Sicherheit

Bei Semaphore hat der Schutz von Kundendaten höchste Priorität, und wir nehmen die Verantwortung für deren Sicherheit sehr ernst. Deshalb haben wir unser Produkt nach den höchsten Sicherheitsstandards entwickelt.

✅ Compliance und Zertifizierung

✔️ SOC 2 Typ 2

Unsere Kontrollmechanismen für Dienstleistungsorganisationen wurden unabhängig nach den AICPA Trust Services Criteria geprüft, was unser kontinuierliches Engagement für Sicherheit. Zugriff auf unseren SOC 2 Typ 2-Bericht ist auf Anfrage und unter NDA verfügbar.

✔️ ISO 27001:2022

Wir haben unser Informationssicherheitsmanagementsystem auf den Kontrollen von ISO 27001:2022 aufgebaut, um sicherzustellen, dass Schutzmaßnahmen nach Best Practices basierend auf Industriestandards implementiert sind. Ein Zertifikatsnachweis ist auf Anfrage verfügbar.

✔️ PCI-DSS

Alle Zahlungen bei Semaphore werden über FastSpring abgewickelt, ein Service, der PCI-DSS Level 1 konform ist.

🔒 Produktsicherheit

✔️ Verschlüsselung

Alle Daten, die zu oder von Semaphore gesendet werden, sind während der Übertragung mit 256-Bit-Verschlüsselung gesichert. Unsere API- und Anwendungsendpunkte sind nur über TLS/SSL zugänglich. Wir verschlüsseln auch Daten im Ruhezustand mit einem branchenüblichen AES-256-Verschlüsselungsalgorithmus.

✔️ Quellcodesicherheit

Die Kommunikation mit Ihrem Git-Anbieter ist immer verschlüsselt, und auf Ihren Quellcode wird nur über SSH und/oder HTTPS zugegriffen.

✔️ Geheimnisse

Semaphore Secrets ermöglichen es Ihnen, sensible Daten zu speichern und sie als Umgebungsvariablen in Ihren Jobs zu verwenden.

✔️ Audit-Logging

Audit-Logs ermöglichen es Ihnen, jede Aktivität zu überwachen. Nutzen Sie sie zur Unterstützung der Forensik und zur Nachweisführung von Compliance. Audit-Logs können sicher an Ihre eigenen Server gestreamt werden.

✔️ Laufzeitisolation

Semaphore führt alle Builds in isolierten Sandbox-Virtualmaschinen aus, die nach jeder Nutzung zerstört werden.

✔️ Zwei-Faktor-Authentifizierung

Semaphore übernimmt die 2FA-Authentifizierung, die bei Ihrem Drittanbieter-Git-Anbieter eingerichtet ist.

✔️ Geerbte Einschränkungen

Standardzugriffsrechte auf Semaphore-Projekte werden aus den Repository-Einstellungen Ihres Drittanbieter-Git-Anbieters übernommen.

✔️ Rollenbasierte Zugriffskontrolle

Wir bieten mehrere Benutzerrollen mit unterschiedlichen Berechtigungsstufen innerhalb des Produkts an.

🛡️ Betriebssicherheit und Richtlinien

✔️ Richtlinien

Semaphore hat eine umfassende Sammlung von Sicherheitsrichtlinien entwickelt, die verschiedene Themen abdecken. Diese Richtlinien werden regelmäßig aktualisiert und mit den Mitarbeitern geteilt.

✔️ Mitarbeiterüberprüfung

Semaphore führt Hintergrundüberprüfungen bei allen neuen Mitarbeitern gemäß den örtlichen Gesetzen durch.

✔️ Vertraulichkeit

Alle Mitarbeiter haben eine Vertraulichkeitsvereinbarung unterzeichnet.

✔️ Sicherheitsschulung

Alle Mitarbeiter absolvieren eine Sicherheitsschulung, wenn sie dem Unternehmen beitreten, und werden regelmäßig weitergeschult.

✔️ Sicherheitsschulung für Ingenieure

Alle Ingenieure sind verpflichtet, zusätzliche technische Sicherheitsschulungen zu absolvieren.

✔️ Vorfallreaktion

Semaphore hat klar definierte Protokolle für die Reaktion auf Sicherheitsvorfälle. Diese Protokolle werden regelmäßig getestet und aktualisiert.

✔️ Vorfallreaktionsteam

Semaphore verfügt über ein rotierendes Team für Standortzuverlässigkeit und Vorfallreaktionen, das rund um die Uhr verfügbar ist.

✔️ Partnermanagement

Semaphore verlangt von allen Drittanbietern, dass sie nach ISO 27001:2013 zertifiziert sind und jährlich einen Sicherheitsfragebogen ausfüllen.

✔️ Zugriffskontrolle und Berechtigungen

Semaphore folgt dem Prinzip des minimalen Zugriffs. Der Zugriff auf Kundendaten ist auf autorisierte Mitarbeiter mit entsprechenden Zugriffsrechten beschränkt, die diesen für ihre beruflichen Aufgaben benötigen.

✔️ Authentifizierungsmethoden

Semaphore betreibt ein Zero-Trust-Unternehmensnetzwerk. Wir erzwingen Single Sign-On (SSO), Zwei-Faktor-Authentifizierung (2FA) und starke Passwortrichtlinien auf GitHub, BitBucket, Google und AWS, um den Zugriff auf Cloud-Dienste zu schützen.

📋 Anwendungssicherheit

✔️ Sicheres Code-Entwicklungsverfahren (SDLC)

Unsere Richtlinie für den Software-Entwicklungslebenszyklus steuert die Abläufe für Bereitstellung, Überprüfung und Änderungsmanagement, um Sicherheitsvorfälle oder Ausfallzeiten zu minimieren.

✔️ Software-Abhängigkeiten

Semaphore hält Software-Abhängigkeiten aktuell und nutzt automatisierte Tools, um gängige Sicherheitsprobleme wie Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) und SQL Injection zu scannen.

✔️ Getrennte Entwicklungsumgebungen

Test- und Staging-Umgebungen sind logisch von der Produktionsumgebung getrennt. In unseren Entwicklungs- oder Testumgebungen werden keine Kundendaten verwendet.

✔️ Automatisierte Test- und Build-Prozesse

Wir haben eine umfangreiche Reihe automatisierter Testverfahren, die bei jeder Codeänderung ausgeführt werden.

🚨 Physische und infrastrukturelle Sicherheit

✔️ Bürosicherheit

Die Semaphore-Büros sind durch verschiedene physische Barrieren und Alarmsysteme gesichert. Alle Besucher müssen sich anmelden und werden jederzeit begleitet.

✔️ Sicherheit bei Remote-Arbeitsplätzen

Semaphore stellt sicheres Arbeiten an Remote-Standorten durch Richtlinien wie die Richtlinie für sichere Arbeitsumgebungen, die Richtlinie für klare Bildschirme und Schreibtische sowie die Richtlinie für Gerätestandorte und -schutz sicher.

✔️ Rechenzentren

Unsere Anwendung wird in den sicheren Rechenzentren der Google Cloud Platform gehostet und verwaltet. Dieser Anbieter ist ein Branchenführer in Sachen Sicherheit und Datenschutz. Unsere Agenten werden bei Hetzner gehostet, einem der größten Rechenzentrumsbetreiber in Europa, der nach ISO 27001:2013 zertifiziert ist.

🗄️ Datensicherheit

✔️ Datenspeicherung

Die Datenspeicher von Semaphore sind nur für Server zugänglich, die Zugriff benötigen. Zugangsschlüssel werden getrennt von unserem Quellcode-Repository gespeichert und sind nur für die Systeme verfügbar, die sie benötigen.

✔️ Daten-Backup

Semaphore hat eine Daten-Backup-Richtlinie für kritische Systeme und stellt sicher, dass Wiederherstellungsfunktionen innerhalb üblicher branchenspezifischer Zeitrahmen verfügbar sind.

✔️ Protokolle

Wir speichern Protokolle in einem sicheren, verschlüsselten Speicher. Alle sensiblen Informationen werden aus unseren Serverprotokollen gefiltert.

✔️ Build-Isolierung

Semaphore führt alle Builds in isolierten Sandbox-Virtualmaschinen aus, die nach jeder Nutzung zerstört werden.

✔️ Katastrophenwiederherstellung

Jeder unserer Dienste ist vollständig redundant mit Replikation und Failover. Dienste sind über mehrere Verfügbarkeitszonen verteilt. Diese Zonen befinden sich in physisch getrennten Rechenzentren, wodurch Dienste vor Ausfällen einzelner Rechenzentren geschützt sind.

🌎 Netzwerksicherheit

✔️ Datenverschlüsselung

Alle Daten während der Übertragung sind durch TLS und SSH verschlüsselt.

✔️ Geheimnisverschlüsselung

Semaphore Secrets sind sowohl im Ruhezustand als auch während der Übertragung verschlüsselt und werden zu Beginn eines Jobs in die Laufzeitumgebung eingefügt.

✔️ Quellcode-Verschlüsselung

Quellcode ist während der Übertragung immer durch TLS und SSH verschlüsselt.

✔️ Systemaudits

Semaphore hat eine formelle Audit-Richtlinie und Audits werden jährlich durchgeführt. Dazu gehören interne Audits sowie Audits durch Dritte.

✔️ Schwachstellen-Scanning

Semaphore verwendet Sicherheitstools, um kontinuierlich nach Schwachstellen zu suchen. Darüber hinaus werden Schwachstellen in Drittanbieter-Bibliotheken und -Tools überwacht, und Software wird umgehend gepatcht oder aktualisiert, wenn neue Probleme gemeldet werden.

✔️ Firewall

Unsere Server sind durch Firewalls geschützt und nicht direkt dem Internet ausgesetzt.

Bugs und Berichte, die wir nicht bearbeiten 🪲

Wir reagieren nicht auf die folgenden Arten von Bugs und häufigen Berichten:
Anmeldeinformationen in einer .semaphore/semaphore.yml eines Dritten
E-Mail-Spoofing, SPF-, DKIM- und DMARC-Fehler

Kein Prämienprogramm verfügbar 🚫

Semaphore bietet keine Prämien für entdeckte Schwachstellen an. Wir hoffen, dass Sie, wenn Sie Schwachstellen im Laufe Ihrer Arbeit entdecken, diese mit uns teilen, damit wir die Gesundheit des Internet-Ökosystems verbessern können.

Kontaktieren Sie uns ✉️

Haben Sie eine Frage, ein Anliegen oder einen Kommentar zur Sicherheit von Semaphore?
Bitte senden Sie eine E-Mail an support@semaphoreci.com für allgemeine Anfragen und an support+security@semaphoreci.com für Notfälle.