Sicherheit

Mitteilung unseres CISOs

Wir von Ping Identity sind vor allem eins: Sicherheitsexperten. Und als Sicherheitsexperten wissen wir, dass die Erwartungen sehr hoch sind und viel auf dem Spiel steht. Die wichtigste Aufgabe für die Sicherheit bei Ping Identity besteht darin, sichere, robuste und zuverlässige Produkte und Dienstleistungen zu entwickeln. Darüber hinaus müssen wir dafür sorgen, dass unsere Geschäftsaktivitäten sicher sind und klar kommuniziert werden. Das fängt bei den richtigen Mitarbeitern, Prozessen und Technologien an und endet bei einer gelebten Sicherheitskultur, die alle Bereiche des Unternehmens durchdringt. Jeder Mitarbeiter bei Ping Identity weiß, wie wichtig unsere Mission ist und welche Rolle er bei der Umsetzung unserer Zielsetzungen spielt.

 

Um unseren Kunden die beste aller möglichen Lösungen zu bieten, haben wir unser Information Security Management System (ISMS) auf branchenspezifischen Best Practices und Frameworks wie ISO 27001 und NIST 800-53 aufgebaut. Zudem lassen wir unsere Produkte und unseren Kontrollrahmen von unabhängigen Stellen prüfen, um die Effektivität unserer Sicherheitspraktiken zu bestätigen. Gleichzeitig arbeiten wir kontinuierlich daran, unser ISMS zu verbessern. Gerade sind wir z. B. damit beschäftigt, die ISO-27001- und FedRAMP-Zertifizierung zu erhalten.

 

Vielen Dank, dass Sie sich die Zeit nehmen, um unser Sicherheitsprogramm besser kennenzulernen. Sollten Sie Fragen zur Sicherheit unserer Lösungen oder Geschäftsprozesse haben, können Sie sich gerne jederzeit an mich wenden. Wenn Sie darüber hinaus weitere Informationen wünschen, werfen Sie einen Blick auf unsere Sicherheitspraktiken und operativen Abläufe.

Robb Reck

CISO, Ping Identity

Responsible Disclosure

Ping Identity hat ein Responsible-Disclosure-Programm ins Leben gerufen. Es bietet die Möglichkeit, Schwachstellen in unseren Produkten zu identifizieren und zu beheben. Wenn Sie Security-Experte sind und Sicherheitsschwachstellen in einer unserer Lösungen entdeckt haben, wären wir Ihnen sehr dankbar, wenn Sie uns vertraulich darüber informieren und uns die Möglichkeit geben, die Schwachstelle zu beheben, bevor technische Details veröffentlicht werden. Bei allen Vorgängen im Zusammenhang mit der Validierung und der Behebung von Schwachstellen halten wir uns an unsere Sicherheits- und Datenschutzrichtlinien.

 

Reporting

Stellen Sie eine Supportanfrage, um das Information-Security-Team von Ping Identity über die Einzelheiten zu möglichen Schwachstellen zu informieren. Bitte leiten Sie keine Details ohne ausdrückliche Erlaubnis außerhalb dieses Prozesses weiter. Bei der Meldung möglicher Schwachstellen sollten Sie bitte folgende Informationen angeben:

  • Produktname und -version
  • Betroffene URL: Endpunkt, an dem die Schwachstelle auftritt
  • Betroffener Parameter: falls zutreffend, Parameter, an dem die Schwachstelle auftritt
  • Art der Schwachstelle: Beschreibung der Schwachstelle
  • Schritte zur Reproduzierung: Schritt-für-Schritt-Informationen, wie sich das Problem reproduzieren lässt
  • Screenshots oder Video: eine Demonstration des Angriffs
  • Angriffsszenario: Das Beispiel eines Angriffsszenarios könnte helfen, das Risiko nachvollziehbar aufzuzeigen und Ihr Problem schneller zu beheben.
  • Logdateien

 

Ihrer Sicherheit verpflichtet

Wenn Sie eine verifizierte Sicherheitsschwachstelle im Rahmen dieses Responsible-Disclosure-Programms finden, verpflichtet sich Ping Identity dazu:

  • einen festgelegten Bearbeitungszeitraum mit einem verbindlichen Termin für die Behebung festzulegen
  • die Schwachstelle über unsere Supportseite zu melden, um unsere Kunden bestmöglich zu schützen (falls im besten Interesse unserer Kunden)

Zertifizierungen und Mitgliedschaften

Information Systems Security Association, Büro Denver

Die Information Systems Security Association (ISSA) ist eine internationale gemeinnützige Organisation von Informationssicherheitsexperten. Mit ihren Informationsforen, ihren Veröffentlichungen und ihrer Kommunikationsplattform fördert die ISSA das Know-how und die berufliche Weiterentwicklung ihrer Mitglieder.


Die ISSA ist die Community der Wahl für internationale Cybersicherheitsexperten, die sich für die persönliche Weiterentwicklung ihrer Mitarbeiter, die Steuerung von Technologierisiken und den Schutz kritischer Informationen und Infrastrukturen einsetzen. Das Büro in Denver gilt als weltweit größte Dependance mit bislang über 500 Mitgliedern. Präsident des Denver-Büros ist kein Geringerer als unser Chief Information Security Officer Robb Reck. Zahlreiche Ping-Mitarbeiter sind aktive Mitglieder. Weitere Informationen erhalten Sie unter www.denver.issa.org.


Cloud Security Alliance STAR Registry

CSA Security, Trust and Assurance Registry (STAR) ist ein kostenloses, öffentlich zugängliches Verzeichnis, in dem die Sicherheitskontrollen verschiedener Cloud-Computing-Angebote dokumentiert sind. Es hilft Nutzern, sich ein Bild über das Angebot von Cloud-Providern zu machen, deren Dienste sie zurzeit verwenden oder die sie künftig nutzen möchten.

 

CSA STAR steht sämtlichen Cloud-Anbietern offen, um Self-Assessment-Berichte einzureichen, die eine Einhaltung der von CSA veröffentlichten Best Practices untermauern. Das durchsuchbare Verzeichnis bietet potenziellen Cloud-Kunden einen Überblick über die Sicherheitspraktiken verschiedener Anbieter. Kunden können so ihre Due-Diligence-Prozesse beschleunigen und ihren Beschaffungsprozess optimieren. CSA STAR bedeutet einen großen Schritt vorwärts in puncto Branchentransparenz und ermutigt Provider dazu, Sicherheitsfunktionen zu einem wichtigen Differenzierungsmerkmal zu machen.

 

Den CAI-Fragebogen finden Sie auf der Ping Identity-Mitgliedsseite.


FBI InfraGard

InfraGard-Mitglieder haben Zugriff auf ein durch das FBI geschütztes Kommunikationsnetzwerk mit verschlüsselter Website, Webmail, Mailinglisten und Message-Boards. Die Website spielt eine entscheidende Rolle in der Kommunikationspolitik des FBIs, z. B. bei der Weitergabe von eigenen Warnmeldungen und Hinweisen sowie von Bedrohungsinformationen anderer Behörden.

 

Es gibt 85 InfraGard-Chapters mit insgesamt über 35.000 Mitgliedern, die über Außenstellen mit dem FBI zusammenarbeiten, um Angriffe – zum Beispiel in Form unerlaubter Computerzugriffe und physischer Sicherheitsattacken – auf kritische Infrastrukturen abzuwehren. Die Mitglieder stammen aus staatlichen und lokalen Vollzugsbehörden, anderen Behörden und kommunalen Einrichtungen sowie aus der Privatindustrie und dem Bildungsbereich. Viele Ping Identity-Mitarbeiter sind Mitglied bei der InfraGard Denver Members Alliance (IDMA).


OWASP-Mitglied

Beim Open Web Application Security Project (OWASP) handelt es sich um eine gemeinnützige Organisation, die sich der Verbesserung der Softwaresicherheit verschrieben hat. Ihre Mission ist es, das Thema Softwaresicherheit transparent zu machen, sodass Privatpersonen und Organisationen weltweit fundierte Entscheidungen im Hinblick auf die wahren Softwaresicherheitsrisiken treffen können.

 

Als offene Community unterstützt OWASP Organisationen dabei, zuverlässige Anwendungen zu konzipieren, zu entwickeln, zu erwerben, zu betreiben und zu betreuen. Alle OWASP-Tools, -Dokumente, -Foren und -Büros sind kostenlos und stehen jedem offen, der die Anwendungssicherheit verbessern möchte. Für OWASP hat Anwendungssicherheit gleichermaßen mit Mitarbeitern, Prozessen und Technologien zu tun – schließlich umfassen die effektivsten Sicherheitsansätze Verbesserungen in all diesen Bereichen. Weitere Informationen erhalten Sie unter www.owasp.org.

 

Sicherheit