Schulung für sicheren Code |
Workiva hat ein obligatorisches Sicherheitstraining für alle, die Zugang zu den Workiva-Systemen haben. Eine Schulung ist beim ersten Zugriff und danach jährlich erforderlich. Die Schulung umfasst Richtlinien, Standards, Vertraulichkeit und Datenschutz, physische Sicherheit, Systemsicherheit, akzeptable Nutzung, Social Engineering und andere Themen. |
Quality Assurance |
Workivas detailliertes Änderungskontrollverfahren, das von der Informationssicherheitsrichtlinie vorgeschrieben wird, gilt für alle Änderungen an der Umgebung, einschließlich Konfiguration, Betriebssystem und Anwendungsupdates. Neue Versionen von Wdesk oder zur Freigabe vorgesehene Updates werden aus der Entwicklungsumgebung in eine gespiegelte Produktionsumgebung verlagert, in der unser Qualitätssicherungsteam strenge System-, Integrations-, Regressions- und Akzeptanztests durchführt. In dieser Umgebung werden auch laufend Penetrationstests und Schwachstellenscans durchgeführt.
Sicherheit ist Teil aller Phasen der Produktentwicklung. Code, der sich auf Sitzungsverwaltung, Zugriffskontrolle, APIs mit plattformübergreifenden Aufrufen, Authentifizierung, Eingabevalidierung, Ausgabeverschlüsselung, sichere Übertragung, Audit-Protokollierung, Datei-Uploads, XSS/CSRF-Schutz oder Verschlüsselung/Hashing bezieht, unterliegt einer Sicherheitsüberprüfung durch das InfoSec-Team oder durch Entwickler, die im Bereich Sicherheitsüberprüfungen geschult und autorisiert sind. Code-Änderungen und Ergänzungen werden von der Sicherheitsproduktionsfreigabe verfolgt, überprüft und genehmigt. Das Informationssicherheitsteam verwendet die OWASP Top 10 und andere Industriestandards für sichere Kodierung.
Während der Entwurfs- und Prototyping-Phase eines jeden Funktionssatzes wird sehr sorgfältig darauf geachtet, Architektur und Implementierung zu identifizieren, die möglicherweise Sicherheitsüberlegungen erfordern. Neue Funktionssätze, die Sicherheitsüberlegungen erfordern, werden vor der Produktionsfreigabe einer Codeüberprüfung und -genehmigung unterzogen.
|