Das umfassende Compliance-Framework von MyQ X unterstreicht das Engagement des Unternehmens, die höchsten internationalen Sicherheitsstandards und regulatorischen Anforderungen zu erfüllen. Dieser mehrschichtige Ansatz stellt sicher, dass Unternehmen MyQ X vertrauensvoll einsetzen können und gleichzeitig die vielfältigen Compliance-Anforderungen verschiedener Branchen und Rechtsordnungen erfüllen.
ISO 27001:2022-Zertifizierung und -Implementierung
MyQ hat die Zertifizierung nach ISO/IEC 27001:2022 erhalten und damit einen systematischen Ansatz für das Informationssicherheitsmanagement etabliert, der den internationalen Best Practices entspricht. Die Implementierung umfasst:
Risikomanagement-Rahmenwerk: Umfassende Risikobewertungsprozesse, die Informationssicherheitsrisiken in allen Geschäftsabläufen und Kundenimplementierungen identifizieren, bewerten und mindern.
Implementierung von Sicherheitskontrollen: Strukturierte Bereitstellung technischer, administrativer und physischer Sicherheitskontrollen, die Informationsressourcen während ihres gesamten Lebenszyklus schützen.
Kontinuierlicher Verbesserungsprozess: Regelmäßige Überprüfungen und Aktualisierungen von Sicherheitsrichtlinien, -verfahren und -kontrollen, um auf neue Bedrohungen zu reagieren und die Einhaltung der Zertifizierung zu gewährleisten.
Verpflichtung der Geschäftsleitung: Überwachung auf Führungsebene, um sicherzustellen, dass die Sicherheit in die Geschäftsstrategie und die operativen Entscheidungsprozesse integriert bleibt.
Die Zertifizierung bestätigt den systematischen Ansatz von MyQ zum Schutz von Kundendaten und zur Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationssystemen.
DSGVO-Konformitätsrahmen und Datenschutzmaßnahmen
MyQ X implementiert eine umfassende DSGVO-Konformität durch in die gesamte Systemarchitektur integrierte Privacy-by-Design-Prinzipien:
Datenminimierung: Das System erfasst nur die für die Betriebsfunktionalität erforderlichen Metadaten und vermeidet so die Verarbeitung unnötiger personenbezogener Daten, die die Compliance-Risiken erhöhen könnten.
Verwaltung von Benutzerrechten: Vollständige Umsetzung der GDPR-Benutzerrechte, darunter:
-
Recht auf Zugang zu personenbezogenen Daten
-
Recht auf Berichtigung unrichtiger Informationen
-
Recht auf Löschung („Recht auf Vergessenwerden“)
-
Recht auf Datenübertragbarkeit
-
Recht auf Einschränkung der Verarbeitung
Datenschutz-Folgenabschätzungen: Systematische Bewertung der Datenschutzrisiken für neue Funktionen und Implementierungen, um sicherzustellen, dass die DSGVO-Konformität während der gesamten Systementwicklung gewährleistet ist.
Regionale Compliance-Anforderungen (HIPAA, SOX)
MyQ X unterstützt wichtige branchenspezifische Compliance-Rahmenwerke durch robuste Datenschutz- und Audit-Funktionen:
HIPAA-Konformität für das Gesundheitswesen:
-
Verschlüsselung geschützter Gesundheitsdaten (PHI) im Ruhezustand und während der Übertragung.
-
Umfassende Audit-Protokollierung aller Zugriffe auf sensible Gesundheitsdaten.
-
Rollenbasierte Zugriffskontrollen, die den Zugriff auf PHI ausschließlich auf autorisiertes Personal beschränken.
-
Sichere Sicherungs- und Wiederherstellungsverfahren für die Anforderungen an die Aufbewahrung von Gesundheitsdaten.
SOX-Konformität für Finanzdienstleistungen:
-
Detaillierte Audit-Trails für die Verarbeitung und den Druck von Finanzdokumenten.
-
Zugriffskontrollen, die eine unbefugte Änderung von Finanzunterlagen verhindern.
-
Sichere Archivierungsfunktionen zur Unterstützung der gesetzlichen Aufbewahrungspflichten.
-
Aufgabentrennung durch rollenbasierte Berechtigungen und Genehmigungsworkflows.
Zusätzliche Sicherheitskontrollen:
-
Datenbankverschlüsselung unter Verwendung von Algorithmen nach Industriestandard.
-
Sichere Kommunikationsprotokolle für die gesamte Datenübertragung.
-
Automatisierte Sicherungsverfahren mit Verschlüsselung und Integritätsprüfung.
-
Zugriffsprotokollierung und -überwachung für Compliance-Berichte.
Sichere Softwareentwicklungslebenszyklus-Praktiken (SSDLC)
MyQ implementiert einen sicheren Softwareentwicklungslebenszyklus, der den Industriestandards und SLSA-Anforderungen für die Lieferkette entspricht und sicherstellt, dass Sicherheitspraktiken in allen Phasen des Software-Lebenszyklus integriert sind.
Analyse
MyQ führt in der ersten Analysephase eine strenge Bedrohungsmodellierung durch und definiert klare Sicherheitsanforderungen, um Risiken frühzeitig zu erkennen und vor Beginn der Entwicklung eine solide Sicherheitsgrundlage zu schaffen.
Entwurf
Alle Architekturvorschläge werden einer formellen Sicherheitsarchitekturprüfung unterzogen, um die Einhaltung von Prinzipien wie „Least Privilege“, „Zero Trust“ und „Defense in Depth“ zu überprüfen und sicherzustellen, dass die Sicherheit systematisch in das Systemdesign integriert ist.
Entwicklung
Die Entwickler befolgen sichere Codierungspraktiken und Peer-Review-Prozesse, während alle Builds auf dedizierten, isolierten SLSA-konformen Build-Servern ausgeführt werden, um den Schutz der Quellintegrität und der Build-Artefakte zu gewährleisten.
Testen
Die Sicherheitsprüfungen umfassen automatisierte SAST- und Dependency-Scans, die in CI-Pipelines integriert sind und eine frühzeitige Erkennung von Schwachstellen sowohl in benutzerdefiniertem Code als auch in Komponenten von Drittanbietern ermöglichen.
Bereitstellung
Alle Release-Artefakte werden durch Code Signing geschützt und während der Bereitstellung überprüft, um Integrität, Authentizität und eine kontrollierte Bereitstellung in Produktionsumgebungen zu gewährleisten.
Wartung
Nach der Bereitstellung werden die Systeme einer kontinuierlichen Überwachung und einem strukturierten Patch-Management unterzogen, um eine kontinuierliche Anpassung an sich entwickelnde Bedrohungen und bewährte Sicherheitsverfahren zu gewährleisten.
Regelmäßige Sicherheitsaudits und Penetrationstests
MyQ gewährleistet eine robuste Sicherheitsvalidierung durch systematische Test- und Bewertungsprogramme:
Automatisierte Penetrationstests: Die Integration mit der Qualys-Sicherheitsplattform ermöglicht eine kontinuierliche Schwachstellenbewertung und Penetrationstests für alle Software-Releases.
Sicherheitsbewertungen durch Dritte: Unabhängige Sicherheitsaudits, die von qualifizierten externen Organisationen durchgeführt werden, um Sicherheitskontrollen zu validieren und potenzielle Verbesserungen zu identifizieren.
Interne Sicherheitsüberprüfungen: Regelmäßige interne Bewertungen von Sicherheitsrichtlinien, Verfahren und technischen Kontrollen, um die kontinuierliche Wirksamkeit und Compliance sicherzustellen.
Prozess zur Reaktion auf Schwachstellen: Strukturierte Verfahren zur Behebung identifizierter Sicherheitsprobleme, einschließlich zeitlicher Vorgaben für die Entwicklung und Bereitstellung von Patches.
Software-Stückliste und Schwachstellenmanagement
MyQ implementiert umfassende Sicherheit in der Lieferkette durch detaillierte Komponentenverfolgung und Schwachstellenmanagement:
SBOM-Veröffentlichung: Vollständige Dokumentation der Software-Stückliste, in der alle in MyQ X-Systemen verwendeten Komponenten, Bibliotheken und Abhängigkeiten von Drittanbietern aufgeführt sind.
Automatisierte Schwachstellenscans: Kontinuierliche Überwachung der Komponentendatenbanken auf neu identifizierte Schwachstellen, die sich auf MyQ X-Abhängigkeiten auswirken.
Schnelles Patch-Management: Systematischer Prozess zur Bewertung, Prüfung und Bereitstellung von Sicherheitsupdates für Komponenten von Drittanbietern, wobei die Priorisierung auf der Grundlage einer Risikobewertung erfolgt.
Versionskontrolle von Komponenten: Detaillierte Nachverfolgung aller Softwarekomponenten, einschließlich Versionsnummern, Sicherheitspatch-Levels und Update-Zeitplänen, wie in den Versionshinweisen dokumentiert.
Sicherheitsbewertung von Lieferanten: Bewertung von Drittanbietern von Software, um sicherzustellen, dass sie angemessene Sicherheitsstandards und Prozesse zur Offenlegung von Schwachstellen einhalten.
Dieses umfassende Compliance-Framework stellt sicher, dass MyQ X vielfältige regulatorische Anforderungen erfüllt und gleichzeitig die höchsten Standards für Informationssicherheit und Datenschutz in allen Betriebsumgebungen einhält.