LOGITECH SYNC WHITEPAPER SICHERHEIT UND DATENSCHUTZ
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
LOGITECH SYNC WHITEPAPER SICHERHEIT UND DATENSCHUTZ
EINLEITUNG WHITEPAPER SICHERHEIT UND DATENSCHUTZ
Logitech® Sync macht die Verwaltung von Konferenzräumen und Logitech-Geräten
einfach und intuitiv. Sync besteht aus einer sicheren, cloudbasierten Architektur
und unterstützt Sie dabei, Videokonferenzen im großen Umfang einzusetzen und
zu verwalten. Dieses Whitepaper erklärt, wie Logitech Sync die Sicherheit und den
Datenschutz von Kundendaten, Firmware-Versionen und Software-Entwicklung
handhabt.
Logitech ist weltweit führend in der Entwicklung Webportal unter sync.logitech.com anmelden, um ihre
von Lösungen für Hardware, Software und Services Logitech-Geräte zu verwalten.
und verbindet Menschen mit den für sie wichtigen Dieser neue Ansatz für die Remote-Überwachung
digitalen Erfahrungen. Wir bieten eine Reihe von Tools und die Geräteverwaltung vereinfacht Aufgaben wie
für die Zusammenarbeit, die einfach zu bedienen Firmware-Updates und Funktionsaktivierung. Eine API
sind. Außerdem unterstützen wir Sie mit einer einfach (Programmierschnittstelle) und eine zukunftsweisende
zu bedienenden Software bei der Überwachung und Architektur bilden die solide Grundlage für
Verwaltung Ihrer Videokonferenz-Lösungen, damit Weiterentwicklungen und Integrationen.
virtuelle Teams effektiver arbeiten können.
Natürlich sind IT-Verantwortliche über die Sicherheit und
Logitech Sync ist ein integraler Bestandteil unserer den Datenschutz im Umgang mit Daten und Software-
Videokonferenz-Lösungen. Sync ist eine cloudbasierte Updates besorgt. Um dieses Thema aufzugreifen,
Plattform zur Geräteverwaltung, mit der die IT-Abteilung haben wir das folgende Whitepaper erstellt, in dem der
die Geräte von Logitech für Konferenzräume skalierbar Umgang von Logitech Sync mit persönlichen Daten und
verwalten und überwachen kann. Sync funktioniert in die Bereitstellung von Firmware-Versionen erläutert wird.
Verbindung mit der Logitech Sync App, die auf einem Wir verwenden diese Daten in Übereinstimmung mit den
Computer oder einem Videogerät im Konferenzraum läuft. Datenschutzrichtlinien und Nutzungsbedingungen von
Sync verarbeitet Daten und Informationen, die von Logitech.
Hardware-Geräten übermittelt werden und stellt IT- Hinweis: Die aktuellste Version dieses Whitepapers finden
Administratoren verwertbare Daten zur Überwachung, Sie auf der Website von Logitech.
Verwaltung und Raumübersicht zur Verfügung. Sync-
Benutzer können sich einfach bei dem speziellen
2
DATENSICHERHEIT WHITEPAPER SICHERHEIT UND DATENSCHUTZ
SECURITY GOVERNANCE BEI LOGITECH BENUTZERAUTHENTIFIZIERUNG UND
-AUTORISIERUNG
Kunden können sich darauf verlassen, dass Logitech
Best Practices für die Informationssicherheit etabliert Wenn sich die Benutzer von Sync beim Webportal
und implementiert. Alle Sicherheitsprotokolle für anmelden, um ihre Logitech-Geräte zu verwalten,
die Entwicklung von Software für Videokonferenzen verwendet das Sync Portal Token-basierte und
basieren auf NIST 800-53 und ISO/IEC 27001:2013. rollenbasierte Zugriffsmechanismen, um sie zu
Unsere Sicherheitsprozesse werden von einer authentifizieren und den Zugriffsbereich zu autorisieren.
Vielzahl von Produkt-Stakeholdern verwaltet, vom Benutzer können Daten je nach zugewiesener Rolle im
Produktmanagement bis hin zur Entwicklung, die diese System anzeigen oder ändern. Jedes Sicherheitstoken
Sicherheitsstandards als operative Grundprinzipien ist außerdem sitzungsbasiert und für eine bestimmte
in unserem Secure Software Development Lifecycle Zeit gültig. Sobald das Token abläuft, muss der Benutzer
(SSDLC) anwenden. den Zugriff durch erneute Eingabe seiner Anmeldedaten
aktualisieren, um die Sicherheit des Systems zu
KONTINUIERLICHE INTEGRATION UND gewährleisten.
BEREITSTELLUNG
SINGLE SIGN-ON (SSO)-INTEGRATIONEN
Logitech implementiert eine bewährte Pipeline für die
kontinuierliche Integration und Auslieferung (Continuous Der Authentifizierungsdienst des Logitech Sync Portals
Integration and Delivery, CI/CD), die strenge technische unterstützt Single Sign-On (SSO) und kann mit
Anforderungen durchsetzt, um die Qualität der Standard-SAML 2.0 Identity Providers (IdP) wie Azure
Software sicherzustellen, bevor neue Änderungen in Active Directory und Okta integriert werden. Diese
die Produktion gelangen. Der Prozess optimiert die Provider ermöglichen es dem Sync Portal, Benutzer mit
Qualitätssicherung einschließlich aber nicht beschränkt den Anmeldeinformationen ihres Unternehmens zu
auf Funktionstests, Sicherheitstests, Integrationstests authentifizieren, ohne separate Anmeldeinformationen
und Änderungsgenehmigungen durch alle Stakeholder. zu verwalten, während sie die Sync-Plattform nutzen.
Unser Bereitstellungsprozess stellt sicher, dass das neue
Software-Release nahtlos bereitgestellt wird, ohne die DATA-IN-TRANSIT
Servicebereitschaft zu beeinträchtigen.
Logitech Sync besteht aus zwei Teilen: der
Desktopanwendung Sync, die auf Ihrer Hardware im
TESTS DER ANWENDUNGSSICHERHEIT Raum läuft, und dem cloudbasierten Sync Portal. Nach
Logitech führt Sicherheitstests durch externe der Installation und Authentifizierung kommuniziert
Sicherheitsberater durch, um Schwachstellen zu die Sync-Anwendung direkt mit dem Sync Portal, um
identifizieren. Die Tests berücksichtigen allgemeine die Fernverwaltung, Überwachungsfunktionen und
Sicherheitsschwächen, wie sie im Open Web Application verschiedene Informationen zur Raumnutzung und
Security Project (OWASP) und in der Common Weakness -leistung zu aktivieren.
Enumeration (CWE) von MITRE beschrieben werden, sind
aber nicht darauf beschränkt. Unter anderem umfassen Die gesamte Kommunikation1 zwischen dem
sie: Static Application Security Testing (SAST), Dynamic cloudbasierten Logitech Sync Portal und Ihrer Sync-
Application Security Testing (DAST) und die Bewertung Anwendung erfolgt über die Netzwerkprotokolle
der Cloud-Service-Konfiguration. Sollten im Rahmen der HTTPS und MQTT. Der Datenverkehr beider Protokolle
Tests Schwachstellen entdeckt werden, wird Logitech wird mittels Transport Level Security (TLS) Version 1.2
alle vom Anbieter identifizierten Sicherheitsprobleme oder höher mit Unterstützung von AES-128/256-Bit-
beheben. Die Sicherheitsbewertung von Drittanbietern Chiffre-Suiten authentifiziert und verschlüsselt, um
wird bei größeren Versionen durchgeführt, aber Logitech die Vertraulichkeit und Datenintegrität im Internet zu
führt auch während der Entwicklungszyklen internes gewährleisten.
SAST und DAST durch.
3DATENSICHERHEIT WHITEPAPER SICHERHEIT UND DATENSCHUTZ
DATA-AT-REST SERVICEVERFÜGBARKEIT UND DISASTER
RECOVERY
Die Kundendaten im Backend-Service von
Sync werden innerhalb der Datenbank mit Um einen Service rund um die Uhr zu gewährleisten,
der stärksten Verschlüsselung des Standards wurde Logitech Sync mit einer fehlertoleranten
AES-256 Bit geschützt. Außerdem werden die Softwarearchitektur und -infrastruktur für
Verschlüsselungscodes zusätzlich verschlüsselt und einen hochverfügbaren Service entwickelt.
zentral von den AWS-Datenservices verwaltet, um Um Hochverfügbarkeit zu erreichen, sind die
die Kundendaten vor Datenschutzverletzungen zu Rechenressourcen stark skalierbar und lastverteilt.
schützen. Die aktuellen Daten werden auf Servern an der
US-Westküste gehostet und die Daten werden
kontinuierlich im Rechenzentrum gesichert. Im Notfall
kann Logitech Sync jederzeit und in jeder Region
wiederhergestellt werden, ohne Unterbrechung des
Dienstes innerhalb der letzten 35 Tage.
4DATENSCHUTZ WHITEPAPER SICHERHEIT UND DATENSCHUTZ
DATENERFASSUNG UND DATENSCHUTZ Ihre Daten verwaltet, hängt von Ihrer Beziehung zu
uns ab (sei es als Kunde, Partner, Auftragnehmer
Die Datenschutz- und Sicherheitsrichtlinien oder eine andere relevante Beziehung). Wir nehmen
beschreiben, welche Daten Logitech erfasst, zu keinem Zeitpunkt Ton, Video oder statische
wie wir sie verwenden und wie wir persönliche Bilder aus einem Konferenzraum in die Cloud auf
Informationen schützen, die durch unsere Produkte, oder speichern diese. In der folgenden Tabelle 1.1
Services, Apps und Software erfasst werden. finden Sie eine vollständige Auflistung der von uns
Logitech ist eine Unternehmensgruppe, die unter erfassten Daten und deren Verwendung.
ihrer Muttergesellschaft, der Logitech International
S.A., arbeitet. Das Unternehmen von Logitech, das
Quelle der Daten-
Art der erfassten Daten Zweck der Datenerfassung
Datenerfassung speicher
Sync Portal • E-Mail-Adresse Benutzerauthentifizierung und Kontoerstellung für AWS
(Registrierung und • Kennwort Einzelpersonen.
Kontoerstellung)
• Vorname
• Nachname
• Name des Unternehmens
Sync Portal • Raumname Identifizierung und Gruppierung von Räumen AWS
(zusätzliche, • Anzahl der Plätze innerhalb von Sync.
vom Benutzer Die Anzahl der Plätze wird zur Berechnung der
• Gruppennamen
bereitgestellte Nutzung der Plätze in Kombination mit den
Informationen) Metadaten zur Raumbelegung verwendet.
Sync App (installiert • Gerätename Die Informationen werden verwendet, um Funktionen AWS
auf dem PC im • Eindeutige zur Überwachung, Verwaltung und Analyse über das
Konferenzraum oder Geräteidentifikation Sync Portal bereitzustellen.
auf einem Gerät, z. B.
• Firmware-Version
Logitech Rally Bar)
• Seriennummer des Geräts
• Sync App-Version
• Betriebssystem des
Computers
• Betriebssystem-Version des
Computers
• IP/MAC-Adresse
• Metadaten-Spezifikationen
des Computers
• Belegung des
Konferenzraums (nur
Metadaten)
5DATENSCHUTZ WHITEPAPER SICHERHEIT UND DATENSCHUTZ
ZUGRIFF AUF SERVICE- UND KUNDENDATEN REAKTION BEI VORFÄLLEN
Logitech schließt Verträge mit AWS-Plattformen Logitech ist bestrebt, seinen Kunden sichere
ab, um unsere Software-Services und die Produkte und Services zu bieten und begrüßt
Benutzerdaten zu hosten. AWS implementiert Berichte von unabhängigen Forschern,
strenge Betriebsrichtlinien, Schutzschichten Branchenorganisationen, Anbietern, Kunden und
und Überwachungen, um sicherzustellen, dass anderen Quellen, die sich mit dem Thema Sicherheit
nur zugelassene Mitarbeiter Zugang zu den befassen. Logitech definiert eine Sicherheitslücke
Rechenzentren haben. als eine unbeabsichtigte Schwachstelle in einem
Produkt, die es einem Angreifer ermöglichen
Bei Logitech ist der Zugriff auf die könnte, die Integrität, Verfügbarkeit oder
Kundendatenbank und die Service-Einstellungen Vertraulichkeit eines Produkts, einer Software oder
auf eine kleine Gruppe zugelassener Personen eines Services zu gefährden.
beschränkt, die für die Wartung und den Support
des Services verantwortlich sind. Logitech Security setzt verschiedene Metriken ein,
um Latenzzeiten, Schwellenwerte und Fehlerquoten
DATENSPEICHERUNG UND -LÖSCHUNG des Datenverkehrs auf verdächtige Aktivitäten
zu überwachen. Außerdem werden regelmäßig
Sobald sich ein Kunde für Logitech Sync anmeldet,
Sicherheitstests von Drittanbietern bei größeren
werden alle regelmäßig erfassten Benutzer- und
Releases durchgeführt, um die Sicherheit des
Gerätedaten innerhalb des Services gespeichert,
Produkts zu gewährleisten. Etwaige Schwachstellen
bis der Kunde sich entscheidet, den Service zu
werden entsprechend behoben.
deaktivieren. Um den Service zu deaktivieren,
sollten Kunden ihre Anfrage über das Webformular Sollten Sie auf einen Fehler stoßen, untersucht
unter support.logitech.com/response-center das Produktteam in Zusammenarbeit mit
stellen. Logitech wird dann den Löschvorgang mit Logitech Security umgehend unternehmensweit
dem Kunden durchgehen. Sobald das Konto als die gemeldeten Auffälligkeiten und
gelöscht markiert wurde, werden alle Kundendaten vermuteten Sicherheitslücken. Sie können Ihre
außer den Produktprotokollen sofort dauerhaft Sicherheitsanliegen oder Sicherheitslücken bei
gelöscht. Logitech über unsere Seite zur Offenlegung von
Sicherheitslücken oder über die Seite des Bug
Bounty-Programms melden.
Logitech Americas 1
2021 wird es ein Firmware-Update für Logitech Meetup, Rally, Rally Cam, Tap und
7700 Gateway Blvd. Swytch geben, um die vollständige Verschlüsselung für diese neueren Geräte zu
Newark, CA 94560, USA konfigurieren.
Logitech Europe S.A. Dieses Whitepaper wird nur zu Informationszwecken bereitgestellt. Logitech
EPFL – Quartier de l’Innovation übernimmt keinerlei Gewährleistung – weder ausdrücklich noch stillschweigend oder
Daniel Borel Innovation Center gesetzlich – für die Informationen in diesem Whitepaper. Dieses Whitepaper wird „wie
Wenden Sie sich an Ihren Händler CH - 1015 Lausanne
oder kontaktieren Sie uns unter gesehen“ bereitgestellt und kann von Logitech gelegentlich überarbeitet werden.
www.logitech.com/vcsales Logitech Asia Pacific Ltd. Besuchen Sie die Website von Logitech, um die neueste Version zu erhalten.
Tel: 852-2821-5900
©2021 Logitech, Inc. Alle Rechte vorbehalten.
Fax: 852-2520-2230
Veröffentlicht im Juni 2021Sie können auch lesen
