SICHERHEITSRICHTLINIE

Konform mit ISO/IEC 27001 & SOC 2

1. Einleitung

DeskCamera ist eine Softwareanwendung, die den Bildschirm und Ton eines Computers über ONVIF/RTSP-Protokolle an NVR-/VMS-Systeme überträgt. Sie wurde entwickelt, um vollständig lokal innerhalb des Netzwerks des Kunden zu arbeiten und überträgt, sammelt oder speichert keine Benutzerdaten oder Videoinhalte. Die Software wird gemäß strengen Sicherheitsstandards und Compliance-Anforderungen entwickelt.

2. Ziel der Richtlinie

Definition des Sicherheitsrahmens und der Zuständigkeiten zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der DeskCamera-Anwendung im Einklang mit ISO/IEC 27001 und den SOC-2-Kriterien für vertrauenswürdige Dienste.

3. Zentrale Sicherheitsprinzipien

  • Rein lokale Architektur:

    DeskCamera arbeitet vollständig innerhalb der Infrastruktur des Kunden und benötigt keine Internetverbindung oder externe Server. Eine optionale Verbindung zur DeskCamera-Cloud-Infrastruktur erfolgt ausschließlich zur Lizenzprüfung oder zur Aktualisierungsabfrage. Dabei werden keinerlei personenbezogene Daten übertragen.

  • Keine Datenerhebung:

    Die Anwendung sammelt oder überträgt keine Benutzerdaten, Videos oder Telemetriedaten.

  • Sichere Codeverwaltung (ISO 27001 A.9, A.12):

    Der Quellcode wird in einem geschützten DevOps-Repository mit rollenbasiertem Zugriff, Protokollierung und regelmäßigen Audits verwaltet.

  • Signierte Builds (SOC 2 – Systemintegrität):

    Alle Software-Builds sind digital signiert. Das Zertifikat wird verschlüsselt auf einem Hardware-Token (z. B. HSM oder Yubikey) gespeichert und entspricht aktuellen Verschlüsselungs- und Sicherheitsstandards.

  • Sicherer Entwicklungslebenszyklus (SDLC):

    DeskCamera folgt einem sicheren SDLC mit sicherem Design, Code-Review, statischer Codeanalyse und mindestens jährlichen Penetrationstests.

  • Integrität von Updates (SOC 2 – Änderungsmanagement):

    Alle Updates durchlaufen ein formelles Änderungsmanagement, Regressionstests und eine Integritätsprüfung vor der Veröffentlichung. Änderungen werden in einem Versionskontrollsystem mit Prüfprotokollen dokumentiert.

4. Zugriffskontrolle

  • Nur autorisiertes Personal hat Zugriff auf Quellcode und Build-Infrastruktur.

  • Zugriffsrechte werden vierteljährlich überprüft (ISO/IEC 27001 A.9.2.5).

  • Alle administrativen Aktionen werden protokolliert und für Auditzwecke gespeichert.

5. Lieferanten- und Drittanbieterrisikomanagement (ISO 27001 A.15)

  • Alle Drittanbieter-Bibliotheken und Abhängigkeiten werden überwacht und dokumentiert.

  • Sicherheitshinweise werden wöchentlich geprüft, Patches regelmäßig angewendet.

  • Hochrisikokomponenten oder nicht unterstützte Module werden vermieden oder isoliert (Sandbox).

6. Vorbereitetheit auf Sicherheitsvorfälle (ISO 27001 A.16, SOC 2)

  • Es gibt eine dedizierte Kontaktstelle für Sicherheitslücken und Vorfallmeldungen.

  • Sicherheitsvorfälle folgen einem strukturierten Ablauf: Erkennung, Klassifikation, Eindämmung, Behebung, Ursachenanalyse.

  • Erkenntnisse werden genutzt, um zukünftige Reaktionen zu verbessern.

7. Verantwortlichkeiten der Kunden

  • Die über die offizielle Website von DeskCamera bereitgestellten Software-Updates installieren.

  • Für sichere Systemkonfigurationen sorgen und den Netzwerkzugriff auf DeskCamera-Endpunkte beschränken.

8. Compliance und Überprüfung

Diese Sicherheitsrichtlinie wird jährlich sowie bei wesentlichen Änderungen im System oder in der Umgebung überprüft.

9. Kontakt für Sicherheitsfragen

Sicherheitsrelevante Anliegen können gemeldet werden an: [email protected]