Zum Hauptinhalt springen

Sicherheit & Compliance

VaultPAM ist für regulierte Umgebungen konzipiert. Verwenden Sie diesen Abschnitt, wenn Sie verstehen müssen, wie das Produkt Sicherheitskontrollen unterstützt, wo Daten gespeichert werden und wie Sie einen Compliance-Fragebogen beantworten.

SOC 2 Sicherheitslage

VaultPAM unterstützt gängige Kontrollfamilien durch:

  • MFA und Step-up-MFA für sensible Aktionen
  • Sitzungsaufzeichnung zur Nachvollziehbarkeit von Benutzeraktivitäten
  • Audit-Logging für administrative und Zugriffsereignisse
  • Genehmigungs-Gates für Safes mit hohem Risiko
  • Netzwerkisolierung über das Connector-Modell

Datenresidenz

  • Die aktuelle Referenzarchitektur verwendet die GCP-Region eu-west1.
  • Mandantendaten werden zwischen mandantenbezogenem PostgreSQL und MinIO-Objektspeicher aufgeteilt.
  • Sitzungsmetadaten, Aufzeichnungen und Prüfprotokolle bleiben dem Mandanten zugeordnet und werden gemäß der konfigurierten Richtlinie aufbewahrt.

Audit-Zugriff

  • Audit-Datensätze können in der Konsole überprüft werden.
  • Ein CSV-Export steht für die nachgelagerte Überprüfung zur Verfügung.
  • Die Aufbewahrung ist richtliniengesteuert und sollte mit Ihren internen Kontrollen übereinstimmen.

Verschlüsselung und Umgang mit Anmeldeinformationen

  • Der Datenverkehr wird bei der Übertragung mit TLS 1.3 oder höher verschlüsselt.
  • Ruhende Daten werden durch AES-256 über die Speicherschicht und GCP-verwaltete Schlüssel geschützt.
  • Anmeldeinformationen werden zur Sitzungszeit über OpenBao eingespeist und werden Endbenutzern nicht im Klartext offengelegt.

Compliance-Geltungsbereich

VaultPAM ist darauf ausgelegt, die Ausrichtung an SOC 2 und ISO 27001 zu unterstützen. Pflichten als Auftragsverarbeiter nach DSGVO sowie eIDAS- und NIS2-Erwägungen sollten anhand Ihrer Bereitstellungseinstellungen und vertraglichen Verpflichtungen validiert werden.

Eine Schwachstelle melden

Wenn Sie ein Sicherheitsproblem in VaultPAM gefunden haben, lesen Sie unsere Richtlinie zur Offenlegung von Schwachstellen.

Benötigen Sie Nachweise?

Wenden Sie sich an Ihren Support- oder Customer-Success-Kanal, um Compliance-Fragebögen, Architekturhinweise und Nachweispakete zu erhalten.