Haben Sie ein Unternehmens-WISP, dem Sie folgen?

Yellowfin unterhält eine aktualisierte Unternehmens-WISP (die den sicheren Betrieb des Unternehmens definiert) und andere SOP-Dokumente, die die Mitarbeiter befolgen müssen.

Über welche externen Akkreditierungen verfügt das Unternehmen?

Yellowfin hat die folgenden Eigenschaften

• UK Cyber Essentials 2018 (erforderlich für den Verkauf digitaler Dienstleistungen an die britische Regierung)
• UK Cyber Essentials 2019
• UK Cyber Essentials 2020
• Erreicht SOC2 Typ 2 im Jahr 2021

Gibt es in Ihrem Unternehmen eine oder mehrere Personen, die für die Umsetzung und Verwaltung des Informationssicherheitsprogramms zuständig sind (z.B. Chief Information Security Officer, Directory/Manager, Sonstige)?

Die Sicherheit des Unternehmens unterliegt der Verantwortung des Büros des COO. Das Operationsteam kümmert sich um alle Belange der Unternehmenssicherheit.

Verfügt Yellowfin über Richtlinien zur Sicherheitshärtung für Computer- und Netzwerkinfrastrukturgeräte?

Das Yellowfin WISP und andere interne Dokumente definieren die Ansätze, um das Ökosystem vor externen Einflüssen oder unbefugtem Zugriff zu schützen. Yellowfin verfügt über einen ISO-Beauftragten, der die Aufgabe hat, regelmäßig externe Grenzen zu testen und Schwachstellentests für Netzwerkkomponenten und alle Endpunkte durchzuführen. Der ISO-Beauftragte verwendet branchenübliche Scanning-Tools, um Probleme zu entdecken und sie zur Lösung oder Entschärfung einzuteilen.

Verfügt Yellowfin über Firewalls zum Schutz der Unternehmensgrenzen?

Yellowfin schützt alle Unternehmensgrenzen mit Cisco 5515-X oder 5545-X Firewalls. Yellowfin verwendet auch interne Cisco 5515-X Firewalls an den internen Grenzen, um Unternehmensgeheimnisse und IP zu schützen.

Verfügt Yellowfin über einen Endpunktschutz?

Yellowfin schützt alle Endpunkte und Service-Plattformen mit Bitdefender Cloud-Schutz. Diese Technologie wird als Client auf Windows, Linux und Apple installiert; sie wird über das Cloud-Portal gesteuert und überwacht. Bitdefender Cloud bietet jedem Client eine lokale Firewall, Virenschutz, Anti-Malware, Anti-Crypto, Web-/E-Mail-Schutz und Dateischutz.

Gibt es bei Yellowfin eine Passwortrichtlinie?

Yellowfin verwendet auf allen Servern und externen Serviceplattformen Passwörter mit hoher Entropie. Hohe Entropie bedeutet 20 Zeichen oder mehr. Unser Standard sind 32 Zeichen.
Die interne SOP für Mitarbeiter definiert die Passwortrichtlinien und die Häufigkeit der Wiederverwendung für Mitarbeiter.

Verfügt Yellowfin über Benutzerzugriffsrichtlinien für die Erstellung und Genehmigung?

Yellowfin nutzt die OKTA SSO-Technologie, um einen zentralen Zugangspunkt für alle Unternehmensanwendungen zu schaffen. Die Mitarbeiter haben ein einziges Login und alle zugewiesenen Anwendungen, auf die über das Web zugegriffen werden kann, sind über das OKTA-Portal verfügbar. Wenn Mitarbeiter an Bord kommen, werden ihre Zugangsplattformen zugewiesen, und wenn Mitarbeiter von Bord gehen, werden ihre Plattformen widerrufen.
Für GUI-Anwendungen und Geräte, für die Anmeldeinformationen erforderlich sind, werden diese vom Operations-Team ausgestellt und widerrufen.

Wer ist für die Gewährung des Zugriffs auf IT-Systemressourcen verantwortlich?

Das Operations-Team, das dem Büro des COO unterstellt ist, ist für den Zugriff auf die IT-Systeme verantwortlich.

Ist Yellowfin mit Standards wie HiPPA und PCI konform und schützt alle PII/KYC-Daten der Kunden?

• Yellowfin ist ein reiner Softwareanbieter und hostet keine Kundendaten. Die ISO-Mitarbeiter des Kunden sind für das sichere Hosting und die Verwaltung der Yellowfin-Software verantwortlich.
• Yellowfin hostet keine HiPPA-Daten und hat auch keinen Zugriff darauf.
• Yellowfin hostet keine Kreditkartendaten und hat auch keinen Zugriff darauf.
• Yellowfin hostet keine Kundendaten und verfügt daher über keine PII- oder KYC-Daten.
• Yellowfin hat grundsätzlich keinen Zugriff auf Kundendaten für Support-Aktivitäten.

Ist Yellowfin GDPR-konform?

Yellowfin speichert nur Kunden- und Lead-Informationen, die Yellowfin von diesen Beteiligten zur Verfügung gestellt werden. Yellowfin speichert keine Informationen, die als personenbezogene Daten gelten, wie z.B. das Geburtsdatum. Alle GDPR-konformen Informationen werden von den Lead-Kontakten oder den Kontokontakten bereitgestellt und sind öffentliche Informationen. Yellowfin entfernt die gespeicherten Informationen einer Person auf Anfrage aus allen aktiven Systemen in Übereinstimmung mit den GDPR-Regeln und bewahrt nur die Mindestinformationen auf, um die Integrität unserer Buchhaltungs- und Abrechnungssysteme aufrechtzuerhalten.
Yellowfin ist auch ein unterzeichnetes Mitglied des US Privacy Shield.

Bitte beschreiben Sie Ihre Prozesse und Pläne für die Notfallwiederherstellung und/oder Geschäftskontinuität. Geben Sie auch an, seit wann diese Pläne in Ihrem Unternehmen gelten und fügen Sie eine Kopie Ihrer letzten Testübung bei.

Yellowfin verfügt über einen dokumentierten Notfall-, Pandemie- und Kontinuitätsplan. Die Dokumente sind so verfasst, dass sie auf jedes mögliche Szenario, das sich auf den normalen Geschäftsbetrieb auswirkt, flexibel reagieren können.
Der letzte Test des Plans war die COVID-19-Krise, bei der die Bürger aufgefordert wurden, sich an Ort und Stelle oder zu Hause zu schützen. Yellowfin hielt sich an den Plan und führte WFH-Praktiken ein, um einen transparenten Übergang von WIO zu WFH ohne Produktivitätsverluste zu ermöglichen. Die etablierte Infrastruktur und Sicherheit von Yellowfin ermöglichte diesen nahtlosen Übergang.

Verfügt Yellowfin über eine Richtlinie für den Fernzugriff von Drittanbietern?

Wir erlauben Dritten keinen Zugriff auf die Produktionssysteme; interne Mitarbeiter verwalten alle Produktions- und Entwicklungsbelange

Müssen die Mitarbeiter von Yellowfin Vertraulichkeitsvereinbarungen unterzeichnen?

Alle Mitarbeiter müssen bei Arbeitsantritt ein NDA unterzeichnen, das unbegrenzt ist und geistiges Eigentum schützt. Dies schützt Yellowfin und seine Kunden. In Bezug auf die Kunden verhindert es, dass der Mitarbeiter vertrauliche Informationen weitergibt, die er im Rahmen seiner Tätigkeit als Vertreter von Yellowfin bei der Arbeit mit Kunden erhält.

Werden Yellowfin-Mitarbeiter auf Vorstrafen und Referenzen überprüft?

Yellowfin führt keine strafrechtlichen Überprüfungen von Mitarbeitern durch; Yellowfin führt keine Sicherheitsüberprüfungen von Mitarbeitern durch. Die Mitarbeiter werden bei der Einstellung einer Referenzprüfung unterzogen und unterzeichnen NDA und andere Unternehmensvereinbarungen zum Schutz von Firmengeheimnissen, geistigem Eigentum und Kundeninformationen.

Hat Yellowfin einen Ehrenkodex?

Yellowfin verfügt über einen unternehmensweiten Ethikkodex, der allen Mitarbeitern zur Verfügung steht. Dieser deckt alle Standards für Ehrlichkeit und Fairness in der Zusammenarbeit mit Kunden ab.
Das Dokument kann bei Unterzeichnung einer NDA zur Einsichtnahme zur Verfügung gestellt werden.

Erfüllt die Yellowfin-Software alle geltenden bundes- und einzelstaatlichen Anforderungen und Vorschriften der USA?

Die Yellowfin-Anwendung verfügt über robuste Sicherheitskontrollen und ein granulares Berechtigungsschema, das allen Anforderungen und Vorschriften gerecht wird. Als Unternehmen halten wir uns an alle relevanten Vorschriften.

Verwendet Yellowfin branchenübliche Sicherungsmethoden?

Yellowfin praktiziert 3.2.1 Backups von Kernsystemen, Daten und Informationen. Yellowfin erstellt täglich Backups in AZURE und der AWS-Cloud, um PIT-Verluste zu reduzieren.
Backups werden zur Sicherheit über öffentliche Kabel verschlüsselt.

Verfügen Sie über Kontrollmechanismen, um Cyber-Störungen Ihrer Netzwerke und letztlich Ihrer Fähigkeit, vertraglich vereinbarte Produkte oder Dienstleistungen zu liefern (Business Continuity), zu verhindern?

Yellowfin verfügt über ein breit gefächertes Angebot an IT-Kapazitäten bei AWS, Involta DC, dem Hauptsitz und den regionalen Niederlassungen. Dies bietet ein hohes Maß an Flexibilität und eingebauter Redundanz. Yellowfin schützt alle Endpunkte mit Bitdefender Cloud Endpoint Protection. Yellowfin schützt alle Außengrenzen mit Cisco 55X5-X Firewalls. Yellowfin schützt interne IP-Assets mit Cisco 55X5-X Firewalls. Yellowfin praktiziert 3.2.1 Backup der wichtigsten Vermögenswerte. Yellowfin beschäftigt einen speziellen Sicherheitsbeauftragten, der regelmäßig interne und externe Schnittstellen auf Schwachstellen überprüft und deren Behebung verwaltet.

Verwendet Yellowfin OpenSource-Software im Verborgenen und welche Schritte werden unternommen, um sicherzustellen, dass die OpenSource-Software keine Sicherheitslücken verursacht?

Yellowfin verwendet einige Open-Source-Bibliotheken innerhalb der Yellowfin-Codebasis. Yellowfin verwendet nur Open-Source-Bibliotheken, die frei von CopyLeft- oder Proprietär-Lizenzen sind. Yellowfin verwendet branchenübliche Tools wie SonarCube und SonaType, um die Yellowfin-Codebasis auf Sicherheitslücken, Bugs und Probleme, Open-Source-Schwachstellen und Open-Source-Bugs zu überprüfen. Yellowfin beschäftigt einen engagierten IS.-Berater, der sich ganztägig mit der Erkennung und Korrektur der Sicherheit des Yellowfin-Codes beschäftigt. Dazu gehört auch die Verwaltung der Open-Source-Lizenzierung, um die Einhaltung der Vorschriften zu gewährleisten.

Welche Schlüsselgröße verwendet Yellowfin für Kryptographieprozesse?

Yellowfin wählt je nach Unterstützung der JVM einen verfügbaren Algorithmus aus. Er probiert diese der Reihe nach aus: AES, 3DES, BlowFish, DES. Yellowfin verwendet die Standard-Schlüsselgröße für den gewählten Algorithmus.

Wie speichert Yellowfin Produktkennwörter?

Yellowfin verwendet den bCrypt-Algorithmus, um das Klartext-Passwort zu hashen und den Hash in der Kontrolldatenbank zu speichern. Yellowfin verwendet außerdem CRC- und andere Anti-Manipulationsmechanismen, um sicherzustellen, dass das Hash-Passwort nicht verändert oder ersetzt werden kann.

Wird für die Kommunikation zwischen Quelle und Ziel standardmäßig TLS verwendet?

Ja, die interne Tomcat-Instanz von Yellowfin unterstützt TLS 1.2.

Hat Yellowfin eine SOC2-Bewertung?

Die SOC-Berichte (Service Organization Controls) des American Institute of Certified Public Accountants (AICPA) geben Gewissheit über Kontrollumgebungen in Bezug auf den Abruf, die Speicherung, die Verarbeitung und die Übertragung von Daten. Die Berichte umfassen allgemeine IT-Kontrollen und Kontrollen in Bezug auf Verfügbarkeit, Vertraulichkeit und Sicherheit von Kundendaten.

Yellowfin hat eine erfolgreiche SOC2 Typ 2 Bewertung durchgeführt. Der Bericht ist auf Anfrage beim Yellowfin-Vertriebsteam gegen Vorlage eines unterzeichneten NDA erhältlich.