JFrog Trust Compliance

Zertifikatsprogramm

1. Erfüllt JFrog die Vorgaben von SOC2 Typ II?

   Ja, Ernst & Young hat den Bericht zu den internen Kontrollen und Verfahren (SOC2 Typ II) von JFrog geprüft, in dem die für unsere Betriebsabläufe und die Compliance durchgeführten Kontrollmaßnahmen erläutert sind. Erfahren Sie mehr über unser Zertifikatsprogramm unter https://jfrog.com/de/trust/certificate-program/.

2. Erfüllt JFrog die Anforderungen von ISO 27001?

   Ja, JFrog ist nach ISO 27001 zertifiziert, dem internationalen Standard für IT-Sicherheitsmanagement. Erfahren Sie mehr über unser Zertifikatsprogramm unter https://jfrog.com/de/trust/certificate-program/.

3. Erfüllt JFrog die Anforderungen von PCI DSS?

   Ja, JFrog ist gemäß PCI DSS 3.2, SAQ A zertifiziert, einem Industriestandard, der vom Payment Card Industry Security Standards Council verwaltet wird. Erfahren Sie mehr über unser Zertifikatsprogramm unter https://jfrog.com/de/trust/certificate-program/.

Risikobewertung

1. Haben Sie eine formelle Informationssicherheitsrichtlinie, die mindestens einmal im Jahr überprüft und von einer Führungskraft genehmigt wird?

   Alle Richtlinien werden jährlich überprüft und vom JFrog-Management genehmigt.

2. Führen Sie eine unternehmensweite Sicherheitsrisikobewertung durch?

   Ja, diese erfolgt gemäß ISO 27001.

Datenschutz

1. Hat JFrog für jeden seiner Dienste eine Datenschutzrichtlinie?

   Ja. Weitere Informationen erhalten Sie unter https://jfrog.com/de/trust/privacy/

2. Erfasst, verarbeitet oder speichert das Unternehmen zur Erbringung der jeweiligen Dienste personenbezogene Daten?

   JFrog hat Zugriff auf minimale personenbezogene Daten, die unter anderem zur Bereitstellung der Dienste für unsere Kund*innen sowie den internen Gebrauch genutzt werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung unter https://jfrog.com/de/trust/privacy/.

3. Entspricht JFrog dem CCPA?

   JFrog hat bewährte Maßnahmen ergriffen, um die Einhaltung des California Consumer Privacy Act (CCPA) sicherzustellen.
   

4. Erfüllt JFrog die DSGVO?

   JFrog hat bewährte Maßnahmen ergriffen, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sicherzustellen.
   

Anwendungssicherheit

1. Welche Sicherheitskontrollen nutzt JFrog, um seine Infrastruktur und Anwendungen zu schützen (z. B. IDS, Web Application Firewall)?

   Im Rahmen unseres mehrschichtigen Schutzansatzes wurde ein spezielles Ökosystem zur Eingrenzung von DDoS-Angriffen eingerichtet. JFrog nutzt Anti-DDoS-Schutz, eine Web Application Firewall (WAF) der nächsten Generation, ein API-Schutztool, erweiterte Geschwindigkeitsbegrenzung und Bot-Schutz.

2. Gewährleistet JFrog, dass die zu installierende Version der Anwendung mit einem konformen Penetrationsverfahren getestet wurde?

   Zum Abschluss unseres Entwicklungszyklus werden unsere Produkte und Funktionen kontinuierlich sowohl intern durch das für die Anwendungssicherheit zuständige JFrog-Team als auch extern von sachkundigen externen Expertenteams einer Reihe von Penetrationstests unterzogen.

3. Verwendet JFrog Netzwerk-Tools zum Schutz der WAF sowie vor DDoS-Angriffen?

   Im Rahmen unseres mehrschichtigen Schutzansatzes wurde ein spezielles Ökosystem zur Eingrenzung von DDoS-Angriffen eingerichtet. JFrog nutzt Anti-DDoS-Schutz, eine Web Application Firewall (WAF) der nächsten Generation, ein API-Schutztool, erweiterte Geschwindigkeitsbegrenzung und Bot-Schutz.

4. Wie handhabt JFrog Schwachstellen in seinen Produkten und in den Docker-Images, die an Kunden ausgeliefert werden? Wie werden Schwachstellen behoben? Wie verwaltet JFrog die Patch-Bereitstellung und -Häufigkeit?

   JFrog verfügt über ein umfassendes und automatisiertes Verfahren für das Schwachstellenmanagement, die Bedrohungspriorisierung sowie die Patch-Bereitstellung, um sicherzustellen, dass kritische Schwachstellen schnell erkannt und behoben werden. Um Sicherheitsrisikoanalysen durchzuführen, arbeiten wir im Rahmen unseres internen DevSecOps-Prozesses mit Xray zusammen. Dadurch können wir Builds automatisch stoppen, wenn Xray Sicherheitslücken in unseren Pipelines erkennt.

Kontosicherheit

1. Wird die auf SAML 2.0 basierende Identity Federation unterstützt?

   Die JFrog Platform bietet einen SAML-basierten Dienst für die Einmalanmeldung, der verbundenen JFrog-Partnern (Identitätsanbietern) volle Kontrolle über den Autorisierungsprozess ermöglicht.

2. Besitzt die JFrog-Plattform Kontrollen zur Einschränkung des Benutzerzugriffs auf Daten?

   Die JFrog Platform bietet ein flexibles Berechtigungsmodell, mit dem Administratoren exakt kontrollieren können, wie Benutzer und Gruppen auf die verschiedenen Ressourcen zugreifen. Berechtigungen werden von einem zentralen Speicherort aus verwaltet, an dem die Zugriffsberechtigungen von einzelnen Benutzern oder Gruppen gesteuert werden können.

3. Wie schützen Sie vertrauliche Daten wie Anmeldeinformationen von Benutzern, API-Token und Verschlüsselungsschlüssel?

   Vertrauliche Kundendaten wie Passwörter und API-Schlüssel werden von den Anwendungen verschlüsselt.

Sichtbarkeit und Überwachung

1. Welche Daten werden protokolliert?

   Die JFrog Platform bietet für alle JFrog-Produkte Prüfpfadprotokolle und standardisierte Protokolle.
   

1. Wie werden Anwendungen zur Unterstützung der Infrastruktur bereitgestellt?

   JFrog-Kunden können mit Artifactory Cloud alle Cloud-Dienste bei einem der drei gängigen Cloud-Anbieter hosten: Google Cloud Platform (GCP), Amazon Web Services (AWS) oder Microsoft Azure.
   JFrog bietet eine vielschichtige Architektur für Ihre JFrog-Bereitstellung, wie etwa hochverfügbare Systeme, Backups und mehr.
   JFrog unterstützt auch hybride Lösungen für Kunden, die selbstverwaltete Lösungen und Cloud-Anwendungen kombinieren möchten.

2. Hat Ihr Unternehmen eine öffentlich zugängliche Webseite zum Systemstatus, auf der Angaben zu geplanten Wartungen, Servicevorfällen und der Ereignisverlauf einsehbar sind?

   JFrog meldet den Status unserer Plattform sowie entsprechende Vorfälle unter https://status.jfrog.io/.

Datenverschlüsselung

1. Wie werden Daten während der Übertragung geschützt?

   Die Daten der Kunden werden während der Übertragung über HTTPS mit TLS V1.2 verschlüsselt.

2. Wie werden die Daten im Ruhezustand geschützt, wenn die Verschlüsselung in der gehosteten Umgebung aktiviert ist?

   Alle gehosteten Daten werden im Ruhezustand sicher in einer gemeinsam genutzten Datenbank und einem gemeinsam genutzten Objektspeicher mit SHA-256 Verschlüsselung gespeichert.

3. Wie werden Verschlüsselungsschlüssel für die Verschlüsselung von Daten im Ruhezustand gespeichert?

   Alle unsere Verschlüsselungsschlüssel werden von einem in der Cloud gehosteten Key-Management-Service gespeichert und verwaltet. Damit können wir Verschlüsselungsschlüssel erstellen und managen sowie deren Nutzung über ein breites Servicespektrum und in Ihren Anwendungen kontrollieren. Dies ermöglicht es uns, Verschlüsselungsschlüssel zu generieren, zu nutzen, zu rotieren und zu zerstören.

Datenmanagement

1. Wie werden Daten sicher gelöscht, nachdem ein Konto deaktiviert und gekündigt wurde?

   Ein kommerzielles Kundenkonto wird normalerweise nach einer Inaktivität von 60 Tagen bzw. 30 Tage nach Ablauf des aktuellen Abonnementzeitraums deaktiviert. Wenn der Kunde sich nicht an unser Support-Team wendet, löschen wir die Daten vollständig.
   Ein kostenloses Konto wird normalerweise nach einer Inaktivität von 21 Tagen deaktiviert. 7 Tage danach werden alle Daten der JFrog SaaS-Lösung gelöscht.
   Weitere Informationen finden Sie in Abschnitt 14.6 unserer EULA unter https://jfrog.com/de/jfrog-cloud-general-terms/.

2. Wie werden Kundendaten von den Daten anderer Mandanten isoliert (z. B. in einer separaten Datenbank oder durch Anwendungslogik oder andere Mechanismen)?

   Jedes Kundenkonto wird mit einer einzigartigen ID bereitgestellt, um eine angemessene Trennung zu gewährleisten.
   
   Jedes Kundenkonto wird mit seiner einzigartigen und eng gestalteten Rolle ausgestattet, basierend auf dem Prinzip der geringstmöglichen Berechtigungen. Wir erteilen ausschließlich diejenigen Berechtigungen, die nötig sind, um die Aufgaben durchführen und auf geteilte Ressourcen zugreifen zu können, wie beispielsweise Datenbanken und Cloud-Objektspeicher.
   
   Die Standard- und automatische Bereitstellung der JFrog SaaS-Lösung befindet sich auf einem geteilten Umfeld, einschließlich der folgenden Ressourcen:
   
   Der Load Balancer ist eine auf regionaler Ebene gemeinsam genutzte Komponente.
   Das Datenbankschema und die Rolle der Anwendung werden für jeden Kunden individuell zugewiesen. Die Anwendungsdatenbank ist ein von einem Cloud-Anbieter verwalteter und auf regionaler Ebene freigegebener Dienst.
   Jeder Kunde hat seine eigene eindeutige Rolle mit Berechtigungen für seine eigenen Dateien. Der Dateispeicher der Anwendung ist ein von einem Cloud-Anbieter verwalteter und auf regionaler Ebene freigestellter Dienst.

1. Wie werden Anomalien erkannt?

   Das Cyber Incident Response Team (CIRT) von JFrog überwacht fortlaufend die Protokolle unserer Produkte, den Infrastrukturbetrieb sowie die Systemüberwachungsprotokolle in unserem internen SIEM (Security Information and Event Management), um potenzielle Vorfälle schnell und effizient zu erkennen. Im Rahmen dieses fortlaufenden Einsatzes prüft das CIRT-Team Berichte aus dem Bug-Bounty-Programm, dem Programm zur Offenlegung von Schwachstellen, automatisierten Scannern, dem Support-Portal für Kunden und dem Posteingang für Sicherheits-E-Mails.

2. Verfügt Ihr Unternehmen über einen Cyber Security Incident Response-Plan und Prozesse zur Meldung eines Vorfalls?

   Ja. Unser Cyber Security Incident Response-Team folgt klar definierten und detaillierten Methoden und Verfahren, um jede Art von Vorfall zu identifizieren, einzudämmen, zu untersuchen, zu melden und zu beheben.

3. Verfügt das Unternehmen über entsprechende Ressourcen, um rund um die Uhr auf Sicherheitswarnungen und -ereignisse reagieren zu können?

   Ja. Um schnelle und effiziente Reaktionen zu gewährleisten, ist unser SOC (Security Operations Center) mit hochqualifizierten und erfahrenen Sicherheitsexperten besetzt, die die Einhaltung unserer internen SLA-Richtlinien sicherstellen.

4. Wie stellt das Unternehmen die kontinuierliche Bewertung und Behebung seiner Cyber-Schwachstellen sicher?

   JFrog verfügt über ein Programm, das Schwachstellen aus unterschiedlichen Quellen bewertet, überwacht und verwaltet und diese gemäß unserem internen SLA behebt.
   Wir haben auch Bug-Bounty-Programme sowie Programme zur Offenlegung von Schwachstellen, die uns bei der Identifizierung von Schwachstellen helfen. Probleme werden vom Sicherheitsteam bewertet und untersucht und entsprechend ihren möglichen Auswirkungen und ihrem Schweregrad behoben.
   Penetrationstests, die dazu beitragen, den gesamten Sicherheitsstatus der Produktionsplattform sicherzustellen, werden mindestens einmal jährlich von einem externen Drittanbieter sowie intern vom Sicherheitsteam durchgeführt.
   Darüber hinaus erfolgen laufend Sicherheitsscans.

1. Für Anwendungen, die in Public Clouds oder an Co-Locations gehostet werden: Welche Kontrollen werden für den administrativen Remotezugriff auf die Infrastruktur (z. B. Site-to-Site-VPN oder Multi-Faktor-Authentifizierung) angewendet?

   JFrog verwendet eine Zero-Trust-Lösung, um die sichere Verbindung unsere Mitarbeitenden, Geräte und Apps über das interne Netzwerk von JFrog zu gewährleisten. Unsere Zero-Trust-Lösung umfasst Web- und URL-Filter, Sandboxing, eine Cloud-Firewall, CASB sowie DLP.
   Die Techniker von JFrog greifen über eine fortschrittliche 2FA- und Just-in-Time-Lösung auf unsere Produktionsressourcen zu. Damit können wir das Prinzip der geringstmöglichen Berechtigungen anwenden und ein vollständiges Audit durchführen.

2. Welche Sicherheitskontrollen verwenden Sie, um sich auf Ihren eigenen und den von Ihnen genutzten Domains vor Mail-Spoofing und gefälschten E-Mails zu schützen?

   Für die E-Mail-Authentifizierung nutzt JFrog.com SPF (Sender Policy Framework) und DMARC (Domain-based Message Authentication, Reporting, and Conformance). Darüber hinaus verwendet JFrog spezielle E-Mail-Schutzlösungen zur Vorbeugung gegen Malware, Zero-Day-Angriffe, Phishing, BEC (Business E-Mail Compromise), Spam und N-Days.

3. Wendet Ihr Unternehmen Richtlinien und Sicherheitsmaßnahmen für die Nutzung von Geräten an?

   Ja, alle JFrog-Laptops werden per MDM verwaltet, unterliegen einer Verschlüsselungsrichtlinie und sind durch fortschrittliche Anti-Malware-Software geschützt.

1. Sind alle Mitarbeiter hinsichtlich der Informationssicherheitsrichtlinien und -verfahren des Unternehmens geschult?

   Alle JFrog-Mitarbeiter erhalten sowohl während des Onboardings als auch danach jährlich eine obligatorische Cybersicherheits- und Datenschutzschulung.