Sicherheitspraktiken (Archiviert)
Diese Übersetzung dient ausschließlich Informationszwecken. Bei allfälligen Widersprüchen zwischen dieser und der englischen Version hat die englische Version Gültigkeit.
Gültig: 24. Mai, 2018
Bei Slack nehmen wir die Sicherheit deiner Daten sehr ernst. Transparenz ist einer der Grundsätze, auf denen unser Unternehmen basiert. Deshalb wollen wir so klar und offen wie möglich erläutern, wie wir mit Sicherheitsfragen umgehen.
Weitere Fragen zum Thema Sicherheit beantworten wir gern. Schreibe bitte an feedback@slack.com, und wir werden dir so schnell wie möglich antworten.
Geheimhaltung
Wir haben ein strenges Kontrollsystem für den Zugang unserer Mitarbeitenden zu den Daten eingerichtet, die du und deine Benutzerinnen und Benutzer über die Dienste von Slack bereitstellen, so wie in deiner Vereinbarung mit Slack über die Nutzung der Slack-Services ausführlich definiert („Kundendaten“). Die Bereitstellung der Slack-Services erfordert, dass einige Mitarbeitende Zugang zu den Systemen haben, in denen Kundendaten gespeichert und verarbeitet werden. So müssen wir beispielsweise für die Diagnose eines Problems, das du mit einem Slack-Service hast, eventuell auf deine Kundendaten zugreifen. Es ist diesen Mitarbeitenden untersagt, ihre Berechtigung für den Zugriff auf Kundendaten zu nutzen, sofern dies für ihre unmittelbare Tätigkeit nicht unbedingt erforderlich ist. Wir verfügen über technische Kontrollen und Prüfrichtlinien, die sicherstellen, dass jeder Zugriff auf Kundendaten protokolliert wird.
Alle unsere Angestellten und Vertragsmitarbeitenden sind an unsere Richtlinien in Bezug auf Kundendaten gebunden. Dieses Thema hat in unserem Unternehmen höchste Priorität.
Personalverfahren
Slack führt Hintergrundprüfungen aller Mitarbeitenden vor deren Einstellung durch. Mitarbeitende erhalten sowohl während der Einarbeitungsphase als auch im Anschluss daran regelmäßig Datenschutz- und Sicherheitsschulungen. Alle Mitarbeitenden sind verpflichtet, unsere umfassende Datensicherheitsrichtlinie, die sich mit der Sicherheit, Verfügbarkeit und Vertraulichkeit der Slack-Services befasst, zu lesen und ihre Kenntnisnahme schriftlich zu bestätigen. Alle Mitarbeitenden sind verpflichtet, unsere umfassende Datensicherheitsrichtlinie, die sich mit der Sicherheit, Verfügbarkeit und Vertraulichkeit der Slack-Services befasst, zu lesen und ihre Kenntnisnahme schriftlich zu bestätigen.
Compliance
Die folgenden sicherheitsbezogenen Audits und Zertifizierungen gelten für die Slack-Services:
- ISO 27001 und ISO 27018: Slack hat ISO 27001- und ISO 27018-Konformität erreicht. Du kannst das ISO 27001-Zertifikat hier und das ISO 27018-Zertifikat hier herunterladen. Eine Kopie der Anwendbarkeitserklärung ist auf Anfrage bei deinem Account-Manager erhältlich.
- Service-Organization-Control-Berichte (SOC): Slack wurde einem SOC-2-Audit unterzogen. Ein Exemplar des jüngsten Slack-Berichts ist auf Anfrage bei deinem Account-Manager erhältlich. Darüber hinaus ist unser SOC 3-Bericht hier zum Download verfügbar.
- PCI: Slack ist ein Händler der PCI-Stufe 4 und hat den Selbsteinschätzungsfragebogen A der Bezahlkartenbranche ausgefüllt. Wir nutzen einen Drittanbieter für die sichere Verarbeitung von Kreditkartendaten. Slack ist derzeit kein PCI-zertifizierter Serviceanbieter.
Die Umgebung, in der die Slack-Services gehostet werden, unterhält mehrere Zertifizierungen für ihre Rechenzentren, darunter ISO 27001, FedRAMP-Autorisierung, PCI-Zertifizierung und SOC-Berichte. Weitere Informationen über ihre Zertifizierungen und deren Einhaltung der gesetzlichen Vorschriften findest du auf der AWS Security Website, der AWS Compliance Website, der Google Security Website und der Google Compliance Website.
Sicherheitsfunktionen für Mitglieder, Administratorinnen und Administratoren von Teams
Neben den Leistungen zur Gewährleistung der Sicherheit, die wir auf der Infrastrukturebene erbringen, stellen wir Administratorinnen und Administratoren von Teams mit einem kostenpflichtigen Slack-Plan zusätzliche Tools zur Verfügung, mit denen sie ihren Benutzerinnen und Benutzern den Schutz ihrer Kundendaten ermöglichen können.
Zugriffsprotokollierung
Benutzerinnen, Benutzern, Administratorinnen und Administratoren von Teams mit einem kostenpflichtigen Plan stehen detaillierte Zugriffsprotokolle zur Verfügung. Wir protokollieren jede Anmeldung eines Accounts und verzeichnen den verwendeten Gerätetyp sowie die IP-Adresse der Verbindung.
Administratorinnen, Administratoren, Inhaberinnen und Inhaber von Teams mit einem kostenpflichtigen Plan können die konsolidierten Zugriffsprotokolle ihres gesamten Teams einsehen. Wir bieten Administratorinnen und Administratoren auch einfache Möglichkeiten, alle Verbindungen ferngesteuert zu trennen und bei Bedarf jederzeit alle Geräte abzumelden, die bei Slack authentifiziert sind.
Zwei-Faktor-Authentifizierung für das gesamte Team
Administratorinnen und Administratoren von Teams können von allen Benutzerinnen und Benutzern die Einrichtung einer Zwei-Faktor-Authentifizierung für ihren jeweiligen Account verlangen. Entsprechende Anweisungen sind in unserem Support-Center verfügbar.
Einmaliges Anmelden (SSO)
Administratorinnen und Administratoren von Teams mit einem kostenpflichtigen Plan können ihre Slack-Services-Instanz mit den Diensten einer Reihe von SSO-Anbietern verknüpfen. Teams mit einem Standard-Plan können Google Apps for Domains als ihren Authentifizierungsanbieter aktivieren. Teams mit einem Plus-Plan können SAML SSO mit Anbietern wie z. B. OneLogin, Okta, Centrify und Ping Identity einrichten.
Datenaufbewahrung
Inhaber von Slack-Teams mit einem kostenpflichtigen Plan können benutzerdefinierte Nachrichtenaufbewahrungsrichtlinien für das gesamte Team oder einzelne Channels konfigurieren. Wird ein benutzerdefinierter Zeitraum für die Aufbewahrung festgelegt, werden jede Nacht alle Nachrichten und Dateien gelöscht, die diesen Zeitraum überschritten haben.
Löschung von Kundendaten
Slack bietet Primären Workspace-Inhabern die Möglichkeit, Kundendaten während des Abonnementzeitraums jederzeit zu löschen. Spätestens 24 Stunden nach einer von einem Primären Workspace-Inhaber initiierten Löschung entfernt Slack unwiderruflich alle Daten aus aktuell laufenden Produktionssystemen (außer Team- und Channel-Namen sowie in URLs eingebettete Suchbegriffe in Webserver-Zugriffsprotokollen). Sicherungskopien für Slack-Services werden spätestens nach 14 Tagen vernichtet.*
Rückgabe von Kundendaten
Informationen über die Exportfunktionen der Slack-Services findest du in unserem Support-Center.
Datenverschlüsselung bei der Übertragung und im Ruhezustand
Die Slack-Services unterstützen die jüngsten empfohlenen sicheren Verfahren und Protokolle zur Verschlüsselung aller Daten bei der Übertragung. Die Kundendaten sind im Ruhezustand verschlüsselt.
Wir beobachten den Wandel der Kryptografie sehr genau und reagieren unverzüglich mit Upgrades auf neu entdeckte Schwachstellen und setzen darüber hinaus bewährte Praktiken um, die sich im Laufe der Zeit herausbilden. Die Verschlüsselung der Daten bei der Übertragung erfolgt unter Berücksichtigung der Kompatibilitätsanforderungen älterer Clients.
Verfügbarkeit
Wir wissen, dass du auf den zuverlässigen Betrieb der Slack-Services angewiesen bist. Wir setzen alles daran, mit Slack einen hochverfügbaren Service anzubieten, auf den du dich verlassen kannst. Unsere Infrastruktur läuft auf fehlertoleranten Systemen, die sowohl den Ausfall einzelner Server als auch gesamter Rechenzentren kompensieren können. Unser operatives Team testet regelmäßig Notfallwiederherstellungsmaßnahmen und stellt ein rund um die Uhr verfügbares Bereitschaftsteam, um unerwartete Vorfälle schnell zu klären.
Notfallwiederherstellung
Kundendaten werden redundant an mehreren Standorten in den Rechenzentren unserer Hosting-Anbieter gespeichert, um deren Verfügbarkeit zu gewährleisten. Wir verfügen über bewährte Datensicherungs- und Wiederherstellungsverfahren, die auch bei Notfällen größeren Ausmaßes vor Datenverlust schützen. Die Kundendaten und unser Quellcode werden jede Nacht automatisch gesichert. Das operative Team wird bei einer Fehlfunktion des Systems unverzüglich benachrichtigt. Datensicherungen werden mindestens alle 90 Tage vollständig getestet um zu bestätigen, dass unsere Verfahren und Tools erwartungsgemäß arbeiten.
Netzwerkschutz
Zusätzlich zu unserem hochentwickelten Überwachungs- und Protokollierungssystem haben wir eine Zwei-Faktor-Authentifizierung für jeden Serverzugriff in unserer gesamten Produktionsumgebung eingeführt. Firewalls werden gemäß den Best Practices der Branche konfiguriert, und nicht benötigte Ports werden durch Konfiguration per AWS Security Groups gesperrt.
Host-Management
Wir führen automatische Schwachstellenprüfungen unserer Produktions-Hosts durch und korrigieren alle entdeckten Probleme, die ein Risiko für unsere Umgebung darstellen. Wir erzwingen Bildschirmsperren und die vollständige Verschlüsselung der Festplatten in Firmen-Laptops.
Protokollierung
Slack unterhält eine umfangreiche, zentralisierte Protokollierungsumgebung in seiner Produktionsumgebung, die Informationen in Bezug auf die Sicherheit, die Überwachung, die Verfügbarkeit, den Zugriff und andere Kennzahlen der Slack-Services enthält. Diese Protokolle werden unter der Aufsicht des Sicherheitsteams mittels automatischer Überwachungssoftware auf Sicherheitsereignisse analysiert.
Management von und Reaktion auf Sicherheitsvorfälle
Im Falle eines Sicherheitsverstoßes benachrichtigt Slack dich unverzüglich über jeden unbefugten Zugriff auf deine Kundendaten. Slack verfügt über Richtlinien und Verfahren für den angemessenen Umgang mit derartigen Ereignissen.
Externe Sicherheitsaudits
Wir haben angesehene externe Sicherheitsfirmen mit der Durchführung regelmäßiger Audits der Slack-Services beauftragt, um zu bestätigen, dass unsere Sicherheitsverfahren solide sind, und um die Slack-Services auf neue Schwachstellen zu überprüfen, die von der Sicherheitsforschungs-Community entdeckt worden sind. Zusätzlich zu den regelmäßigen und gezielten Audits der Slack-Services und Funktionen lassen wir unsere Web-Plattform auch kontinuierlich automatisch scannen.
Produktsicherheitsverfahren
Neue Eigenschaften, Funktionen und Designänderungen werden vom Sicherheitsteam einer Sicherheitsprüfung unterzogen. Darüber hinaus wird unser Programmcode mit einer automatisierten Software für die statische Analyse geprüft, getestet und einem manuellen Peer-Review-Verfahren unterzogen, bevor er für die Produktion freigegeben wird. Das Sicherheitsteam arbeitet eng mit den Entwicklungsteams zusammen, um weitere Sicherheitsprobleme zu klären, die während der Entwicklung auftreten.
Slack betreibt zudem ein Prämienprogramm für das Aufspüren von Sicherheitslücken. Sicherheitsforscher auf der ganzen Welt unterziehen die Slack-Services laufend Sicherheitsüberprüfungen und melden Probleme über das Programm. Weitere Einzelheiten zu diesem Programm findest du auf der Prämien-Website.
*Sicherungskopien für Slack-Services werden spätestens nach 14 Tagen vernichtet. Während einer laufenden Untersuchung eines Vorfalls kann dieser Zeitraum jedoch vorübergehend verlängert werden.