Mitteilung unseres CISO
Wir von Ping Identity sind vor allem eins: Sicherheitsexperten. Und als Sicherheitsexperten wissen wir, dass die Erwartungen sehr hoch sind und viel auf dem Spiel steht. Die wichtigste Aufgabe für die Sicherheit bei Ping Identity besteht darin, sichere, robuste und zuverlässige Produkte und Dienstleistungen zu entwickeln. Darüber hinaus müssen wir dafür sorgen, dass unsere Geschäftsaktivitäten sicher sind und klar kommuniziert werden. Das fängt bei den richtigen Mitarbeitern, Prozessen und Technologien an und endet bei einer gelebten Sicherheitskultur, die alle Bereiche des Unternehmens durchdringt. Jeder Mitarbeiter bei Ping Identity weiß, wie wichtig unsere Mission ist und welche Rolle er bei der Umsetzung unserer Zielsetzungen spielt.
Um unseren Kunden die beste aller möglichen Lösungen zu bieten, haben wir unser Information Security Management System (ISMS) auf branchenspezifischen Best Practices und Frameworks wie ISO 27001 und NIST 800-53 aufgebaut. Mit der ISO-Zertifizierung 27001, der SOC 2 und Nachweisen anderer unabhängiger Prüfinstanzen, die sowohl unsere Produkte als auch die Kontrollstruktur testen, gewährleisten wir die Wirksamkeit unserer Sicherheitslösungen.
Vielen Dank, dass Sie sich die Zeit nehmen, um unser Sicherheitsprogramm besser kennenzulernen. Sollten Sie Fragen zur Sicherheit unserer Lösungen oder Geschäftsprozesse haben, können Sie sich gerne jederzeit an mich wenden. Wenn Sie darüber hinaus weitere Informationen wünschen, werfen Sie einen Blick in unser Whitepaper über Sicherheitspraktiken.
Robb Reck, CISO
Verantwortungsbewusstes Aufdecken von Schwachstellen
Ping Identity schätzt die Gemeinschaft der Security-Experten und die Hilfe derer, die uns dabei unterstützen, die Sicherheit der Systeme, Produkte und Dienste unseres Unternehmens zu verbessern. Wenn Sie ein Security-Experte sind und Sicherheitsschwachstellen in unseren Systemen, Produkten oder Diensten entdeckt haben, wären wir Ihnen sehr dankbar, wenn Sie uns vertraulich darüber informieren und uns die Möglichkeit geben, die Schwachstelle zu beheben, bevor technische Details veröffentlicht werden. Wir werden die Schwachstellen in Übereinstimmung mit unseren Sicherheits- und Datenschutzrichtlinien bewerten, Maßnahmen ergreifen und sie beheben.
Zu diesem Zweck haben wir eine Reihe von Kanälen eingerichtet, über die Sie Ping diese Schwachstellen melden können. Die erste Möglichkeit ist das verantwortungsbewusste Aufdecken durch das Einreichen eines Support-Falls direkt bei unserem Security-Team. Daneben haben wir, auch um unsere Produkte und Dienstleistungen stärker ins Bild zu rücken, ein Bug-Bounty-Programm geschaffen, das Meldungen über relevante Sicherheitslücken in unseren Produkten und Services belohnt.
Verantwortungsbewusstes Aufdecken direkt bei Ping:
Dies betrifft alle Schwachstellen, sei es in den Produkten oder Dienstleistungen von Ping, auf unserer Unternehmens-Website (pingidentity.com) oder jeder anderen Infrastruktur oder jedem anderen System von Ping. Bitte geben Sie keine dieser Details ohne unsere ausdrückliche Erlaubnis außerhalb dieses Vorgangs in der Öffentlichkeit bekannt. Damit wir die Lage bewerten und auf den Bericht reagieren können, bitten wir Sie, die folgenden Informationen in Ihrem Bericht anzugeben:
Klicken Sie hier, um einen Support-Fall zu melden:
Teilnahme am Bug-Bounty-Programm für Ping Produkte:
Wir freuen uns, Ihnen unser Bug-Bounty-Programm vorstellen zu dürfen, dass sich ausschließlich mit Produkten und Services von Ping befasst. Es soll dazu beitragen, die Fähigkeiten der gesamten Expertengemeinschaft wirkungsvoll zu nutzen und so viele gute Leute wie möglich auf die Suche nach Problemen zu schicken. Weitere Informationen über das Programm, wie unter anderem die in Frage kommenden Systeme, die Höhe der Prämien und andere Regelungen bezüglich der Teilnahme finden Sie auf der Landing Page des Bug-Bounty-Programms.
Klicken Sie hier, um zu unserem Bug-Bounty-Programm zu gelangen.
Ihrer Sicherheit verpflichtet
Wenn Sie eine verifizierte Sicherheitsschwachstelle im Rahmen dieses Responsible-Disclosure-Programms finden, verpflichtet sich Ping Identity:
Zertifizierungen und Mitgliedschaften
Zertifizierung nach ISO/IEC 27001:2013
Der Hauptsitz von Ping in Denver und unsere wichtigsten Produkte sind gemäß ISO/IEC 27001:2013 zertifiziert. ISO 27001 ist der internationale Standard, der die Best Practices für Informationssicherheits-Managementsysteme umreißt. Die Einhaltung dieser Standards demonstriert unseren Einsatz für ein wiederholbares, risikobasiertes Sicherheitsprogramm, das kontinuierlich verbessert wird. Die Auditierung des Managementsystems erfolgte durch Coalfire ISO, Inc., eine durch das ANSI-ASQ National Accreditation Board (ANAB) akkreditierte Zertifizierungsstelle für Managementsysteme.
Der von der International Organization for Standardization (ISO) eingeführte Standard fordert die Zertifizierung der Kontrollen, die ein Unternehmen für sein Informationssicherheits-System in Bereichen wie beispielsweise Datensicherheit und Geschäftskontinuität einsetzt. Die Zertifizierung erstreckt sich auf jede Ebene des IT-Infrastruktur-Stacks einer Unternehmens, einschließlich Asset Management, Zugriffskontrolle, Personalsicherheit und Anwendungssicherheit.
Zu den für die ISO-Zertifizierung in Frage kommenden Produkten gehören PingOne, PingID, PingFederate, PingDirectory, PingAccess, PingDataSync und PingDataGovernance.
SERVICES Organisation und zentrale Kontrolle (SOC)
SOC-Berichte stärken das Vertrauen der Kunden in die Kontrollverfahren von Ping Identity, da die relevanten Maßnahmen und Prozesse einer strengen Prüfung und Validierung durch einen unabhängigen Wirtschaftsprüfer unterzogen werden. Das US-amerikanische Institut der Wirtschaftsprüfer (American Institute of Certified Public Accountants, AICPA) hat das Rahmenwerk „Service Organization Control Report“ geschaffen, das SAS 70 durch SSAE 16 ersetzt.
Im Zentrum des SOC 2-Berichts stehen die so genannten „Trust Services Principles“, die sich auf die Kontrolle von Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz beziehen. So wird z.B. überprüft, ob das System gegen unbefugten physischen und logischen Zugriff geschützt ist. Ebenso wie bei den SAS 70-Berichten kann ein Unternehmen entweder einen Typ-I- oder einen Typ-II-Bericht erhalten. Ein Typ I-Bericht zeigt lediglich die Eignung der Kontrollen an, wohingegen Typ II auch die Wirksamkeit der Kontrollen prüft. Der SOC 2-Bericht enthält Informationen zu den internen Sicherheits- und Verfügbarkeitsmechanismen. Der SOC 2-Bericht kann von Kunden und Interessenten auf Anfrage und nach Unterzeichnung einer Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) bezogen werden. Bitte wenden Sie sich an Ihren Account-Manager, wenn Sie eine Kopie des Berichts erhalten möchten.
Die Information Systems Security Association (ISSA) ist eine internationale gemeinnützige Organisation von Informationssicherheitsexperten. Mit ihren Informationsforen, ihren Veröffentlichungen und ihrer Kommunikationsplattform fördert die ISSA das Know-how und die berufliche Weiterentwicklung ihrer Mitglieder.
Die ISSA ist die Community der Wahl für internationale Cybersicherheitsexperten, die sich für die persönliche Weiterentwicklung ihrer Mitarbeiter, die Steuerung von Technologierisiken und den Schutz kritischer Informationen und Infrastrukturen einsetzen. Die Abteilung in Denver gilt als weltweit größte Dependance mit bislang über 500 Mitgliedern. Präsident des Denver-Büros ist kein Geringerer als unser Chief Information Security Officer Robb Reck. Zahlreiche Ping-Mitarbeiter sind aktive Mitglieder. Weitere Informationen erhalten Sie unter www.denver.issa.org.
Die CSA Security, Trust and Assurance Registry (STAR) ist ein kostenlos zugängliches, öffentliches Verzeichnis, in dem die Sicherheitskontrollen verschiedener Cloud-Computing-Angebote dokumentiert werden. Es hilft Nutzern, sich ein Bild über das Angebot von Cloud-Providern zu machen, deren Dienste sie zurzeit verwenden oder die sie künftig nutzen möchten.
CSA STAR steht sämtlichen Cloud-Anbietern offen, um Self-Assessment-Berichte einzureichen, die eine Einhaltung der von CSA veröffentlichten Best Practices untermauern. Das durchsuchbare Verzeichnis bietet potenziellen Cloud-Kunden einen Überblick über die Sicherheitspraktiken verschiedener Anbieter. Kunden können so ihre Due-Diligence-Prozesse beschleunigen und ihren Beschaffungsprozess optimieren. CSA STAR bedeutet einen großen Schritt vorwärts in puncto Branchentransparenz und ermutigt Provider dazu, Sicherheitsfunktionen zu einem wichtigen Differenzierungsmerkmal zu machen.
Den CAI-Fragebogen finden Sie auf der Ping Identity-Mitgliederseite.
InfraGard-Mitglieder haben Zugriff auf ein durch das FBI geschütztes Kommunikationsnetzwerk mit verschlüsselter Website, Webmail, Mailinglisten und Message-Boards. Die Website spielt eine entscheidende Rolle in der Kommunikationspolitik des FBIs, z.B. bei der Weitergabe von eigenen Warnmeldungen und Hinweisen sowie von Bedrohungsinformationen anderer Behörden.
Es gibt 85 InfraGard-Büros mit insgesamt über 35.000 Mitgliedern, die über Außenstellen mit dem FBI zusammenarbeiten, um Angriffe – zum Beispiel in Form unerlaubter Computerzugriffe und physischer Sicherheitsattacken – auf kritische Infrastrukturen abzuwehren. Die Mitglieder stammen aus staatlichen und lokalen Vollzugsbehörden, anderen Behörden und kommunalen Einrichtungen sowie aus der Privatindustrie und dem Bildungsbereich. Viele Ping Identity-Mitarbeiter sind Mitglied bei der InfraGard Denver Members Alliance (IDMA).
Beim Open Web Application Security Project (OWASP) handelt es sich um eine gemeinnützige Organisation, die sich der Verbesserung der Softwaresicherheit verschrieben hat. Ihre Mission ist es, das Thema Softwaresicherheit transparent zu machen, sodass Privatpersonen und Organisationen weltweit fundierte Entscheidungen im Hinblick auf die wahren Softwaresicherheitsrisiken treffen können.
Als offene Community unterstützt OWASP Organisationen dabei, zuverlässige Anwendungen zu konzipieren, zu entwickeln, zu erwerben, zu betreiben und zu betreuen. Alle OWASP-Tools, -Dokumente, -Foren und -Büros sind kostenlos und stehen jedem offen, der die Anwendungssicherheit verbessern möchte. Für OWASP hat Anwendungssicherheit gleichermaßen mit Mitarbeitern, Prozessen und Technologien zu tun – schließlich umfassen die effektivsten Sicherheitsansätze Verbesserungen in all diesen Bereichen. Weitere Informationen erhalten Sie unter www.owasp.org.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern
Vielen Dank! Behalten Sie Ihren Posteingang im Auge. Wir melden uns bald bei Ihnen.S