Daten- und Anwendungssicherheit mit Oro
Oro-Anwendungen arbeiten in skalierbaren B2B-Umgebungen mit komplexen Multi-Level-Hierarchien, tausenden Mitarbeitern und Millionen von Nutzern. In die Oro-Dienste sind vielschichtige und permanent aktuelle Sicherheits-Features und Cyber-Security-Präventivmaßnahmen eingebaut. Auf dieser Grundlage sind Anwendungsfunktionen und Daten gesichert.
Abfragen an Ihre Kunden unterstützt die Software mit einer datenschutzfreundlichen Grundkonfiguration. Damit ermöglicht Oro die verlässliche Einhaltung von Datenschutzanforderungen und -bestimmungen und ist vollständig DSGVO-konform. Dazu zählt auch das Hosting in der OroCloud. Alle gesetzlich regulierten Belange, wie Datenwege und Speicherorte, werden in den Oro-Diensten einschließlich der OroCloud erfüllt.
Datensicherheit bei den Anwendungen
Einzel-User-Zugriff, Steuerung komplexer Zugriffsebenen, aktuelle Verschlüsselungstechnologie und individualisierbare Login-Protokolle
Zugangskontrolle
Access Control Lists (ACLs) erlauben Ihnen die Steuerung, wer auf welche Daten zugreifen darf. Umfang und Art der erlaubten Zugriffe je Nutzer werden über Rollen definiert, die individuell festgelegt werden können. Auf diese Weise lassen sich Zugangsfreigaben bis auf Personen-Ebene steuern – vom Lesezugriff auf Elemente bis zur vollen Zugriffsberechtigung auf komplette Datensätze. Auch abteilungsspezifische Rollen lassen sich einfach konfigurieren: Sales erhält Zugriffe auf Leads, die Marketingabteilung kann alles Nötige für ihre Reports abrufen. Admin-Rollen haben Zugriff vom User Interface aus. Das Rollen-Handling kann vom User Interface aus gesteuert werden
Tiefschichtige Konfigurations möglichkeiten
B2B-Strukturen können komplex und vielschichtig sein. Die Distribution von Waren und Dienstleistungen kann über Tochterfirmen und eine verzweigte, markendifferenzierte Infrastruktur erfolgen. Eine große Zahl von zugehörigen Websites in verschiedenen Ländern oder Regionen muss übergreifend gemanaged werden.
Oro ermöglicht Ihnen, die gesamte B2B-Bandbreite systemweit nach Ihrem Bedarf zu konfigurieren. Von globalen Einstellungen für die grundsätzlichen Erfordernisse bis zu spezifischen Setups für jede Unterorganisation und jede einzelne Website, den Zahlungsverkehr usw. Die User-Level-Konfiguration ermöglicht es Ihren Mitarbeitern zudem, bestimmte Anwendungseinstellungen in ihre persönlichen Präferenzen zu übernehmen.
Konfigurieren Sie multiple Websites nach jeweiliger Sprache und Währung je nach Ausspielungsort. Außerdem lassen sich verschiedene Warehouses und Inventory-Optionen festlegen, die Anzeige bestimmter Produkte und sogar deren Anordnung auf der konkreten Website.
Verschlüsselung
Oro verschlüsselt alle Originaldaten. Unsere eingesetzten Encryption-Standards überprüfen wir regelmäßig und halten sie auf dem wirkungsvollsten Stand.
Zu den Verschlüsselungs-Features gehören:
- Datenreihenverschlüsselung für eine gezielte Absicherung.
- Passwörter werden als nicht rückverfolgbare Hashes statt als verschlüsselter Text oder gar offen gespeichert.
- https-Zwang zur Absicherung zwischen Browser und Server.
- Abgesicherte Architektur des gesamten Online Payment-Prozesses und Out-of-the-Box Integrationen mit Zahlungs-Gateways zur Transaktions-Absicherung.
Passwort- und Sitzungsabsicherung
Passwort- und Sitzungsabsicherung auf dem höchsten Niveau:
- freie Passwortwahl nach beliebiger Länge und Komplexität.
- Steuerbare Change Policy und Passwort-Verlauf.
- Beschränkte Login-Versuche.
- Automatische Account-Sperre nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche.
Darüber hinaus verfügen Sie mit Oro über Multi-Faktor-Authentifizierung.
OAuth, LDAP, and Google SSO
Oro unterstützt über IDP die sichere Vernetzung von Anwendungen innerhalb eines Unternehmens. Wir unterstützen u.a. LDAP, Google SSO und OAuth 2.0.
Sitzung-Logs
Alle Oro-Anwendungen machen Datenänderungen nachverfolgbar.
Direkt auf der Nutzeroberfläche sehen Sie:
- Wer einen Eintrag verändert hat
- Wann die Änderung vorgenommen wurde
- Was verändert wurde
Außerdem können Sie Datenzugriffs-Reports erstellen, die auch Zugriffe auf bestimmte Daten enthalten, und so Sicherheits-Procedures im Unternehmen optimieren.
Anwendungs sicherheit
Weil Datensicherheit gerade in B2B E-Commerce-Anwendungen eine zentrale Rolle spielt, halten wir die Oro-Sicherheitsprotokolle immer auf dem neuesten Stand. So bleiben Kundendaten maximal gesichert.
So gestalten wir Datensicherheit im E-Commerce
In Zusammenarbeit mit dem Open Web Application Security Project (OWASP) erzeugen wir Code und Anwenderprogramme auf höchstem Sicherheitsniveau.
Wir führen bereits in der Entwicklung regelmäßig Tiefentests durch und simulieren potentielle Angriffe, um die Wirksamkeit unserer Abwehrmechanismen zu testen.
Wir suchen aktiv nach möglichen Sicherheitslücken im Programm-Code. So erzeugen wir bereits vor dem Release höchstmögliche Anwendungssicherheit.
Rechtssicherheit und Compliance
Die Anwendung von Datenschutz- und Sicherheitskriterien ist nicht nur ein individueller Antrieb in Unternehmen, sondern sie wird auch gesetzlich gefordert. Oro hält höchste nationale und internationale Sicherheitsstandards ein.
Zertifizierung und Verifizierung durch unabhängige Stellen
Seit 2021 sind Oro-Anwendungen SOC2 Type 2-zertifiziert. Dieses Zertifikat bescheinigt hochentwickelte Anwendungssicherheit, Schutz gegen unberechtigte Zugriffe und die verlässliche Verfügbarkeit aller Sicherungssysteme innerhalb der vorgesehen Nutzung der Anwendung. Das heißt: Auf Oro-Systeme können Sie sich in jedem B2B-Einsatzbereich verlassen.
PCI DSS – zertifiziert
OroCommerce ist PCI DSS-zertifiziert. Das Zertifikat wird jährlich erneuert.
Im Einzelnen heißt das, jedes Element von OroCommerce stimmt mit den Anforderungen des PCI DSS-Standards überein:
- Der Oro-Serverumgebung
- Unserer Netzwerkarchitektur
- Allen Software-Anwendungen
- Allen Konfigurationen dieser Komponenten
Wir stellen ferner den sicheren Umgang mit allen Kunden-Zahlungsdaten sicher und führen selbst regelmäßig Tests und unabhängige PCI DSS-zugelassene Schwachstellen-Analysen durch.