Die Infrastruktur von Pneumatic wird sicher auf Google Cloud gehostet und verwaltet. Diese Partnerschaft nutzt Googles hochmoderne Rechenzentrumstechnologie und -verwaltung, um hohe Zuverlässigkeitsniveaus und die Einhaltung branchenüblicher Standards zu gewährleisten. Google ist weltweit für seine Risikomanagementfähigkeiten anerkannt und hält Standards wie ISO 27001, SOC 1 und 2, PCI Level 1, FISMA Moderate und SOX ein.
Die physische Sicherheit unserer Rechenzentren, zertifiziert nach ISO 27001 und FISMA, umfasst militärische Perimeterschutzkontrollen, natürliche Grenzen und unauffällige Gebäudegestaltungen, um unbefugten Zugriff zu verhindern. Der Zugriff wird konsequent durch professionelle Sicherheitskräfte, Überwachungskameras und moderne Einbruchserkennungssysteme durchgesetzt. Autorisiertes Personal unterzieht sich mehrfacher Authentifizierung durch mehrere Faktoren für den Zugang zum Rechenzentrum, während Besucher jederzeit begleitet werden.
Unsere Rechenzentren sind strategisch innerhalb der Vereinigten Staaten (Oregon) platziert, um Leistung und Sicherheit zu optimieren.
Ein dediziertes Team steht bereit, um Sicherheitsbedenken zu behandeln und ist erreichbar unter security@pneumatic.app.
Unser Netzwerk wird durch die Firewall-Systeme von Google Cloud geschützt, die den Zugriff basierend auf spezifischen geschäftlichen Anforderungen und Sicherheitsrichtlinien regeln. Dies beinhaltet Host-basierte Firewalls für zusätzlichen Schutz und Maßnahmen zur Verhinderung von Spoofing- und Sniffing-Angriffen.
Regelmäßige Sicherheitsbewertungen durch spezialisierte Softwareplattformen gewährleisten fortlaufende Sicherheitsverbesserungen. Unsere Infrastruktur ist darauf ausgelegt, unbefugten Zugriff zu verhindern, einschließlich Paket-Sniffing und Port-Scanning, wobei jeder Vorfall gründlich untersucht wird.
Unser Dienstleister wird regelmäßig von unabhängigen Sicherheitsfirmen auf Sicherheit geprüft. Ergebnisse aller solcher Bewertungen werden mit den Prüfern überprüft, alle identifizierten Risiken werden bewertet und Maßnahmen ergriffen, um sie zu minimieren.
Im Falle eines Sicherheitsvorfalls analysieren unsere Ingenieure umfangreiche Systemprotokolle, um das Problem prompt anzugehen und zu mildern.
Unser Dienstleister (Google Cloud) setzt fortschrittliche DDoS-Mitigierungstechniken ein, wie z.B. TCP-Syn-Cookies und Verbindungsratenbegrenzung, um sich gegen Denial-of-Service-Angriffe zu schützen.
Der Zugriff auf das Produktionsnetzwerk ist streng kontrolliert und geprüft, wobei für alle Mitarbeiter eine Mehrfaktorauthentifizierung erforderlich ist.
CSP-Verwaltete (Standard-) Datenverschlüsselung wird angewendet. Unser E-Mail-Dienst stellt sichere TLS-Verbindungen sicher.
Backups werden täglich zwischen 3:00 und 7:00 Uhr UTC automatisch erstellt, mit einer Begrenzung von 7 Backups.
Datenverschlüsselung im Ruhezustand (CSP-verwalteter Standardverschlüsselungstyp). Die Verwendung von kundenverwalteten Verschlüsselungsschlüsseln (CMEK) ist möglich, aber nicht für den SSD-Speichertyp dieses CSP anwendbar.
Pneumatic garantiert eine Verfügbarkeit von 99,9 % mit fortlaufender Überwachung. Detaillierte Berichte sind auf Anfrage verfügbar.
Die Infrastruktur von Google Cloud beseitigt einzelne Fehlerpunkte und gewährleistet eine schnelle Wiederherstellung im Falle eines Ausfalls, wobei Kundenanwendungen und -datenbanken automatisch wiederhergestellt werden.
Kontinuierliche Integration (CI) wird über Produktausgaben (Git + Atlassian Bitbucket), das Schreiben von Tests, kontinuierliche Integration in den Hauptproduktzweig, automatisierte Tests neuer Versionen (mit Ansible + Docker + Jenkins) sowie manuelle E2E- und Stresstests durch QA vor der Bereitstellung neuer Produktversionen implementiert.
Unsere QA-Abteilung überprüft und testet unseren Code. Dedizierte Anwendungstechniker im Team identifizieren, testen und kategorisieren Sicherheitslücken im Code.
Die fortlaufende statische Codeanalyse hilft dabei, Sicherheitslücken in unserem Code zu identifizieren und zu beheben.
Identitäts- und Zugriffsmanagement werden unterstützt.
SSO Security Assertion Markup Language wird unterstützt.
Zwei-Faktor-Authentifizierung, MFA und andere Autorisierungsmethoden, die von Autorisierungsanbietern (Google, Microsoft, SSO) bereitgestellt werden, sind durch den sichersten OAuth 2-Autorisierungscodefluss auf Serverebene integriert.
Rollenbasierte Zugriffssteuerung nutzt Zugriffskontrolllisten. Dies bedeutet, dass alle Benutzer Rollen auf unterschiedlichen Zugriffsebenen haben, und bevor ein Benutzer eine Aktion an einer Entität ausführen kann, wird die Liste der erlaubten Operationen geprüft, die dieser Benutzer an dieser Entität ausführen kann. Das Prinzip des geringsten Privilegs wird auf jeder Ebene befolgt.
Alle Kommunikationen mit den Servern des Dienstanbieters von Pneumatic werden mittels des branchenüblichen HTTPS verschlüsselt. Dadurch wird sichergestellt, dass der gesamte Verkehr zwischen Ihnen und Pneumatic während der Übertragung sicher ist.
Wir haben umfassende Sicherheitsrichtlinien und führen regelmäßige Schulungen und Sensibilisierungsprogramme für alle Mitarbeiter und Auftragnehmer durch.
Alle neuen Mitarbeiter erhalten die erforderliche Sicherheitsschulung. Sicherheitsbewusstsein ist auch Routine bei Pneumatic, da Updates zwischen allen Teams per E-Mail, Blog-Beiträgen und bei internen Veranstaltungen geteilt werden.
Pneumatic führt Sicherheitsüberprüfungen für alle neuen Mitarbeiter entsprechend lokaler Gesetze durch. Die Überprüfung umfasst kriminelle, Bildungs- und Arbeitsüberprüfungen.
Alle neuen Mitarbeiter durchlaufen den Einstellungsprozess und sind verpflichtet, gemäß lokaler Gesetze Geheimhaltungs- und Vertraulichkeitsvereinbarungen zu unterzeichnen.