Sicherheitsmaßnahmen


Algolia implementiert und hält Sicherheitsmaßnahmen ein, welche die für die SOC2-Zertifizierung erforderlichen Sicherheitsziele erfüllen oder übertreffen. Algolia ist berechtigt, die Sicherheitsmaßnahmen von Zeit zu Zeit zu aktualisieren oder zu ändern, sofern diese Aktualisierungen und Änderungen nicht zu einer Beeinträchtigung der allgemeinen Sicherheit der Dienste führen. Diese Sicherheitsmaßnahmen sind ab dem Tag des Inkrafttretens der DSGVO wirksam. Die in diesem Dokument verwendeten, aber nicht anderweitig definierten Begriffe haben die ihnen in der DSGVO zugewiesene Bedeutung.

Programm für Informationssicherheit

  1. Rechenzentrum und Netzwerksicherheit

    1. Rechenzentren
      1. Infrastruktur. Algolia unterhält geografisch verteilte Rechenzentren und speichert alle Produktionsdaten in physisch gesicherten Rechenzentren.
      2. Redundanz. Die Infrastruktur von Algolia wurde so konzipiert, dass einzelne Fehlerquellen ausgeschlossen und die Auswirkungen möglicher Umweltrisiken minimiert werden. Dank dieses Konzepts kann Algolia Wartungsarbeiten und Verbesserungen an der Infrastruktur mit minimalen Auswirkungen auf die Produktionssysteme durchführen. Für alle Umweltausrüstungen und -einrichtungen gibt es dokumentierte Verfahren zur vorbeugenden Wartung, in denen der Prozess und die Häufigkeit der Durchführung gemäß den Herstellerangaben oder internen Spezifikationen genau beschrieben sind.
      3. Stromversorgung. Alle Rechenzentren sind mit einem redundanten Stromversorgungssystem mit verschiedenen Mechanismen zur Bereitstellung von Backup-Strom ausgestattet, wie beispielsweise Batterien für unterbrechungsfreie Stromversorgungen (USV) im Fall von kurzfristigen Stromausfällen, Überspannung, Unterspannung oder anderen Stromschwankungen sowie für minutenlange Ausfälle Dieselgeneratoren, welche den Betrieb der Rechenzentren über Tage hinweg ermöglichen.
      4. Server-Betriebssystem. Algolia verwendet für die Anwendungsumgebung ein Linux-basiertes Betriebssystem mit einer zentral verwalteten Konfiguration. Algolia hat eine Strategie entwickelt, um die Systeme mit den notwendigen Sicherheitsupdates immer auf dem neuesten Stand zu halten.
      5. Geschäftskontinuität. Algolia repliziert die Daten über mehrere Systeme hinweg, um sie vor versehentlicher Zerstörung oder Verlust zu schützen. Algolia hat Programme zur Konzeption der Geschäftskontinuität und zur Wiederherstellung im Katastrophenfall entwickelt, die regelmäßig geplant und getestet werden.
    2. Netzwerk und Übertragung
      1. Datenübertragung. Algolia verwendet zur Verschlüsselung von Datenübertragungen zwischen den Rechenzentren branchenübliche Verschlüsselungsschemata und -protokolle. Damit soll verhindert werden, dass die Daten gelesen, kopiert oder verändert werden.
      2. Angriffserkennung. Algolia setzt ein System zur Angriffserkennung ein, um einen Einblick in laufende Angriffsaktivitäten zu erhalten und den Angriff schneller zu beheben.
      3. Reaktion auf Vorfälle. Das Sicherheitspersonal von Algolia reagiert umgehend auf festgestellte Sicherheitsvorfälle und informiert die betroffenen Parteien.
      4. Verschlüsselungstechnologien. Die Server von Algolia unterstützen HTTPS-Verschlüsselung, den kryptografischen Diffie-Hellman-Schlüsselaustausch auf Basis von ephemeren elliptischen Kurven, signiert mit RSA und ECDSA, und für unterstützte Kunden auch PFS-Methoden (Perfect Forward Secrecy), um den Datenverkehr vor kompromittierten Schlüsseln oder kryptographischen Durchbrüchen zu schützen. Algolia verwendet ausschließlich branchenübliche Verschlüsselungstechnologien.

  2. Zugangs- und Standortkontrollen

    1. Standortkontrollen
      1. Sicherheitsoperationen im Rechenzentrum. Alle von Algolia genutzten Rechenzentren verfügen rund um die Uhr über einen Sicherheitsdienst vor Ort, der für alle Aspekte der physischen Sicherheit des Rechenzentrums verantwortlich ist.
      2. Verfahren für den Zugang zum Rechenzentrum. Der Zugang zum Rechenzentrum folgt den Sicherheitsrichtlinien von Algolia, die nur vorab genehmigtem, autorisiertem Personal den Zugang zu den Algolia-Einrichtungen erlauben.
      3. Sicherheit im Rechenzentrum. Alle Rechenzentren erfüllen oder übertreffen die Sicherheitsanforderungen von SOC2. Alle Rechenzentren sind mit CCTV, Sicherheitspersonal vor Ort und einem Zugangssystem mit Schlüsselkarten ausgestattet.
    2. Zugriffskontrolle
      1. Zugriffskontrolle und Verwaltung von Berechtigungen. Die Administratoren des Abonnenten müssen sich über ein zentrales Authentifizierungssystem oder über ein Single-Sign-On-System authentifizieren, um die Dienste verwalten zu können.
      2. Interne Datenzugriffsprozesse und -richtlinien – Zugriffsstrategie. Die internen Datenzugriffsprozesse und -richtlinien von Algolia sind so konzipiert, dass sie den Zugriff unbefugter Personen oder Systeme auf Einrichtungen verhindern, in denen personenbezogene Daten verarbeitet werden. Diese Prozesse werden von einem unabhängigen Prüfer kontrolliert. Algolia verwendet ein zentralisiertes Zugangsverwaltungssystem, um den Zugang zu Produktionssystemen und Servern zu kontrollieren, und gewährt nur einer begrenzten Anzahl von autorisierten Personen Zugang. Es werden SSO, LDAP und SSH-Zertifikate verwendet, um sichere Zugriffsmechanismen bereitzustellen. Algolia verlangt die Verwendung von eindeutigen IDs, starken Passwörtern und Zwei-Faktor-Authentifizierung. Die Gewährung des Zugangs wird durch eine interne Richtlinie geregelt. Der Zugriff auf das System wird protokolliert, um einen nachvollziehbaren Prüfpfad zu schaffen.

  3. Daten

    1. Datenspeicherung, -isolierung und -protokollierung. Algolia speichert Daten in einer Kombination aus dedizierter und mandantenfähiger Umgebung auf Servern, die von Algolia kontrolliert werden. Die Daten werden auf mehreren redundanten Systemen repliziert. Außerdem isoliert Algolia die Daten des Abonnenten logisch. Der Abonnent kann die gemeinsame Nutzung von Daten aktivieren, wenn die Funktionalität der Dienste dies zulässt. Der Abonnent kann sich dafür entscheiden, bestimmte Protokollierungsfunktionen zu nutzen, die Algolia über seine Dienste zur Verfügung stellt.
    2. Richtlinie zu Ausmusterung und Löschung von Festplatten. Bei den in Servern verwendeten Festplatten kann es zu Hardwareausfällen, Leistungsproblemen oder Fehlern kommen, die zu ihrer Außerbetriebnahme führen. Alle ausgemusterten Datenträger werden sicher gelöscht, wenn sie zur Wiederverwendung bestimmt sind, oder sie werden im Falle einer Fehlfunktion sicher vernichtet.

  4. Personelle Sicherheit

    Das Algolia-Personal ist verpflichtet, sich in Bezug auf Vertraulichkeit, Geschäftsethik, angemessene Nutzung und professionelle Standards entsprechend den Unternehmensrichtlinien zu verhalten. Algolia führt im Rahmen der geltenden Gesetze und Vorschriften entsprechende Hintergrundüberprüfungen durch.

    Das Personal muss eine Vertraulichkeitsvereinbarung unterzeichnen und den Erhalt und die Einhaltung der Vertraulichkeits-, Datenschutz- und Nutzungsrichtlinien von Algolia bestätigen. Alle Mitarbeiter erhalten bei ihrer Einstellung und danach regelmäßig Sicherheitsschulungen. Das Personal von Algolia verarbeitet keine Abonnentendaten ohne Genehmigung.

  5. Sicherheit von Subunternehmern

    Algolia prüft die Sicherheits- und Datenschutzpraktiken von Subunternehmern vor deren Einbindung, um ein angemessenes Sicherheits- und Datenschutzniveau für die Daten und den Umfang der von ihnen zu erbringenden Dienstleistungen zu gewährleisten. Nach der Überprüfung des Subunternehmers und der Bewertung des damit verbundenen Risikos schließt der Subunternehmer einen entsprechenden Vertrag über Datenschutz, Vertraulichkeit und Sicherheit ab.

Sicherheitszertifikate und Berichte

  1. Berichte über die Kontrolle der Service-Organisation (SOC): Derzeit wird das Kontrollumfeld der Informationssicherheit von Algolia für die Dienste einer unabhängigen Bewertung in Form von SOC2- und SOC-3-Audits unterzogen. Um die Einhaltung der Sicherheitsmaßnahmen nachzuweisen, wird Algolia den Abonnenten seinen neuesten (i) SOC 2-Bericht und (ii) SOC 3-Bericht, wie unten beschrieben, zur Einsicht zur Verfügung stellen.

    1. Der „SOC 2-Bericht“ ist ein vertraulicher Bericht der Service-Organisation (SOC 2) zur Kontrolle der Systeme von Algolia, in dem logische und physische Sicherheitskontrollen und die Systemverfügbarkeit untersucht werden, wie sie durch den unabhängigen Prüfer von Algolia in Bezug auf die Dienste erstellt werden.
    2. Der „SOC 3-Bericht“ bezeichnet einen Kontrollbericht der Service-Organisation (SOC 3), der durch den unabhängigen externen Prüfer von Algolia in Bezug auf die Dienste erstellt wurde.
    3. Algolia wird entweder den SOC2- und den SOC 3-Bericht mindestens alle 18 Monate aktualisieren oder vergleichbare Audits oder Zertifizierungen durchführen, um die kontinuierliche Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und zu gewährleisten.

  2. Zertifizierung nach ISO27001 und ISO27017: Im März 2020 erhielt Algolia die Zertifizierungen ISO27001 und ISO27017. Dabei handelt es sich um eine Gruppe von Normen für das Informationssicherheitsmanagement, die Best-Practice-Empfehlungen für das Informationssicherheitsmanagement enthält und auch einen Rahmen von Richtlinien und Verfahren beinhaltet, der alle im Informationsmanagement-Prozess einer Organisation involvierten rechtlichen, physischen und technischen Kontrollen umfasst. Dazu kommen Sicherheitsstandards, die speziell für Anbieter und Nutzer von Cloud-Diensten entwickelt wurden, um eine sicherere Cloud-basierte Umgebung zu schaffen bzw. das Risiko von Sicherheitsproblemen zu verringern.

  3. TRUSTe-Zertifizierung: Algolia wurde mit dem TRUSTe Certified Seal ausgezeichnet. Dies bedeutet, dass die Website-Datenschutzerklärung und Datenschutzpraktiken im Zusammenhang mit den Services von Algolia von TRUSTe auf Übereinstimmung mit den TRUSTe-Zertifizierungsstandards überprüft wurden.