Trend Micro Apex One as a Service Datenschutz, Sicherheit und Compliance

Trend Micro, ein weltweit führendes Unternehmen im Bereich der Cybersicherheit, trägt dazu bei, die Welt für den Austausch digitaler Informationen sicher zu machen. Auf der Grundlage jahrzehntelanger Sicherheitserfahrung, globaler Bedrohungsforschung und kontinuierlicher Innovation schützt unsere Cybersicherheitsplattform Hunderttausende von Unternehmen und Millionen von Einzelpersonen in Clouds, Netzwerken, Geräten und Endpunkten. Als führendes Unternehmen im Bereich Cloud- und Unternehmens-Cybersicherheit bietet unsere Plattform eine leistungsstarke Palette an fortschrittlichen Techniken zur Abwehr von Bedrohungen, die für Umgebungen wie AWS, Microsoft und Google optimiert sind, sowie eine zentrale Transparenz für eine bessere und schnellere Erkennung und Reaktion.

Trend Micro setzt sich für die Sicherheit und den Datenschutz unserer Kunden und ihrer Daten ein. Die folgenden Trend Micro Apex One™ as a Service-Ressourcen sind repräsentativ für unser Engagement für Sicherheit, Datenschutz, Transparenz und die Einhaltung anerkannter Branchenstandards. Weitere Informationen finden Sie im Trend Micro Trust Center.

Nachfolgend finden Sie die neuesten Informationen zu den Sicherheits-, Datenschutz- und Kompatibilitätsdetails für Trend Micro Apex One™ as a Service .

Allgemeine Informationen darüber, wie Trend Micro Ihre Daten schützt, finden Sie unter Globaler Trend Micro Datenschutzhinweis.

Je nach Art der geschützten Umgebung und des Objekts, das das Ziel des Sicherheitsereignisses ist (z. B. Dateien, Arbeitsspeicher, Netzwerkverkehr), besteht die Gefahr, dass persönliche Daten innerhalb eines Sicherheitsereignisses gesammelt werden. Die Konfiguration der Sicherheitsrichtlinie und die Modulauswahl werden bereitgestellt, um die Anforderungen Ihrer Zielumgebung zu erfüllen und dieses Risiko zu minimieren.

Weitere Informationen zu den Daten, die an Trend Micro und Kundensteuerungen über diese Daten gesendet werden, finden Sie im Trend Micro Apex One as a Service Hinweis zur Datenerfassung.

Trend Micro erfüllt die geltenden Gesetze einschließlich der Bestimmungen der DSGV. Weitere Informationen finden Sie auf der Website Trend Micro – DSGV-Konformität.

Einige Funktionen, die in Trend Micro Apex One™ as a Service zur Verfügung stehen, erfassen und senden Feedback hinsichtlich Produktnutzungs- und Erkennungsinformationen an Trend Micro. Weitere Informationen finden Sie in der Trend Micro Apex One as a Service Hinweis zur Datenerfassung.

Trend Micro hält sich an die Branchenstandards für Datensicherheit und stellt eine Übersicht über allgemeine Sicherheitsmethoden bereit. Darüber hinaus verwendet Trend Micro Apex One™ as a Service die von der Branche akzeptierten bewährten Methoden, um Ihre Daten zu schützen. Dazu gehören das Trennen einzelner Kundendaten und das Verschlüsseln von Daten für die Übertragung. Die Sicherung von Kundendaten erfolgt nach branchenüblichen bewährten Methoden, und unsere verschiedenen Zertifizierungen wie ISO 27001 (für Zugriffskontrolle und Kryptografie) und ISO 27017 (für die Überwachung von Cloud-Diensten und die Trennung von Umgebungen) helfen bei der Definition unserer Prozesse für die Sicherung und Wiederherstellung von Daten.

Alle Kundeninformationen werden getrennt, um sicherzustellen, dass Kunden nur Zugriff auf ihre eigenen Daten haben. Kundendaten werden während der Erfassung als Teil des Datenschemas mit einer „Kunden-ID“ gekennzeichnet. Für den Zugriff auf die Daten benötigt die interne Datenzugriffsschicht der Trend Micro Anwendung diesen „Kunden-ID“-Parameter. Mit diesen Maßnahmen werden die Kundendaten vor dem Zugriff durch eine andere Partei geschützt, da Abfragen möglicherweise nur auf eine „Kunden-ID“ gleichzeitig zugreifen. Kunden geben die „Kunden-ID“ nicht direkt bei der Interaktion mit dem Dienst an, sondern werden von der Anwendung selbst verarbeitet. Dadurch wird sichergestellt, dass es für einen bösartigen Akteur nicht möglich ist, die falsche Kunden-ID für den Zugriff auf einen anderen Datensatz zu übergeben.

Kundenkontaktdaten, wie z. B. die E-Mail-Adresse, werden im Hintergrund verschlüsselt, um die Vertraulichkeit zu gewährleisten. Die von Trend Micro Apex One™ as a Service gesammelten Daten werden im Trend Micro Apex One as a Service Hinweis zur Datenerfassung aufgelistet.

Im Ruhezustand: Sensible Daten werden durch native Cloud-Technologien auf der Cloud, auf der sie sich befinden, geschützt. Für Azure SQL wird die Datenbank durch Transparente Datenbankverschlüsselung verschlüsselt. Zusätzlich werden alle Benutzerkontopasswörter gehasht, gesalzen und verschlüsselt.

In Transit: Alle Backend-Daten im Transit werden mit TLS 1.2 (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) verschlüsselt, um den Datentransport von Knoten zu Knoten innerhalb des Azure-Backends zu sichern. Für die Kommunikation zwischen Endpunkten und der Cloud werden ältere HTTP-Kommunikationsprotokolle zur Abwärtskompatibilität mit Agenten in alten Versionen unterstützt. Die Uploads vom Endpunkt verwenden auch ein JSON-Web-Token für zusätzliche Sicherheit.

Der Zugang zu Trend Micro Büros und Netzwerken ist streng auf autorisierte oder begleitete Personen beschränkt. Der Zugang erfolgt über ein Schlüsselkartensystem und eine Genehmigung ist erforderlich, bevor der Zutritt zu sensiblen Bereichen gewährt wird. Die Trend Micro Apex One™ as a Service Infrastruktur wird in Microsoft Azure gehostet.

Trend Micro Apex One™ as a Service wird in einem stark eingeschränkten Subnetz ohne direkten Internetzugang gehostet. Nur eine begrenzte Anzahl von Administratoren hat Zugriff auf Trend Micro Apex One™ as a Service für Wartungsaufgaben oder Fehlerbehebung. Insbesondere erfordert die Fehlerbehebung, dass der Kunde ausdrücklich eine Zugriffsberechtigung erteilt. Der Zugriff durch den Betreiber erfolgt über sichere verschlüsselte Verbindungen und ist mit mehreren Schichten von Netzwerk- und Zugriffskontrollen gesichert.

Der Zugriff ist auf bestimmte erlaubte IP-Adressen beschränkt und wird in einem SIEM überwacht. Warnungen werden bei jedem verdächtigen Zugriff generiert. Die Untersuchung von Warnungen erfolgt gemäß den Vorfallmanagementverfahren.

Subunternehmer werden bei der Entwicklung oder dem Betrieb von Trend Micro Apex One™ as a Service nicht eingesetzt.

Trend Micro Apex One™ as a Service verwendet den Trend Micro Cloud One-Agent, um Folgendes zu überwachen: Anti-Malware, Firewall, Eindringungsschutz, Integritätsüberwachung und Protokollinspektion. Alle Zugriffe auf die Infrastruktur werden durch die von Microsoft Azure angebotenen nativen Sicherheitsdienste überwacht und protokolliert.

Trend Micro Apex One™ as a Service ermöglicht automatisierte Warnmeldungen und beschäftigt rund um die Uhr Bereitschaftspersonal. Sicherheitsprotokolle werden täglich für alle Systeme überprüft. Wenn ein Sicherheitsvorfall als Verdächtig eingestuft wird, wird er umgehend dem Trend Micro Security Operations Center (SOC) gemeldet. Potenzielle Vorfälle werden nach der Schwere des Verdächtigen Vorfalls priorisiert, und ein Team aus dem SOC sowie technische Experten werden zur Untersuchung zugewiesen.

Diese Protokolle verbleiben in der Region, die das Trend Micro Apex One™ as a Service-Konto hostet, und Kunden haben keinen Zugriff auf diese Protokolle. Weitere Informationen darüber, welche Regionen von Trend Micro Apex One™ as a Service abgedeckt werden, finden Sie in der Apex One as a Service Datenresidenzerklärung.

Wenn eine Kundenlizenz abläuft, werden alle Daten wie folgt gelöscht:

Trend Micro wird eine Trend Micro Apex One™ as a Service-Umgebung basierend auf den Anforderungen des Kunden bereitstellen. Die Trend Micro Apex One™ as a Service-Datenbankdaten haben eine Echtzeit-Backup-Funktion mit Azure SQL-Diensten und können auf jeden beliebigen Zeitpunkt der letzten 7 Tage wiederhergestellt werden. Trend Micro Apex One™ as a Service verfügt über ein tägliches Kundenkonfigurations-Backup für 7 Tage, um Probleme zu mindern. Die Validierungstests der gesicherten Daten werden regelmäßig zu Zwecken der Notfallwiederherstellung durchgeführt.

Trend Micro Apex One™ as a Service führt alle sechs Monate Testübungen (Simulationstests) durch, um eine vollständige Systemwiederherstellung durchzuführen. Wenn Trend Micro eine beschädigte Umgebung feststellt, wird das Backend-Team Wiederherstellungsskripte ausführen und die Kundenumgebung innerhalb von 30 Minuten wiederherstellen.

Trend Micro erstellt BCPs für Informationsverarbeitungsoperationen basierend auf den Ergebnissen der BIA und führt alle sechs Monate eine BCP-Übung durch. Der BCP ist durch unsere ISO 27001-Zertifizierung abgedeckt.

In Bezug auf Trend Micro Apex One™ as a Service:

Automatisierte Tests, die wöchentlich durchgeführt werden, um die Konsistenz unserer Backups zu validieren. Backups werden gespeichert, um das Risiko von Problemen innerhalb einer einzelnen Region zu mindern. DR-Simulationen werden regelmäßig durchgeführt, um die Daten und die RTO/RPO-Ansprüche zu überprüfen.

Trend Micro Apex One™ as a Service: Jegliche Auswirkungen auf den Dienst, ob geplant oder ungeplant, beeinträchtigen nicht den Schutz, den bestehende Agenten auf Kundenendpunkten bieten. Agenten, die vor der Dienstbeeinträchtigung aktiviert wurden, bieten weiterhin Schutz auf den Computern, auf denen sie laufen, bis der Zugriff auf den Dienst wiederhergestellt ist. Ereignisse werden in die Warteschlange gestellt, solange der Computer über genügend Speicherplatz verfügt, und der Agent überträgt Ereignisse an Trend Micro Apex One™ as a Service, sobald sie sich das nächste Mal verbinden. Agenten stellen die Verbindung automatisch wieder her, sobald der Dienst wiederhergestellt ist.

Das Trend Micro Apex One™ as a Service-Team hat auch detaillierte Verfahren zur Wiederherstellung nach Katastrophen für die manuelle Wiederherstellung veröffentlicht. Bitte beachten Sie https://success.trendmicro.com/en-US/solution/KA-0009727.

Um eine Anfrage zur Löschung von Daten einzureichen, besuchen Sie bitte https://www.trendmicro.com/en_us/about/trust-center/privacy/gdpr/individual-rights.html.

ISO 27001 enthält Bestimmungen zur Datenvernichtung. Trend Micro Apex One™ as a Service und Microsoft Azure sind ISO 27001-konform.

Kunden können eine Anfrage zur Löschung ihrer personenbezogenen Daten per E-Mail an Trend Micro unter gdpr@trendmicro.com senden.

Trend Micro Apex One™ as a Service Software-Entwickler werden zum Thema sichere Codierungspraktiken geschult, wobei ein auf dem Branchenstandard basierender Lehrplan (SANS 25/OWASP Top 10) verwendet wird. Schulungsmaßnahmen werden jährlich und bei Eintritt eines Mitarbeiters in das Unternehmen durchgeführt. Alle Mitarbeiter müssen die Trend Micro Richtlinien für die Nutzung von Internet, Computer, Remotezugriff und mobilen Geräten einhalten. Die Nichteinhaltung dieser Richtlinien kann Disziplinarmaßnahmen zur Folge haben. In den Entwicklungsteams von Trend Micro Apex One™ as a Service sind spezialisierte Mitarbeiter für die Handhabung der Produktsicherheit zuständig. Sicherheitstests, sichere Codeüberprüfung und Bedrohungsmodellierung gehören zum Entwicklungszyklus. Weitere Informationen zu unseren bewährten Methoden für sichere Codierung finden Sie im Trend Micro Trust Center for Compliance.

Trend Micro erfüllt die folgenden Kennwortrichtlinien und -standards:

Für unser Team hat die Gewährleistung, dass unsere Kunden weiterhin die neuesten Sicherheitsfunktionen auf sichere und zuverlässige Weise erhalten, oberste Priorität. Zusätzlich zu den Entwicklungsmethoden rund um die Codeüberprüfung, Funktionstests und Skalierungstests sowie unsere Schwachstellensuche und Penetrationstests ergreifen wir eine Reihe von Maßnahmen, um sicherzustellen, dass alle Dienstaktualisierungen auf sichere und kontrollierte Weise eingeführt werden. Alle Dienstaktualisierungen werden in kleinen, inkrementellen Aktualisierungen eingeführt, die zuerst in einer Staging-Umgebung und dann in der Produktion ausgeführt werden. Jede Änderung wird genau überwacht und es gibt mehrere Verfahren, sowohl automatisiert als auch manuell, um Situationen zu bewältigen, die möglicherweise auftreten. Alle Aktualisierungen des Diensts werden transparent für Kunden eingeführt und können bei unvorhersehbaren Problemen transparent zurückgesetzt werden.

Anwendungsaktualisierungen innerhalb der Trend Micro Apex One™ as a Service-Umgebung werden abgeschlossen, nachdem unsere Qualitätsziele erfüllt wurden. Trend Micro verwendet bewährte Methoden für Änderungen, einschließlich vollständiger Sicherungen und Genehmigungsprozesse. Trend Micro Apex One™ as a Service verfügt über mehrere dedizierte Entwicklungs- und Testumgebungen. Alle angeforderten Änderungen werden zuerst von technischen Akteuren überprüft, um die Dringlichkeit und die potenziellen Auswirkungen der Änderungen zu ermitteln. Für alle Änderungen ist ein dokumentierter Ausweichplan erforderlich. Diese Änderungen werden in einem Änderungskontrollsystem nachverfolgt und aufgezeichnet.

Schwachstellen werden kontinuierlich überwacht und verfolgt. Jede Sicherheitslücke erhält eine CVSS-Bewertung. Anforderungen an Patches, die Zeitrahmen für die Behebung einer Sicherheitslücke gemäß der auf CVSS basierenden Schwere festlegen, sind in der Richtlinie zur sicheren Entwicklungs-Compliance enthalten. Die Trend Micro Apex One™ as a Service-Software in der Trend Micro Apex One™ as a Service-Umgebung wird monatlich aktualisiert, um die neueste verfügbare Codebasis, einschließlich Sicherheitslückenbehebungen, zu verwenden. Das Trend Micro Apex One™ as a Service-Team ist für das Patchen der Trend Micro Apex One™ as a Service-Software und die Unterstützung von Microsoft Azure-Diensten verantwortlich.

Der Quellcode von Trend Micro wird mit statischer Code-Analyse unter Verwendung von Industriestandard-Tools wie Fortify, BlackDuck und anderen gescannt, die in jeder Entwicklungsstufe oder Phase eingesetzt werden. Außerdem verfügt Trend Micro über ein internes System namens Project Legal & Vulnerability Review System (PLVRS), um die Sicherheitslücken von Drittanbietern zu identifizieren. Sicherheitstests, sichere Code-Überprüfung und Bedrohungsmodellierung sind ebenfalls Teil des Entwicklungszyklus aller Trend Micro Produkte.

Trend Micro Apex One™ as a Service durchläuft von der Entwicklungsphase bis zur GM-Veröffentlichung strenge Qualitätskontrollen. Nach der Veröffentlichung führen die Teams wöchentlich automatisierte Schwachstellensuchen durch. Der Schweregrad von Schwachstellen wird anhand der CVSS-Bewertung beurteilt. Kritische Schwachstellen müssen innerhalb eines Monats behoben oder durch Maßnahmen zur Schadensbegrenzung oder Umgehung angegangen werden.

Trend Micro InfoSec führt bei jeder größeren Veröffentlichung und mindestens einmal jährlich Webanwendungsbewertungen von Trend Micro Apex One™ as a Service mit führenden dynamischen Analyse-Sicherheitstools durch.

Weitere Informationen über unser Programm zur Behebung von Schwachstellen finden Sie auf der Website Trend Micro Vulnerability Response.

Trend Micro verfügt über ein dediziertes Informationssicherheitsteam (InfoSec), das dafür verantwortlich ist, die Einhaltung der Trend Micro Sicherheitsrichtlinien sicherzustellen. Trend Micro Apex One™ as a Service Ingenieure wenden sich umgehend an das InfoSec-Team, wenn ein Sicherheitsvorfall entdeckt wird. Darüber hinaus überwacht InfoSec unabhängig voneinander die Protokolle der Trend Micro Apex One™ as a Service Umgebung. Wenn ein Sicherheitsvorfall entdeckt wird, wird der Vorfall auf Grundlage des Schweregrads priorisiert. Ein spezielles Team von technischen Experten wird mit der Untersuchung, der Beratung zu Eindämmungsverfahren, der Durchführung forensischer Untersuchungen und der Kommunikation beauftragt. Nach einem Vorfall untersucht das Team die Ursache und überarbeitet den Reaktionsplan entsprechend. Im Falle eines Verstoßes gegen das Datenschutzrecht, der Kundendaten betrifft, wird Trend Micro seinen Verpflichtungen gemäß den Bestimmungen der DSGV nachkommen. Weitere Informationen finden Sie auf der Website Trend Micro – DSGV-Konformität.