Sicherheitszentrum
Sprout Social ist seit 2010 im Geschäft und hat mehr als 30.000 zahlende Kunden, die darauf vertrauen, dass wir ihnen bei der Bewältigung vieler Millionen Gespräche pro Tag helfen. Unsere Technologie wird mit Blick auf unsere Kunden und deren Zielgruppen – Hunderte Millionen Menschen – entwickelt und verwaltet. Wir arbeiten täglich daran, dauerhafte Beziehungen durch eine Kultur des Kundenerfolgs und Supports aufzubauen.
Produktsicherheitsmaßnahmen
Obwohl die auf dieser Seite dokumentierten globalen Sicherheitsmaßnahmen für die gesamte Organisation von Sprout Social gelten, enthält jede unserer Anwendungen produktspezifische Sicherheitsfunktionen. Informationen zu Zugriffskontrolle, Anwendungssicherheit, Cloud-Hosting und Infrastruktursicherheit in unseren Produkten finden Sie in den entsprechenden Abschnitten unten.
Globale Sicherheitsmaßnahmen
Operative Resilienz
Zuverlässigkeit & Verfügbarkeit
Hier bei Sprout Social sind wir stets darum bemüht, Ausfallzeiten und andere negative Auswirkungen auf unseren Service zu minimieren. Unsere Systeme wurden mit integrierter Fehlertoleranz entwickelt und unsere Teams sind für eine schnelle Wiederherstellung des Services geschult, falls doch einmal eine Störung auftreten sollte. Es gehört zu unserem Ethos, Ausfallzeiten (geplante wie ungeplante) um jeden Preis zu vermeiden. Daher setzen wir auch keine Wartungsausfallzeiten an (die in der Regel sowieso vermeidbar sind). Geschäftskontinuität und Notfallwiederherstellung sind fester Bestandteil unserer Praktiken und Systeme. Sie gelten weder als Nebensache noch als alleiniger Zuständigkeitsbereich eines einzelnen Teams.
Unser technisches Team ist bestrebt, eine Betriebszeit von 99,9 % für jedes unserer Produkte als Leistungskennzahl (KPI) aufrechtzuerhalten. Wir teilen den Systemstatus und die Metriken in Echtzeit öffentlich auf unseren Status-Websites mit, auf denen sich Kunden anmelden können, um Benachrichtigungen über zukünftige Vorfälle zu erhalten:
Social-Media-Integrationen
Unsere Datenerfassungsebene umfasst Verbindungen zu den APIs verschiedener sozialer Netzwerke. Durch unsere formellen Partnerschaftsvereinbarungen bieten uns soziale Netzwerke wie Facebook, Instagram, LinkedIn, Pinterest, Threads, TikTok, X und YouTube ein höheres Maß an Redundanz und direkten Zugang zu ihren Support-Teams.
Alle Verbindungen zwischen den Produkten von Sprout Social und den sozialen Netzwerken erfolgen über sichere Netzwerke. Wenn Kunden ihre Social-Media-Profile mit Sprout Social verbinden, geben sie ihre Anmeldeinformationen direkt im sozialen Netzwerk ein. Sprout Social wird die Anmeldedaten für die Konten unserer Kunden in den sozialen Netzwerken zu keinem Zeitpunkt einsehen, verarbeiten oder speichern.
Backups
Es werden regelmäßig Daten-Backups erstellt, die während der Übertragung und im Ruhezustand verschlüsselt sind und regelmäßig getestet werden. Sie werden absichtlich „off-site“ gespeichert, d. h. geografisch getrennt vom primären Hosting-Standort jeder Anwendung, um ein hohes Maß an Beständigkeit und Verfügbarkeit zu gewährleisten.
Zusätzliche Informationen zu Rechenzentren und Hosting-Standorten finden Sie auf den produktspezifischen Sicherheitsseiten oben.
DevOps und Überwachung
Unser Entwicklerteam wendet Infrastructure-as-Code an, um Korrektheit, Einheitlichkeit, Testfähigkeit und Geschwindigkeit bei der Wiederherstellung zu gewährleisten. Alle Mitglieder des rund um die Uhr verfügbaren Bereitschaftsteams sind in der Lage, Systeme und Topologien neu zu erstellen. Im Falle eines Systemausfalls stellt unser technisches Team die Systeme schnell wieder her, indem es den Infrastruktur-Code ausführt.
Wir führen eine kontinuierliche weltweite Überwachung durch, in deren Rahmen wir unsere gesamte technische Umgebung in Echtzeit anzeigen, Warnmeldungen generieren und Berichte erstellen. Unser kundenorientiertes Support-Team arbeitet eng mit unserem technischen Team zusammen, um die Kunden zu unterstützen. Spezialisierte Ingenieure sind rund um die Uhr in Bereitschaft. Wenn Probleme auftreten, werden unsere Teams umgehend benachrichtigt, automatisch über den jeweiligen Kontext aufgeklärt und mit den erforderlichen Tools zur effizienten Zusammenarbeit mit Kollegen unterstützt. Wir verwenden ein Pager-System, um sicherzustellen, dass Warnmeldungen schnell und zuverlässig die richtigen Mitarbeiter erreichen.
Personalsicherheit
Bewusstsein und Schulung
Sprout Social hat ein umfassendes Verwaltungssystem für die Informationssicherheit implementiert, welches verschiedene Richtlinien und Standards enthält, die alle Aspekte der Sicherheit und des Datenschutzes abdecken. Als Teil ihrer Beschäftigungsbedingungen müssen alle Mitarbeiter ihre Verantwortung für den Schutz von Kundendaten bestätigen.
Während unsere Entwickler wie erwähnt eine Schulung zur sicheren Codierung erhalten, nehmen alle Mitarbeiter an einer jährlichen allgemeinen Sicherheits- und Datenschutzschulung teil. Wir führen routinemäßig Phishing-Tests durch, die mit Branchen-Benchmarks verglichen werden.
Sicherheitsorganisation
Sprout Social verfügt über ein hochqualifiziertes, umfassendes Team, das sich unter der Leitung des VP of IT, Security und Compliance und unter der Aufsicht des Chief Technology Officer (CTO) sowie des Vorstands von Sprout Social der Informationssicherheit widmet.
Je nach Qualifikation und beruflichen Interessen können Sicherheitsmitarbeiter verschiedenen Funktionsbereichen zugewiesen werden, beispielsweise Mitarbeitersicherheit, Anwendungssicherheit, Infrastruktursicherheit, SOC-Überwachung, Compliance und mehr.
Hardware und Geräte
Sprout Social führt ein Inventar aller Hardwaregeräte und -ausrüstungen, das regelmäßig sowohl automatisch als auch manuell geprüft wird. Jedes Gerät wird zentral über eine Mobile Device Management (MDM)-Lösung verwaltet, die eine einheitliche Konfiguration sicherstellt und eine kontinuierliche Systemüberwachung ermöglicht.
Jeder Arbeitsplatz eines Mitarbeiters ist mit einer vollständigen Festplattenverschlüsselung, Antiviren- und Anti-Malware-Software der nächsten Generation sowie Software zur Verhinderung von Datenverlust gesichert. Hardware-Kontrollen, wie das Blockieren von externen Medien und USB-Anschlüssen, werden ebenfalls konfiguriert.
Screening
Bewerber durchlaufen mehrere Vorstellungsgespräche mit Mitarbeitern aus verschiedenen Funktionsbereichen, um ihre Qualifikationen zu verifizieren. Vor Beginn der Beschäftigung bei Sprout Social werden alle Mitarbeiter einer Identitätsprüfung und einer Hintergrundüberprüfung unterzogen, die den örtlichen Gesetzen und Vorschriften unterliegen.
Schwachstellen- und Risikomanagement
Erkennung und Betrieb
Das interne Sicherheitsteam von Sprout Social überwacht Systeme und Protokolle rund um die Uhr auf potenzielle Ereignisse und Anomalien. Darüber hinaus steht bei Bedarf qualifiziertes Personal auf Abruf bereit.
Systeme und Anwendungen werden regelmäßig auf häufige Schwachstellen gescannt, und die Ergebnisse werden je nach Risiko behoben. Qualifizierte externe Testanbieter führen mehrmals jährlich Penetrationstests auf Anwendungs- und Netzwerkebene durch.
Vorfallmanagement & Reaktion auf Vorfälle
Die Pläne und Verfahren von Sprout Social zur Reaktion auf Vorfälle basieren auf NIST-Standards und umfassen die Phasen der Vorbereitung, Erkennung und Analyse, Eindämmung, Beseitigung, Wiederherstellung und Nachbearbeitung. Diese werden durch die Anforderungen an das Management von Informationssicherheitsvorfällen in der Norm ISO 27001 weiter verstärkt.
Wenn potenzielle Vorfälle durch unsere Überwachungssysteme, Tools zur Erkennung von Bedrohungen oder Berichte von Stakeholdern identifiziert werden, erfolgt zunächst eine erste Bewertung und Klassifizierung, bevor schnell Maßnahmen zur Reaktion und Eindämmung ergriffen werden. Die Stakeholder werden während der gesamten Untersuchung regelmäßig auf dem Laufenden gehalten, und es werden umfassende Aufzeichnungen und Belege gesammelt und aufbewahrt. Nachdem der Vorfall geklärt wurde, wird die Ursache ermittelt und im Sinne einer kontinuierlichen Verbesserung Änderungen vorgenommen, um ähnliche Vorfälle in Zukunft zu vermeiden.
Lieferkettenmanagement
Sprout Social nutzt automatisierte und manuelle Methoden, um regelmäßig alle kritischen Produkt- und Dienstleistungsanbieter in unserer Lieferkette zu überprüfen und zu überwachen. Unsere Unterauftragsverarbeiter sind vertraglich verpflichtet, festgelegte Sicherheitsmaßnahmen einzuhalten, die den Best Practices der Branche entsprechen.
Angesichts der Bedeutung der Überwachung von Risiken durch Drittanbieter legen wir großen Wert darauf, dass Bibliotheken und andere Abhängigkeiten von Dritten, die in unserer Umgebung verwendet werden, stets gepatcht und auf dem neuesten Stand sind.
Änderungskontrolle
Alle technischen Teams bei Sprout Social folgen agilen Softwareentwicklungsmethoden, die formale Phasen des Softwareentwicklungslebenszyklus (Software Development Life Cycle, SDLC) umfassen, einschließlich Planung, Entwicklung, Codeüberprüfung, Testen, Bereitstellung und kontinuierlicher Überwachung.
Alle Code- und Konfigurationsänderungen durchlaufen vor der Bereitstellung mehrere Überprüfungs- und Testphasen. In unseren Produktionsumgebungen wird der genehmigte Code durch Konfigurationsmanagement-Tools durchgesetzt. Alle direkten Änderungen an diesen Systemen werden durch die genehmigte Konfiguration überschrieben, um die Konsistenz sicherzustellen. Jeder Entwickler bei Sprout Social muss jährlich eine Schulung zu Themen der sicheren Codierung absolvieren.
Physische Sicherheit und Umweltschutz
Physische Bürosicherheit
Alle Bürogebäude von Sprout Social verfügen über mehrschichtige Türen, die durch elektronische Zugangskontrollsysteme gesichert sind. Der physische Zugang ist auf Sprout Social-Mitarbeiter und autorisierte Besucher in Begleitung beschränkt. Die Bürogebäude sind mit Überwachungskameras ausgestattet, die den Ein- und Ausgang überwachen.
Digitale Bürosicherheit
Alle Bürogebäude verfügen über gesicherte Datenräume mit Netzwerkausrüstung, einschließlich Firewalls, Switches und Access Points, die wir besitzen und verwalten. Büronetzwerke sind segmentiert und werden zentral überwacht. Da unsere Dienste in Rechenzentren von Drittanbietern gehostet werden, bestehen keine Produktabhängigkeiten von den Unternehmensniederlassungen von Sprout Social oder anderen von uns verwalteten Einrichtungen.
Lebenssicherheit
Jedes Bürogebäude von Sprout Social verfügt über interne Grundrisse, in denen die Standorte von Notausgängen, Feuerlöschern, Defibrillatoren und anderen Gesundheits- und Sicherheitsressourcen verzeichnet sind. Es sind Notrufsysteme installiert, die regelmäßig getestet werden. Die Notfallmaßnahmen werden fortlaufend aktualisiert, und mindestens einmal jährlich werden Notfallübungen durchgeführt.
Business-Continuity
Obwohl Sprout Social über physische Standorte verfügt, ist der fortlaufende Betrieb unseres Unternehmens nicht von diesen abhängig. Während der COVID-19-Pandemie hat Sprout Social unverzüglich und ohne Einschränkungen auf vollständiges Homeoffice umgestellt. Viele Mitarbeiter sind inzwischen wieder ins Büro zurückgekehrt, aber das Unternehmen arbeitet weiterhin hybrid, mit Mitarbeitern, die weltweit von zu Hause aus arbeiten. Daher können unsere Produkte, Dienstleistungen und der gesamte Geschäftsbetrieb rund um die Uhr fortgesetzt werden, unabhängig von etwaigen Beeinträchtigungen im Büro.