Demo
DE
DE
Demo anfordern

Sicherheit

So sichern wir unsere Produkte und die von ihnen erfassten Daten

Sicherheit

Unser Engagement für Sicherheit beginnt mit diesen Grundsätzen:

Der Zero-Trust-Ansatz von Verkada für Cloud-verwaltete „Internet of Things“-Geräte (IoT) geht grundsätzlich davon aus, dass unsere Systeme keinem Benutzer, Netzwerk oder Gerät ohne Authentifizierung und Autorisierung vertrauen sollten. Dieser Ansatz mindert die Risiken, die mit der Ausdehnung und Vernetzung von IoT-Geräten verbunden sind und andernfalls Einfallstore für potenzielle Cyberangriffe schaffen könnten.

  • Mitarbeitende von Verkada können auf die Produktinfrastruktur oder den Code von Verkada nur zugreifen, wenn sie sich per SAML-Single-Sign-On beim Identitätsanbieter von Verkada authentifizieren.

  • Der Identitätsanbieter von Verkada für die Produktinfrastruktur ist vom Unternehmensidentitätsanbieter von Verkada getrennt und erfordert eine Multi-Faktor-Authentifizierung, einschließlich Hardwareschlüsseln.

  • Mitarbeitende des Verkada Support, die über die Support-Tools von Verkada auf Kundendaten zugreifen, müssen zunächst über das Support-Berechtigungssystem eine zeitlich begrenzte Zustimmung des jeweiligen Kunden einholen.

  • Verkada wendet eine rollenbasierte Zugriffskontrolle mit geringsten Berechtigungen für den Zugriff auf die gesamte Produktinfrastruktur, alle Kundendaten und alle Verkada Geräte an. Dies bedeutet, dass wir die erforderliche Zugriffsstufe auf der Rolle eines Nutzers basieren und die niedrigstmögliche Zugriffsstufe bereitstellen. Rollen, die einen Zugriff mit hohen Privilegien erfordern, werden bei Bedarf und nur für einen begrenzten Zeitraum unter strenger Aufsicht gewährt.

  • Die gesamte Kommunikation mit den Produkten und Systemen von Verkada über öffentliche Netzwerke verwendet TLS 1.2 oder höher mit modernen Verschlüsselungssuite-Konfigurationen.

Wir entwickeln die Produkte und Schnittstellen von Verkada so, dass alle neuen Datentypen über eine begrenzte Anzahl von Schnittstellen mit verstärkter Sicherheit geleitet werden. Dieser Ansatz reduziert die Anzahl der Einstiegspunkte, die wir gegen potenzielle Angriffe sichern müssen, und ermöglicht es uns, unsere Sicherheitsressourcen auf jeden Einstiegspunkt zu konzentrieren.

  • Wir isolieren unsere Produktinfrastruktur vom Rest des Unternehmens bis hin zu einem separaten Identitätsanbieter für die Single Sign-On-Authentifizierung.

  • Wir entwickeln unsere Geräte-Firmware mit minimierten Betriebssystemen und so wenig Komponenten wie möglich, um potenzielle Angriffspunkte zu minimieren.

  • Wir verwenden auf unseren Geräten für alle Verwaltungsbefehle nur sichere Kanäle, die durch ausgehende Netzwerkaufrufe an ein sicheres API-Gateway in der Command-Plattform von Verkada hergestellt werden.

Wir entwickeln alle Aspekte des Sicherheitsprogramms von Verkada mit einem Ansatz, der die Automatisierung in den Mittelpunkt stellt. Dies hilft uns dabei, die Wirksamkeit des Sicherheitsprogramms von Verkada beizubehalten, während wir Lücken bei der Umsetzung unserer Richtlinien skalieren und minimieren.

  • Unser „Configuration-as-Code“-Ansatz stellt sicher, dass wir durchgängig sichere Konfigurationsmuster anwenden, die den Branchen-Benchmarks für die Härtung entsprechen.

  • Unser „Policy-as-Code“-Ansatz definiert die Richtlinien von Verkada als Regeln, die von der Software befolgt werden müssen, und erhöht so die Einhaltung dieser Richtlinien durch Verkada.

  • Patches für bekannte Schwachstellen werden mindestens alle 2 Wochen automatisch auf die Infrastrukturdienste angewendet.

  • Unsere Compliance-Automatisierungsplattform überwacht kontinuierlich die Einhaltung von Sicherheits- und Datenschutzstandards.

  • Wir führen eine kontinuierliche Überwachung der Sicherheitsprotokolle und eine automatische Erkennung potenzieller Sicherheitsvorfälle durch

Verkada integriert Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung und verwendet dazu einen mehrschichtigen, tiefgreifenden Verteidigungsansatz, um Schwachstellen zu verhindern und die Auswirkungen einer Ausnutzung zu mildern.

  • Unsere Softwareentwicklungsteams arbeiten mit einem Mitglied des Sicherheitsteams von Verkada zusammen, damit bewährte Sicherheitspraktiken von der Produkt- und Funktionskonzeption bis zur Fertigstellung eingehalten werden.

  • Wir implementieren die Software von Verkada auf festen Routen, die mit sicheren Konfigurationen und Voreinstellungen erstellt wurden, um im Voraus die richtigen Entscheidungen zu treffen.

  • Wir haben Leitlinien implementiert, um Sicherheitsinvarianten beizubehalten und so zu verhindern, dass in den Entwurfs- und Implementierungsphasen unsichere Entscheidungen getroffen werden.

  • Wir führen außerdem ein laufendes Bug-Bounty-Programm durch, im Rahmen dessen wir externen Sicherheitsforschern, die potenzielle Sicherheitsprobleme erkennen und melden, finanzielle Belohnungen anbieten.

Wir beauftragen unabhängige Sicherheitsberater, im Rahmen unseres laufenden Risikomanagements und unserer Kundensicherheit mindestens vierteljährlich, unabhängige Sicherheitsbewertungen durchzuführen.

Verfügbarkeit

So sorgen wir für die Verfügbarkeit unserer Produkte und Systeme

Führende Unternehmen weltweit erwarten, dass ihnen unsere Produkte und Dienstleistungen zur Verfügung stehen, wenn sie diese benötigen. Deshalb verpflichten wir uns, unsere Plattform in jedem Kalendermonat zu mindestens 99,99 % der Zeit verfügbar zu halten – und wir untermauern diese Verpflichtung mit unseren Service-Level-Standards. Kunden können den Systemstatus, den Vorfallstatus und die Historie der Verkada Command-Plattform live unter status.verkada.com einsehen. Auf dieser Seite können Kunden auch Statusaktualisierungen abonnieren.

Verlässlichkeit

So gewährleisten wir die Zuverlässigkeit unserer Produkte und Systeme

Wir wissen, dass unsere Kunden nicht nur erwarten, dass unsere Produkte und Dienstleistungen für sie verfügbar sind, wenn sie diese brauchen – sie müssen sich auch auf unsere Produkte und Dienstleistungen verlassen können, selbst wenn das Unerwartete eintritt. Aus diesem Grund haben wir redundante Prozesse, Standards und Wiederherstellungssysteme entwickelt, um die Dienste schnellstmöglich wiederherzustellen.

Verkada Command wird primär auf Amazon Web Services (AWS) gehostet und nutzt die Zuverlässigkeitskontrollen der AWS-Rechenzentren. Verkada hält sich an die im Pfeiler „Zuverlässigkeit“ des AWS Well-Architected Framework beschriebenen Designprinzipien und Best Practices.

Die Verkada-Cloud-Infrastruktur kann sich von Infrastruktur- oder Dienstunterbrechungen erholen, indem sie dynamisch Rechenressourcen erwirbt, um die Nachfrage zu decken und Störungen wie Fehlkonfigurationen oder vorübergehende Netzwerkprobleme zu mildern. Die Konfiguration wird durch Configuration-as-Code und Automatisierung für das Änderungsmanagement verwaltet.

Kundendaten werden in der Cloud-Infrastruktur von Verkada gespeichert, die AWS S3 oder Backblaze verwendet, die für eine Datenhaltbarkeit von mindestens 99,999999999 % konzipiert sind.

Verkada verfügt über Geschäftskontinuitäts- und Vorfallreaktionspläne, um schnell auf Betriebsunterbrechungen oder Sicherheitsvorfälle reagieren zu können und die Auswirkungen auf die Kunden zu minimieren. Wir testen diese Pläne mindestens einmal jährlich, um etwaige Lücken aufzudecken und zu beheben. Hierzu verwenden wir sowohl Planübungen als auch praktische Tastaturtests.

Verkada fertigt regelmäßig Sicherungskopien von Kundendaten an und bewahrt diese gemäß einem in der Informationssicherheitsrichtlinie vordefinierten Zeitplan auf und sichert Kameravideos kontinuierlich in der Cloud, wenn die Funktion für Kamera-Cloud-Backups aktiviert ist. Dieser Prozess schafft die notwendige Redundanz, um das Risiko eines Datenverlusts zu minimieren und im Falle eines Ausfalls, Systemfehlers oder einer Naturkatastrophe Dateien und Daten schnell wiederherzustellen.

Governance, Risk, Compliance (GRC)

So managen wir die Compliance – und wie unsere Produkte unseren Kunden dabei helfen können, ebenfalls konform zu sein

Mit jedem neuen Produkt, jeder neuen Technologie oder Partnerschaft müssen neue Fragen beantwortet und Entscheidungen hinsichtlich Sicherheit und Datenschutz getroffen werden. Ein robustes GRC-Framework trägt dazu bei, sicherzustellen, dass Verkada diese Entscheidungen treffen kann, während gleichzeitig die Compliance gewahrt, Risiken effektiv gemanagt und eine starke Governance-Struktur etabliert wird, die eine fundierte Entscheidungsfindung und Leistungsverwaltung fördert.

Der Chief Information Security Officer von Verkada überwacht unser Sicherheitsprogramm, leitet das Sicherheitsteam von Verkada und berichtet direkt an unseren Chief Technology Officer (der wiederum unserem CEO unterstellt ist). Unser CISO präsentiert dem Vorstand von Verkada außerdem vierteljährlich Updates über den Status und die Leistung unseres Sicherheitsprogramms.

  • Verkada verfügt über einen Sicherheits-Governance-Ausschuss, dem auch hochrangige Führungskräfte angehören. Dieser Ausschuss steuert die Sicherheitsstrategie und das Risikomanagement von Verkada und überwacht die Leistung des Sicherheitsprogramms.

  • Das Sicherheitsteam von Verkada führt regelmäßig Compliance-Audits durch und teilt die im Rahmen der kontinuierlichen Compliance-Überwachung gewonnenen Informationen.

Die Dokumentation zu den folgenden Sicherheitsstandards finden Sie hier.

Die Sicherheitspraktiken von Verkada entsprechen einer Vielzahl von Standards, die die Sicherheitsanforderungen der Kunden unterstützen.

Verkada führt mindestens vierteljährlich unabhängige Sicherheitsbewertungen der Verkada-Systeme durch.

SOC 2

Verkada führt jährlich SOC 2 Typ 2 Prüfungen gemäß den Kriterien für Sicherheitsvertrauensdienste durch.

ISO 27001:2022

Die Command Plattform von Verkada hat die Zertifizierung nach ISO 27001:2022 (Managementsysteme für Informationssicherheit) erhalten.

ISO 27017:2015

Die Command Platform von Verkada hat die Zertifizierung nach ISO 27017:2015 (Informationssicherheitskontrollen für Cloud-Dienste) erhalten.

ISO 27018:2019

Die Command Platform von Verkada hat die Zertifizierung nach ISO 27018:2019 (Schutz personenbezogener Daten (PII) in öffentlichen Clouds) erhalten.

TX-RAMP

Verkada verfügt seit dem 22. April 2024 über eine vorläufige Zertifizierung nach dem TX-RAMP (Texas Risk and Authorization Management Program).

FedRAMP

Die Verkada Command Platform für AWS GovCloud ist jetzt verfügbar. Verkada hat am 2. Juli 2024 die FedRAMP-Zertifizierung „Ready“ auf der Stufe „Moderate Impact“. Weitere Informationen zu Lösungen für Regierungsbehörden finden Sie unter verkada.com/government.

Um unsere Systeme zu bewerten und verbesserungswürdige Bereiche zu identifizieren, verwendet Verkada branchenübliche Fragebögen, darunter:

CAIQ

Der Fragebogen der Consensus Assessments Initiative bietet eine branchenweit anerkannte Methode, um zu dokumentieren, welche Sicherheitskontrollen vorhanden sind, und sorgt so für Transparenz bei den Sicherheitskontrollen.

HECVAT

Mit diesem Instrument zur Bewertung von Anbietern im Hochschulbereich können Colleges und Universitäten bestätigen, dass Daten- und Cybersicherheitsrichtlinien vorhanden sind, um sensible institutionelle Informationen zu schützen.

ISO 27701:2019

Verkada hat die Zertifizierung nach ISO 27701:2019 erhalten, einer international anerkannten Norm für das Management von Datenschutzinformationen.

Rahmenwerk zum Datenschutz

Verkada ist gemäß dem Data Privacy Framework (DPF) für Nicht-HR-Daten zertifiziert. Weitere Informationen finden Sie in unserer Zertifizierung auf der DPF-Website.

Verkada und unsere Kunden unterliegen unterschiedlichen Regulierungssystemen. Wir haben unsere Produkte und unsere internen Praktiken so konzipiert, dass wir diesen regulatorischen Verpflichtungen auf eine Weise nachkommen, die den Compliance-Anforderungen unserer Kunden gerecht wird.

HIPAA: Kunden im Gesundheitswesen, die gemäß HIPAA „Covered Entities“ sind, unterstützt Verkada bei der Einhaltung ihrer HIPAA-Verpflichtungen als Geschäftspartner.

DSGVO: Bezüglich der von Verkada-Produkten verarbeiteten personenbezogenen Daten unserer Kunden fungiert Verkada als für die Datenverarbeitung Verantwortlicher. Wir schließen mit unseren Kunden über unseren Datenverarbeitungszusatz Standardvertragsklauseln ab, um eine angemessene Grundlage für die Übermittlung personenbezogener Daten aus Großbritannien/der EU in die USA zu schaffen.

Datenschutzgesetze der US-Bundesstaaten: Verkada gestaltet seine Datenschutzpraktiken so, dass sie den sich entwickelnden Standards entsprechen, die durch umfassende bundesstaatsspezifische Datenschutzgesetze in den USA festgelegt wurden.

Bei Verkada sind wir ständig bestrebt, dafür zu sorgen, dass unsere Produkte den weltweit geltenden Gesetzen und Vorschriften entsprechen. Derzeit erfüllen die Produkte von Verkada, darunter Kameras und Alarmanlagen, die Konformitätsstandards für den Verkauf in den USA, Kanada, Großbritannien, der EU, Australien und Neuseeland. Auf Anfrage sind möglicherweise auch zusätzliche Zertifizierungen erhältlich.

Informationen zu bestimmten Produkten und Funktionen finden Sie weiter unten.

Alarmkonformität und Verfügbarkeit

Erfahren Sie mehr darüber, wo die Alarmsoftware, Hardwareprodukte, drahtlosen Produkte, Mobilfunkprodukte und Notrufsysteme von Verkada derzeit erhältlich sind.

Einhaltung der Vorschriften und Verfügbarkeit von People Analytics

Lesen Sie mehr darüber, wo die People-Analytics-Funktionalität von Verkada derzeit möglicherweise nicht verfügbar ist.

Hardware-Spezifikationen

Weitere Informationen zu den spezifischen Produktspezifikationen, einschließlich Hardware-Zertifizierungen, für jede Kamera oder Alarmanlage finden Sie unter dem Link „Mehr erfahren“ in den Produktbeschreibungen.