Anwendungssicherheit

Multi-Faktor-Authentifizierung
Alle Benify-Administratoren verfügen über individuelle Konten. Die Multi-Faktor-Authentifizierung ist für alle Administratoren aktiviert und der Zugriff wird nur gewährt, wenn sie mit mindestens zwei Faktoren authentifiziert wird.

Die Multi-Faktor-Authentifizierung für Endbenutzer kann über Google Authenticator aktiviert werden. Für schwedische Kunden ist es möglich, die Multi-Faktor-Authentifizierung über BankID zu verwenden.

Der Zugriff kann auch durch Single Sign On (SSO) mit SAML 2 verwaltet werden.

Passwörter
Endbenutzer haben individuelle Benutzerkonten und müssen mit mindestens einem Passwort authentifiziert werden. Die Passwortrichtlinie kann an die spezifischen Kundenanforderungen angepasst werden.

Das Zurücksetzen des Passworts erfolgt auf Anfrage und wird an die vorregistrierte E-Mail-Adresse des Benutzerkontos gesendet. Links zurücksetzen beinhaltet ein temporäres Passwort, das bei der ersten Anmeldung geändert werden muss. Alte Reset-Links verfallen mit dem Erzeugen eines neuen Reset-Links.

Die Anwendung erlaubt nur eine Anforderung zum Zurücksetzen des Passworts pro 30 Minuten.

Benutzerkonten werden nach fünf fehlgeschlagenen Anmeldeversuchen gesperrt. Konten werden für 24 Stunden gesperrt, bis ein neues Passwort festgelegt wird oder wenn ein Konto von einem Benify-Administrator manuell geöffnet wird.

Inaktivität des Benutzers
Alle Benutzer werden nach 30 Minuten Inaktivität automatisch abgemeldet.

Trennung der Kundendaten
Alle Kundendaten sind für jeden Kunden logisch getrennt, um die Vertraulichkeit und Integrität zwischen den Kunden zu gewährleisten. Jeder Kunde hat einen eindeutigen Firmenschlüssel, der zur Trennung der Daten verwendet wird.

Sensible Daten
Alle personenbezogenen Daten des Kunden werden gemäß der Benify-Richtlinie zur Klassifizierung von Informationen als streng vertraulich eingestuft. Darüber hinaus werden Informationen wie Gehalt, Boni usw. in der Benify-Anwendung als sensibel eingestuft.

Der Zugang zu sensiblen Informationen wird nur nach dem Prinzip der geringsten Privilegien gewährt.

Sensible Informationen sind standardmäßig für alle Benify-Administratoren maskiert. Die Berechtigungen zum Anzeigen maskierter Informationen werden durch die Rollenberechtigungen gesteuert.

Der Zugriff auf sensible Informationen ist Teil der jährlichen Überprüfung der Rollenberechtigung.

Ereignisprotokolle
Alle Aktivitäten in der Anwendung werden protokolliert. Unsere Protokolle enthalten Informationen über den Benutzer, Uhrzeit und Datum, Benutzeraktivität und kritische Sicherheitsereignisse (z.B. Authentifizierungsversuche, um die Regeln der Authentifizierung zu verletzen).

Um unsere Logs vor Manipulationen zu schützen, sind die Logs durch einen Integritätsprüfmechanismus geschützt und die Zugriffsrechte sind streng begrenzt.

Die Anwendungszeit wird über das Network Time Protocol (NTP) synchronisiert.

Verschlüsselung – Daten während der Übertragung
Die Kommunikation zwischen den Endbenutzer-Computer-Clients und den Servern von Benify erfolgt verschlüsselt über branchenübliche HTTPS- und Transport Layer Security (TLS) Verfahren über öffentliche Netzwerke.

Verschlüsselung – Daten im Ruhezustand
Produktions- und Backup-Daten werden im Ruhezustand mit AES 256-Bit-Verschlüsselung verschlüsselt.

Verschlüsselung – Integrationen
Benify empfiehlt dringend, dass alle Kundenintegrationen und Dateiübertragungen durch SFTP/HTTPS und Dateiverschlüsselung wie PGP geschützt sind.

Schutz von Authentifizierungsinformationen
Alle gespeicherten Passwörter werden mit SHA512 und einem Salz gehasht.

Schwachstellenüberprüfungen von Webanwendungen
Automatisierte Schwachstellenüberprüfungen von Webanwendungen (einschließlich OWASP Top 10) werden jede Woche gegen die Benify-Anwendung durchgeführt.

Alle Schwachstellen werden gemäß den internen Richtlinien und Verfahren klassifiziert und gemildert.

Schwachstellenüberprüfungen von Bibliotheken anderer Hersteller
Um Projektabhängigkeiten zu identifizieren und nach bekannten, öffentlich zugänglichen Schwachstellen in Bibliotheken Dritter zu suchen, führt Benify regelmäßig OWASP Dependency-Checks durch.

Durchdringungsprüfung
Benify beauftragt ein unabhängiges Sicherheitsunternehmen, um vierteljährlich vollständige Penetrationstests für Anwendungen durchzuführen. Darüber hinaus werden alle Anwendungs-Releases kontinuierlich getestet. Penetrationstests werden mit automatisierten und manuellen Tests durchgeführt und beinhalten Tests in Bezug auf internationale Benchmarking-Projekte und Standards wie OWASP Top Ten und WASC.