POCKETALK Ventana Weißbuch
1. Über dieses Dokument
Dieses Dokument richtet sich an Personen, die die Nutzung von Pocketalk Ventana (im Folgenden „Ventana“) in Erwägung ziehen oder es derzeit nutzen. Der Zweck dieses Dokuments besteht darin, Ihnen zu helfen, unsere Sicherheitsmaßnahmen zu verstehen und die notwendigen Vorkehrungen für eine sichere Nutzung von Ventana zu treffen. Darüber hinaus dient dieses Dokument als Anhang zu den Nutzungsbedingungen und stellt eine Vereinbarung zwischen unserem Unternehmen und dem Kunden über die Nutzung von Ventana dar.
2. Cloud-Service-Anbieter
Ventana wird von der Pocketalk Corporation (im Folgenden „Pocketalk“) entwickelt und betrieben und unseren Kunden über die Google Cloud Platform (im Folgenden „GCP“) bereitgestellt.
3. Verantwortungsbereich zwischen Pocketalk und Ventana-Kunden
Das folgende Diagramm erläutert den Verantwortungsbereich zwischen Pocketalk und Kunden bei der Nutzung von Ventana.
4. Standort des Rechenzentrums
Die von Ventana verwendete GCP wird in den folgenden Regionen betrieben.
- Region: US-Westen
- Multi-AZ: 2 Standorte in Los Angeles, Kalifornien
5. Service Level Objectives (SLOs)
| Servicezeiten | 24 Stunden am Tag, 365 Tage im Jahr **** Wir überwachen den Dienst auch im gleichen Zeitraum. |
|---|---|
| Serviceverfügbarkeit | 99,0 % **** Beinhaltet keine jährlichen geplanten Serviceausfälle |
| Geplante Serviceausfälle | 2–4 Mal pro Jahr **** Serviceausfälle werden voraussichtlich jeweils bis zu 6 Stunden dauern. |
| Datensicherung | Die DB-Konfiguration ist redundant mit einer Primär-/Sekundärkonfiguration (ständig synchronisiert). Die Sicherung der Datenerzeugungsverwaltung wird nicht bereitgestellt. Kunden sind dafür verantwortlich, Daten mithilfe der Berichtsfunktion von Ventana herunterzuladen und ordnungsgemäß zu speichern und zu verwalten. |
6. Pocketalk-Sicherheitskontrollmaßnahmen
Bei Pocketalk sind wir bestrebt, die höchsten internationalen Standards für Informationssicherheit einzuhalten, und erkennen die Bedeutung der Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit unserer Daten und der unserer Kunden an.
Als Beweis für dieses Engagement haben wir uns einem strengen Bewertungsprozess durch eine unabhängige Zertifizierungsstelle unterzogen und im Februar 2024 offiziell die Zertifizierungen ISO27001 und ISO27017 erhalten.
Der folgende Abschnitt umreißt die Richtlinien und Initiativen, die wir zur Einhaltung dieser Standards festgelegt haben, sowie unsere fortlaufenden Bemühungen, eine sichere Umgebung für unsere Daten und Systeme aufrechtzuerhalten.
Richtliniengruppe für Informationssicherheit
Wir haben grundlegende Richtlinien für Informationssicherheitsinitiativen in unseren Cloud-Diensten als „Grundlegende Informationssicherheitsrichtlinie“ und „Grundlegende Cloud-Service-Sicherheitsrichtlinie“ festgelegt und betreiben unsere Dienste gemäß diesen Richtlinien.
Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Die Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit sind in „3. Verantwortungsbereich zwischen Pocketalk und Ventana-Kunden.“ festgelegt.
Verbindung mit den zuständigen Behörden
Die zuständigen Behörden sind in „4. Standort des Rechenzentrums“ angegeben.
Rollen und Verantwortlichkeiten in einer Cloud-Computing-Umgebung teilen und zuweisen (CLD.6.3.1)
Die Aufteilung und Verteilung von Rollen und Verantwortlichkeiten in der Cloud-Computing-Umgebung wird gemäß „3. Verantwortungsbereich zwischen Pocketalk und Ventana-Kunden“ festgelegt.
Entfernung von Kundendatensätzen aus Cloud-Diensten (CLD.8.1.5)
Im Folgenden wird beschrieben, wie mit Kundendaten umgegangen wird, wenn der Kunde die Nutzung des Dienstes beendet.
- Mit den von Ventana zur Verfügung gestellten Funktionen kann der Kunde die Kündigung nicht selbst beantragen. Kunden, die den Dienst kündigen möchten, wenden sich bitte an folgende Adresse. (Nur Benutzer mit einem Administratorkonto können die Konten von Benutzern ihrer Organisation auf Ventana löschen.)
Kontakt
Nordamerika: ventana@pocketalk.com
Europa: ventana-eu@pocketalk.com
Asien: https://pocketalk.link/inquiry
- Nachdem wir Ihre Anfrage zur Beendigung des Dienstes erhalten haben, werden wir Ihr Konto und alle gespeicherten Kundendaten innerhalb von maximal 30 Tagen löschen.
- Nachdem wir Ihr Konto und Ihre Kundendaten gelöscht haben, werden wir Sie per E-Mail darüber informieren, dass der Löschvorgang abgeschlossen ist.
- Nachdem wir Ihr Konto und Ihre Kundendaten gelöscht haben, können Sie nicht mehr auf Ventana zugreifen.
- Wenn Sie die auf Ventana gespeicherten Daten benötigen, liegt es in Ihrer Verantwortung, diese von Ventana herunterzuladen und ordnungsgemäß zu speichern.
- Nachdem wir Ihre Daten gelöscht haben, kann es bis zu 180 Tage dauern, bis sie in den Rechenzentren von GCP vollständig gelöscht sind. Während dieser Zeit können Sie sich nicht mehr bei Ventana anmelden oder auf Ihre Daten zugreifen.
Beschriftung von Informationen
Ventana bietet den Kunden die Möglichkeit, Informationen zu beschriften (Gerätename, Gruppenname usw.).
Einzelheiten finden Sie im Handbuch.
Benutzerregistrierung und -löschung
Für die Benutzerregistrierung und -löschung registrieren, aktualisieren und löschen Sie Benutzer mit einem Konto mit Administratorrechten.
Einzelheiten finden Sie im Handbuch.
Benutzerzugriff bereitstellen
Mit Ventana können Sie den Konten von Benutzern, die den Dienst in Ihrer Organisation nutzen, unterschiedliche Berechtigungen erteilen und die Informationen, die angezeigt werden können, sowie die Funktionen, die verwendet werden können, einschränken.
Einzelheiten finden Sie im Handbuch.
Verwaltung von privilegierten Zugriffsrechten
Privilegierter Zugriff wird Konten mit Administratorrechten gewährt. Die Sicherheit von Administratorkonten wird durch die Anmeldung mit ID und Passwort gewährleistet. Es liegt in Ihrer Verantwortung, Ihr Konto ordnungsgemäß zu verwalten.
Verwaltung der geheimen Anmeldeinformationen des Benutzers
Nach der Registrierung als Benutzer bei Ventana wird eine Einladungs-E-Mail an die registrierte E-Mail-Adresse gesendet. Sie können Ihre Kundeninformationen einschließlich Ihres Passworts über die Einladungs-E-Mail registrieren.
Einzelheiten finden Sie im Handbuch.
Eingeschränkter Zugriff auf Informationen
Ventana schränkt die angezeigten Informationen und die verfügbaren Funktionen abhängig von den Berechtigungen ein, die dem Konto des angemeldeten Benutzers gewährt wurden.
Einzelheiten finden Sie im Handbuch.
Verwendung privilegierter Dienstprogramme
Ventana bietet keine Dienstprogramme wie APIs an, mit denen Sie verschiedene Dienstfunktionen unter Umgehung von Sicherheitsverfahren nutzen können. Wir schränken Benutzer privilegierter Dienstprogramme, die zur Bereitstellung von Diensten erforderlich sind, streng ein, bestätigen im Voraus die Angemessenheit der Nutzung, rufen Protokolle ab und führen Überprüfungen durch.
Isolierung in virtuellen Computerumgebungen (CLD.9.5.1)
Arbeitet in einer Umgebung mit mehreren Mandanten. Zugriffsressourcen sind für jeden Mandanten durch eine ID getrennt, und der Zugriff auf verschiedene Mandanten wird kontrolliert.
Härten virtueller Maschinen (CLD.9.5.2)
Alle von uns erstellten virtualisierten Umgebungen verfügen über Port- und Protokollbeschränkungen, um unbefugten Zugriff zu blockieren. Darüber hinaus führen wir mindestens einmal jährlich Schwachstellenbewertungen und Penetrationstests durch Dritte durch.
Richtlinie für die Verwendung kryptografischer Kontrollen
Kundendaten, die in Ventana gespeichert werden, werden verschlüsselt und die Schlüssel werden mit dem Google Key Management Service (Cloud KMS) verwaltet. Passwörter für Kundenkonten werden gehasht und gespeichert. Die Kommunikation, bei der Kundendaten ausgetauscht werden, wird mittels SSL/TLS-Kommunikation (TLS 1.2 kompatibel) verschlüsselt, und auch die Daten selbst, die zwischen dem Gerät und Ventana gesendet und empfangen werden, werden verschlüsselt.
Sichere Entsorgung oder Wiederverwendung von Geräten
Die Entsorgung von Gerätedatenträgern, die aufgrund von Alterung oder Geräteausfall ersetzt wurden, übernehmen wir nicht direkt. Sie basiert auf den Einrichtungen, dem Gebäude und der physischen Sicherheit von GCP.
https://cloud.google.com/docs/security
Verfahren zur Änderungskontrolle
Wenn wir die von uns angebotenen Dienste aktualisieren oder regelmäßige Wartungsarbeiten durchführen, werden wir Sie im Voraus per E-Mail informieren.
Kapazitäts-/Kapazitätsmanagement
Um stabile Dienste bereitzustellen, überwachen wir die Ressourcen jedes Servers und erhöhen bei Bedarf die Kapazität.
Betriebssicherheit für praktische Manager (CLD.12.1.5)
Die Funktionsweise von Ventana und die Sicherheitseinstellungen werden im Handbuch erläutert.
In unserem Betrieb verwalten wir die Cloud-Umgebung getrennt für Entwicklung, Staging und Produktion und verbieten grundsätzlich Personen, die mit der Entwicklung befasst sind, den Zugriff auf die Produktionsumgebung, und nur eine begrenzte Anzahl von Betriebspersonal darf auf die Produktionsumgebung zugreifen. Alle Zugriffe und Vorgänge, die in der Produktionsumgebung stattfinden, werden in Audit-Logs festgehalten. Diese Zugriffsbeschränkung wird durch das IAM von GCP verwaltet und wir führen regelmäßig eine Bestandsaufnahme der IAM-Benutzer durch und verwalten diese entsprechend.
Datensicherung
Wenn wir Änderungen an der Produktionsumgebung vornehmen, erstellen wir ein System-Backup der Umgebung. Diese Sicherungsdaten umfassen auch Kundendaten, die verschlüsselt und gespeichert werden. Nach der Veröffentlichung von Systemänderungen werden die Sicherungsdaten innerhalb von maximal 7 Werktagen gelöscht.
Ereignisprotokoll- und Zugriffsprotokollerfassung
Obwohl Ventana keine Funktion bietet, mit der Kunden Ereignisprotokolle selbst abrufen können, erfassen und speichern wir die entsprechenden Protokolle (bis zu 13 Monate), die für die Wartung und Verwaltung des Dienstes erforderlich sind.
Wenn außerdem ein schwerwiegender Vorfall eintritt und Protokollinformationen zum Zweck der Untersuchung der Situation erforderlich sind, werden wir als Reaktion auf Kundenanfragen eine Untersuchung unter Verwendung der Zugriffsprotokolle der letzten 13 Monate durchführen. Bitte wenden Sie sich an privacy@pocketalk.com.
Zeitsynchronisation
Ventana synchronisiert die Zeit (UTC) einheitlich mit dem von GCP bereitgestellten internen NTP-Server.
Überwachung von Cloud-Diensten (CLD.12.4.5)
Wir überwachen Systemressourcenbedingungen wie CPU-, Speicher- und Festplattenauslastung und haben eine WAF (Web Application Firewall) sowie eine Protokollüberwachung zur Erkennung von Sicherheitsvorfällen implementiert.
Zusätzlich führen wir eine Dienstüberwachung durch, um den ordnungsgemäßen Betrieb der Ventana-Webanwendung sicherzustellen.
Verwaltung technischer Schwachstellen
Wir sammeln Informationen über Schwachstellen und ergreifen Maßnahmen, die in unsere Verantwortung fallen, durch regelmäßige oder Notfallwartung.
Wartungsinformationen werden per E-Mail mitgeteilt.
Um eine noch größere Sicherheit zu gewährleisten, definieren wir Sicherheitsanforderungen zum Zeitpunkt der Entwicklung und des Designs und führen vor der Veröffentlichung nicht nur interne Tests durch, sondern auch Schwachstellendiagnosen und Penetrationstests durch Dritte.
Netzwerktrennung
Der Zugriff auf Ventana erfolgt über eine Internetverbindung. Die Sicherheit wird logisch durch die Identifizierung der Organisations-IDs des Kunden anhand der Benutzerkonten gewährleistet.
Für Wartungs- und Betriebsarbeiten an unserer Produktionsumgebung verwalten wir die Berechtigungen mithilfe des IAM von GCP und erlauben den Zugriff nach Antragstellung und Genehmigung. Darüber hinaus werden der Zugriff auf die Produktionsumgebung und die durchgeführten Vorgänge durch die Speicherung von Audit-Logs verwaltet.
Analyse und Spezifikation der Anforderungen an die Informationssicherheit
Im Rahmen der grundlegenden Informationssicherheitsrichtlinie und der grundlegenden Cloud-Service-Sicherheitsrichtlinie erhalten und bieten wir die von unseren Kunden geforderte Informationssicherheit.
Als Spezifikationen für Informationssicherheitsfunktionen, die hauptsächlich von Kunden berücksichtigt werden, beschreibt dieses Dokument die folgenden Punkte.
- Zugriffskontrollfunktionen (eingeschränkter Zugriff auf Informationen, Härten virtueller Maschinen)
- Kommunikationsverschlüsselung (Richtlinie für die Verwendung kryptografischer Steuerung)
- Sicherung (Datensicherung)
- Protokollierung (Ereignisprotokollierung)
Richtlinie für sicherheitsbewusste Entwicklung
Im Rahmen unserer sicherheitsbewussten Entwicklungsrichtlinie befassen wir uns ab dem Zeitpunkt der Entwicklung mit Sicherheitsrisiken und Schwachstellen und führen bei der Veröffentlichung Schwachstellenbewertungen und Penetrationstests durch Dritte durch.
Umgang mit Sicherheit in Vereinbarungen mit Lieferanten
Rollen und Verantwortlichkeiten bei Ventana sind in den Nutzungsbedingungen definiert, und wir erbringen Dienstleistungen. Bezüglich der Haftungsbeschränkung für diesen Service lesen Sie bitte “3. Haftungsbeschränkung zwischen Pocketalk und Ventana-Kunden.“
IKT-Lieferkette
Wir kennen die Informationssicherheitsstandards der von uns genutzten Cloud-Service-Provider und stellen sicher, dass diese mit unserer eigenen Informationssicherheit übereinstimmen.
Ventana nutzt GCP als Cloud-Service-Anbieter.
Den Compliance-Status von GCP finden Sie unten.
https://cloud.google.com/compliance
Verantwortlichkeiten und Verfahren
Im Falle eines Sicherheitsvorfalls mit erheblichen Auswirkungen auf Ventana-Benutzer (Datenverlust, längerer Systemausfall usw.) werden wir Sie grundsätzlich innerhalb von 72 Stunden per E-Mail informieren. Bei Fragen zu Sicherheitsvorfällen wenden Sie sich bitte an privacy@pocketalk.com.
Meldung von Informationssicherheitsereignissen
Wir werden Sie per E-Mail informieren.
Bei individuellen Anfragen wenden Sie sich bitte an privacy@pocketalk.com.
Beweiserhebung
Liegt ein rechtmäßiges Auskunftsersuchen auf Grundlage des Gesetzes vor, wie beispielsweise ein Auskunftsersuchen eines Gerichts, können Kundendaten ohne Zustimmung des Kunden an die betreffende Organisation weitergegeben werden. Darüber hinaus werden wir, wenn bei einem Kunden ein schwerwiegender Vorfall eintritt und Protokollinformationen zum Zweck der Untersuchung der Situation erforderlich sind, auf Anfrage des Kunden eine Untersuchung unter Verwendung der Zugriffsprotokolle der letzten 13 Monate durchführen.
Bitte wenden Sie sich an privacy@pocketalk.com.
Identifizierung geltender Gesetze und vertraglicher Anforderungen
Für die Nutzung von Ventana gilt das „japanische Recht“.
In Bezug auf verschiedene Gesetze und Vorschriften in Bezug auf Ventana befolgen wir die relevanten Richtlinien zum Management von Gesetzen und Vorschriften und bemühen uns, die Gesetze und Vorschriften einzuhalten.
Geistiges Eigentum
Geistige Eigentumsrechte sind in den Nutzungsbedingungen definiert.
Schutz von Aufzeichnungen
Einzelheiten zum Schutz von Aufzeichnungen finden Sie unter „Ereignisprotokollierung“.
Vorschriften für Verschlüsselungsfunktionen
Informationen zur Verwendung von Verschlüsselung finden Sie in der „Richtlinie zur Verwendung kryptografischer Kontrollen“.
Ventana verwendet keine Verschlüsselungstechnologie, die Exportkontrollen unterliegt.
Unabhängige Überprüfung der Informationssicherheit
Unser Unternehmen führt interne Audits und Managementprüfungen durch, um die Informationssicherheit zu wahren und zu verbessern.
English (US) 
English (Canada) 
English (Europe) 
English (UK) 
Español 
Français 
Deutsch 
Italiano