Phrase

Sicherheit

Phrase Sicherheitsstatement

Einleitung

Diese Sicherheitsmitteilung gilt für die von Phrase angebotenen Produkte, Dienstleistungen und Anwendungen. Der Schutz und die Zuverlässigkeit der Kundendaten haben für uns oberste Priorität. Unser Sicherheitssystem basiert auf den Prinzipien hoher Resilienz, Transparenz und der Bewertung durch Dritte gemäß den weltweit anerkannten Sicherheitsstandards. Wir glauben, dass die Architektur von Phrase, die auf einem öffentlichen Cloud-Service mit einem Multi-Tenant-Modell und logischen Zugriffskontrollen basiert, den besten Wert und Schutz für die vertraulichen Daten unserer Kunden wie Übersetzungen, Übersetzungsspeicherdateien usw. bietet.

Zertifizierungen

Phrase a.s. (ehemals Memsource a.s.) wurde für ISO 27001 zertifiziert<2>, was beweist, dass das von uns eingeführte Informationssicherheitsmanagementsystem (ISMS) dem ISO-Standard entspricht. Das ISO-Zertifikat wurde für die Jahre 2020-2023 erneuert.

Wir nutzen Amazon Web Services (AWS) als unseren Cloud-Dienstleister. AWS ist konform mit einer Vielzahl von Sicherheitsstandards, einschließlich SOC 1/ISAE 3402, SOC 2, SOC 3, FISMA, DIACAP und FedRAMP, PCI DSS Level 1, ISO 9001, ISO 27001, ISO 27017 und ISO 27018.

Wir verwenden einen externen Zahlungsdienstleister, der PCI DSS-konform ist und zusätzliche Sicherheitsmechanismen wie MasterCard SecureCode, Verified by VISA und SafeKey nutzt.

Audits und Schwachstellenerkennung

Phrase-Dienstleistungen unterliegen jedes Jahr Penetrationstests durch Dritte. Die Tests werden gemäß dem OWASP ASVS-Standard durchgeführt.

Wir betreiben ein von Dritten gehostetes Programm zur Offenlegung von Schwachstellen, das unabhängigen Forschern ermöglicht, etwaige Schwachstellen, die sie in unseren Anwendungen und Dienstleistungen finden, verantwortungsvoll offenzulegen.

Wir nutzen einen Drittanbieterdienst für monatliche automatisierte Schwachstellenscans.

Unser Informationssicherheitsmanagementsystem unterliegt jährlichen internen Audits und Audits durch Dritte, die unsere Einhaltung des ISO 27001-Standards überprüfen.

Datenkontrolle

Die Daten in deinem Phrase-User-Konto sind geschützt. Nur User, denen du entsprechende User-Rechte eingeräumt hast, haben Zugriff auf deinen Content. Anstatt Daten per E-Mail zu senden, greifen User nach der Authentifizierung in Phrase auf Daten zu (siehe Zugriffskontrolle) und alle User-Aktionen werden protokolliert.<5>

Alle gespeicherten Daten sind mit Linux LUKS (aes-xts-plain64:sha256) oder AWS-Verschlüsselung (AES256) verschlüsselt.<6>

Datenzentren und Standorte<1>

Die Phrase Platform wird auf der Amazon Web Services (AWS)-Plattform gehostet. Die physischen Server befinden sich in den AWS-Rechenzentren. Phrase Studio wird in den Rechenzentren von Google Cloud Platform gehostet. User-Content kann auch in Backups gefunden werden, die in AWS S3 gespeichert sind.

Produktionsumgebung<1>

Wir pflegen separate und unterschiedliche Entwicklungs-, QA-, Vorproduktions- und Produktionsumgebungen.<1>

Um auf die Produktionsumgebung von Phrase zuzugreifen, nutzen autorisierte und geschulte Mitglieder des Phrase Engineering-Teams VPN und authentifizieren sich mit einzigartigen, starken Passwörtern und 2FA.<2>

Änderungsmanagement

Phrase verwendet einen formalisierten IT-Änderungsmanagementprozess, der sicherstellen soll, dass Änderungen autorisiert sind und wie beabsichtigt funktionieren.<1>

Das Änderungsmanagementsystem in Phrase folgt diesen Prinzipien:<2>

  • Die Softwareentwicklung folgt den besten Praktiken, die in den Richtlinien und Dokumentationen von Phrase für bestimmte Komponenten dokumentiert sind.
  • Alle Änderungen werden dokumentiert und vom zuständigen Teamleiter genehmigt.
  • Alle Änderungen werden in den QA- und Vorproduktionsumgebungen getestet, bevor sie in die Produktionsumgebung bereitgestellt werden. Änderungen werden nur genehmigt, wenn sie vordefinierte Kriterien erfüllen. Die Entwicklungs- und QA-Umgebungen verwenden Testdaten und enthalten keine echten Kundendaten.
  • Alle Änderungen, die die angewandten Sicherheitsmaßnahmen oder das Risikoprofil der Phrase-Dienstleistung betreffen, werden vom Informationssicherheits-Team von Phrase bewertet.
  • Im Falle einer wesentlichen Änderung werden Penetrationstests und/oder Schwachstellentests durchgeführt.<1>

Zugriffskontrolle

Das Zugriffsmanagement in Phrase wird von den folgenden Prinzipien geleitet:<1>

Prinzip der geringsten Privilegien

Zugriffsrechte für jeden User sollten auf die Ressourcen beschränkt sein, die für die Erfüllung der zugewiesenen Aufgaben oder Funktionen unbedingt erforderlich sind, und nicht mehr.

Prinzip der Trennung von Aufgaben

Wo immer möglich, sollte keine einzelne Person für die Durchführung oder Kontrolle einer Aufgabe bzw. einer Reihe von Aufgaben von Anfang bis Ende verantwortlich sein, wenn dies das Potenzial für Betrug, Missbrauch oder weiteren Schaden birgt.

Personalisierte Profile

Wo immer möglich, sind User-Profile personalisiert, z. B. an die Identität eines bestimmten Users gebunden.

Einzelne Identität

Wo immer möglich, verwenden User-Profile einen einzigen Authentifizierungsanbieter (wie Google ID) und einheitliche Anmeldeinformationen. Die Multi-Faktor-Authentifizierung ist aktiviert, wenn sie vom Authentifizierungsanbieter unterstützt wird.

Benutzerverantwortung

Du bist für den Schutz der Authentifizierungsmittel (Benutzername, Passwort, Mittel zur Multi-Faktor-Authentifizierung) und alle Aktionen verantwortlich, die unter deinem Profil durchgeführt werden. Der Administrator des IT-Systems bzw. der Anwendung ist für die Nutzung und den Schutz technischer Profile verantwortlich.

Ereignisprotokollierung

Wir speichern Protokolle zu System- und Anwendungsereignissen sowie zu sämtlichen Aktivitäten in deinem Phrase-Account. Wir haben ein zentrales Protokollmanagement in Form eines Drittanbieterdienstes.

Audit-Protokolle, die sich auf die Nutzung der Plattform durch einen Kunden beziehen, sind für Phrase-Ingenieure verfügbar und können auf Anfrage bereitgestellt werden.

Die Anmeldehistorie (einschließlich IP-Adresse, Land und Identifikation des User-Agents) ist für jeden User verfügbar und über die Benutzeroberfläche zugänglich.

Verschlüsselte Kommunikation

Alle Kommunikation wird standardmäßig verschlüsselt. Dies umfasst die Kommunikation zwischen Phrase-Servern und deinem Webbrowser, dem Phrase CAT Desktop Editor und der mobilen Anwendung.

Phrase verwendet branchenübliche Verschlüsselung für Daten während der Übertragung. Sie werden durch TLS 1.2 verschlüsselt. Die Identität der Verbindung zu Phrase wird von einer sicheren Zertifizierungsstelle überprüft.

Redundanz und Backups

Redundante Architektur sorgt für eine hohe Dienstleistungsverfügbarkeit. Alle Daten werden in mehreren redundanten Datenbankinstanzen gespeichert. Alle Daten werden durch nahezu Echtzeit-Inkremental-Backups sowie tägliche vollständige Backups in einem hochbeständigen Speicher, der in AWS S3 gehostet wird, gesichert. Backups werden mit Linux LUKS (aes-xts-plain64:sha256) oder AWS-Verschlüsselung (AES256) verschlüsselt.

Notfallwiederherstellung und Vorfallreaktion

Wir wenden Richtlinien zur Notfallwiederherstellung und Vorfallreaktion an, die zeitnahe und effektive Reaktionen auf Vorfälle ermöglichen. Dies hilft uns in unseren Bemühungen, eine hohe Dienstleistungsverfügbarkeit aufrechtzuerhalten und uns nach Katastrophenereignissen mit minimalem Datenverlust schnell zu erholen. Die Leistung unserer Notfallwiederherstellung wird durch das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) gemessen.

RTO ist die angestrebte Dauer, in der ein Geschäftsprozess nach einer Katastrophe (oder Störung) wiederhergestellt werden muss, um inakzeptable Folgen im Zusammenhang mit einer Unterbrechung der Geschäftskontinuität zu vermeiden. Phrase hat in Tests bewiesen, dass ein RTO von 8 Stunden für alle Komponenten seiner Dienstleistung erreicht wird.

RPO ist die maximal akzeptable Menge an Datenverlust, die in der Zeit gemessen wird. Es ist das Alter der Dateien oder Daten im Backup-Speicher, das erforderlich ist, um den normalen Betrieb wieder aufzunehmen, wenn ein Computer- oder Netzwerkfehler auftritt. RPO umfasst Vorfälle, die eine vollständige Wiederherstellung aller Datenbankinstanzen erfordern. Falls nur eine Datenbankinstanz von dem Vorfall betroffen ist, wechselt die Produktionsumgebung nahtlos zu einer anderen Instanz. Phrase erreicht ein RPO von 4 Stunden, selbst bei einem katastrophalen Ausfall.

Physische Sicherheit

Obwohl die meisten Vermögenswerte von Phrase cloudbasiert sind, sorgt die Unternehmenspolitik für den Schutz der physischen Räumlichkeiten sowie der darin gespeicherten Informationen.

Unsere Räumlichkeiten werden von einem Sicherheitsdienst geschützt, der rund um die Uhr vor Ort ist. Der Eingang zum Gebäude wird von CCTV-Kameras überwacht. Die Sicherheit kontrolliert alle Zugangspunkte zum Gebäude, einschließlich Notausgänge.

Im Allgemeinen sind die Räumlichkeiten von Phrase nur für Phrase-Mitarbeiter und langfristige Dienstleister zugänglich. Diese Personen sind Inhaber von Token, die Zugriff auf den allgemeinen Bürobereich gewähren, ausgenommen eingeschränkte Bereiche.

Besucher werden an der Rezeption registriert, die rund um die Uhr geöffnet ist. Basierend auf ihrer Registrierung erhalten sie nur Zugang zum Aufzugsbereich. Um Zugang zu den Räumlichkeiten von Phrase zu erhalten, müssen sie jederzeit von einem Phrase-Mitarbeiter begleitet werden. Alle Phrase-Mitarbeiter sind dafür verantwortlich, ihre Besucher während des gesamten Besuchs zu begleiten und ihnen keinen unnötigen Zugriff auf Informationswerte von Phrase zu gewähren.

Papierkopien von vertraulichen Informationen dürfen nur in verschlossenen Schränken im Phrase-Büro aufbewahrt werden. Zugriff auf diese Dokumente wird nur Mitarbeitenden gewährt, die ihn für die Erfüllung ihrer Aufgaben benötigen.

Vertrauliche IT-Vermögenswerte werden im Serverraum aufbewahrt. Der Zugang zum Serverraum wird nur nach Bestätigung durch einen benannten Phrase-Mitarbeiter gewährt. Die Informationswerte von Phrase werden getrennt von der Ausrüstung anderer Mieter in gesperrten Racks aufbewahrt.

Mitarbeiterrichtlinien<1>

Das Personal von Phrase ist verpflichtet, im Einklang mit den Gesetzen, Regeln und Verfahren zu handeln, die in diesem und verwandten Richtliniendokumenten beschrieben sind. Sie sind verantwortlich für die Sicherheit der ihnen von Phrase anvertrauten Vermögenswerte. Jedes Fehlverhalten oder jede Verletzung der oben genannten Verpflichtungen kann gemäß den geltenden Arbeitsgesetzen zu disziplinarischen Maßnahmen führen.

Eine zentral verwaltete und automatisch aktualisierte Antimalware-Lösung ist auf allen Computern installiert.  Alle Geräte haben die vollständige Festplattenverschlüsselung aktiviert und sind durch starke Passwörter und/oder biometrische Daten geschützt. Phrase-User müssen diese Richtlinien auch bei der Verwendung ihrer eigenen Geräte befolgen. Die Clean-Desk-Richtlinie bietet Regeln zur Sicherung der Geräte, wenn sie unbeaufsichtigt sind, und zur sicheren Aufbewahrung interner und klassifizierter Informationen ausschließlich in den dafür vorgesehenen, geschützten Bereichen.

Du musst für alle arbeitsbezogenen User-Konten einzigartige, komplexe und nicht leicht zu erratende Passwörter erstellen. Der Remote-Zugriff auf das interne Phrase-Netzwerk ist nur über das vom Unternehmen verwaltete VPN möglich.

Alle potenziellen Phrase-Mitarbeiter und Auftragnehmer unterliegen Hintergrundprüfungen gemäß den Datenschutzgesetzen. Sicherheitsschulungen sind Teil unseres Onboarding-Prozesses und werden jährlich wiederholt. Alle Mitarbeiter und Auftragnehmer unterliegen Vertraulichkeitsverpflichtungen im Rahmen ihrer vertraglichen Vereinbarungen.

Bug-Bounty-Programm

Hast du eine Sicherheitslücke in unserem Produkt gefunden? Du kannst sie in unserem Bug-Bounty-Programm absenden und eine Belohnung erhalten. Unser Bug-Bounty wird von Intigriti verwaltet und du musst ein überarbeiteter, überprüfter Forscher sein, um teilzunehmen. Bitte schick uns eine E-Mail mit der Beschreibung der gefundenen Sicherheitslücke und deinem Intigriti-Benutzernamen an security@phrase.com, damit wir dich einladen können.

Phrase: Einhaltung von HIPAA

Engagement für Datenschutz und Sicherheit

Bei Phrase setzen wir alles daran, dein Vertrauen zu schützen. Wir halten uns an alle geltenden Datenschutzgesetze und stellen sicher, dass deine persönlichen und geschäftlichen Informationen mit größter Sorgfalt und in vollem Einklang mit den regulatorischen Standards behandelt werden. Über die Einhaltung hinaus streben wir kontinuierlich an, erstklassige Sicherheitsmaßnahmen zu implementieren, um die Daten zu schützen, die du mit uns teilst. Deine Privatsphäre und die Sicherheit deiner Daten stehen im Mittelpunkt unseres Handelns und spiegeln unser Engagement wider, sichere, transparente und dauerhafte Beziehungen zu unseren Kunden aufzubauen.

Was ist HIPAA

HIPAA steht für Health Insurance Portability and Accountability Act von 1996, in der geänderten Fassung, ein US-Bundesgesetz, das Anforderungen zum Schutz der Privatsphäre und Sicherheit der Gesundheitsinformationen von Personen festlegt. Es schreibt Schutzmaßnahmen für elektronische Gesundheitsdaten vor und beschränkt die Verwendung und Offenlegung geschützter Gesundheitsinformationen, um die Rechte der Patienten und die Vertraulichkeit der Daten zu gewährleisten.

Software-as-a-Service-Dienstleister müssen HIPAA einhalten, wenn sie geschützte Gesundheitsinformationen im Auftrag von gedeckten Einrichtungen oder Business-Partnern verarbeiten, wodurch sie den Datenschutz- und Sicherheitsvorschriften von HIPAA unterliegen.

HIPAA-Compliance von Phrase

Obwohl es keinen formellen, von der Regierung ausgestellten oder allgemein anerkannten HIPAA-Zertifizierungsprozess für Cloud-Software-as-a-Service-Anbieter gibt, ist es unmöglich, eine offizielle Zertifizierung für die Einhaltung von HIPAA zu erhalten. Dennoch haben wir einen unabhängigen und anerkannten externen Auditor beauftragt, CyberGRX, der unsere Einhaltung von HIPAA durch eine umfassende Bewertung unserer Datenschutz- und Sicherheitsprozesse überprüft hat. Diese Bewertung bestätigte, dass unsere Systeme, Richtlinien und Verfahren mit den geltenden HIPAA-Anforderungen übereinstimmen und unser Engagement für die Aufrechterhaltung der höchsten Standards für Datenschutz, Sicherheit und regulatorische Compliance demonstrieren. Die CyberGRX-Überprüfung erfolgt regelmäßig, um unsere fortlaufende Einhaltung der strengen Anforderungen von HIPAA zu bestätigen.

Weitere Informationen zu den spezifischen technischen und organisatorischen Maßnahmen, die Phrase ergriffen hat, um die hohen Datenschutz- und Sicherheitsstandards, die von den geltenden Gesetzen gefordert werden, einzuhalten, findest du in unserer Sicherheitsmitteilung, die unter https://phrase.com/security/ verfügbar ist.

Verarbeitung geschützter Gesundheitsinformationen

Im Rahmen unserer Standardpraktiken verarbeiten, speichern oder übertragen wir bei Phrase wissentlich keine geschützten Gesundheitsinformationen unserer Kunden und User. Wenn du eine Covered Entity oder ein Business Associate (wie in HIPAA definiert) bist und unsere Phrase Localization Platform zur Verarbeitung geschützter Gesundheitsinformationen verwenden möchtest, kontaktiere uns unter privacy@phrase.com.