JFrog Trust

Häufig gestellte Fragen

  • Compliance von JFrog

    • Zertifikatsprogramm

      • Erfüllt JFrog die Vorgaben von SOC2 Typ II?
      • Erfüllt JFrog die Anforderungen von ISO 27001?
      • Erfüllt JFrog die Anforderungen von PCI DSS?
    • Risikobewertung

      • Haben Sie eine formelle Informationssicherheitsrichtlinie, die mindestens einmal im Jahr überprüft und von einer Führungskraft genehmigt wird?
      • Führen Sie eine unternehmensweite Sicherheitsrisikobewertung durch?
    • Datenschutz

      • Hat JFrog für jeden seiner Dienste eine Datenschutzrichtlinie?
      • Erfasst, verarbeitet oder speichert das Unternehmen zur Erbringung der jeweiligen Dienste personenbezogene Daten?
      • Entspricht JFrog dem CCPA?
      • Erfüllt JFrog die DSGVO?
  • Produktsicherheit

    • Anwendungssicherheit

      • Welche Sicherheitskontrollen nutzt JFrog, um seine Infrastruktur und Anwendungen zu schützen (z. B. IDS, Web Application Firewall)?
      • Gewährleistet JFrog, dass die zu installierende Version der Anwendung mit einem konformen Penetrationsverfahren getestet wurde?
      • Verwendet JFrog Netzwerk-Tools zum Schutz der WAF sowie vor DDoS-Angriffen?
      • Wie handhabt JFrog Schwachstellen in seinen Produkten und in den Docker-Images, die an Kunden ausgeliefert werden? Wie werden Schwachstellen behoben? Wie verwaltet JFrog die Patch-Bereitstellung und -Häufigkeit?
    • Kontosicherheit

      • Wird die auf SAML 2.0 basierende Identity Federation unterstützt?
      • Besitzt die JFrog-Plattform Kontrollen zur Einschränkung des Benutzerzugriffs auf Daten?
      • Wie schützen Sie vertrauliche Daten wie Anmeldeinformationen von Benutzern, API-Token und Verschlüsselungsschlüssel?
    • Sichtbarkeit und Überwachung

      • Welche Daten werden protokolliert?
  • Cloud-Sicherheit

      • Wie werden Anwendungen zur Unterstützung der Infrastruktur bereitgestellt?
      • Hat Ihr Unternehmen eine öffentlich zugängliche Webseite zum Systemstatus, auf der Angaben zu geplanten Wartungen, Servicevorfällen und der Ereignisverlauf einsehbar sind?
  • Daten

    • Datenverschlüsselung

      • Wie werden Daten während der Übertragung geschützt?
      • Wie werden die Daten im Ruhezustand geschützt, wenn die Verschlüsselung in der gehosteten Umgebung aktiviert ist?
      • Wie werden Verschlüsselungsschlüssel für die Verschlüsselung von Daten im Ruhezustand gespeichert?
    • Datenmanagement

      • Wie werden Daten sicher gelöscht, nachdem ein Konto deaktiviert und gekündigt wurde?
      • Wie werden Kundendaten von den Daten anderer Mandanten isoliert (z. B. in einer separaten Datenbank oder durch Anwendungslogik oder andere Mechanismen)?
  • Management von Sicherheitsvorfällen

      • Wie werden Anomalien erkannt?
      • Verfügt Ihr Unternehmen über einen Cyber Security Incident Response-Plan und Prozesse zur Meldung eines Vorfalls?
      • Verfügt das Unternehmen über entsprechende Ressourcen, um rund um die Uhr auf Sicherheitswarnungen und -ereignisse reagieren zu können?
      • Wie stellt das Unternehmen die kontinuierliche Bewertung und Behebung seiner Cyber-Schwachstellen sicher?
  • Zugriffskontrolle und Identitätsmanagement

      • Für Anwendungen, die in Public Clouds oder an Co-Locations gehostet werden: Welche Kontrollen werden für den administrativen Remotezugriff auf die Infrastruktur (z. B. Site-to-Site-VPN oder Multi-Faktor-Authentifizierung) angewendet?
      • Welche Sicherheitskontrollen verwenden Sie, um sich auf Ihren eigenen und den von Ihnen genutzten Domains vor Mail-Spoofing und gefälschten E-Mails zu schützen?
      • Wendet Ihr Unternehmen Richtlinien und Sicherheitsmaßnahmen für die Nutzung von Geräten an?
  • Bewusstsein und Ausbildung

      • Sind alle Mitarbeiter hinsichtlich der Informationssicherheitsrichtlinien und -verfahren des Unternehmens geschult?