BigFix Trust Center
Software Security ist für HCLSoftware und unsere Kunden von zentraler Bedeutung. Sie spielt auch eine wesentliche Rolle in der Entwicklung von HCL BigFix. Die HCL-Sicherheitsstrategie umfasst alle Bereiche unseres Unternehmens, einschließlich unternehmensweiter Sicherheitsrichtlinien, Vorfallsmanagement und -reaktion, Geschäftskontinuität und Notfallwiederherstellung, sichere Softwareentwicklungsprozesse und Datenschutz.
Diese Webseite behandelt speziell den sicheren Entwicklungsprozess von HCL BigFix sowie Unternehmens- und Produktzertifizierungen, die für Kunden aus der Wirtschaft als auch den öffentlichen Einrichtungen relevant sind. Sie zeigt, wie die HCL BigFix-Lösung IT- und Security-Teams dabei unterstützt, ihre Endgeräteflotte zu schützen.
Sichere Produktentwicklung
HCLSoftware hält sich an strenge Entwicklungsprozesse, um den Code zu schützen, den wir unseren Kunden aus der Wirtschaft als auch den öffentlichen Einrichtungen zur Verfügung stellen.
Zusätzlich wird BigFix Content auf mehrere Weise geschützt. Erstens laufen die BigFix Content Servers in sicheren Rechenzentren. Zweitens begrenzen File Access Control Lists (FACL) den Zugriff und Änderungen auf autorisierte Nutzer. Und zuletzt wird BigFix Content während des sicheren Build-Prozesses kryptografisch signiert. Inhalte, die nicht korrekt signiert sind, werden von den BigFix Servers abgelehnt und als Fehler protokolliert. Dadurch ist der von Kunden heruntergeladene Content aus den BigFix Content Servers geschützt und sicher.
Sicherer Produktsupport
Unsere Product Support Teams schützen Kundendaten und -informationen, indem sie nur wesentliche Informationen erfassen, den Zugriff auf Kundenkontakt- und Falldaten auf diejenigen beschränken, die aktiv an der Problemlösung arbeiten, und sensible Kundendaten verschlüsseln, sodass sie nur von der vorgesehenen Partei gelesen werden können. Unsere Datenschutzrichtlinie umfasst:
- Erfassung nur der notwendigsten Unternehmens- und Kontaktinformationen
- Übermittlung von Kundendaten über HTTPS- und Transport Layer Security (TLS)-Protokolle
- Versand von Diagnosedaten über SFTP oder HTTPS mit TLS-Protokollen sowie Verschlüsselung gespeicherter Daten mit dem AES-Algorithmus
Die HCLSoftware Support-Organisation ist nach ISO27001-Zertifizierung zertifiziert. Externe Prüfer haben die Verfahren, Richtlinien und Prozesse von HCLSoftware überprüft und bestätigt, dass unser Information Security Management System (ISMS) den Anforderungen des Standards entspricht. Die ISO 27001-Konformität zeigt, dass wir in der Lage sind, Kundendaten und -informationen zu schützen.
HCL BigFix Security Bulletins
Das HCL Product Security Incident Response Team (PSIRT) verwaltet den Eingang, die Untersuchung und die interne Koordination gemeldeter Sicherheitslücken in HCLSoftware-Produkten. Das PSIRT arbeitet mit Produktentwicklungsteams zusammen, die gemeldete Sicherheitslücken analysieren und eine geeignete Reaktionsstrategie festlegen. Sobald diese definiert ist, kommunizieren die Produktteams mit internen und externen Parteien, um den Prozess zur Behebung der Sicherheitslücke umzusetzen. Weitere Informationen finden Sie auf der HCLSoftware PSIRT-Seite .
Das HCL PSIRT veröffentlicht Security Bulletins für Kunden und Partner. Jedes Security Bulletin beschreibt das CVE und verweist auf weitere Details sowie Maßnahmen zur Behebung. Eine Liste der BigFix Security Bulletins finden Sie im HCLSoftware Community Forum .
Produktzertifizierungen
HCL arbeitet mit einer Vielzahl von Organisationen zusammen, die unsere Compliance mit Branchenstandards für Sicherheit bewerten, damit Kunden und Partner sich auf die Integrität unserer Produkte verlassen können.Weitere Informationen zur Unternehmens-Compliance von HCLSoftware finden Sie auf der HCLSoftware Compliance Seite. Die folgenden HCL- und BigFix-Zertifizierungen wurden erhalten oder befinden sich, wie unten angegeben, in Bearbeitung.
Das Common Criteria Protection Profile for Application Software (CPP_APP_SW_V1.0e) legt strenge Sicherheitsanforderungen für Anwendungssoftware fest und berücksichtigt verschiedene Einsatzszenarien und Umgebungen. Diese Kriterien umfassen unter anderem sichere Installation, Konfigurationsmanagement, Verwendung kryptografischer Schlüssel, Datenschutz, sichere Software-Updates, Benutzerauthentifizierung, Zugriffskontrolle und Überprüfung der Laufzeitintegrität. Die Einhaltung dieser Standards zeigt bewährte Sicherheitspraktiken, die sich an globalen Maßstäben für IT-Sicherheit orientieren.
Darüber hinaus definiert das Funktionspaket für Transport Layer Security (PKG_TLS_v2.0) funktionale Anforderungen für die Implementierung der Protokolle Transport Layer Security (TLS) und Datagram TLS (DTLS). Die Anforderungen sollen die Sicherheit von Produkten verbessern, indem sie deren Evaluierung ermöglichen.
HCL BigFix v11, derzeit „In Evaluierung“ für die NIAP-Zertifizierung, wird sowohl nach dem Protection Profile for Application Software als auch nach dem Functional Package for Transport Layer Security bewertet, um seine Position als sichere und verlässliche Lösung für Endpoint Management weiter zu untermauern.
Die ISO-20243-Zertifizierung ist ein Open Trusted Technology Provider™ Standard (O-TTPS) zur Minderung von manipulierten und gefälschten Produkten. Sie umfasst Richtlinien, Empfehlungen und Anforderungen, die zur Sicherstellung der Integrität in der Technologieentwicklung beitragen und verhindern, dass solche Produkte in die globale Lieferkette gelangen.
Der Standard konzentriert sich auf überprüfbare Prozesse und Nachweise zur Umsetzung, um die Anforderungen von Kunden, Integratoren, Lieferanten, Prüfstellen und Regulierungsbehörden zu adressieren. Er enthält zudem bewährte Verfahren für die Umsetzung in allen Phasen des Produktlebenszyklus: Design, Beschaffung, Fertigung, Erfüllung, Vertrieb, Betrieb und Entsorgung.
ISO-20243-Zertifizierung für "Secure Supply Chain"
ISO/IEC 27001 legt die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Information Security Management System (ISMS) im organisatorischen Kontext fest. In Übereinstimmung mit ISO/IEC 27001 wurde das HCLSoftware Security and Compliance Team gegründet, um kritische Informationswerte zu schützen. Durch die Implementierung und kontinuierliche Verbesserung eines ISMS wird sichergestellt, dass die geltenden Informationssicherheitsziele erreicht werden und das ISMS sich an interne sowie externe Veränderungen anpassen kann. Das Ziel des ISMS ist es, die Informationswerte von HCLSoftware und seiner Kunden vor identifizierten Bedrohungen zu schützen – unabhängig davon, ob diese intern oder extern, beabsichtigt oder unbeabsichtigt sind.
ISO/IEC 27001-Zertifizierungen
Common Criteria (oder CC) ist ein internationaler Standard für die Zertifizierung von Computersicherheit. Es bietet die Gewissheit, dass der Prozess der Spezifikation, Implementierung und Bewertung eines Computersicherheitsprodukts auf eine systematische, standardisierte und wiederholbare Weise durchgeführt wurde, die dem Zielumfeld des Produkts entspricht.
Die OSCI hat die Evaluierung von HCL BigFix V10 abgeschlossen. OCSI verwaltet die Bewertung und Zertifizierung von IT-Sicherheitssystemen und -produkten.
Common Criteria-Zertifizierung
Dieser Federal Information Processing Standard (140-2) legt die Sicherheitsanforderungen fest, die von einem kryptografischen Modul erfüllt werden müssen, und bietet vier zunehmende qualitative Stufen, die ein breites Spektrum potenzieller Anwendungen und Umgebungen abdecken sollen. Die abgedeckten Bereiche, die sich auf das sichere Design und die Implementierung eines kryptografischen Moduls beziehen, umfassen Spezifikationen; Ports und Schnittstellen; Rollen, Dienste und Authentifizierung; Finite-State-Modell; physische Sicherheit; Betriebsumgebung; kryptografische Schlüsselverwaltung; elektromagnetische Störungen/elektromagnetische Verträglichkeit (EMI/EMC); Selbsttests; Designsicherheit und Minderung anderer Angriffe.
Das FIPS-Kryptomodul, das in BigFix v11 eingebettet ist, erfüllt diesen Standard.
BigFix Compliance entspricht dem Security Content Automation Protocol (SCAP) V1.3. SCAP ist eine Sammlung von Spezifikationen, die das Format und die Nomenklatur standardisieren, mit denen Informationen über Softwarefehler und Sicherheitskonfigurationen sowohl an Maschinen als auch an Menschen übermittelt werden.
BigFix Compliance V9.2 hat die SCAP v1.2-Zertifizierung erhalten und BigFix Compliance V10befindet sich im Zertifizierungsprozess für SCAP v1.3.
Security Content Automation Protocol (SCAP) Zertifizierung
Link zum Zertifizierungsdokument wird bereitgestellt, sobald verfügbar.
CIS-Benchmarks werden als Best Practices zur Verfügung gestellt, um Betriebssysteme und Software abzusichern und konfigurationsbedingte Schwachstellen für Cyberangriffe zu beseitigen.
BigFix Compliance V10 ist die neueste Version, die die CIS Security Software Zertifizierung für CIS-Benchmarks erhalten hat.
CIS Security Software Zertifizierung
Anmerkung zur US-Bundesregierung
Kunden der US-Bundesregierung sollten
BigFix für die US-Bundesregierung besuchen, um mehr zu erfahren.
Ihre Privatsphäre
Wir setzen uns dafür ein, die Privatsphäre der Besucher unserer Websites, der Personen, die sich für die Nutzung unserer Produkte und Services registrieren, der Teilnehmer an unseren Unternehmensveranstaltungen und Webinaren sowie unserer Geschäftspartner zu schützen. Weitere Informationen finden Sie in der HCL-Datenschutzerklärung.
Zusammenfassung
Unsere Kunden können sich darauf verlassen, dass Sicherheit für uns an erster Stelle steht, wenn wir effektive und sichere Endpoint-Management-Lösungen entwickeln, testen und bereitstellen – sowohl für Unternehmen als auch für öffentliche Einrichtungen. Für weitere Informationen kontaktieren Sie uns gerne.
