Yext Sicherheit

Die Sicherheit Ihrer Daten hat bei Yext höchste Priorität. Sie vertrauen uns Ihre Daten an und wir nehmen dies sehr ernst. Wir investieren fortlaufend in hochleistungsfähige Sicherheitsfunktionen und Best Practices, damit Sie die Fragen Ihrer Endkunden sicher beantworten können.

 

Compliance

Sicherheitskonformität

SOC 2

Wir unterziehen uns regelmäßigen Auditierungen um aktualisierte SOC-2-Berichte zu erhalten. Wir verfügen über SOC-2-Berichte des Typs II für vorangegangene Zeiträume und haben einen ausgestellten SOC-2-Bericht des Typs I, erhältlich auf Anfrage und unter Einhaltung von Vertraulichkeitsverpflichtungen. Dieser Bericht wurde unter den neuen „SSAE No. 18“-Standards der AICPA herausgegeben, welche für alle Berichte gelten, die nach dem 15. Dezember 2018 veröffentlicht wurden. Wir unterziehen uns derzeit einer SOC 2 Typ II-Prüfung nach diesen neuen Standards und erwarten die Herausgabe eines Berichts im Frühjahr 2021. Der aktuelle SOC 2-Bericht kann bei Ihrem Account-Betreuer oder Customer Success Manager angefordert werden.

ISO 27001 UND 27018

Die Sicherheitskontrollen und -praktiken von Yext basieren auf den Prinzipien der ISO-Normen 27001 und 27018.

Branchenspezifische Compliance

HIPAA

Wir unterstützen unsere Kunden dabei, Ihre HIPAA-Verpflichtungen zu erfüllen, indem wir für unsere Yext-Produkte passende Sicherheitskonfigurationsoptionen auswählen. Darüber hinaus stellen wir unsere Geschäftspartnervereinbarung (Business Associate Agreement, BAA) zur Ausführung durch relevante Kunden zur Verfügung, die Produkte im Geltungsbereich erworben haben.

Datenschutz

DATENSCHUTZERKLÄRUNG

Hier finden Sie die Datenschutzerklärung von Yext.

DATENVERARBEITUNGSVEREINBARUNG

Die Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) gilt für alle personenbezogenen Daten, die Yext im Zusammenhang mit der Bereitstellung von Produkten für Kunden in der EU, dem Vereinigten Königreich, der Schweiz, Südafrika und Australien verarbeitet. Hier finden Sie die Datenverarbeitungsvereinbarung von Yext.

UNTERAUFTRAGSVERARBEITER

Im Rahmen der Bereitstellung seiner Produkte genehmigt Yext einigen Unterauftragsverarbeitern und verbundenen Unternehmen die Verarbeitung personenbezogener Daten. Hier finden Sie eine Liste aller Unterauftragsverarbeiter von Yext.

Cloud-Sicherheit

Die physische Sicherheit des Rechenzentrums

EINRICHTUNGEN

Yext hostet Kundendaten in erster Linie in INAP-Colocation-Einrichtungen und bei den Cloud-Computing-Anbietern Amazon Web Services (AWS) und Google Cloud Platform (GCP).

INAP

Yext verwendet Colocation-Rechenzentren, die gemäß PCI DSS, SOC 2 und HIPAA zertifiziert wurden. Weitere Informationen zur Compliance in den INAP-Zentren finden Sie hier.

INAP-Rechenzentren umfassen die gleichzeitige Wartbarkeit auf allen Ebenen des Stacks. Weitere Informationen zu den INAP-Rechenzentren finden Sie hier.

AMAZON WEB SERVICES (AWS)

Yext verwendet AWS-Rechenzentren, die gemäß PCI DSS, SOC 2 und HIPAA zertifiziert wurden. Weitere Informationen zur Compliance in den AWS-Zentren finden Sie hier.

Zum Schutz der Server bieten die AWS-Infrastrukturdienste Notstromversorgung, Lüftungsanlagen und Brandlöschanlagen. Weitere Informationen zur Kontrolle der AWS-Rechenzentren finden Sie hier.

GOOGLE CLOUD PLATFORM (GCP)

Yext verwendet GCP-Rechenzentren, die gemäß PCI DSS, SOC 2 und HIPAA zertifiziert wurden. Weitere Informationen zur Compliance in den GCP-Zentren finden Sie hier.

Die GCP-Infrastrukturdienste sind sowohl hochverfügbar als auch zuverlässig. Weitere Informationen zu den GCP-Rechenzentren finden Sie hier.

DATENHOSTING-STANDORT

Yext nutzt mehrere INAP-Rechenzentren in den USA.

Yext nutzt Rechenzentren von Amazon Web Services in den USA, Europa und im Asien-Pazifik-Raum.

Yext nutzt Rechenzentren der Google Cloud Platform in den USA und in Europa.

Netzwerksicherheit

EIGENES SICHERHEITSTEAM

Unser Sicherheitsteam ist rund um die Uhr (24/7) erreichbar, um auf jegliche Sicherheitswarnungen und -events zu reagieren.

SCHUTZ DES NETZWERKES

Unser Netzwerk wird durch den Einsatz zahlreicher Sicherheitsdienste, die Integration mit unseren Cloudflare-Edge-Protection-Netzwerken, regelmäßige Audits und Network-Intelligence-Technologien, die bekannten bösartigen Datenverkehr und Netzwerkangriffe überwachen und/oder blockieren, geschützt.

SCANNEN NACH NETZWERKSCHWACHSTELLEN

Netzwerksicherheits-Scans geben uns tiefe Einblicke zur schnellen Identifizierung von nicht konformen oder potenziell gefährdeten Systemen.

PENETRATIONSTEST DURCH DRITTANBIETER

Zusätzlich zu unserem umfangreichen internen Scan- und Testprogramm beauftragt Yext jedes Jahr Sicherheitsexperten von Drittanbietern mit der Durchführung eines umfassenden Penetrationstests für das Produktions- und Unternehmensnetzwerk von Yext. Ausführliche Zusammenfassungen der Testergebnisse können bei Ihrem Account-Team angefordert werden.

EVENTMANAGEMENT VON SICHERHEITSVORFÄLLEN

Unser Security Incident Event Management (SIEM)-System sammelt umfangreiche Protokolle von wichtigen Netzwerkgeräten und Hostsystemen. Das SIEM alarmiert bei Auslösern, die das Sicherheitsteam auf der Grundlage korrelierter Ereignisse zur Untersuchung und Reaktion benachrichtigen.

ERKENNUNG UND PRÄVENTION VON EINDRINGLINGEN

Die Service-Eingangs- und Ausgangspunkte werden instrumentiert und auf anomales Verhalten überwacht. Diese Systeme sind so konfiguriert, dass sie dann Warnmeldungen auslösen, wenn ein Vorfall oder ein Wert die vorgegebenen Grenzwerte überschreitet. Die verwendeten Signaturen werden anhand der neuen Bedrohungen regelmäßig aktualisiert. Dies umfasst außerdem eine 24/7-Systemüberwachung.

THREAT INTELLIGENCE-PROGRAMM

Yext nimmt an mehreren Programmen zum Austausch von Bedrohungsdaten teil. Wir überwachen Bedrohungen, die in diesen Threat Intelligence-Netzwerken gepostet werden, und ergreifen risikobasierte Maßnahmen.

MINIMIERUNG VON DISTRIBUTED-DENIAL-OF-SERVICE-ANGRIFFEN (DDOS-ANGRIFFEN)

Yext hat einen mehrschichtigen Ansatz zur DDoS-Abwehr entwickelt. Kerntechnologiepartnerschaften mit Cloudflare und Akamai bieten Schutz am Netzwerkrand, während die Verwendung von Amazon Web Services und Google Cloud Platform Skalierungs- und Schutztools Schutz am Backend bieten.

LOGISCHER ZUGRIFF

Der Zugriff auf das Produktionsnetzwerk von Yext wird durch das explizite Need-to-know-Prinzip eingeschränkt. Mitarbeiter, die auf das Produktionsnetzwerk von Yext zugreifen möchten, müssen mehrere Authentifizierungsfaktoren durchlaufen.

REAKTION AUF SICHERHEITSVORFÄLLE

Im Falle eines Systemalarms werden die Ereignisse an unsere 24/7-Teams weitergeleitet, die den gesamten Betrieb, die Netzwerktechnik und den Sicherheitsbereich abdecken. Die Mitarbeiter werden in den Prozessen zur Reaktion auf Sicherheitsvorfälle geschult, einschließlich der Kommunikationskanäle und Eskalationspfade.

Verschlüsselung

VERSCHLÜSSELUNG BEI DER ÜBERTRAGUNG

Jegliche Kommunikation auf der Yext-Benutzeroberfläche und den Yext-APIs wird gemäß den bewährten Branchenstandards HTTPS/TLS 1.2 über öffentliche Netzwerke verschlüsselt. Somit wird sichergestellt, dass der Traffic zwischen Yext und unseren Kunden während der gesamten Übertragung gesichert ist.

VERSCHLÜSSELUNG IM RUHEZUSTAND

Die Verschlüsselung von Kundendaten im Yext Knowledge Graph geschieht im Ruhezustand über INAP und mithilfe eines AES-256-Schlüssels. Die Verschlüsselung von Kundendaten im Yext Knowledge Graph geschieht im Ruhezustand über die Google Cloud Platform sowie die Amazon Web Services und mithilfe eines AES-256-Schlüssels.

Verfügbarkeit und Kontinuität

VERFÜGBARKEIT

Yext unterhält eine öffentlich verfügbare, vertrauenswürdige Webseite, die Details über die Verfügbarkeit des Systems, geplante Wartungen und den Verlauf von Servicevorfällen enthält.

REDUNDANZ

Yext nutzt Clustering und Netzwerkredundanzen, um einzelne Fehlerstellen zu beheben.

KATASTROPHENSCHUTZ

Unser Notfallwiederherstellungs-Programm (Disaster Recovery, DR) ermöglicht es, dass Yext-Dienste im Falle eines Notfalls verfügbar bleiben und leicht wiederhergestellt werden können. Unsere Notfallwiederherstellungs-Vorkehrungen sind umfassend und werden regelmäßig überprüft. Weitere Informationen zu unseren Notfallwiederherstellungs-Vorkerhungen erhalten Sie auf Anfrage.

Anwendungssicherheit

Sichere Entwicklung (Secure Development, SDLC)

SECURE-CODE-SCHULUNG

Sowohl während des Onboarding-Prozesses als auch danach nehmen die Ingenieure von Yext regelmäßig an Schulungen zum Thema Secure Code teil. Diese Schulungen behandeln die Top-10-Sicherheitsrisiken laut der OWASP und die Tools, die Yext zum Secure Coding verwendet.

FRAMEWORK MIT SICHERHEITSKONTROLLEN

Yext verwendet moderne und sichere Open-Source-Frameworks mit Sicherheitskontrollen, die die Gefährdung durch die Top-10-Sicherheitsrisiken der OWASP minimieren. Diese einzelnen Kontrollen reduzieren unter anderem unsere Anfälligkeit für SQL-Injections (SQLi) und Cross-Site-Request-Forgery (CSRF).

UNABHÄNGIGE UMGEBUNGEN

Die Entwicklungs-, Test- und Sandbox-Umgebungen befinden sich allesamt getrennt von der Produktionsumgebung. In unseren Entwicklungs- und Testumgebungen werden keine Kundendaten verwendet.

Schwachstellenmanagement

STATISCHE CODE-ANALYSE

Wir verwenden Sicherheitstools von Drittanbietern, um unsere wichtigsten Anwendungen täglich nach den Top-10-Sicherheitsrisiken von OWASP zu durchsuchen. Zusätzlich dazu beschäftigen wir ein internes Team, das sich vollkommen der Anwendungssicherheit widmet und in Zusammenarbeit mit Engineering-Teams jegliche neu entdeckten Probleme behebt.

PENETRATIONSTEST DURCH DRITTANBIETER

Zusätzlich zu unseren ausgiebigen internen Scanvorgängen und Testprogrammen beauftragt Yext externe Sicherheitsexperten mit der Durchführung detaillierter Penetrationstests für verschiedene Anwendungen innerhalb unserer Produktfamilie. Die Zusammenfassung dieser Ergebnisse kann bei Ihrem Account-Team angefordert werden.

VERANTWORTUNGSVOLLE OFFENLEGUNG / BUG-BOUNTY-PROGRAMM

Über die Partnerschaft mit HackerOne betreibt Yext ein Bug-Bounty-Programm, das sichere Tests ermöglicht und Yext gleichzeitig auch über Sicherheitsschwachstellen informiert.

Produktsicherheit

Sicherheit bei der Authentifizierung

OPTIONEN FÜR DIE AUTHENTIFIZIERUNG

Kunden können entweder die native Authentifizierung von Yext oder Enterprise SSO (SAML) für die Kundenauthentifizierung aktivieren.

SPEICHERUNG VON SERVICE-ANMELDEDATEN

Yext befolgt die Best Practices für die sichere Speicherung von Anmeldedaten. Passwörter werden also nie in einem für Menschen lesbaren Format und nur infolge einer sicheren Einweg-Hashfunktion gespeichert.

Zusätzliche Funktionen zur Produktsicherheit

ROLLENBASIERTE ZUGRIFFSKONTROLLE

Der Zugriff auf Daten ist innerhalb der Yext-Anwendungen durch eine rollenbasierte Zugriffskontrolle (role-based access control, RBAC) abgesichert und kann somit konfiguriert werden, um detaillierte Zugriffsberechtigungen zu erstellen. Innerhalb des Unternehmens gibt es bei Yext verschiedene Berechtigungsebenen für die Benutzer.

Sicherheit im Personalbereich

Sicherheitsbewusstsein

RICHTLINIEN

Yext hat umfassende Sicherheitsrichtlinien erstellt, die eine Reihe unterschiedlicher Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragnehmern, die Zugriff auf die Informationsbestände von Yext haben, mitgeteilt und zur Verfügung gestellt.

SCHULUNG

Alle Mitarbeiter nehmen an Schulungen zum Sicherheitsbewusstsein teil, einmal während des Einstellungsprozesses und danach alljährlich. Alle Ingenieure erhalten Schulungen zum Secure Coding. Das Sicherheitsteam bietet zusätzlich Updates zum Thema Sicherheitsbewusstsein sowohl via E-Mail und Slack als auch in Form von Präsentationen während interner Events.

Sicherheitsüberprüfungen der Mitarbeiter

BACKGROUND-CHECKS

Yext führt gemäß der regionalen Gesetze bei allen neuen Mitarbeitern Background-Checks durch. Je nach Standort der Mitarbeiter umfasst dieser Background-Check die Überprüfung des Strafregisters sowie Nachweise über die Ausbildung und Beschäftigungen der Kandidaten.

VERTRAULICHKEITSVEREINBARUNGEN

Alle neuen Mitarbeiter müssen Vertraulichkeits- und Geheimhaltungsvereinbarungen unterzeichnen.

Zusätzliche Ressourcen

Yext verfügt über eine Reihe von Ressourcen, die Ihnen auf Anfrage zur Verfügung gestellt werden können.

ZUSÄTZLICHE RESSOURCEN VERFÜGBAR

Die folgenden Ressourcen können von Ihrem Account-Team angefordert werden. Für den Zugriff ist möglicherweise eine Geheimhaltungsvereinbarung (NDA) oder eine andere zuvor abgeschlossene Vereinbarung mit Vertraulichkeitsverpflichtungen erforderlich.

PCI-Compliance-Bestätigung (Attestation of Compliance, AoC) und Konformitätsbestätigung
Versicherungszertifikat
Diagramme zur Netzwerkarchitektur
„SOC 2 Typ 1“-Bericht oder vorherigen „SOC 2 Typ 2“-Bericht
Jährliche Zusammenfassung der Penetrationstests
Zusammenfassung zu den Themen der Aufrechterhaltung der Geschäftsaktivität und der Katastrophenschutz-Tests
Katastrophenschutz-Pläne

Sie möchten selbst loslegen?

Modernisieren Sie Ihr Unternehmen im Handumdrehen mit Suchanfragen in natürlicher Sprache – wie gemacht für das Zeitalter der KI.