Hosting & Sicherheit
Sprout Social hat sich zum Ziel gesetzt, Unternehmen jeder Größe dabei zu helfen, ihre Marketingaktivitäten zu optimieren, stärkere Beziehungen zu ihren Kunden aufzubauen, besser informierte Entscheidungsträger zu werden und die beliebtesten Marken der Welt zu schaffen.
Sprout Social ist seit 2010 im Geschäft und hat mehr als 30.000 zahlende Kunden, die darauf vertrauen, dass wir ihnen bei der Bewältigung vieler Millionen Gespräche pro Tag helfen. Unsere Technologie wird mit Blick auf unsere Kunden und deren Zielgruppen – Hunderte Millionen Menschen – entwickelt und verwaltet. Wir arbeiten täglich daran, dauerhafte Beziehungen durch eine Kultur des Kundenerfolgs und Supports aufzubauen.
Zuverlässigkeit & Verfügbarkeit
Hier bei Sprout Social sind wir stets darum bemüht, Ausfallzeiten und andere negative Auswirkungen auf unseren Service zu minimieren. Unsere Systeme wurden mit integrierter Fehlertoleranz entwickelt und unsere Teams sind für eine schnelle Wiederherstellung des Services geschult, falls doch einmal eine Störung auftreten sollte. Es gehört zu unserem Ethos, Ausfallzeiten (geplante wie ungeplante) um jeden Preis zu vermeiden. Daher setzen wir auch keine Wartungsausfallzeiten an (die in der Regel sowieso vermeidbar sind). Geschäftskontinuität und Notfallwiederherstellung sind damit als feste Praktiken in unsere Systeme integriert. Sie gelten weder als Nebensache noch als alleiniger Zuständigkeitsbereich eines einzelnen Teams.
Bewährte Prozesse
99,99 % Betriebszeit ist eine Leistungskennzahl (KPI) für unser Engineering-Team. Zum Zeitpunkt der Abfassung dieses Textes hatten wir eine Betriebszeit von mehr als 99,99 % über die vorherigen 6 und 12 Monate hinweg.
Transparenz für Kunden
Vertrauen basiert auf offener Kommunikation. Aus diesem Grund teilen wir auf unseren Status-Websites öffentlich den Status unserer Systeme sowie diesbezügliche Kennzahlen. Diese Websites finden Sie unter https://www.sproutsocialstatus.com für Sprout Social und https://www.sproutadvocacystatus.com für Employee Advocacy. Dort kommunizieren wir Vorfälle und geplante Wartungsarbeiten, einschließlich aller möglichen Auswirkungen für unsere Kunden sowie Systemstatuskennzahlen von unabhängigen Drittanbietern. Kunden können sich darüber hinaus dafür anmelden, bei zukünftigen Vorfällen umgehend per SMS- oder E-Mail-Benachrichtigungen informiert zu werden.
Social-Media-Feeds
Unsere Datenerfassungsebene umfasst Verbindungen zu den APIs verschiedener sozialer Netzwerke. Als Partner bieten uns soziale Netzwerke wie Facebook, Twitter, Instagram und LinkedIn ein höheres Maß an Redundanz sowie Zugang zu ihren Support-Teams.
Backups
Es werden regelmäßig Daten-Backups erstellt, die während der Übertragung und im Ruhezustand verschlüsselt sind und regelmäßig getestet werden. Backups werden extern über den Objektspeicherservice Amazon S3 gespeichert. Dabei werden Dateien auf mehreren physischen Geräten in mehreren Einrichtungen gespeichert, wodurch eine Haltbarkeit von 99,999999999 % und eine Verfügbarkeit von 99,99 % gewährleistet werden kann.
Transparenz für unsere Teams
Intern führen wir fachübergreifende Post-Mortem-Analysen durch (ohne durch Schuldzuweisungen ein schlechtes Arbeitsklima aufkommen zu lassen), um nach einem Misserfolg unsere Mitarbeiter zu schulen und die entsprechenden Verfahren und Systeme weiterzuentwickeln. So gehen wir vor, da wir der Meinung sind, dass Angst ein Feind des Fortschritts ist.
Isolation
Unsere weitreichend verteilte Backend-Plattform verwendet Isolationsentwurfsmuster, um Risiken über Komponenten hinweg zu minimieren. Somit wirken sich Ausfälle einer Komponente selten auf andere aus.
Recovery Point Objectives (RPO)
Unsere Wiederherstellungsstrategien sind darauf ausgelegt, aktuelle RPOs bei kurzen Recovery Time Objectives (RTOs) zu ermöglichen, wobei ältere Daten nach längeren RTOs wiederhergestellt werden. Dies entspricht den Kundenerwartungen in den sozialen Medien und ermöglicht es Kunden, die unmittelbaren Bedürfnisse ihrer eigenen Kunden zu erfüllen.
DevOps-Best-Practices
Unser Entwicklerteam wendet Infrastructure-as-Code an, um Korrektheit, Einheitlichkeit, Testfähigkeit und Geschwindigkeit bei der Wiederherstellung zu gewährleisten. Alle Mitglieder des rund um die Uhr verfügbaren Bereitschaftsteams sind in der Lage, Systeme und Topologien vollständig neu zu erstellen. Im Falle eines Systemausfalls stellt unser Engineering-Team die Systeme schnell wieder her, indem es den Infrastruktur-Code ausführt.
Überwachung & Bereitschaftsdienst
Wir überwachen kontinuierlich von der ganzen Welt aus und zeigen unsere gesamten technischen Umgebungen in Echtzeit an, alarmieren und erstellen Berichte darüber. Der Kundensupport ist eine Zusammenarbeit zwischen unserem kundenseitigen Support-Team und unserem technischen Team. Spezialisierte Ingenieure sind rund um die Uhr in Bereitschaft.
Wenn Probleme auftreten, werden unsere Teams umgehend benachrichtigt, automatisch über den jeweiligen Kontext aufgeklärt und mit den erforderlichen Tools zur effizienten Zusammenarbeit mit Kollegen unterstützt. Wir verwenden ein Pager-System, um sicherzustellen, dass Alarme schnell und zuverlässig die richtigen Mitarbeiter erreichen.
Rechenzentren
Die Produkte von Sprout Social werden von Amazon Web Services (AWS) gehostet. AWS bietet sichere, hochverfügbare und redundante Hosting-Einrichtungen sowie Konformität mit Star Level 2 der Cloud Security Alliance, ISO 9001, 27001, 27017, 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Weitere Informationen zu den Zertifizierungen und Compliance-Programmen von AWS finden Sie unter https://aws.amazon.com/compliance/programs/.
Speicherort der Daten
Kundendaten werden in den Vereinigten Staaten gehostet, in der AWS-Region us-east-1.
Einrichtungen
Die Rechenzentren von AWS sind mit erstklassigen physischen Hosting-Funktionen ausgestattet. Unsere Gebäude verfügen über Funktionen zur Temperatur- sowie Feuchtigkeitsüberwachung und -kontrolle, zur automatischen Wassererkennung und -entfernung sowie zur automatischen Branderkennung und -unterdrückung. Kombinationen aus mehreren Stromeinspeisungen, unterbrechungsfreien Stromversorgungssystemen (USV) und elektrischen Generatoren vor Ort sorgen für eine mehrschichtige Notstromversorgung. Ebenso werden redundante Telekommunikations- und Internetverbindungen aufrechterhalten. Die Ausführung der Produkte ist nicht von den Unternehmensniederlassungen von Sprout Social oder anderen von uns verwalteten Einrichtungen abhängig.
IT-Sicherheit
Zusätzliche Sicherheitsmaßnahmen werden für Informatiksysteme und Informatiksystemräume angewendet, einschließlich Alarmsysteme für gewaltsam geöffnete Türen, Systeme zur Erkennung von unerlaubtem Eindringen in Informatiksysteme, Multi-Faktor-Authentifizierung und Medienvernichtung gemäß NIST 800-88.
Physische Sicherheit
Die Gebäude des Rechenzentrums unterliegen einer strengen Überprüfung und Kontrolle des physischen Zugangs. Alle physischen Zugänge werden rund um die Uhr von unserem Personal überwacht. Für alle Besucher ist eine Multi-Faktor-Authentifizierung erforderlich. Die kontinuierliche Überwachung auf unbefugten Zugriff erfolgt durch Videoüberwachung, Systeme zur Erkennung von unerlaubtem Eindringen und Systeme zur Überwachung der Zugangsprotokolle.
Infrastruktur & Netzwerksicherheit
Sprout Social beschäftigt ein spezielles Sicherheitsteam. Alle Systeme werden rund um die Uhr auf Sicherheits- und Betriebsereignisse überwacht und bei Vorfällen werden entsprechende Warnsignale ausgelöst. Hostbasierte Systeme zur Erkennung von unerlaubtem Eindringen (Intrusion Detection Systems, IDS) werden auf allen Produktionssystemen bereitgestellt.
Netzwerksteuerung
Unser privates Netzwerk ist in mehrere Sicherheitszonen unterteilt. Je näher eine Zone an den Kundendaten liegt, desto umfangreicher sind auch die angewendeten Kontrollmaßnahmen.
Vorfallmanagement & Reaktion auf Vorfälle
Die Pläne und Verfahren von Sprout Social zur Reaktion auf Vorfälle entsprechen den NIST-Standards. Alle Vorfallmeldungen werden bei Bedarf umgehend untersucht, weitergemeldet und behoben. Der Reaktionsplan und die Reaktionsverfahren definieren alle erforderlichen Schritte, um einen einheitlichen Prozess zu gewährleisten.
Scans
Systeme und Anwendungen werden regelmäßig auf gängige Sicherheitslücken gescannt.
Verschlüsselung im Ruhezustand und bei der Übertragung
Die gesamte Kommunikation über öffentliche Netzwerke mit Anwendungen und APIs von Sprout Social wird über HTTPS mit TLS 1.2 oder höher durchgeführt. Alle Daten werden im Ruhezustand mit AES-256 oder höher verschlüsselt gespeichert; dies gilt auch für Backups.
Systemverwaltung
Wir wenden Best Practices zur Verwaltung unserer Systeme an, z. B. ein Zugriff mit geringstmöglichen Berechtigungen, eine zentrale Konfigurationsverwaltung und strenge Host- und Netzwerk-Firewall-Richtlinien. Server werden automatisch nach einem regelmäßigen Zeitplan gepatcht, wobei Patches mit hoher Priorität außerhalb des Zyklus manuell angewendet werden.
Risikomanagement hinsichtlich Drittanbietern
Sprout Social überprüft regelmäßig die Sicherheitsmaßnahmen unserer externen Anbieter von kritischen Produkten und Dienstleistungen. Die Unterauftragsverarbeiter von Sprout Social sind vertraglich verpflichtet, festgelegte Sicherheitsmaßnahmen einzuhalten, die den Best Practices der Branche entsprechen.
Anwendungssicherheit
Die Entwickler von Sprout Social erhalten eine jährliche Schulung zum Thema sichere Kodierung. Der gesamte Anwendungscode wird von Sprout-Mitarbeitern geschrieben, und jede Änderung wird einem Peer-Review unterzogen. Sicherheitsschwachstellen werden umgehend behoben.
Penetrationstests durch Dritte
Sprout Social hat Verträge mit mehreren Anbietern von Penetrationstests abgeschlossen, um mehrere Tests pro Jahr durchführen zu lassen. Berichte sind auf Anfrage von Kunden nach Unterzeichnung einer Vertraulichkeitsvereinbarung verfügbar.
Minimierung von DDoS-Angriffen
Vorbeugende Maßnahmen vor Distributed-Denial-of-Service-Angriffen werden über unsere Hosting-Plattform bereitgestellt.
Richtlinie zur verantwortungsvollen Offenlegung
Sicherheitsforscher können Schwachstellen über Bug Crowd melden. (Link: https://bugcrowd.com/sproutsocial). Erfahren Sie mehr über unsere Richtlinien unter https://sproutsocial.com/responsible-disclosure-policy.
Mitarbeiter & interne IT
Informationssicherheit wird bei Sprout Social vom VP of IT, Security und Compliance unter Aufsicht des Chief Technology Officer (CTO) und des Vorstands von Sprout Social geleitet. Während unsere Entwickler wie erwähnt eine Schulung zur sicheren Codierung erhalten, nehmen alle Mitarbeiter an einem jährlichen allgemeinen Sicherheits- und Datenschutztraining teil. Wir führen routinemäßig Phishing-Tests durch, die mit Branchen-Benchmarks verglichen werden.
Informationssicherheitsrichtlinien & -standards
Sprout Social hat ein umfassendes Verwaltungssystem für die Informationssicherheit implementiert, welches verschiedene Richtlinien und Standards enthält, die alle Aspekte der Sicherheit und des Datenschutzes abdecken. Alle Mitarbeitenden müssen als Teil ihrer Beschäftigungsbedingungen eine Verpflichtung zum Schutz von Kundendaten eingehen.
Sichere Support-Protokolle
Bei der Durchführung sensibler Aktionen auf Kundenkonten befolgt unser Support-Team speziell von unserem Sicherheitsteam entwickelte Protokolle, die Phishing- und Angriffsversuche verhindern sollen.
Unsere Niederlassungen
Die Bürogebäude von Sprout Social sind durch den Zugang mit Schlüsselkarten gesichert. Büronetzwerke sind segmentiert, werden zentral überwacht und durch Firewalls sowie durch Geräte zur Verhinderung unbefugten Eindringens geschützt. Der Betrieb unserer Produkte ist nicht abhängig von den Büros unseres Unternehmens oder anderen Einrichtungen, die wir verwalten.
Geräte
Alle Sprout Social-Geräte werden mit Asset-Tags inventarisiert und über eine zentrale Mobile Device Management (MDM)-Lösung verwaltet.
Endgeräte
Die Arbeitsgeräte Ihrer Mitarbeiter sind durch Festplattenverschlüsselung, Virenschutz und fortschrittliche Technologien zur Erkennung von Malware gesichert, die von Ihnen zentral verwaltet und kontrolliert werden können.
Hintergrundprüfungen
Alle neuen Mitarbeiter mit Zugriff auf Kundendaten werden vor der Beschäftigung einer Kriminalitäts- und Hintergrundüberprüfung unterzogen.
Business-Continuity
Sprout Social unterhält zwar physische Niederlassungen auf der ganzen Welt, doch die ordnungsgemäße Ausführung unserer Geschäftstätigkeiten ist – wie auch das Hosting unserer Produkte – nicht von diesen Niederlassungen abhängig. Unsere Produkte, unser Kundenservice und der gesamte Geschäftsbetrieb werden auch bei physischen Vorfällen oder Problemen in unseren Büros unterbrechungsfrei weitergeführt. Während der COVID-19 (Coronavirus)-Pandemie wechselte die gesamte Belegschaft von Sprout Social ohne Verzögerungen und Störungen zur Remote-Arbeit. So konnte die Kontinuität aller Dienste für unsere Kunden gewährleistet werden. Unser Team ist mit cloud-basierten Tools sowie Fernzugriffs- und Zusammenarbeitslösungen ausgestattet und nutzt diese Tools täglich.
Produktsicherheit
Multi-Faktor-Authentifizierung (MFA)
Kontoinhaber und Administratoren können verlangen, dass ihre Nutzer diese zusätzliche Sicherheitsstufe nutzen. Sprout Social unterstützt Apps wie Google Authenticator, die den Algorithmus Time-based One-time Password (TOTP) oder den HMAC-based Algorithmus One-time Password (HOTP) zum Generieren von Passcodes implementieren.
Sicherer Speicher für Zugangsdaten
Kontopasswörter werden gemäß den neuesten starken (und routinemäßig überprüften) Algorithmen und Ansätzen mit einem Salt versehen und gehasht. Kein Mensch, auch nicht unsere Mitarbeiter, kann diese Passwörter einsehen. Wenn Sie Ihr Passwort verlieren, kann es nicht wiederhergestellt werden und muss zurückgesetzt werden.
Schutz vor Brute-Force-Angriffen
Zusätzlich zum rechnerisch anspruchsvollen Hashing implementieren unsere Authentifizierungsdienste ratenbegrenzende Schutzmechanismen und ReCAPTCHA.
Workflows für Genehmigungen
Kontobesitzer und Administratoren können bestimmte Aktivitäten mithilfe von Genehmigungsworkflows einschränken. So können Aufgaben innerhalb eines Teams aufgeteilt werden, mit der Gewissheit, dass zentrale Entscheidungsträger öffentliche Aktionen überprüfen und kontrollieren können.
IP-Einschränkungen
Sprout Social kann so konfiguriert werden, dass der Anwendungs- und API-Zugriff von bestimmten IP-Bereichen aus eingeschränkt wird.
Einmaliges Anmelden (SSO)
Sprout Social bietet SAML-2.0-Single-Sign-On (SSO) für Unternehmen, die diesen Authentifizierungsdienst nutzen, um Mitarbeitern den Zugriff auf mehrere Anwendungen über einen einzigen Satz Anmeldedaten ermöglichen möchten. Unser Entwicklungsteam arbeitet mit Kunden zusammen, um nutzerdefinierte SSO-Integrationen sowohl für das Web als auch für mobile Geräte zu implementieren.
E-Mail-Signierung
Sprout Social implementiert das Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM), um sicherzustellen, dass E-Mails, die wir versenden, als von Sprout Social stammend authentifiziert werden, was dazu beiträgt, Spoofing zu verhindern und die Authentizität sicherzustellen.
Zugriffsberechtigungen
Kontobesitzer und Administratoren können den Zugriff auf Profile, Funktionen, Aktionen (einschließlich Lese- und Schreibzugriff) und andere Daten einschränken, indem sie in ihrem Konto detaillierte Kontrollen auf Nutzer anwenden.
Globale Veröffentlichungspause
In Notfällen hat Ihr Team Zugriff auf eine Schaltfläche, die den Versand von automatisierten geplanten und in der Warteschlange stehenden Nachrichten durch Sprout Social vorübergehend deaktiviert. Diese Schaltfläche ist über unsere Web- und Mobilanwendungen zugänglich.
Kundenschutz
Sprout Social möchte Sie beim Schutz vor Online-Sicherheitsrisiken unterstützen. Dazu haben wir relevante Ressourcen erstellt, zu denen beispielsweise Best Practices rund ums Thema Sicherheit und Schutz sensibler Daten gehören.
Compliance & Zertifizierungen
Die Sicherheits-Compliance und Zertifizierungen von Sprout Social finden Sie in unserem Trust Center.