Employee Advocacy Security
Employee Advocacy von Sprout Social ist eine intuitive Lösung, die Mitarbeiter als Markenbefürworter stärkt. Dank einer vernetzten Plattform, die für die sofortige Nutzung konzipiert ist, können Kunden mit Employee Advocacy ihre Markenbekanntheit steigern, Risiken minimieren und ihre Geschäftsergebnisse verbessern – und das alles über eine Plattform, die Mitarbeitern hilft, neue Inhalte schnell zu entdecken und zu teilen. Weitere Informationen finden hier auf unserer Website.
Die unten dokumentierten Sicherheitskontrollen und -maßnahmen gelten speziell für die Employee Advocacy-Anwendung. Darüber hinaus gelten alle auf der Sicherheitsseite aufgeführten Maßnahmen.
Zugangskontrolle
Authentifizierung
Standardmäßig melden sich Benutzer mit einem festgelegten Benutzernamen und Passwort bei der Employee Advocacy-Anwendung an. Kontopasswörter werden gemäß den neuesten starken (und routinemäßig überprüften) Algorithmen und Ansätzen mit einem Salt versehen und gehasht. Kein Mensch, auch nicht unsere Mitarbeiter, kann diese Passwörter einsehen. Wenn Sie Ihr Passwort verlieren, kann es nicht wiederhergestellt werden und muss zurückgesetzt werden.
Mit der einmaligen Anmeldung (Single Sign-On, SSO) über SAML 2.0 können Kunden ihren Benutzern einheitliche Anmeldedaten für den Zugriff auf mehrere Anwendungen bereitstellen. Die Just-in-Time (JIT)-Bereitstellung ist ebenfalls verfügbar, wobei jeder neue Benutzer mit Leseberechtigungen erstellt wird. Anweisungen zur Konfiguration von SSO finden Sie hier.
Autorisierung
Employee Advocacy bietet ein flexibles, umfassendes Berechtigungsmodell, mit dem Administratoren den Zugriff jedes Benutzers auf die Anwendung verwalten können. Die primären Benutzerrollen umfassen Leser, Mitwirkender, Manager und Admin. Es gibt auch globale Einstellungen, die für das gesamte Konto gelten, z. B. das Aktivieren/Deaktivieren der Möglichkeit für Benutzer, Inhalte zu teilen, die nicht direkt von einem Admin kuratiert wurden. Benutzer können auch in Teams aufgeteilt werden, um Inhalte direkter und gezielter zu verteilen. Weitere Informationen zur Konfiguration von Berechtigungskontrollen in Employee Advocacy finden Sie hier.
Formale Workflows für Genehmigungen können so konfiguriert werden, dass Benutzer mit bestimmten Rollen die Möglichkeit haben, vorgeschlagene Inhalte einzureichen. Diese Inhalte werden jedoch in eine Warteschlange zur Überprüfung und Genehmigung durch einen Manager oder Admin gestellt. Informationen zum Prozess „Topics nach Genehmigung“ finden Sie hier.
Anwendungssicherheit
Integration mit Sprout
Sichere REST-API-Verbindungen können die Sprout-Anwendung und die Employee Advocacy-Konten für Kunden, die beide Produkte abonniert haben, nahtlos verbinden. Kunden können in Sprout Employee Advocacy-Berichte einsehen, Inhalte aus Sprout an Employee Advocacy senden und gleichzeitig in beiden Anwendungen Inhalte erstellen.
Domain-Zulassungsliste
Kontoadministratoren können eine Zulassungsliste für E-Mail-Domains konfigurieren, sodass alle Mitarbeiter des Unternehmens ein Employee Advocacy-Konto mit ihrer Firmenadresse erstellen können.
Einschränkung der Inhaltsverteilung
Beim Kuratieren einer Story können Kuratoren entscheiden, auf welchen Social-Media-Plattformen sie den Benutzern erlauben möchte, die Inhalte zu veröffentlichen, um sicherzustellen, dass diese nur in den zugelassenen sozialen Netzwerken verbreitet werden.
Bestenlisten-Konfiguration
Die Employee Advocacy-Anwendung bietet eine Ranglistenfunktion, bei der Benutzer Punkte basierend auf den in der Anwendung durchgeführten Aktionen sammeln können. Admins können je nach den Bedürfnissen ihres Unternehmens bestimmte Teams oder Benutzer von der Rangliste ausschließen oder sie ganz deaktivieren.
Cloud-Hosting
Rechenzentren
Die Employee Advocacy-Anwendung und die zugehörige Infrastruktur werden von Amazon Web Services (AWS) gehostet. AWS bietet erstklassige Hosting-Einrichtungen, die sicher, hochverfügbar sowie redundant sind und die Konformität mit Cloud Security Alliance STAR Level 2, ISO/IEC 9001, 27001, 27017, 27018, PCI DSS Level 1 und SOC 1, 2 und 3 gewährleisten. Weitere Informationen zu den Zertifizierungen und Compliance-Programmen von AWS finden Sie unter https://aws.amazon.com/de/compliance/programs/.
Für optimale Redundanz nutzt Sprout Social zusätzlich die Google Cloud Platform (GCP) als Anbieter für die Notfallwiederherstellung und das Backup-Hosting. Weitere Informationen zu den Zertifizierungen und Compliance-Programmen von GCP finden Sie unter https://cloud.google.com/trust-center.
Datenlokalität
Sprout Social versteht die Bedeutung der Datenresidenz und bemüht sich, genaue und umfassende Informationen darüber bereitzustellen, wo Kundendaten verarbeitet und gespeichert werden. Derzeit werden alle Komponenten der Employee Advocacy-Anwendung – einschließlich der Infrastruktur, der Anwendungssoftware und der Kundendaten – in verschiedenen Verfügbarkeitszonen innerhalb der Vereinigten Staaten gehostet. Die genauen Standorte finden Sie unten:
- Primär – AWS us-east-1 (N. Virginia)
- Sekundär – AWS us-west-2 (Oregon)
- Notfallwiederherstellung/Backup - GCP us-central1 (Iowa)
Infrastruktursicherheit
Kryptographie
Die gesamte Kommunikation über öffentliche Netzwerke mit der Employee Advocacy-Anwendung und API wird über HTTPS mit TLS 1.2 oder höher durchgeführt. Alle Daten, einschließlich Backups, werden im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert.
Alle Anwendungsschlüssel werden nativ über ein System zur Verwaltung von Geheimnissen verwaltet. Schlüssel werden regelmäßig gemäß Richtlinien und Branchenstandards rotiert.
Cloud-Sicherheit
Die Employee Advocacy-Anwendung ist speziell für AWS konzipiert und nutzt Dutzende von AWS-Diensten unter Einhaltung höchster Sicherheitsstandards. Vorgeschriebene Leitfäden und Benchmarks stellen sicher, dass alle Dienste gemäß den Best Practices zur Sicherheit des Herstellers und der Branche konfiguriert sind. Regelmäßige Scans bestätigen, dass diese Best Practices jederzeit eingehalten werden.
Beim Betrieb einer Multi-Tenant-Cloud-Umgebung stellt Sprout Social sicher, dass die Daten jedes Kunden logisch getrennt sind, sodass jeder Kunde nur auf seine eigenen Daten zugreifen kann. Verschiedene Front-End- und Back-End-Überprüfungsmaßnahmen werden kontinuierlich durchgeführt, um diese Trennung sicherzustellen.
Netzwerksicherheit
Die Employee Advocacy-Infrastruktur ist in einer Virtual Private Cloud (VPC) konfiguriert, die in mehrere Sicherheitszonen unterteilt ist. Je näher diese Zonen an den Kundendaten liegen, desto umfangreicher sind auch die angewendeten Kontrollmaßnahmen.
Die Server werden logisch auf Grundlage von Netzwerkzugriffskontrolllisten, Sicherheitsgruppen und Firewall-Regeln segmentiert. Jeder Server ist dediziert und für eine einzige Funktion konzipiert. Unnötige Ports und Dienste sind deaktiviert.
Cloudflare schützt in Verbindung mit der AWS Web Application Firewall (WAF) die Infrastruktur vor automatisierten und manuellen Angriffen. Hostbasierte Systeme zur Erkennung von unerlaubtem Eindringen (Intrusion Detection Systems, IDS) werden auf allen Produktionssystemen bereitgestellt.
Wartung
Die Infrastruktur wird gemäß dem Zero-Trust-Architekturansatz aufgebaut und gewartet. Der Zugang zu Systemen wird den Mitarbeitern streng nach dem Prinzip der geringsten Privilegien gewährt, entsprechend den für ihre Rolle erforderlichen Zugriffsrechten. Personen, die Systemwartungsarbeiten durchführen, müssen sich über ein VPN mit der Infrastruktur verbinden, wobei mehrere Ebenen der Verifizierung und Authentifizierung erforderlich sind.
Wartungsarbeiten werden ohne Beeinträchtigung oder Ausfallzeiten für die Kunden durchgeführt.