Vertrauen und Sicherheit

FAQs

Wie schützt Tenable meine Daten?

Tenable setzt sich für den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit aller Kundendaten ein. Bei der Übertragung und Speicherung von Tenable Vulnerability Management-Daten kommt TLS-Verschlüsselung zum Einsatz. AES-256-Verschlüsselung wird auf Schichten der Anwendungsinfrastruktur angewendet.

Die Tenable-Cloud-Plattform ist auf isolierten, privaten Netzwerken aufgebaut und verwendet mehrere Netzwerkkontrollen, wie z. B. Container-Isolierung, Beschränkungen des eingehenden/internen Datenverkehrs sowie die Überwachung der Raten, Quellen und Arten von Datenverkehr an verschiedenen Netzwerkpunkten.

Darüber hinaus implementiert Tenable mehrere Zugriffskontrollen, um Kunden bei der Datenzugriffskontrolle zu unterstützen, und führt häufige Schwachstellen-Scans sowie Scans von Docker-Containern und Webanwendungen durch, um regelmäßige Sicherheitsbewertungen vorzunehmen.

Detaillierte Beschreibungen der angewandten Sicherheitsmaßnahmen finden Sie im Datenblatt zu Datensicherheit und Datenschutz.

Welche Kundendaten werden von Tenable Vulnerability Management verwaltet?

Letztlich dienen die von Tenable Vulnerability Management verwalteten Kundendaten nur einem einzigen Zweck: Kunden ein herausragendes Nutzungserlebnis bei der Verwaltung von Assets und Schwachstellen zur Absicherung ihrer Umgebungen zu bieten. Dazu verwaltet Tenable Vulnerability Management drei Kategorien von Kundendaten:

1. Asset- und Schwachstellendaten
2. Umgebungsspezifische Leistungsdaten
3. Kundennutzungsdaten

Welche Asset- und Schwachstellendaten von Kunden werden von Tenable Vulnerability Management verwaltet?

Tenable Vulnerability Management inventarisiert Assets in den Netzwerken der Kunden und verwaltet Asset-Attribute wie IP-Adresse, MAC-Adresse, NetBIOS-Name, Betriebssystem und -version, aktive Ports und vieles mehr.

Tenable Vulnerability Management sammelt detaillierte aktuelle und historische Schwachstellen- und Konfigurationsdaten, zu denen auch Kritikalität, Ausnutzbarkeit und Behebungsstatus sowie Netzwerkaktivitäten gehören können. Wenn Kunden die Daten von Tenable Vulnerability Management durch Integrationen mit Produkten von Drittanbietern erweitern, wie beispielsweise Asset-Management- und Patch-Management-Systeme, werden möglicherweise auch Daten aus diesen Produkten von Tenable Vulnerabilty Management verwaltet.

Analysiert oder nutzt Tenable Kundendaten?

Tenable anonymisiert und analysiert Kundendaten, um Trends in der Branche, Trends in Bezug auf die Zunahme von Schwachstellen und deren Behebung sowie Trends bei Sicherheitsvorfällen zu ermitteln. So bringt beispielsweise die Korrelation zwischen dem Vorhandensein einer Schwachstelle und deren Ausnutzung immense Vorteile für Tenable-Kunden mit sich. Die in unserer Cloud gesammelten Daten umfassen keine Scandaten, die persönlich identifizierbare oder personenbezogene Daten enthalten. Daten, anhand derer ein Kunde möglicherweise identifiziert werden könnte, werden vor ihrer Aufnahme in unsere Analyseplattform mithilfe von SHA-256 über einen unidirektionalen Salted Hash anonymisiert. Zu den weiteren Vorteilen der Datenanalyse von Tenable zählen erweiterte Analytik und eine verbesserte Korrelation von Kundendaten mit Branchen- und Sicherheitsereignissen sowie entsprechenden Trends. Die Erhebung und Analyse solcher Daten ermöglicht es den Kunden zudem, sich allgemein und innerhalb der Branche mit Mitbewerbern zu messen. Tenable bietet Kunden auf Wunsch eine Opt-out-Möglichkeit.

Können sich Kunden gegen die Erhebung von Zustands- und Statusdaten entscheiden?

Um die Leistung und Verfügbarkeit von Tenable Vulnerability Management aufrechtzuerhalten und das bestmögliche Nutzungserlebnis zu bieten, sammelt Tenable Vulnerability Management kundenspezifische Informationen zu Anwendungsstatus und -integrität. Dies beinhaltet, wie oft der Scanner mit der Plattform kommuniziert, die Anzahl der gescannten Assets und Versionen der eingesetzten Software sowie andere allgemeine Telemetriedaten, um mögliche Probleme so schnell wie möglich zu erkennen und zu beheben.

Tenable nutzt Zustands- und Statusdaten, um potenzielle Probleme rechtzeitig zu erkennen und zu beheben und so die SLA-Verpflichtungen zu erfüllen. Daher können sich Kunden nicht gegen diese Datenerhebung entscheiden.

Welche Nutzungsdaten werden von Tenable Vulnerability Management erhoben?

Zur Auswertung und Verbesserung des Kundenerlebnisses erfasst Tenable anonymisierte Nutzungsdaten. Zu diesen Daten gehören Seitenzugriffe, Klicks und andere Benutzeraktivitäten, in deren Rahmen sich Benutzer in die Optimierung und Verbesserung des Benutzererlebnisses einbringen können.

Können sich Benutzer gegen die Erhebung von Nutzungsdaten entscheiden?

Ja. Ein Kunde kann verlangen, dass sein Container nicht länger in den Datenerhebungsprozess einbezogen wird.

Wo werden Kundendaten gespeichert?

Tenable nutzt die Rechenzentren und Dienste von Amazon Web Services (AWS), um Tenable Vulnerability Management für Kunden bereitzustellen und zugänglich zu machen. Die Erhebung und Verarbeitung von Kunden-Scandaten erfolgt innerhalb der Cloud-Plattform von Tenable in der geografischen Region, in der das Konto des Kunden gehostet wird, es sei denn, der Kunde wählt für die Speicherung seiner Daten ausdrücklich eine andere geografische Region aus. Aktuelle Standorte sind:

• U.S. East
• U.S West
• U.S Central
• London
• Frankfurt
• Sydney
• Singapur
• Kanada
• Japan

Tenable wird in Zukunft weitere Länder unterstützen.

Da sämtliche Kundendaten in sicheren, regionalen AWS-Services aufbewahrt werden, gelten die Zertifizierungen für den EU-Datenschutz, die AWS unterhält, auch für die Tenable Cloud. Weitere Informationen finden Sie unter https://aws.amazon.com/compliance/eu-data-protection/.

Kann ein Kunde die Aufbewahrung von Daten an einem bestimmten Ort/Land erzwingen?

Ja. Die Daten werden in dem Land gespeichert, das bei Erstellung des Kontos ausgewählt wurde.

Wie werden Kundendaten innerhalb von Tenable Vulnerability Management geschützt?

Tenable wendet mehrere Sicherheitsmaßnahmen an, um die Datensicherheit und den Datenschutz von Tenable Vulnerability Management zu gewährleisten. Detaillierte Beschreibungen der angewandten Sicherheitsmaßnahmen finden Sie im Datenblatt zu Datenblatt zu Datensicherheit und Datenschutz.

Wie funktioniert eine sichere Entwicklung bei Tenable?

Ausführliche Details finden Sie im Datenblatt zu Datensicherheit und Datenschutz.

Tenable verfügt über ein spezielles funktionsübergreifendes Team, das den Secure Software Development Lifecycle (SSDLC) unterstützt. Um sichere, qualitativ hochwertige Produkte zügig bereitstellen zu können, setzt Tenable automatisierte Sicherheitstests ein und ist so in der Lage, potenzielle Schwachstellen im Quellcode, in Abhängigkeiten und in der zugrunde liegenden Infrastruktur zu identifizieren, bevor Produkte für Kunden veröffentlicht werden. Tenable nutzt Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST), scannt Abhängigkeiten und Bibliotheken von Drittanbietern und testet Container-Images auf Schwachstellen. Während des gesamten Entwicklungsprozesses werden strenge Bewertungskriterien eingehalten und durchgesetzt.

Welche Sicherheitsmaßnahmen für Kundenanwendungen sind verfügbar?

Tenable stellt eine Reihe von Mechanismen zur Verfügung, die Kunden helfen sollen, ihre Daten zu schützen und den Zugriff zu steuern. Dazu gehören:

• Bei der Übertragung und Speicherung von Daten wird AES-256- und TLS-Verschlüsselung eingesetzt. Verschlüsselungsschlüssel werden sicher aufbewahrt und der Zugriff darauf wird beschränkt. Die Verschlüsselung wird auf verschiedene Schichten der Anwendungsinfrastruktur angewendet und eine Weitergabe von Schlüsseln ist nicht gestattet.
• Tenable schützt vor Brute-Force-Angriffen, indem Konten nach fünf (5) fehlgeschlagenen Anmeldeversuchen gesperrt werden.
• Kunden können die Zwei-Faktor-Authentifizierung über Services von Twillo konfigurieren.
• Kunden können Tenable Vulnerability Management in ihre SAML-Bereitstellung integrieren. Tenable Vulnerability Management unterstützt sowohl IdP- als auch SP-initiierte Anfragen. Außerdem können Benutzer ihr Passwort direkt in der Anwendung unter Verwendung ihrer E-Mail-Adresse zurücksetzen.
• Kunden können mithilfe unserer dokumentierten APIs oder SDKs kundenspezifische Verbindungen zu Tenable Vulnerability Management aufbauen. Zugriff kann durch die Erstellung spezifischer API-Schlüssel gewährt und entsprechend kontrolliert werden. Die Verwendung unterschiedlicher Schlüssel für verschiedene Integrationen wird unterstützt, ohne dass Zugangsdaten weitergegeben werden müssen.
• Die in unserer Cloud erfassten Daten umfassen keinerlei Scandaten, die persönlich identifizierbare oder personenbezogene Daten enthalten. Daten, anhand derer ein Kunde möglicherweise identifiziert werden könnte, werden mithilfe von SHA-256 über einen unidirektionalen Salted Hash anonymisiert.
• Um Daten davor zu schützen, dass sie abgefangen werden, wird die gesamte Kommunikation zur Plattform über SSL (TLS-1.2) verschlüsselt. Außerdem werden ältere, unsichere SSL-Übertragungen abgelehnt, um so ein Höchstmaß an Schutz zu gewährleisten.

Wie werden die Daten verschlüsselt?

Sämtliche Daten in der Tenable Vulnerability Management-Plattform, in allen Zuständen, werden mit mindestens einer Verschlüsselungsstufe verschlüsselt, und zwar mit AES-256- und TLS-Verschlüsselungsverfahren.

Im Ruhezustand: Daten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Einige Datenklassen enthalten eine zweite Stufe der Verschlüsselung pro Datei.

Bei der Übertragung: Bei der Übertragung werden Daten mittels TLS v1.2 mit einem 4096-Bit-Schlüssel verschlüsselt (auch bei interner Übertragung).

Tenable Vulnerability Management-Sensorkommunikation: Der Datenverkehr von Sensoren zur Plattform wird immer durch den Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

• Authentifizierung zwischen Scanner und Plattform
• Die Plattform generiert einen Zufallsschlüssel mit einer Länge von 256 Bit für jeden mit dem Container verbundenen Scanner und gibt diesen Schlüssel während des Anbindungsvorgangs an den Scanner weiter.
• Scanner verwenden diesen Schlüssel, um sich beim Controller zu authentifizieren, wenn sie Aufträge, Plugin-Updates und Updates der Scanner-Binärdatei anfordern.
• Auftragskommunikation zwischen Scanner und Plattform
• Scanner kontaktieren die Plattform alle 30 Sekunden.
• Wenn ein Auftrag vorliegt, generiert die Plattform einen Zufallsschlüssel mit einer Länge von 128 Bit.
• Der Scanner fordert die Richtlinie von der Plattform an.
• Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln. Diese enthält die Zugangsdaten, die während des Scans verwendet werden sollen.

Bei Backups/Replikation: Volume-Snapshots und Datenreplikate werden mit der gleichen Verschlüsselungsstufe wie ihre Quelle gespeichert, mindestens jedoch mit AES-256. Die gesamte Replikation erfolgt über den Provider. Tenable erstellt keine Backups von Daten auf physischen externen Medien oder physischen Systemen.

In Indizes: Indexdaten werden auf verschlüsselten Datenträgern mit mindestens einer AES-256-Verschlüsselungsstufe gespeichert.

Scan-Zugangsdaten: Diese Daten werden in einer Richtlinie gespeichert, die innerhalb des globalen AES-256-Schlüssels des Containers verschlüsselt wird. Wenn Scans gestartet werden, wird die Richtlinie mit einem zufälligen 128-Bit-Einmalschlüssel verschlüsselt und via TLS v1.2 mit einem 4096-Bit-Schlüssel übertragen.

Schlüsselverwaltung: Schlüssel werden zentral gespeichert, mit einem rollenbasierten Schlüssel verschlüsselt und der Zugriff ist beschränkt. Alle gespeicherten verschlüsselten Daten können auf einen neuen Schlüssel umgeschrieben werden. Die Verschlüsselungsschlüssel für die Datendatei (Datafile) sind an jedem regionalen Standort unterschiedlich, ebenso wie die Schlüssel auf Datenträgerebene. Eine Weitergabe von Schlüsseln ist nicht gestattet und die Schlüsselverwaltung wird jährlich überprüft.

Können Kunden ihre eigenen Schlüssel hochladen?

Die Schlüsselverwaltung ist nicht kundenseitig konfigurierbar. Tenable verwaltet die Schlüssel und die Schlüsselrotation.

Hat Tenable irgendwelche Datenschutz- oder Sicherheitszertifikate wie das Datenschutzschild oder CSA STAR erhalten?

Tenable hat die folgenden Zertifizierungen erhalten:

• Cloud Security Alliance (CSA) STAR
• Privacy Shield Framework
• ISO 27001
• National Information Assurance Program (NIAP)
• FedRAMP-Autorisierung für Tenable Vulnerability Management und Tenable Web App Scanning

Wie schützt Tenable persönlich identifizierbare Informationen (PII)?

Die Tenable Vulnerability Management-Plattform erfasst nach Möglichkeit keine PII-Datentypen in einem Format, das zusätzliche Zertifizierungen oder Sicherheitsmaßnahmen erfordern würde. Die in unserer Cloud gesammelten Daten umfassen keinerlei Scandaten, die persönlich identifizierbare oder personenbezogene Daten enthalten. Daten, anhand derer ein Kunde möglicherweise identifiziert werden könnte, werden vor ihrer Aufnahme in unsere Analyseplattform mithilfe von SHA-256 über einen unidirektionalen Salted Hash anonymisiert. Dazu gehören Kreditkartennummern, Sozialversicherungsnummern und andere benutzerdefinierte Checks. Wenn Tenable-Plugins Zeichenfolgen erfassen, die sensible oder personenbezogene Informationen enthalten können, verdeckt die Plattform automatisch mindestens 50 % der Zeichen, um so sensible Daten zu schützen.

Werden Kundendaten getrennt?

Die Daten jedes Kunden sind mit einer „Container-ID“ gekennzeichnet, die einer spezifischen Kunden-Subscription entspricht. Diese Container-ID stellt sicher, dass der Zugriff auf die Daten eines Kunden ausschließlich auf diesen Kunden beschränkt ist.

Welche Sicherheitskontrollen schützen Tenable Vulnerability Management?

Tenable nutzt seine eigenen Lösungen, um täglich, wöchentlich oder monatlich Scans aller Laptops, der gesamten Infrastruktur und sämtlicher Cloud-Umgebungen des Unternehmens durchzuführen. Alle Ergebnisse werden gemäß der Schwachstellen-Management-Richtlinie von Tenable analysiert, mit einem Ticket verknüpft und nachverfolgt. Das Schwachstellen-Management-Programm von Tenable umfasst authentifiziertes und Agent-basiertes Scannen sowie das Scannen von Webanwendungen und Datenbanken. Darüber hinaus sind folgende Kontrollen vorhanden:

• Firewalls und Netzwerksegmentierung steuern den Zugriff.
• Automatisierte Tools und Prozesse überwachen die Verfügbarkeit und Leistung der Tenable Vulnerability Management-Plattform und erkennen Verhaltensanomalien.
• Protokolle werden ganzjährig rund um die Uhr automatisiert überwacht und Tenable-Mitarbeiter sind jederzeit verfügbar, um auf Ereignisse zu reagieren.
• Penetrationstests unserer Anwendungen, Services und geschäftlichen Abläufe erfolgen durch Drittanbieter.
• Tenable stellt eine Seite zur Meldung von Schwachstellen (Vulnerability Reporting Board) bereit, damit die gesamte Sicherheitsforscher-Community identifizierte Mängel oder Schwachstellen melden und Tenable darauf reagieren kann. Im Anschluss an eine Ersteinschätzung und entsprechende Reaktion auf diese Meldungen veröffentlicht Tenable Sicherheitsempfehlungen („Security Advisories“), die sowohl Kunden als auch Interessenten und der breiteren Community zugutekommen.
• Im Rahmen eines Risikomanagementprogramms unterzieht Tenable jeden Drittanbieter einer strengen Prüfung.

Wie sind die Sensoren von Tenable Vulnerability Management abgesichert?

Die Sensoren, die mit der Plattform verbunden sind, spielen eine wesentliche Rolle für die Sicherheit eines Kunden, da sie Informationen zu Schwachstellen- und Assets erfassen. Der Schutz dieser Daten und die Gewährleistung sicherer Kommunikationswege sind Kernfunktionen von Tenable Vulnerability Management. Tenable Vulnerability Management unterstützt derzeit mehrere Sensoren: Nessus Schwachstellen-Scanner, passive Scanner und Nessus Agents.

Nachdem sich diese Sensoren kryptografisch authentifiziert und mit Tenable Vulnerability Management verbunden haben, stellen sie eine Verknüpfung zur Tenable Vulnerability Management-Plattform her. Einmal verknüpft, verwaltet Tenable Vulnerability Management alle Updates (Plugins, Code usw.), um sicherzustellen, dass die Sensoren immer auf dem neuesten Stand sind.

Der Datenverkehr von den Sensoren zur Plattform wird immer vom Sensor initiiert und erfolgt nur ausgehend über Port 443. Der Datenverkehr wird über SSL-Kommunikation mit TLS 1.2 mit einem 4096-Bit-Schlüssel verschlüsselt. Dies macht Änderungen an der Firewall überflüssig und ermöglicht es dem Kunden, die Verbindungen über Firewall-Regeln zu steuern.

• Authentifizierung zwischen Scanner und Plattform
• Die Plattform generiert einen Zufallsschlüssel mit einer Länge von 256 Bit für jeden mit dem Container verbundenen Scanner und gibt diesen Schlüssel während des Anbindungsvorgangs an den Scanner weiter.
• Scanner verwenden diesen Schlüssel, um sich beim Controller zu authentifizieren, wenn sie Aufträge, Plugin-Updates und Updates der Scanner-Binärdatei anfordern.
• Auftragskommunikation zwischen Scanner und Plattform
• Scanner kontaktieren die Plattform alle 30 Sekunden.
• Wenn ein Auftrag vorliegt, generiert die Plattform einen Zufallsschlüssel mit einer Länge von 128 Bit.
• Der Scanner fordert die Richtlinie von der Plattform an.
• Der Controller verwendet den Schlüssel, um die Richtlinie zu verschlüsseln. Diese enthält die Zugangsdaten, die während des Scans verwendet werden sollen.

Wie wird die Verfügbarkeit von Tenable Vulnerability Management verwaltet?

Die Tenable Vulnerability Management-Services streben eine Verfügbarkeit von 99,95 % oder besser an. Bei den meisten Services wird eine Verfügbarkeit von 100 % erreicht. Eine von Tenable veröffentlichte Service-Level-Vereinbarung (SLA) gibt Aufschluss über unser Engagement, die Verfügbarkeit der Plattform für sämtliche Benutzer sicherzustellen, sowie über entsprechende Gutschriften für Kunden im Falle von ungeplanten Ausfallzeiten.

Der Verfügbarkeitsstatus wird einfach durch öffentliche Verfügbarkeitstests ermittelt, die von einem Drittanbieter gehostet werden, der die Verfügbarkeit aller Services regelmäßig prüft. Die Verfügbarkeit der Services (sowohl aktuell als auch historisch) finden Sie unter https://status.tenable.com/.

Tenable Vulnerability Management nutzt in hohem Maße die AWS-Plattform und andere führende Technologien, um zu gewährleisten, dass unsere Kunden den bestmöglichen Service und die bestmögliche Qualität erhalten. Nachfolgend finden Sie eine unvollständige Aufzählung der bereitgestellten Lösungen und Vorteile für Kunden:

• Elasticsearch-Cluster: Elasticsearch-Cluster sind hochverfügbar und können nach dem Ausfall von Master-Knoten, LB-Knoten und mindestens einem (1) Datenknoten wiederhergestellt werden, ohne die Serviceverfügbarkeit zu beeinträchtigen.
• Elastic Block Stores: Elastic Block Stores werden zur Aufnahme von täglichen Snapshots und zur Speicherung von acht (8) Datenkopien verwendet.
• Kafka-Ökosystem: Kafka und Zookeeper replizieren Daten im gesamten Cluster, um bei einem katastrophalen Ausfall eines Knotens Fehlertoleranz zu gewährleisten.
• Postgres-Instanzen: Postgres-Instanzen verwalten das Backend-Microservice-Framework, um Snapshots im Umfang von 30 Tagen aufzubewahren.

Wo werden Daten repliziert?

Die replizierten Daten werden in der gleichen Region gespeichert.

Welche Disaster Recovery-Funktionen sind vorhanden?

Katastrophen sind Ereignisse, die in einer oder mehreren Regionen zum unwiederbringlichen Verlust von Daten oder Geräten führen.

Die Disaster Recovery-Verfahren von Tenable Vulnerability Management umfassen mehrere Stufen und sind darauf ausgelegt, auf Situationen zu reagieren, die zwischen einmal in fünf Jahren und einmal in 50 Jahren auftreten können. Je nach Ausmaß der Katastrophe dauern die Wiederherstellungsverfahren zwischen 60 Minuten und 24 Stunden.

Wer kann auf Kundendaten zugreifen?

Kunden bestimmen, wer auf ihre Daten zugreifen darf, indem sie ihren Mitarbeitern Rollen und Berechtigungen zuweisen und den Support-Mitarbeitern von Tenable vorübergehend Zugriff gewähren.

Wie werden Benutzerrollen und Berechtigungen verwaltet?

Die Administratoren von Tenable Vulnerability Management-Kunden können Benutzerrollen (Basis, Scan-Operator, Standard, Scan-Manager, Administrator und deaktiviert) zuweisen, um die Berechtigungen für die wichtigsten Funktionen von Tenable Vulnerability Management zu verwalten, wie zum Beispiel den Zugriff auf Scans, Richtlinien, Scanner, Agents und Asset-Listen. Darüber hinaus können Kunden Zugriffsgruppen zuweisen, um bestimmten Gruppen in ihrem Unternehmen die Möglichkeit zu bieten, spezifische Assets und dazugehörige Schwachstellen in den aggregierten Scan-Ergebnissen anzuzeigen, Scans für bestimmte Ziele durchzuführen und individuelle Scan-Ergebnisse anzuzeigen.

Können Mitarbeiter von Tenable auf Kundendaten zugreifen?

Ja. Der Tenable Technical Support beschränkt die Rechte zur Imitation anderer Benutzer in Tenable Vulnerability Management auf eine Teilgruppe von autorisierten Personen in leitender Funktion. Mit der Erlaubnis des Kunden können autorisierte leitende Mitarbeiter des globalen Supports von Tenable Benutzerkonten imitieren, sodass sie Vorgänge in Tenable Vulnerability Management als ein anderer Benutzer durchführen können, ohne das Passwort dieses Benutzers zu benötigen.

Die Aktivierung der Funktion kann von einem Supportmitarbeiter von Tenable oder vom Kunden beantragt werden. Wenn der Tenable Technical Support sich als ein Tenable Vulnerability Management-Benutzer ausgeben muss, wird ein Ticket eröffnet und bis zum Abschluss verfolgt. Nachdem festgestellt wird, dass aus geschäftlicher Sicht eine Notwendigkeit zur Imitation besteht, wendet sich der technische Support in einer E-Mail an den Kunden. Dieser muss dann per E-Mail bestätigen, dass der technische Support berechtigt ist, sich als der jeweilige Benutzer auszugeben. Der technische Support wird sich erst dann als der jeweilige Benutzer ausgeben, wenn der Kunde seine Genehmigung erteilt hat. Für jedes Problem, das beim Support gemeldet wird, muss eine Genehmigung erteilt werden. Genehmigungen werden über das anfängliche Ticket verfolgt. Die Ausstellung einer pauschalen Genehmigung, Imitationen jederzeit durchführen zu können, ist bei Tenable nicht möglich.

Tenable hat einen definierten Einstellungs- und Kündigungsprozess. Alle Mitarbeiter sind verpflichtet, im Rahmen ihrer Einstellung Geheimhaltungsvereinbarungen zu unterzeichnen, und alle Konten und Zugriffsschlüssel werden bei Kündigung sofort entzogen. Alle Mitarbeiter des Tenable Vulnerability Management Operations-Betriebs müssen außerdem eine unabhängige Leumundsüberprüfung durch Dritte bestehen.

Wer kann die Imitationsfunktion nutzen?

Nur der Kontoadministrator sowie autorisierte leitende Mitarbeiter des Supports von Tenable dürfen die Imitationsfunktion nutzen. Für alle Konten, die Imitationen durchführen können, ist aus Sicherheitsgründen eine Zwei-Faktor-Authentifizierung erforderlich. Tenable prüft Imitationen intern. Zudem kann auch jeder Kunde Imitationen prüfen, die unter Verwendung seines Kontos durchgeführt werden. Alle Imitationen werden in Audit-Protokollen festgehalten, und alle Tenable Vulnerability Management-Kunden können Imitationen über die API überprüfen. Tenable dokumentiert in dem folgenden öffentlichen Dokument, wie die Audit-Protokolle abgerufen werden können: https://developer.tenable.com/reference#audit-log. Hinweis: Es gibt ein automatisiertes Konto ([email protected]), das von Zeit zu Zeit in diesen Prüfprotokollen erscheinen kann.

Verlassen die Daten das Land, wenn Tenable ein technisches Problem behebt?

Tenable unternimmt alle Anstrengungen, um den Schutz von Kundendaten zu gewährleisten. Durch Zusammenarbeit mit Kunden stellen wir sicher, dass ihre Richtlinien eingehalten werden, indem Daten in der gewünschten Region verbleiben. Die Imitation eines Benutzers kann jedoch dazu führen, dass Daten den primären Speicherort verlassen. In einigen Fällen kann es sein, dass der „Follow-the-sun“-Prozess angewendet werden muss, wenn der damit verbundene Arbeitsaufwand die lokalen Geschäftszeiten überschreitet. Zudem gibt es Fälle, in denen Kunden einen Bericht per E-Mail an Tenable senden oder anderweitig gegen eigene Richtlinien verstoßen könnten, indem sie E-Mails außerhalb ihrer Region versenden.

Bei Kunden, die ein Tenable-Produkt mit FedRAMP Authorization nutzen, verbleiben diese Daten stets innerhalb der Vereinigten Staaten.

Haben die Mitarbeiter von Tenable Zugriff auf das interne Netzwerk eines Kunden?

Nein. Der gesamte Datenverkehr wird vom Scanner initiiert und ist ausschließlich ausgehend. Die Scanner werden hinter der Firewall eines Kunden installiert und Kunden können den Zugriff der Scanner über ihre Firewall kontrollieren.

Was sind die Richtlinien von Tenable Vulnerability Management zur Datenaufbewahrung?

Die Aufbewahrungsfrist für die Daten von Tenable Vulnerability Management und anderen von Tenable gehosteten Produkten beträgt 12 Monate für bestehende Kunden. Bei Kunden, die eine Produkt-Subscription kündigen, werden Kundendaten ab dem Kündigungsdatum 30 Tage aufbewahrt. Die Datenaufbewahrungsrichtlinie von Tenable in Bezug auf PCI-Scans entspricht den damals geltenden Vorschriften der PCI Security Standards Council.

Wie lange werden Daten von aktiven Scans aufbewahrt?

Die Fähigkeit, Fortschritte im Zeitverlauf zu messen, ist eine Kernfunktion der Tenable Vulnerability Management-Plattform. Kundendaten werden von Tenable Vulnerability Management automatisch 12 Monate lang gespeichert, damit Kunden die Möglichkeit haben, über einen Zeitraum von einem (1) Jahr Berichte zu erstellen.

Wie lange werden die Daten aufbewahrt, wenn ein Kunde den Tenable Vulnerability Management-Service einstellt?

Sollte das Konto eines Kunden auslaufen oder gekündigt werden, bewahrt Tenable die Daten in dem Zustand, in dem sie sich zum Zeitpunkt des Ablaufs befanden, für maximal 30 Tage auf. Nach Ablauf dieser Zeit können diese Daten gelöscht und nicht mehr wiederhergestellt werden.

Wie lange werden Daten mit PCI-Bezug aufbewahrt?

Daten, die an einem Prozess zur Überprüfung der PCI-Konformität beteiligt sind, werden frühestens drei Jahre nach dem Datum der PCI-Bescheinigung gelöscht, so wie es die PCI-Vorschriften verlangen. Tenable bewahrt diese Daten für den genannten Zeitraum auf, selbst wenn der Kunde sich entscheidet, seine Scans oder sein Konto zu löschen oder seinen Tenable Vulnerability Management-Service zu kündigen.

Wie lange werden Tenable Vulnerability Management-Nutzungsdaten gespeichert?

Um das bestmögliche Nutzererlebnis zu gewährleisten, sammelt Tenable diese Informationen so lange, wie ein Container eines Kunden aktiv bleibt. Nachdem ein Kunde den Service einstellt, werden die Daten für maximal 30 weitere Tage gespeichert.

Verfügt Tenable Vulnerability Management über eine Common Criteria-Zertifizierung?

Die Common Criteria-Zertifizierung kommt bei einer SaaS-Lösung im Allgemeinen nicht zur Anwendung, da sich die Häufigkeit der Updates nicht für einen Zertifizierungsprozess eignet, der sechs bis neun (6 - 9) Monate in Anspruch nimmt. Tenable hat die Common Criteria-Zertifizierung für Tenable Security Center, Nessus Manager, Nessus Agents und Log Correlation Engine (LCE) erhalten.