Customer Trust Portal

Zugriff auf Informationen und Ressourcen zu Symantecs Richtlinien und Standards für Informationssicherheit sowie zu Produktsicherungsprogrammen für den Schutz von Kundendaten.

Übersicht über Sicherheitsprogramme

Vertrauen ist grundlegend für unsere Geschäft

Schutz von Privatsphäre und personenbezogenen Daten

Der Schutz Ihrer wertvollsten Assets ist das Kerngeschäft unseres Unternehmens. Symantec bleibt daher wachsam, was den Schutz Ihrer personenbezogenen Daten und die Privatsphäre der Personen, für die diese Daten stehen, betrifft.

  • Daten und deren Schutz bestimmen unser gesamtes Handeln: Sicherheit, Compliance und Verantwortlichkeit bilden die Grundlage unseres Geschäfts und ermöglichen uns, die wertvollsten Assets unserer Kunden zu schützen.
  • Wir unterstützen die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und die Wahrung von Datenschutzrechten.
  • Jeder Mensch hat ein Recht auf den Schutz der Privatsphäre und der Schutz von personenbezogenen Daten – sowohl unserer eigenen als auch die unserer Kunden und Partner – ist Teil unseres Bekenntnisses zu unternehmerischer Verantwortung.
Globales Zertifikatsmanagement

Customer Trust Office

Das Customer Trust Office spielt eine Schlüsselrolle dabei, Symantec während des Verkaufsprozesses bei der Erfüllung seiner Sorgfaltspflicht gegenüber Kunden zu unterstützen und anschließend zu gewährleisten, dass Kunden angemessenen Einblick in Symantecs Richtlinien und Verfahren zur Informationssicherheit sowie seine Produktsicherungsprogramme erhalten. Dieses Team, das im Global Security Office (GSO) angesiedelt ist, arbeitet mit Sales-, Legal- und Produktteams zusammen, um Information Security Assessment ("ISA")-Fragebögen von Kunden zu beantworten oder Produktsicherungsdokumentation (z. B. ISO 27001-Zertifizierungen, SOC-Prüfberichte, Nachweise für Penetrationstests oder Ergebnisse von Sicherheitslückenscans) bereitzustellen.

Mehr erfahren

Sicherheitszertifizierungen

Datenschutzerklärung

Die Datenschutzerklärung von Symantec beschreibt die Kategorien von Daten, die wir über Symantec-Websites erfassen, sowie die Art und Weise, wie wir diese Daten nutzen und an wen wir sie ggf. übermitteln. Unsere Datenschutzerklärung beschreibt die Maßnahmen, die wir zum Schutz der Sicherheit der Daten ergreifen. Sie erfahren auch, wie Sie sich mit uns in Verbindung setzen können, um Ihre Daten zu aktualisieren, Ihren Namen aus unseren Mailing-Listen zu entfernen oder Antworten auf Ihre Fragen zu den Datenschutzpraktiken bei Symantec zu erhalten.

Mehr erfahren

Richtlinien und Standards zur Informationssicherheit

Symantecs Richtlinien und Standards zur Informationssicherheit orientieren sich an Branchenstandards wie ISO, CSA, NIST /IEC 27001, SOC 2 und PCI. Diese Richtlinien und Standards werden jährlich überprüft und gegebenenfalls aktualisiert. Folgende Bereiche der Informationssicherheit werden in Symantecs Richtlinien und Standards zur Informationssicherheit abgedeckt:

  • Risikomanagement und Compliance
  • Sicherheitstraining und -bewusstsein
  • Sicherheit von Mitarbeitern
  • Datenklassifizierung und -schutz
  • Verschlüsselung und Schlüsselmanagement
  • Verwaltung von und Reaktion auf Sicherheitsvorfälle
  • Risikomanagement entlang der Lieferkette
  • Logische Zugangskontrolle
  • Sicherheit am Arbeitsplatz und im Rechenzentrum
  • Endgerätesicherheit
  • Architektur- und Cloud-Sicherheit
  • Change Management
  • Asset Management
  • Sicherheit von Produktentwicklung und -betrieb
  • Geschäftliche Ausfallsicherheit und Disaster Recovery
  • Datensicherung und -wiederherstellung
  • Nutzungsrichtlinie und Umgang mit Speichermedien
  • Sicherheitslücken- und Patch-Management
  • Sicherheitsüberwachung

Mission

Symantecs weltweite Zertifizierungsexperten fördern aktiv das Bewusstsein für globale Best Practices für die Zertifizierung und stehen unseren Produktteams beratend und unterstützend zur Seite, um sie durch die geschäftlichen und technischen Verfahren zu leiten, die erforderlich sind, um Symantec-Produktzertifizierungen zu erlangen und aufrechtzuerhalten.

 

Symantec-Zertifizierungen

Common Criteria

Sechsundzwanzig Mitgliedsländer haben sich im internationalen Common Criteria Recognition Arrangement (CCRA) auf einen einheitlichen Ansatz bei der Bewertung der Sicherheitsfunktionen von IT-Produkten sowie auf gemeinsame Schutzprofile für Vertrauenswürdigkeit und Sicherheit der IT geeinigt. Von dieser Vereinbarung profitieren Regierungen der Mitgliedsnationen und andere Kunden von IT-Produkten, da sie für größere Klarheit bei Beschaffungsentscheidungen, höhere Präzision bei Evaluierungen, eine bessere Balance zwischen Sicherheit und Funktionalität sowie schnelleren Zugang zu Produkten aus der Branche sorgt.

Als Grundlage für die internationalen Standards ISO/IEC15408 und ISO/IEC 18045 bietet Common Criteria einen Rahmen, in dem:

  • Regierungs-, Militär- und andere Nutzer ihre Sicherheitsanforderungen an Funktionalität und Vertrauenswürdigkeit mithilfe von Schutzprofilen spezifizieren können,
  • Anbieter dann Sicherheitsmerkmale implementieren und/oder Aussagen zu den Sicherheitsmerkmalen ihrer Produkte treffen können,
  • und Testlabors die Produkte evaluieren können, um festzustellen, ob sie den Aussagen tatsächlich entsprechen.

Quelle: Common Criteria IT Security Evaluation & the National Information Assurance Partnership

Weitere Informationen erhalten Sie in der National Information Assurance Policy und den Common Criteria.

Mehr anzeigen
Ausblenden

 

Federal Identity, Credential and Access Management (FICAM)

FICAM TFS ist ein föderales Identity Framework für die US-Bundesregierung. Es enthält Leitlinien, Prozesse und unterstützende Infrastruktur, um eine sichere und optimierte Bereitstellung von Online-Dienstleistungen für Bürger und Unternehmen zu ermöglichen.

Symantec ist NSL IDEF-zertifiziert. IDEF ist das Identity Ecosystem Framework Version 1.0. Dabei handelt es sich um eine gültige und aktive Zertifizierung, die sowohl für den öffentlichen Sektor als auch den kommerziellen Markt gilt.

Die folgenden Norton Secure Login- und Zertifizierungspakete gelten für das von der General Services Administration (GSA) durchgeführte FICAM-Programm.  Hier erhalten Sie eine Liste zugelassener Identity Provider.

Weitere Informationen erhalten Sie von Adam Madlin.

Federal Information Processing Standard Publication 140-2 (FIPS 140-2)

FIPS 140-2-Produktstatus

Federal Information Processing Standard 140-2 (FIPS 140-2)-Validierung ist für alle Anbieter wichtig, die Verschlüsselungslösungen an Bundesbehörden vertreiben. Wenn Ihr Produkt irgendeine Form der Verschlüsselung verwendet, muss es wahrscheinlich nach den FIPS 140-2-Kriterien des Cryptographic Module Validation Program (CMVP) validiert werden, bevor es an eine Bundesbehörde oder Einrichtung des US-Verteidigungsministeriums verkauft und dort installiert werden kann. Das Programm wird gemeinsam vom National Institute of Standards and Technology (NIST) in den USA und dem Communications Security Establishment (CSE) in Kanada betrieben.

FIPS 140-2 beschreibt die Anforderungen der US-Bundesregierung, die IT-Produkte für den SBU (Sensitive, but Unclassified)-Einsatz erfüllen müssen. Der Standard wurde vom NIST veröffentlicht und von CSE übernommen. Er wird gemeinsam von diesen Institutionen unter dem Dach des CMVP verwaltet.

Der Standard definiert die Sicherheitsanforderungen, die ein Verschlüsselungsmodul erfüllen muss, das in Sicherheitssystemen zum Einsatz kommt, mit dem nicht als Verschlusssache eingestufte Daten geschützt werden. Es gibt vier Sicherheitsstufen: von Stufe 1 (niedrigste) bis Stufe 4 (höchste). Diese Stufen sollen das breite Spektrum potenzieller Anwendungen und Umgebungen abdecken, in denen Verschlüsselungsmodule bereitgestellt werden können. Die Sicherheitsanforderungen decken Bereiche ab, die sich auf das sichere Design und die sichere Bereitstellung eines Verschlüsselungsmoduls beziehen. Dazu gehören grundlegendes Design und Dokumentation, Modulschnittstellen, autorisierte Rollen und Services, physische Sicherheit, Softwaresicherheit, Betriebssystemsicherheit, Schlüsselmanagement, Verschlüsselungsalgorithmen, elektromagnetische Störungen/elektromagnetische Kompatibilität (EMI/EMC) und Selbsttests.  Hier erhalten Sie weitere Informationen zu FIPS 140-2-Anforderungen, einschließlich NIST-Links.

Liste validierter Symantec-Produkte

In der nachfolgenden Liste sind Symantec-Produkte mit Angabe ihres jeweiligen Status aufgeführt. Folgende Statusangaben sind möglich:

  • FIPS 140-2 zertifiziert
    • Das Produkt setzt ein vorhandenes Verschlüsselungsmodul (von Symantec oder einem anderen Anbieter) ein und hat einen "Private Label"-Validierungsprozess durchlaufen.
  • Konform
    • Das Produkt setzt ein vorhandenes zertifiziertes Verschlüsselungsmodul eines anderen Anbieters ein, hat aber keine ausdrückliche private Validierung von NIST erhalten.
  • N/A
    • Produkt enthält kein Verschlüsselungsmodul
  • Nicht zum gegenwärtigen Zeitpunkt
    • Das Produkt enthält ein Verschlüsselungsmodul, ist zum gegenwärtigen Zeitpunkt aber nicht für FIPS 140-2 validiert.

Die nachfolgende Momentaufnahme enthält eine sich laufend wandelnde Produktreihe, sodass die Genauigkeit nicht gewährleistet werden kann. Wir sind jedoch bemüht, diese Liste mit dem aktuellen Status/FIPS 140-2-Status für jedes Produkt auf dem neuesten Stand zu halten. Symantec bestätigt nicht, dass alle seine Software- und Hardware-Produkte, Services oder Appliance-Lösungen den FIPS 140-2-Anforderungen entsprechen oder nach diesen validiert sind.

Bei Fragen zu dem in diesem Dokument aufgeführten FIPS 140-2-Status, zu Inhalten oder um einen aktualisierten FIPS-Produktstatus zu melden, kontaktieren Sie uns.

FIPS-konforme Symantec-Produkte

Name des Symantec-Produkts Status Enthält Verschlüsselungsmodul Verschlüsselungsmodul-Typ
Data Center Security 6.6 FIPS-konform Ja OpenSSL mit BSAFE (Zertifikatsnummer 1058)
IT Management Suite 8.0 FIPS-konform Ja  
Critical System Protection 7.x FIPS-konform Ja  

Mehr anzeigen
Ausblenden

 

FIPS-validierte Symantec-Produkte

Name des Symantec-Produkts Status Enthält Verschlüsselungsmodul Verschlüsselungsmodul-Typ
Data Loss Prevention 12.5 FIPS-validiert Ja Symantec Java Cryptographic Module (Validierungszertifikat 2318)
Symantec DLP Cryptographic Module (Validierungszertifikat 2318)
Data Loss Prevention 14.0 FIPS-validiert Ja Symantec Java Cryptographic Module (Validierungszertifikat 2318)
Symantec DLP Cryptographic Module (Validierungszertifikat 2318)
Data Loss Prevention 15.0 FIPS-validiert Ja Symantec Java Cryptographic Module (Validierungszertifikat 2318)
Symantec DLP Cryptographic Module (Validierungszertifikat 2318)
Encryption – Desktop Email Encryption 10.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – Drive Encryption 10.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)  
Encryption – Endpoint Encryption 11.1.1 FIPS-validiert Ja PGP Cryptographic Engine 4.3
Encryption – File Share Encryption 10.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)  
Encryption – Gateway Email Encryption 3.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – Management Server 3.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – Mobile Encryption FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – PGP Command Line 10.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – PGP Key Management Client Access 10.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Encryption – PGP Key Management Server 3.3 FIPS-validiert Ja Symantec PGP SDK 4.2.1 (Zertifikatnummer 1684)
Endpoint Protection 12.1 FIPS-validiert Ja Symantec Java Cryptographic Module Version 1.2 (Zertifikatsnummer 2138) BSAFE
(Zertifikatsnummer 1786)
Endpoint Protection Small Business Edition 12.1 FIPS-validiert Ja Java Cryptography Module 1.3
Messaging Gateway 10.5 FIPS-validiert Ja Symantec Scanner Cryptographic Module; Symantec Control Center Cryptographic Module
OpenSSL & RSA B-safe Wrapper
Mobility Suite – Gehostet FIPS-validiert Ja OpenSSL
Mobility Suite – On-Premises FIPS-validiert Ja OpenSSL
Symantec Insight for Private Cloud FIPS-validiert Ja Verwendet zwei OpenSSL

Mehr anzeigen
Ausblenden

 

Symantec-Produkte ohne FIPS-Validierung

Name des Symantec-Produkts Status Enthält Verschlüsselungsmodul Verschlüsselungsmodul-Typ
Control Compliance Suite – AM N/A Nein  
Cyber Security DeepSight Intelligence Datafeed N/A Nein  
Cyber Security DeepSight Intelligence Portal N/A Nein  
Endpoint Protection Small Business Edition 2013 N/A Nein Open SSL 0.98
Mail Security for Domino 8.1 N/A Nein  
Mail Security for MS Exchange 7.5 N/A Nein  
Norton Secure Login Nicht zum gegenwärtigen Zeitpunkt Ja Java Crypto
Protection Engine 7.5 N/A Nein  
Protection for SharePoint Servers 6.0 N/A Nein  
Symantec Embedded Security: Critical System Protection 1.0 Nicht zum gegenwärtigen Zeitpunkt Ja OpenSSL
Validation and ID Protection Service (VIP) Nicht zum gegenwärtigen Zeitpunkt Ja FIPS-Modus OpenSSL

Mehr anzeigen
Ausblenden

Federal Risk and Authorization Management Program (FedRAMP)

Symantec-Produkt Status
Symantec VIP In Bearbeitung
Email Security for Government: SMG Autorisiert

 

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Zulassung und fortlaufende Überwachung von Cloud-Produkten und -Services bereitstellt. Dieser Ansatz arbeitet nach dem Prinzip "einmal ausführen, vielfach nutzen". Damit werden nicht nur die Regierungsausgaben um schätzungsweise 30 % bis 40 % gesenkt, sondern auch der für die Ausführung redundanter Sicherheitsbewertungen erforderliche Zeit- und Personalaufwand wird reduziert. FedRAMP ist das Ergebnis einer engen Zusammenarbeit von Cybersicherheits- und Cloud-Experten aus der General Services Administration (GSA), dem National Institute of Standards and Technology (NIST), dem Department of Homeland Security (DHS), dem Department of Defense (DOD), der National Security Agency (NSA), dem Office of Management and Budget (OMB), dem Federal Chief Information Officer (CIO) Council und seinen Arbeitsgruppen sowie aus der privaten Wirtschaft.

Ziele

  • Beschleunigung der Nutzung sicherer Cloud-Lösungen durch Wiederverwendung von Bewertungen und Zulassungen
  • Stärkung des Vertrauens in die Sicherheit von Cloud-Lösungen durch einheitliche Sicherheitszulassungen mithilfe einer Baseline aus vereinbarten Standards, die für die Genehmigung von Cloud-Produkten innerhalb oder außerhalb von FedRAMP verwendet werden
  • Gewährleistung einer einheitlichen Umsetzung vorhandener Sicherheitsverfahren und Stärkung des Vertrauens in Sicherheitsbewertungen
  • Stärkere Automatisierung und Daten nahezu in Echtzeit für die fortlaufende Überwachung

Vorteile

  • Vermehrte Wiederverwendung bereits bestehender Sicherheitsbewertungen in allen anderen Behörden
  • Beträchtliche Einsparungen bei Kosten, Zeit und Ressourcen – "einmal ausführen, vielfach nutzen"
  • Verbesserung der Echtzeit-Sicherheitstransparenz
  • Bereitstellung eines einheitlichen Ansatzes für risikoorientiertes Management
  • Erhöhung der Transparenz zwischen Behörden und Cloud Service-Providern (CSPs)
  • Verbesserung der Vertrauenswürdigkeit, Zuverlässigkeit, Einheitlichkeit und Qualität des staatlichen Sicherheitszulassungsprozesses

Hauptakteure

Am FedRAMP-Prozess sind drei Hauptakteure beteiligt: Behörden, CSPs und Third Party Assessment Organizations (3PAOs). Die Behörden sind dafür zuständig, einen Cloud-Service nach dem FedRAMP-Prozess auszuwählen und darauf zu achten, dass die CSPs die FedRAMP-Anforderungen einhalten. CSPs stellen den eigentlichen Cloud-Service für eine Behörde bereit und müssen FedRAMP-Anforderungen erfüllen, bevor sie ihre Services implementieren. 3PAOs führen eine erstmalige und regelmäßige Bewertung von CSP-Systemen auf der Grundlage der FedRAMP-Anforderungen durch, liefern Compliance-Nachweise und spielen eine wichtige Rolle bei der Gewährleistung, dass CSPs die Anforderungen fortlaufend einhalten.  Vorläufige Zulassungen (Provisional Authorizations, P-ATOs) nach FedRAMP müssen eine Bewertung eines akkreditierten 3PAO umfassen, um einen einheitlichen Bewertungsprozess sicherzustellen.

Wichtige Prozesse

Die FedRAMP-Zulassung von Cloud-Systemen erfolgt in einem dreistufigen Prozess:

  1. Sicherheitsbewertung: Der Sicherheitsbewertungsprozess nutzt einen standardisierten Satz von Anforderungen nach FISMA, um ausgehend von einer Baseline aus NIST 800-53-Kontrollen Sicherheitszulassungen zu erteilen.
  2. Nutzung und Zulassung: Bundesbehörden zeigen Sicherheitszulassungspakete im FedRAMP-Repository an und nutzen diese Pakete, um ihrer eigenen Behörde eine Sicherheitszulassung zu erteilen.
  3. Fortlaufende Bewertung und Zulassung: Nach Erteilung einer Zulassung müssen fortlaufende Bewertungs- und Zulassungsmaßnahmen durchgeführt werden, um die Sicherheitszulassung aufrechtzuerhalten.

Governance

FedRAMP ist ein Regierungsprogramm, an dem zahlreiche Ministerien, Behörden und staatliche Organisationen beteiligt sind. Das wichtigste Entscheidungsgremium des Programms ist das Joint Authorization Board (JAB), das sich aus CIOS aus dem Department of Defense, dem Department of Homeland Security und der General Services Administration zusammensetzt.  Neben dem JAB spielen das Office of Management and Budget, der Federal CIO Council, NIST, das Department of Homeland Security und das FedRAMP Program Management Office (PMO) wichtige Rollen bei der effektiven Verwaltung des FedRAMP.

 

Voluntary Product Accessibility Templates

Symantec engagiert sich für die Entwicklung von Technologielösungen, die es Personen aller Fähigkeiten ermöglichen, mit diesen Lösungen zu interagieren. Zu diesem Zweck nutzen wir die Voluntary Product Accessibility Template (VPAT™), die vom Information Technology Industry Council entwickelt wurde, um öffentlichen Auftraggebern und anderen Käufern die Möglichkeit zu geben, sich über Funktionen für Barrierefreiheit in unseren Produkten und Services zu informieren.

Die Veröffentlichung einer VPAT bedeutet jedoch keine Bescheinigung seitens Symantec, dass die Beschaffung von Elektronik- und Informationstechnologie die Anforderungen von Abschnitt 508 des Rehabilitation Act von 1973 (29 U.S.C. § 794 (d)) erfüllt.

Kontaktieren Sie uns, wenn Sie weitere Informationen zu Symantecs VPAT-Programm erhalten möchten.