BlueJeans Network Sicherheit und Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TEC H N ISCHER LEI TFA D EN BlueJeans Network Sicherheit und Datenschutz Wir von BlueJeans wissen, dass moderne Unternehmen auf sichere digitale Kommunikation angewiesen sind. Deshalb verfügt die Plattform von BlueJeans über alle grundlegenden Sicherheitsmaßnahmen eines Videokonferenzservice der Enterprise-Klasse. I N H ALT SVERZEI CH NIS Sicherheitsmaßnahmen zum Schutz der Cloud-Infrastruktur........................... 2 Sicherheitsfeatures für Nutzer der Webanwendung........................................... 2 Sicherheit auf Administratorebene....................................................................... 3 Datenschutz und Speicherung von Kundendaten............................................... 4 Verschlüsselung der digitalen Kommunikation.................................................... 4 Einhaltung der Datenschutz-Grundverordnung (DSGVO)................................... 5
Einhaltung der Datenschutz-Grundverordnung Arten von DoS-Angriffen konfiguriert. Außerdem
(DSGVO) arbeitet BlueJeans mit externen Beratern zusammen, die
Sicherheit in unseren weltweit verteilten Rechenzentren Penetrationstests durchführen. Die Ergebnisse der Tests
Die BlueJeans-Services basieren auf Software, die von Grund werden sorgfältig ausgewertet und gegebenenfalls in
auf von den Experten von BlueJeans entwickelt wurde Maßnahmen zur Behebung der entdeckten Schwachstellen des
und auf den für Cloud-Computing ausgelegten Servern Service umgesetzt.
eines weltweit führenden Anbieters läuft. Dabei sind die
für die Servicebereitstellung genutzten Servercluster auf Sicherheitsfeatures für Nutzer der Webanwendung
verschiedene, nach ISO27001 zertifizierte Co-Location- Dieser Abschnitt erläutert die Sicherheitsmaßnahmen, die auf
Rechenzentren der Spitzenklasse verteilt. Dort werden unsere Nutzerebene bereitgestellt werden.
dedizierten Server-Cages und Racks rund um die Uhr überwacht
Schutz von Nutzerkonten
und sind durch mehrstufige biometrische Zugangskontrollen
• Alle Nutzerkonten werden mit den folgenden Technologien
geschützt. Der Zugang zu den Cages ist nur den für den
und Sicherheitsmaßnahmen geschützt:
Servicebetrieb zuständigen BlueJeans-Mitarbeitern gestattet.
Schutzmaßnahmen in Infrastruktur und Netzwerk • Der Zugriff auf ein BlueJeans-Konto ist nur nach Eingabe
BlueJeans hat vielfältige Sicherheitsmaßnahmen des Benutzernamens und Passworts möglich – oder
implementiert, um Kunden sichere und zuverlässige Services vermittels einer SAML-2.0-Abfrage bei Ihrem
bereitstellen zu können. Dazu zählen unter anderem Firewalls Identity Provider.
in der gesamten Netzwerkinfrastruktur, mit deren Hilfe
• Die Übertragung von Authentifizierungsanfragen erfolgt
Sicherheitszonen für verschiedene Anwendungen und Services
stets über HTTPS.
geschaffen werden. Des Weiteren ist der Kernbereich der
Bereitstellungsinfrastruktur vor externem Zugriff geschützt, da • Passwörter werden in der Datenbank als SHA-256-
BlueJeans Proxyserver eingerichtet hat, über die der gesamte Hashwerte gespeichert und können nie im Klartext
Datenaustausch mit Kunden und Drittanbietern erfolgt. Und eingesehen werden.
schließlich wird der gesamte Datenverkehr in das und aus
• Passwörter werden nie per E-Mail verschickt oder in
dem Internet über Load-Balancer geleitet, die Schutz vor
anderer Weise elektronisch übertragen. (Die Funktion
verschiedenartigen Angriffen auf unsere Anwendungen bieten.
„Forgot Password“ – Passwort vergessen – ermöglicht
Neben den Firewalls, Proxyservern und Load-Balancern setzt lediglich das Zurücksetzen des Passworts des Nutzers.)
BlueJeans auf regelmäßige Scans, um Sicherheitslücken auf der Sicherheitsfeatures für Konferenzteilnehmer
Netzwerk-, Port- und Anwendungsebene aufzudecken. Diese BlueJeans Meetings bietet optionale Sicherheitsfeatures, die
Schwachstellenscans werden zum einen durch einen führenden von Nutzern standardmäßig verwendet oder bei Bedarf genutzt
SaaS-Anbieter, zum anderen mithilfe unternehmensintern werden können.
entwickelter Spezialtools durchgeführt. Darüber hinaus werden
Meeting-ID
alle von Drittanbietern entwickelten Anwendungen und
Hierbei handelt es sich um eine zufällig generierte, neunstellige
Betriebssysteme in regelmäßigen Abständen gepatcht
Nummer zur eindeutigen Identifizierung einer Konferenz.
und sämtliche Sicherheitshinweise der Hersteller gesichtet
und überprüft. Teilnehmer-PIN
Diese PINs stellen einen optionalen zweiten
Unsere Router, Firewalls, Load-Balancer und Proxy-
Authentifizierungsschritt dar, mit dem sich Konferenzen
Anwendungsserver sind sämtlich für die Abwehr zahlreicher
zusätzlich schützen lassen.
© 2018 BlueJeans Network. Alle Rechte vorbehalten. +1 (800) 403-9256 | bluejeans.com 2Meeting veröffentlichen • Zulässige Arten von Videoverbindungen (unterstützte
Die Deaktivierung dieser Option sorgt dafür, dass das Geräte und Standard-Endpunkte für Ihre Gruppe)
entsprechende Meeting nicht im öffentlich zugänglichen
Teil des Nutzerprofils angezeigt wird. Die Einwahl in Darüber hinaus bietet BlueJeans die Möglichkeit,
eine derartige Konferenz ist nur per Klick auf den personenbezogene Daten (wie die Namen und IP-Adressen
entsprechenden Link in der Einladungs-E-Mail oder der Teilnehmer) in der Konsole des Command Centers zu
über die Homepage bluejeans.com – durch Eingabe der maskieren. Auf diese Weise können IT-Mitarbeiter Konferenzen
Meeting-ID und/oder des Passworts – möglich. überwachen und bei auftretenden Problemen Unterstützung
bereitstellen, ohne dass dadurch die Datenschutzrechte der
Meeting verschlüsseln
Teilnehmer beeinträchtigt werden.
Bei Auswahl dieser Option ist die Teilnahme an der
BlueJeans-Konferenz nur über Endpunkte möglich, die Moderation ohne Einwahl mit Live Meeting Control
über ausreichende Verschlüsselungsfunktionen verfügen. Grundsätzlich verfügen Gruppenadministratoren über zwei
Weitere Informationen zum Thema Verschlüsselung verschiedene Möglichkeiten, Meetings zu moderieren und
finden Sie im Abschnitt „Verschlüsselung der digitalen technischen Support bereitzustellen:
Kommunikation“. • Im Meeting: durch die Einwahl in die Konferenz
Teilnehmer ausschließen • Im Hintergrund: Meetings können in Echtzeit über die „Live
Im Verlauf einer Konferenz kann der Organisator oder Meeting Control“-Konsole des Command Center verwaltet
Moderator jeden beliebigen Teilnehmer per Klick auf den werden. Dort stehen Funktionen für die Aktivierung bzw.
Button „Expel Participant“ aus dem Meeting entfernen. Deaktivierung der Mikrofone der Teilnehmer, die Sperrung
Meeting sperren der Konferenz und die Festlegung eines verbindlichen
Eine Konferenz kann zu jedem beliebigen Zeitpunkt für Bildschirm-Layouts für alle Teilnehmer zur Verfügung.
neue Teilnehmer gesperrt werden, sodass die bereits
Diese Art der Moderation eignet sich ideal für Konferenzen,
eingewählten Nutzer unter sich bleiben.
bei denen die Vertraulichkeit sensibler Gespräche und
Dokumente sichergestellt werden muss. Live Meeting Control
Sicherheit auf Administratorebene
wird zunächst für das Kundenunternehmen aktiviert und kann
Sicherheitsfeatures für Gruppenadministratoren
dann von den Verantwortlichen für bestimmte Administratoren
Als Gruppenadministrator können Sie in BlueJeans
freigegeben werden. Auf diese Weise lässt sich der Einsatz der
Sicherheitsmaßnahmen für sämtliche Nutzer aus Ihrem
leistungsstarken Konsole vollständig kontrollieren.
Unternehmen festlegen. Im Einzelnen stehen Ihnen
Konfigurationsoptionen für folgende Sicherheitsfeatures
zur Verfügung:
• Anmeldeverfahren für Nutzer (Passworteingabe oder SAML
Single-Sign-On)
• Anforderungen an Nutzerpasswörter
• Verfahren für Passwortänderungen
• Benachrichtigungen über fehlgeschlagene
Anmeldeversuche
© 2018 BlueJeans Network. Alle Rechte vorbehalten. +1 (800) 403-9256 | bluejeans.com 3Datenschutz und Speicherung von Kundendaten Verschlüsselung der digitalen Kommunikation
In der BlueJeans-Datenbank werden nur grundlegende Bei BlueJeans nehmen wir die Vertraulichkeit Ihrer Inhalte
Nutzerdaten aufbewahrt. Im Einzelnen speichert BlueJeans sehr ernst. Deshalb zeichnen wir keinerlei Videostreams
folgende nutzerbezogenen Daten: oder freigegebene Bildschirminhalte auf, ohne dies vorab
mit Ihnen zu besprechen und Ihr Einverständnis einzuholen.
Angaben aus dem Nutzerprofil
Zusätzlich empfehlen wir Kundenunternehmen, geeignete
• Nutzername (ein Facebook-Login enthält den Facebook-
Maßnahmen für den Schutz der Endgeräte zu ergreifen, auf
Nutzernamen, ein LinkedIn-Login die Profil-URL des
denen die softwarebasierten Videoclients installiert sind,
Nutzers)
damit Lauschangriffe auf Hardwareebene ausgeschlossen
• Passwort (als SHA-256-Hashwert) werden können. In diesem Zusammenhang ist zu betonen, dass
BlueJeans den Verschlüsselungsstandard AES-128 unterstützt,
• E-Mail-Adresse
der mittlerweile für die meisten Videoendpunkte verfügbar ist.
• Vorname
In BlueJeans-Konferenzen sind Videoverbindungen, die über
• Zweiter Vorname BlueJeans-Clients oder Webbrowser hergestellt werden,
standardmäßig verschlüsselt. Gleiches gilt für viele andere
• Nachname gängige Lösungen wie Cisco Jabber oder Microsoft Lync.
• Position Wenn die Teilnahme an einer BlueJeans-Konferenz über
ein Raumsysteme von Polycom, Lifesize, Cisco oder einem
• Name des Unternehmens
anderen Anbieter erfolgt, wird die Verbindung beim Aufbau
• Profilbild verschlüsselt – unter der Voraussetzung, dass der Anbieter des
Raumsystems dies unterstützt und die Teilnehmer die nötigen
Rechnungsdaten Sicherheitslizenzen von diesem Anbieter erworben haben.
Die gesamte Abrechnung für die Nutzung des Service wird
Die meisten Raumsysteme verschlüsseln Videostreams
gegenwärtig von einem PCI-konformen Drittanbieter im
standardmäßig, sofern dies von allen verbundenen Endpunkten
Auftrag von BlueJeans erledigt. Das bedeutet, dass keinerlei
unterstützt wird. Trotzdem ist es empfehlenswert, die
Kreditkarten- oder Rechnungsdaten von Kunden in der
Standardeinstellungen Ihres Systems so zu konfigurieren,
BlueJeans-Datenbank gespeichert werden. Da unser Service von
dass alle Anrufe und Konferenzen immer verschlüsselt
Tausenden Unternehmen aus aller Welt genutzt wird, achtet
werden und Verbindungen nur unter dieser Voraussetzung
BlueJeans außerdem auf die Einhaltung des EU-U.S. Privacy
hergestellt werden können. Wie bereits im Abschnitt
Shield Frameworks.
„Sicherheitsfunktionen für Konferenzteilnehmer“ erwähnt,
Weitere Informationen zu diesem Thema finden Sie in der können Sie mithilfe der Option „Enforce Encryption“
Datenschutzerklärung von BlueJeans unter: (Verschlüsselung erzwingen) festlegen, dass die Einwahl in das
http://bluejeans.com/privacy-policy von Ihnen anberaumte Meeting nur von einem Endgerät aus
möglich ist, das die verschlüsselte Übertragung unterstützt.
Auf diese Weise können Sie dafür sorgen, dass Ihre H.323-
und SIP-Raumsysteme nur standardbasierte verschlüsselte
Verbindungen mit BlueJeans herstellen.
© 2018 BlueJeans Network. Alle Rechte vorbehalten. +1 (800) 403-9256 | bluejeans.com 4Aufzeichnung, Speicherung und Freigabe
von Videos
BlueJeans bietet die einzigartige Möglichkeit, während einer Dazu haben wir einen SOC 2-Bericht Typ 2 gemäß SSAE16
Konferenz Videos hochzuladen und für andere Teilnehmer (Statement of Standards for Attestation Engagements)
freizugeben. Außerdem können Meetings aufgezeichnet und erstellt. Dies ist ein wichtiger Schritt, sowohl für BlueJeans
die Aufnahmen dann ebenfalls Dritten zugänglich gemacht Networks als Unternehmen als auch für unsere Kunden. Mit
werden. Da uns die Sicherheit dieser beiden Features ebenso diesem Bericht bestätigt BlueJeans seinen Kunden, dass für
stark am Herzen liegt wie unseren Kunden, beschreiben wir die die Bereitstellung unserer Services unternehmensweit die
entsprechenden Schutzmaßnahmen hier etwas ausführlicher. offiziell dokumentierten Prozeduren und Kontrollmaßnahmen
implementiert wurden.
Aufgezeichnete Konferenzen werden in verschlüsselter Form
(AES, 256 Bit) in sicheren Containern in der Cloud gespeichert Der Bericht enthält Angaben über Maßnahmen zur Kontrolle
und sind nur für den Nutzer zugänglich, der die Aufzeichnung von Richtlinien, Kommunikationsprozessen, Betriebsabläufen
veranlasst hat. Der Auftraggeber kann die Aufzeichnung dann und Monitoring-Aktivitäten sowie Informationen zu Disaster-
Dritten zugänglich machen, indem er deren E-Mail-Adressen Recovery-Prozessen und zur Compliance mit dem EU-U.S.
in der Webschnittstelle von BlueJeans eingibt. Die Empfänger Privacy Shield Framework.
können die Aufzeichnungen über einen Webbrowser als AES-
verschlüsselten Stream (128 Bit) abrufen oder auf einen lokalen Einhaltung der Datenschutz-Grundverordnung
Medienserver oder ein lokales Speichergerät herunterladen. (DSGVO)
Über die webbasierte Nutzeroberfläche können die Nutzer ihre Die DSGVO dient der Vereinheitlichung der Datenschutz- und
mit BlueJeans erstellten Aufzeichnungen jederzeit löschen. Datensicherheitsvorgaben in der gesamten Europäischen
Union und schreibt den Schutz personenbezogener Daten
Videos, die für eine Konferenz hochgeladen und für andere als Grundrecht von EU-Bürgern fest. Datensicherheit und
Teilnehmer freigegeben werden, werden ebenfalls in der Schutz der Nutzerdaten genießen bei BlueJeans seit
sicheren Containern gespeichert und können ebenfalls jeher höchste Priorität. Um unsere Kunden bei der DSGVO-
als AES-verschlüsselter Stream (128 Bit) abgerufen konformen Nutzung der BlueJeans-Services zu unterstützen,
werden. Außerdem können hochgeladene Videos – haben wir unsere Software, Systeme und Abläufe so angepasst,
genau wie Konferenzaufzeichnungen – jederzeit über die dass Unternehmen datenbezogene Anfragen von EU-
Nutzeroberfläche gelöscht werden. Bürgern schnellstmöglich und proaktiv bearbeiten können.
Außerdem haben wir strukturierte Prozesse implementiert,
Service Organization Controls (SOC) 2 um auf Anfragen von Nutzern reagieren zu können, die
Neben den Sicherheitsmaßnahmen zum Schutz unserer ihre personenbezogenen Daten berichtigen, einsehen
Serviceinfrastruktur und den Sicherheitsfunktionen, die oder löschen möchten. Wir werden unsere Systeme und
unseren Nutzern bei Meetings zur Verfügung stehen, haben Prozesse auch weiterhin unter Datenschutzgesichtspunkten
wir auch wichtige Schritte unternommen, um für die Integrität überprüfen, um dem Datenschutz durch Technik und durch
unserer BlueJeans-internen Abläufe zu sorgen. datenschutzfreundliche Voreinstellungen Vorschub zu leisten.
Wenn Sie weitere Fragen oder Bedenken hinsichtlich der Sicherheit der Services von BlueJeans Network haben,
können Sie eine E-Mail an sales@bluejeans.com senden. Unsere Mitarbeiter helfen Ihnen gern weiter.
© 2018 BlueJeans Network. Alle Rechte vorbehalten. +1 (800) 403-9256 | bluejeans.com 5Sie können auch lesen
