Schutz für Ihre Cloud-Lösungen und ‑Daten

Die SAP-Produktsicherheit deckt den gesamten Secure Development and Operations Lifecycle (SDOL) von Cloud-Services ab und wendet bei Erstellung und Betrieb unserer Cloud-Services die Prinzipien Secure-by-Design und Secure-by-Default an. Sie umfasst eine breite Palette von Maßnahmen und Standards:

• Risiko-, Datenschutz- und Ethikbewertungen

• Bedrohungsmodellierung zur Ermittlung von Sicherheitsrisiken im Architekturdesign

• Sichere Kodierungsrichtlinien und Codeüberprüfungen

• Sicherheits- und Schwachstellen-Scans

• Penetrationstests und Red Teaming

• Sichere Bereitstellung von Software-Releases

• Sicherer Betrieb, einschließlich Resilienz, Sicherung und Wiederherstellung

• Bug-Bounty-Programme

• Reaktion auf Produktsicherheit

Unser Framework für Sicherheitsrichtlinien umfasst erforderliche Härtungsverfahren für Cloud-Infrastrukturen zum Schutz vor gängigen Cloud-Fehlkonfigurationen:

• Zentralisierte Protokollierung von Audit-Ereignissen

• Mindestanforderungen für die Verschlüsselung bei der Übermittlung und die Verschlüsselung im Ruhezustand

• VPN-Konfigurationen

• Zentral gesteuerte Scans für das Cloud Security Posture Management (CSPM)

• Ständige Schwachstellen-Scans für Cloud-Infrastrukturen

SAP verwaltet das Identitäts- und Zugriffsmanagement für die von uns bereitgestellten Services und die zugrunde liegenden Schichten, während die Verantwortung für die Verwaltung des Benutzerzugriffs innerhalb der Lösungsadministrationsschicht beim Kunden verbleibt. Dies ermöglicht uns die Bereitstellung von Cloud-Services, ohne dass wir Zugriff auf Kundendaten und Kundenlösungsinstanzen haben.

Wo es die Architektur der Cloud-Lösungen erlaubt, trennt und isoliert SAP die Kundenmandanten pro Cloud-Konto. Wir wenden eine starke Verschlüsselung bei der Übertragung und im Ruhezustand an, mit Optionen für weitere Verbesserungen. Die Kunden verwalten den Zugriff auf die Daten in der Lösung und verhindern so den nicht autorisierten Zugriff.

SAP überwacht und warnt vor verdächtigen Aktivitäten und Schwachstellen, führt routinemäßige Scans der nach außen gerichteten Webinfrastruktur und Penetrationstests von Drittanbietern durch und setzt Red-Team-Tests zur Bewertung der Systemsicherheit ein. Wir unterhalten ein rund um die Uhr erreichbares Security Operations Center (SOC), um die Reaktion auf Sicherheitsvorfälle und die Kommunikation zentral zu verwalten.

SAP integriert Redundanz und Geschäftskontinuitätsmanagement in seine Systeme, um auf betriebliche, rufschädigende und andere Bedrohungen für die Interessen seiner Kunden reagieren zu können. Wir bieten Service-Level-Vereinbarungen (SLAs) für Resilienz und Wiederherstellung für jede Lösung.

Der Schutz physischer Anlagen ist entscheidend für den Schutz von Kundendaten. Die physischen Sicherheitsprogramme von SAP sorgen für die Sicherheit unserer Beschäftigten bei der Arbeit. Wir betreiben Rechenzentren mit strengen physischen Sicherheitsvorkehrungen und pflegen enge Partnerschaften mit den Betreibern von Hyperscaler-Rechenzentren, um physische Anlagen und Daten zu schützen.

Die Schulung der Beschäftigten im Hinblick auf die Erfüllung ihrer Sicherheitspflichten entsprechend ihrer Rolle und Funktion erfordert eine ständige Aufmerksamkeit für die Sicherheitskultur und das Sicherheitsbewusstsein. SAP bietet Pflicht- und Wahlschulungen zu Sicherheit und Compliance an und organisiert Veranstaltungen für das Lernen, die Vernetzung und den Erfahrungsaustausch.