, Prüf- und Zusammenführungsprozesse vor, um Rollbacks, Ausfallzeiten, Designfehler und Sicherheitsvorfälle zu minimieren.
Rubrik-Entwickler befolgen sichere Code-Praktiken, die die OWASP Top 10-Sicherheitsrisiken, häufige Angriffsvektoren und Rubrik-Sicherheitskontrollen abdecken. Rubrik setzt sichere Open-Source-Frameworks mit Sicherheitskontrollen ein, um die Gefährdung durch OWASP Top 10-Sicherheitsrisiken zu begrenzen. Diese inhärenten Kontrollen reduzieren die Anfälligkeit von Rubrik für Injektionen, fehlerhafte Authentifizierung und Sitzungsmanagement, Cross-Site-Scripting (XSS), unsichere direkte Objektreferenzen, fehlende Zugriffskontrolle auf Funktionsebene, Cross-Site-Request-Forgery (CSRF), nicht validierte Umleitungen und Weiterleitungen sowie weitere Risiken.
Qualitätssicherung
Rubrik verfügt über ein Team, das für die Qualitätssicherung (QA) und die Wartung der für Tests erforderlichen Systeme zuständig ist. Anwendungssicherheitsentwickler identifizieren Sicherheitslücken im Code, führen entsprechende Tests durch und priorisieren erforderliche Maßnahmen. Test- und Staging-Umgebungen sind logisch von der Produktionsumgebung getrennt. Kundendaten werden nicht in den Entwicklungs- oder Testumgebungen von Rubrik verwendet (z. B. Cloud-Bereitstellungen).
Schwachstellenmanagement
Rubrik setzt Sicherheitstools ein, um eigene Produkte und die zugehörige Infrastruktur kontinuierlich und dynamisch auf gängige Sicherheitslücken zu prüfen. Rubrik unterhält ein spezielles internes Produktsicherheitsteam, das alle erkannten Probleme auf Basis intern definierter Service Level Agreements (SLAs) kontinuierlich testet und sich um die Behebung dieser Probleme kümmert. Die Quellcode-Repositorys für Rubrik-Plattformen werden ebenfalls auf Sicherheitsprobleme überprüft.
Meldung von Schwachstellen
Rubrik empfiehlt, dass Sicherheitsforscher die Angaben zu vermuteten Schwachstellen in jeder Ressource, die Rubrik, Inc. gehört oder von Rubrik kontrolliert oder betrieben wird (oder die sich auf die Sicherheit von Rubrik, Inc. und unseren Nutzern auswirken würde), über das untenstehende Webformular teilen. Das Sicherheitsteam von Rubrik, Inc. bestätigt den Erhalt jedes Schwachstellenberichts, führt eine gründliche Untersuchung durch und ergreift dann geeignete Behebungsmaßnahmen. Rubriks Richtlinie zur Bekanntgabe von Schwachstellen finden Sie hier: https://www.rubrik.com/contact-us/responsible-disclosure-policy
Unabhängige Sicherheits-/Penetrationstests
Bevor wichtige Produktversionen allgemein verfügbar gemacht werden (GA), führen zusätzlich zum internen Schwachstellenmanagement- und Sicherheitstestprogramm unabhängige Drittanbieter Penetrationstests für Anwendungen durch, die die OWASP Top 10 und die Bedrohungsmodellierung neuer Produktfunktionen umfassen.
Verschlüsselung
Verschlüsselung während der Übertragung (Encryption in Transit)
Die gesamte Kommunikation mit der Benutzerschnittstelle und APIs von Rubrik wird über den Industriestandard HTTPS/TLS (TLS 1.2+) über öffentliche Netzwerke verschlüsselt. Dies sorgt dafür, dass der gesamte Datenverkehr zwischen den Kundenumgebungen und Rubrik während der Übertragung sicher ist.
Verschlüsselung im gespeicherten Zustand
Rubriks Produktangebot unterstützt die Verschlüsselung mit AES-256-Schlüsseln.
Betriebssicherheit
Rechenzentrumssicherheit
Rubrik hostet interne Engineering- und Produktentwicklungsserver bei einem Colocation-Dienstleister mit modernsten physischen Sicherheitsmaßnahmen. Der Colocation-Anbieter stellt hohe SLAs für Verfügbarkeit, Redundanz und Notfallwiederherstellung bereit, um Rubriks Geschäftskontinuitätspläne zu unterstützen. Rubrik setzt für die physische Sicherheit und die Verwaltung der Einrichtungen, die für die Bereitstellung von Services genutzt werden, auf Drittanbieter wie Microsoft Azure und Google Cloud Platform. Weitere Informationen zu einigen der physischen Sicherheitsmaßnahmen der Cloud-Provider-Plattform von Rubrik finden Sie auf diesen Seiten:
Rubrik nutzt SaaS-Services von Dritten und Anbieter von Colocation-Datendiensten zur Verwaltung seines IT-Betriebs. Rubriks Managementsysteme für HR, E-Mail und Kalender, interne Kommunikation, Anforderungen und Tickets nutzen erstklassige SaaS-Services. Diese Services bieten mehr als die geforderten SLAs für Verfügbarkeit, Zuverlässigkeit und Sicherheit.
Lokale Sicherheit
Die lokale Sicherheit an Rubriks Hauptarbeitsstandorten (einschließlich des Hauptsitzes) umfasst eine Reihe von Komponenten wie Sicherheitspersonal, Ausweise, Kameras, Zäune, Sicherheits-Feeds und Eindringungserkennungstechnologie sowie weitere Sicherheitsmaßnahmen.
Lieferantensicherheit
Rubrik bewertet Lieferanten und Unterauftragnehmer anhand eines etablierten Programms zur Verwaltung von Sicherheitsrisiken bei Lieferanten. Lieferanten werden beim Beschaffungs- und Sicherheitsprozess von Rubrik überprüft, der Lieferanten basierend auf der Kritikalität der von ihnen bereitgestellten Services bewertet. Lieferanten werden jährlich überprüft und im Hinblick auf die Einhaltung der im Vertrag beschriebenen Standards und Bedingungen bewertet, wozu auch das Unterzeichnen von Zusatzvereinbarungen zur Datenverarbeitung gehören kann.
Rubrik arbeitet mit mehreren Drittanbietern zusammen, um seine Support- und SaaS-Services bereitzustellen. Informationen über unsere Unterauftragsverarbeiter finden Sie unter https://www.rubrik.com/en/legal/rubrik-subprocessors.
Netzwerksicherheit
Schutz
Die Architektur von Rubrik besteht aus mehreren Datensicherheitsebenen, einschließlich einer DMZ, Bastion Hosts und IPtables. Das Netzwerk ist durch Firewalls und fortschrittlichen Malware-Schutz geschützt. Rubrik nutzt auch Sicherheitstools für SaaS und Endpunkt-basierte Malware-Prävention. Die Teams für Standortzuverlässigkeit, Support und Technik von Rubrik sind auf der ganzen Welt verteilt und bieten so rund um die Uhr Unterstützung.
Erkennung und Prävention von Eindringungsversuchen
Rubriks Eindringungserkennungstool bietet Schutz vor Schwachstellen sowie Netzwerk-Anti-Malware und -Anti-Spyware, die den gesamten Datenverkehr auf Bedrohungen untersuchen. Der Service zur Bedrohungsvorbeugung sucht nach Bedrohungen an allen Punkten innerhalb des Cyberangriffs-Lebenszyklus, nicht erst beim Eindringen in das Netzwerk, und bietet so ein mehrschichtiges Verteidigungs- und Zero-Trust-Modell mit Prävention an allen Punkten.
Sicherheitsüberwachung und Alertausgabe
Rubrik verfügt über Sicherheitsfunktionen, um die Datenexfiltration über von Rubrik bereitgestellte Laptops, Workstations und Cloud-Umgebungen zu erkennen. Außerdem überwacht Rubrik seine lokale und Multi-Cloud-Umgebung rund um die Uhr, erkennt Sicherheitsbedrohungen und untersucht und reagiert auf Sicherheitsereignisse und -vorfälle. Zusätzlich zu Funktionen wie Protokollspeicherung, -suche und -indizierung unterstützt Rubriks SIEM-Lösung die Erkennung, Überwachung und Reaktion auf Bedrohungen, Threat Hunting, maschinelles Lernen und digitale Forensik.
Logischer Zugriff
Der Zugriff auf die Produktionsumgebung von Rubrik ist explizit auf die Personen beschränkt, die diesen Zugriff benötigen, wendet das Prinzip der geringsten Berechtigung an und wird protokolliert und überwacht. Mitarbeiter, die auf das Produktionsnetz von Rubrik zugreifen, müssen Multi-Faktor-Authentifizierung verwenden. Der gesamte Zugriff auf wichtige Anwendungen erfolgt über SSO mit aktivierter MFA.
Reaktion auf Sicherheitsvorfälle
Das Security Incident Response Team (SIRT) von Rubrik ist für die Reaktion auf Sicherheitsvorfälle zuständig. Das SIRT kümmert sich um den Erhalt, die Untersuchung und die öffentliche Meldung von Informationen über Sicherheitsschwachstellen und Probleme im Zusammenhang mit unseren Produkten und Netzwerken.
Im Falle einer Systemwarnung werden Ereignisse an Rubriks rund um die Uhr verfügbare Teams weitergeleitet, die den Betrieb, die Netzwerktechnik und die Sicherheit abdecken. Mitarbeiter werden in den Melde- und Reaktionsverfahren für Sicherheitsvorfälle geschult, einschließlich der Kommunikationskanäle und Eskalationswege. Bei einem Sicherheitsvorfall im Zusammenhang mit Rubrik sollten sich Kunden an security@rubrik.com wenden.
Verfügbarkeit und Kontinuität
Betriebszeit/Systemstatus
Rubrik ist sich dessen bewusst, wie wichtig es ist, unseren Kunden die Transparenz hinsichtlich der Systemverfügbarkeit, geplanter Wartungseinsätze und der allgemeinen Zuverlässigkeit von Rubriks SaaS-Produkten zu bieten, die sie erwarten. Navigieren Sie zu status.rubrik.com, um einen Einblick in den aktuellen Systemstatus sowie die historische Betriebszeit der Rubrik SaaS-Produktion zu erhalten.
Geschäftskontinuität und Disaster Recovery
Das Geschäftskontinuitäts- und Disaster-Recovery-Programm von Rubrik wurde dazu entwickelt, Risiken zu begegnen, wenn die Services von Rubrik nicht verfügbar sind. Pläne für Geschäftskontinuität und Disaster Recovery werden jährlich überprüft und in regelmäßigen Abständen anhand von Simulationstests, Funktionstests oder tatsächlichen Vorfällen getestet. Rubrik nutzt auch führende Anbieter, die Systeme und Services mit hoher Verfügbarkeit und Redundanz bereitstellen.
Die Nutzung von Rubrik-Produkten, die von Kunden gehostet und verwaltet werden, verwaltet oder kontrolliert Rubrik nicht. Daher bietet Rubrik auch keine RPO oder RTO der Services an. Für Rubrik-Produkte und -Services, die vollständig von Rubrik gehostet und verwaltet werden, stellt Rubrik keine spezifischen RTO- oder RPO-Zeiten bereit, sondern bietet stattdessen Service-SLAs an.
Ressourcen
Whitepaper zu M365
Erhalten Sie einen kurzen Überblick über Rubriks Microsoft 365 Datenmanagement-Angebot, mit Informationen zum Schutz von Microsoft 365 und seiner Funktionalität.
RSC-Whitepaper
Erhalten Sie einen kurzen Überblick über die Architektur von Rubrik Security Cloud und die Sicherheitsimplementierung des SaaS-Angebots.
Mehr erfahren