Sprout Social-Sicherheit
Die Sprout Social-Anwendung ist eine Social-Media-Management-Plattform für Unternehmen, die Marken und Agenturen die Möglichkeit bietet, die Veröffentlichung von Inhalten in sozialen Medien, das Engagement, Analytics, Advocacy und den Kundenservice über mehrere Netzwerke und Profile hinweg zu verwalten. Weitere Informationen, einschließlich einer Produkttour, finden Sie hier auf unserer Website.
Die unten dokumentierten Sicherheitskontrollen und -maßnahmen gelten speziell für die Sprout-Anwendung. Darüber hinaus gelten alle auf der Sicherheitsseite aufgeführten Maßnahmen.
Zugangskontrolle
Authentifizierung
Standardmäßig melden sich Benutzer mit einem festgelegten Benutzernamen und Passwort bei der Sprout-Anwendung an, wobei eine zweistufige Verifizierung per E-Mail erforderlich ist. Kunden können verschiedene Passworteinstellungen für ihr Konto konfigurieren, darunter die Passwortstärke, den Verlauf und die Häufigkeit der Eingabeversuche. Kontopasswörter werden gemäß den neuesten starken (und routinemäßig überprüften) Algorithmen und Ansätzen mit einem Salt versehen und gehasht. Kein Mensch, auch nicht unsere Mitarbeiter, kann diese Passwörter einsehen. Wenn Sie Ihr Passwort verlieren, kann es nicht wiederhergestellt werden und muss zurückgesetzt werden.
Mit der einmaligen Anmeldung (Single Sign-On, SSO) über SAML 2.0 können Kunden ihren Benutzern einheitliche Anmeldedaten für den Zugriff auf mehrere Anwendungen bereitstellen. Die Just-in-Time (JIT)-Bereitstellung und die Festlegung von Standardrollen für neue Benutzer sind ebenfalls verfügbar. Anweisungen zur Konfiguration von SSO finden Sie hier.
Darüber hinaus können Kunden die E-Mail-basierte Zwei-Faktor-Authentifizierung durch eine Multi-Faktor-Authentifizierung ersetzen, indem sie einen zeitbasierten Einmalpasswort-Algorithmus (TOTP) oder einen HMAC-basierten Einmalpasswort-Algorithmus (HOTP) verwenden, um Passwörter über Apps wie Google Authenticator zu generieren. Eine Anleitung zur Konfiguration der Zwei-Faktor-Authentifizierung über TOTP oder HOTP finden Sie hier.
Autorisierung
Sprout bietet ein flexibles, umfassendes Berechtigungsmodell, bei dem Kontoinhaber und Administratoren den Zugriff auf Profile, Funktionen, Aktionen (einschließlich Lese- und Schreibzugriff) und andere Daten einschränken können, indem sie detaillierte Kontrollen auf Benutzer in ihrem Konto anwenden. Gruppen können konfiguriert werden, um die Social-Media-Profile innerhalb eines Sprout-Kontos zu organisieren. Kunden können Teammitgliedern dann je nach den Anforderungen ihres Unternehmens Zugriff auf einzelne Gruppen gewähren. Informationen zum Erstellen von Gruppen finden Sie hier.
Zusätzlich zu Gruppen können Kunden spezifische Berechtigungen für jeden Benutzer festlegen. Unternehmensberechtigungen umfassen alle administrativen Berechtigungen für einen Benutzer, wohingegen sich Funktionsberechtigungen auf den Zugriff auf bestimmte Tabs/Funktionen in Sprout richten. Informationen zum Konfigurieren von Benutzerberechtigungen finden Sie hier.
Kontoinhaber und Administratoren können bestimmte Aktivitäten über Workflows für Genehmigungen einschränken. Diese Workflows ermöglichen die Aufteilung von Aufgaben innerhalb eines Teams mit der Gewissheit, dass zentrale Entscheidungsträger öffentliche Aktionen überprüfen und kontrollieren können.
Anwendungssicherheit
IP-Einschränkungen
Sprout Social kann so konfiguriert werden, dass der Anwendungs- und API-Zugriff von bestimmten IP-Bereichen aus eingeschränkt wird.
Globale Veröffentlichungspause
In Notfällen hat Ihr Team Zugriff auf eine Schaltfläche, die den Versand von automatisierten geplanten und in der Warteschlange stehenden Nachrichten durch Sprout Social vorübergehend deaktiviert. Diese Schaltfläche ist über unsere Web- und Mobilanwendungen zugänglich.
Best Practices zur Sicherheit
Sprout Social möchte Sie beim Schutz vor Online-Sicherheitsbedrohungen unterstützen. Wir haben Ressourcen veröffentlicht, darunter die Artikel Best Practices zur Sicherheit und Sensible Informationen schützen, um Kunden bei der Erfüllung ihrer gemeinsamen Sicherheitsverantwortung zu unterstützen.
E-Mail-Signierung
Sprout Social implementiert das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM), um sicherzustellen, dass E-Mails, die wir versenden, als von Sprout Social stammend authentifiziert werden, was dazu beiträgt, Spoofing zu verhindern und die Authentizität sicherzustellen.
Prüfpfadprotokolle
Die Sprout-Anwendung enthält kundenorientierte Prüfpfadprotokolle, die Auskunft über Benutzeraktivitäten innerhalb eines Kontos geben. Über fünfzig Ereignisse und Aktionen werden im Prüfpfad protokolliert, wobei die Aktivität und der Benutzer, der sie ausgeführt hat, dokumentiert werden. Informationen zu den Prüfpfadprotokollen finden Sie hier.
Schutz vor Brute-Force-Angriffen
Zusätzlich zum rechnerisch anspruchsvollen Hashing implementieren unsere Authentifizierungsdienste ratenbegrenzende Schutzmechanismen und ReCAPTCHA.
Cloud-Hosting
Rechenzentren
Die Sprout Social-Anwendung und die dazugehörige Infrastruktur werden von Amazon Web Services (AWS) gehostet. AWS bietet erstklassige Hosting-Einrichtungen, die sicher, hochverfügbar sowie redundant sind und die Konformität mit Cloud Security Alliance STAR Level 2, ISO/IEC 9001, 27001, 27017, 27018, PCI DSS Level 1 und SOC 1, 2 und 3 gewährleisten. Weitere Informationen zu den Zertifizierungen und Compliance-Programmen von AWS finden Sie unter https://aws.amazon.com/de/compliance/programs/.
Für optimale Redundanz nutzt Sprout Social zusätzlich die Google Cloud Platform (GCP) als Anbieter für Notfallwiederherstellung und Backup-Hosting. Weitere Informationen zu den Zertifizierungen und Compliance-Programmen von GCP finden Sie unter https://cloud.google.com/trust-center.
Datenlokalität
Sprout Social versteht die Bedeutung der Datenresidenz und bemüht sich, genaue und umfassende Informationen darüber bereitzustellen, wo Kundendaten verarbeitet und gespeichert werden. Derzeit werden alle Komponenten der Sprout Social-Anwendung – einschließlich der Infrastruktur, Anwendungssoftware und Kundendaten – in mehreren Verfügbarkeitszonen innerhalb der Vereinigten Staaten gehostet.
Die genauen Standorte finden Sie unten:
- Primär – AWS us-east-1 (N. Virginia)
- Sekundär – AWS us-west-2 (Oregon)
- Notfallwiederherstellung/Backup - GCP us-central1 (Iowa)
Infrastruktursicherheit
Kryptographie
Die gesamte Kommunikation über öffentliche Netzwerke mit der Sprout-Anwendung und -API wird über HTTPS mit TLS 1.2 oder höher durchgeführt. Alle Daten, einschließlich Backups, werden im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert.
Alle Anwendungsschlüssel werden nativ über ein System zur Verwaltung von Geheimnissen verwaltet. Schlüssel werden regelmäßig gemäß Richtlinien und Branchenstandards rotiert.
Cloud-Sicherheit
Die Sprout-Anwendung ist speziell für AWS konzipiert und nutzt Dutzende von AWS-Diensten unter Einhaltung höchster Sicherheitsstandards. Vorgeschriebene Leitfäden und Benchmarks stellen sicher, dass alle Dienste gemäß den Best Practices zur Sicherheit des Herstellers und der Branche konfiguriert sind. Regelmäßige Scans bestätigen, dass diese Best Practices jederzeit eingehalten werden.
Beim Betrieb einer Multi-Tenant-Cloud-Umgebung stellt Sprout Social sicher, dass die Daten jedes Kunden logisch getrennt sind, sodass jeder Kunde nur auf seine eigenen Daten zugreifen kann. Verschiedene Front-End- und Back-End-Überprüfungsmaßnahmen werden kontinuierlich durchgeführt, um diese Trennung sicherzustellen.
Netzwerksicherheit
Die Sprout-Infrastruktur ist in einer Virtual Private Cloud (VPC) konfiguriert, die in mehrere Sicherheitszonen unterteilt ist. Je näher diese Zonen an den Kundendaten liegen, desto umfangreicher sind auch die angewendeten Kontrollmaßnahmen.
Die Server werden logisch auf Grundlage von Netzwerkzugriffskontrolllisten, Sicherheitsgruppen und Firewall-Regeln segmentiert. Jeder Server ist dediziert und für eine einzige Funktion konzipiert. Unnötige Ports und Dienste sind deaktiviert.
Cloudflare schützt in Verbindung mit der AWS Web Application Firewall (WAF) die Infrastruktur vor automatisierten und manuellen Angriffen. Hostbasierte Systeme zur Erkennung von unerlaubtem Eindringen (Intrusion Detection Systems, IDS) werden auf allen Produktionssystemen bereitgestellt.
Wartung
Die Infrastruktur wird gemäß dem Zero-Trust-Architekturansatz aufgebaut und gewartet. Der Zugang zu Systemen wird den Mitarbeitern streng nach dem Prinzip der geringsten Privilegien gewährt, entsprechend den für ihre Rolle erforderlichen Zugriffsrechten. Personen, die Systemwartungsarbeiten durchführen, müssen sich über ein VPN mit der Infrastruktur verbinden, wobei mehrere Ebenen der Verifizierung und Authentifizierung erforderlich sind.
Wartungsarbeiten werden ohne Beeinträchtigung oder Ausfallzeiten für die Kunden durchgeführt.