Anwendungssicherheit

Daten: Kraken ist eine Multi-Tenancy-Anwendung, bei der die Daten logisch zwischen den Konten getrennt sind. Daten von einem Konto können nicht von einem anderen Konto aus zugegriffen oder geteilt werden. Der Zugriff auf die Daten ist nur Benutzern mit einer entsprechenden Rolle im Konto möglich. Verschlüsselung: Alle Daten werden im Ruhezustand mit dem AWS Key Management System („AWS KMS“) verschlüsselt. Dies verwendet den AES-256-Verschlüsselungsstandard. Authentifizierung: Alle Passwörter werden gesalzen und verschlüsselt, bevor sie in der Datenbank gespeichert werden. Wir können nicht sehen, was ein Passwort ist, daher muss es zurückgesetzt werden, wenn es vergessen wird. Audit-Log: Die Anwendung verfügt über ein Audit-Log, das sowohl für Sicherheit als auch für Compliance verwendet werden kann. Statische Analyse: Alle Codes werden bei jedem Check-in in das Repository einer statischen Analyse unterzogen. Penetrationstests: Penetrationstests (Pen-Tests) werden jährlich durchgeführt. Identifizierte Probleme werden basierend auf der Risikobewertung des Tests behoben und der Pen-Test wird erneut durchgeführt, um zu bestätigen, dass die Probleme behoben wurden. DKIM/DMARC/SPF: Alle E-Mails, die von der Big Squid-Domain gesendet werden, sind sowohl mit DKIM als auch mit SPF signiert. Ein DMARC-Eintrag ist auch für empfangende Mail-Server verfügbar. Trennung der Umgebungen: Produktions-, Staging- und Entwicklungsumgebungen sind physisch und logisch getrennt. Die Staging-Umgebung ist eine Replik der Produktionsumgebung, aber physisch von der Produktionsumgebung isoliert. Die Entwicklung erfolgt auf lokalen Maschinen. QA & Tests: Sowohl automatisierte Qualitätssicherung („QA“) als auch manuelle QA. Die automatisierte QA besteht aus Unit-, Integrations- und Akzeptanztests. Diese werden bei jedem Deployment ausgeführt. Manuelle QA wird bei jeder Fehlerbehebung und neuen Funktion durchgeführt, bevor sie in ein Release integriert wird.