WL Secure Remote Servicing FAQ

Smart File Transfer

Red Button

Zero Trust Access

Expeten

  • Welcher Mechanismus wird für die Datenbankpersistenz verwendet?

    Wir nutzen "Amazon RDS for Oracle" für die Datenbankpersistenz

    Was sind der Disaster Recovery Plan und die KPIs von Worldline für die Lösung?

    Unser Disaster Recovery Plan (DRP) basiert auf der Verwendung mehrerer AWS-Verfügbarkeitszonen und dem Einsatz geeigneter Datenreplikationsmechanismen.
    Das Recovery Time Objective (RTO) für die Plattform ist auf 8 Stunden festgelegt.

    Unterstützt die Lösung Jump Hosts?

    Ja, Jump Hosts vor dem Hardware-Gateway werden unterstützt.
    Die Unterstützung von Jump Hosts zwischen dem Hardware-Gateway und dem Gerät müsste eingerichtet werden und ist eine Funktion, über die wir gerne diskutieren würden.

    Erfasst die Systemprotokollierung sicherheitsrelevante Ereignisse und Betriebsereignisse und können diese an ein SIEM- und Incident Management System weitergeleitet werden?

    CCP verfügt über ein Systemmanagement und Security Monitoring für die zentrale Plattform.
    SIEM = Security Information & Event Management

    Ist es möglich, Zertifikate für die Kommunikation zwischen den Clients und dem Backend zu verwenden?

    Ein Backend-Zertifikat wird für die Kommunikation zwischen den Clients und dem Backend verwendet.
    Client-Zertifikate können ebenfalls verwendet werden, jedoch muss die Verwaltung der Zertifikate diskutiert werden.

    Wie sieht das Preismodell aus?

    Der Dienst wird nach einer Reihe von Schlüsselfaktoren wie der Anzahl der angeschlossenen Remote-Geräte und der Nutzlast abgerechnet. Einrichtung, Service, Support und Wartung werden je nach den Bedürfnissen des Kunden besprochen.



Fortgeschrittene

  • Ist eine Vor-Ort-Installation möglich?

    Eine Vor-Ort-Installation ist technisch möglich und kann je nach spezifischem Kundenfall angeboten werden. Es sollte sorgfältig analysiert werden, was die beste Lösung auf der Grundlage der Kundenanforderungen ist.

    Wie unterstützt die Lösung Hochverfügbarkeit?

    Wir verwenden die AWS-Standards: Unsere Services werden über mehrere AWS-Verfügbarkeitszonen dupliziert.
    WL garantiert 99,5% Verfügbarkeit: 16 Stunden geplante Ausfallzeit / Jahr + max. 24 Stunden ungeplante Ausfallzeit (2 Stunden / Monat).
    Höhere Anforderungen können besprochen werden und sind abhängig vom Kundenfall.

    Welches ist das von Worldline für diese Lösung vorgesehene Supportmodell?

    Die verfügbaren Supportmodelle sind in den WL SRS / DD Support Policies beschrieben.
    Unser Standardmodell sieht vor, dass der Kunde die Anfragen und das Incident Management innerhalb seiner Services konsolidiert (nur Key User des Kunden sollten Worldline kontaktieren).

    Wie gewährleisten Sie die Sicherheit in der Cloud?

    Der Datenverkehr zu unserem Backend ist TLS-verschlüsselt.
    Sobald der sichere TLS-Kanal aufgebaut ist, authentifiziert sich der Client mit:

    STANDARD: Geräte-ID + Passwort
    - Während der Installation des Clients wird das Passwort generiert und im Dateisystem des Clients gespeichert
    - Das Passwort wird vor dem Senden in der TLD-verschlüsselten Kommunikation an das Backend gehasht

    OPTIONAL: Es können Zertifikate verwendet werden, aber wir haben derzeit kein Zertifikats-Handling implementiert, d.h. es gibt keinen automatischen Ersatz des Zertifikats, wenn es ungültig wird.

    Welche Einsatzmöglichkeiten gibt es bei WL Digital Doorman? Ist WL Digital Doorman auf eine Hardware-Box angewiesen? Wie werden eingebettete Systeme unterstützt?

    Der WL Digital Doorman kann auf verschiedene Arten eingesetzt werden. Die WL Digital Doorman Software kann entweder direkt auf dem entfernten Gerät betrieben werden, auf einem Hardware-Gateway vor dem Gerät laufen (das Gerät kann in einem separaten Netzwerk hinter dem Gateway laufen, was das Gerät kapselt und den Schutz von älterer Hardware ermöglicht, deren Software möglicherweise veraltet ist) oder sogar auf einem Server oder Gateway in einer DMZ laufen.
    Worldline kann Gateway-Hardware empfehlen.

    Unterstützt CCP mobile Konnektivität?

    Ja, CCP ist hinsichtlich der Konnektivität unabhängig. Die Stabilität der Verbindung kann sich jedoch auf die Qualität des Datenverkehrs auswirken, wodurch die von den Endnutzern wahrgenommene Qualität sinken kann.

    Kann CCP eine Ende-zu-Ende-Verschlüsselung garantieren?

    Ja. CCP-Tunnel (zwischen Endpunkten und dem Backend) sind verschlüsselt. Nicht verschlüsselte Protokolle können auf der Backend-Ebene zusätzlich verschlüsselt werden.

    Ist die CCP Web UI web responsive?

    Ja, die CCP Web UI kann über ein Handy oder Tablet genutzt werden.

    Kann ich das UI in meinen Farben und mit meinem Logo anpassen? Wie sieht es mit der Unterstützung verschiedener Sprachen außer Deutsch und Englisch aus?

    Nur das Logo kann in der CCP Web UI angepasst werden.
    Die Liste der unterstützten Sprachen kann je nach Kundenfall erweitert werden.

    Kann ich von Mitteleuropa aus auf Geräte in der ganzen Welt zugreifen?

    Ja, aber die Latenz kann Ihre Erfahrung erheblich beeinträchtigen. Es ist daher wichtig, dass Sie die Art der Anwendung, die Sie verwenden möchten, genau bestimmen, bevor Sie diese Frage beantworten.

    Haben Sie Erfahrung mit Fernzugriffen von/nach China oder Russland?

    Ja, und wir können die damit verbundenen Zwänge und Einschränkungen mit Ihren Teams besprechen.

    Kann CCP mit einem LDAP/AD integriert werden?

    Ja. Die CCP-Authentifizierung kann in LDAP/AD integriert werden.

    Kann CCP in einer DMZ eingesetzt werden?

    Ja. Der CCP-Client bietet mehrere Bereitstellungsoptionen. Er kann z. B. in einer DMZ eingesetzt werden, wobei eine Route die Verbindung vom CCP-Client zum Gerät durch die internen Firewalls hindurch ermöglicht.

    Wie soll der CCP-Client auf einem System bereitgestellt werden?

    Der CCP-Client kann entweder als Java-Programm auf einem vorhandenen Betriebssystem oder als VM (Docker-Image) ausgeführt werden.

    Wie häufig werden CCP-Upgrades veröffentlicht?

    Abgesehen von Hotfixes und Sicherheitsupdates werden regelmäßige CCP-Releases im Trimester- oder Halbjahresrhythmus veröffentlicht (2 bis 4 regelmäßige Releases pro Jahr). Zusätzliche Releases können bei Bedarf geplant werden.



Allgemein

 

Wofür steht CCP?

CCP steht für Core Connectivity Platform. Es ist eine Plattform, die das Management von Remote-Konnektivität ermöglicht.
"Core" bezieht sich auf eine Schlüsseleigenschaft der Plattform: sie ist API-gesteuert und kann als "Core" Schicht von anderen Systemen verwendet werden.

Was ist die Beziehung zwischen CCP, WL Digital Doorman und WL Secure Remote Servicing?

Während sowohl Worldline (WL) Digital Doorman als auch WL Secure Remote Servicing Namen von WL-Angeboten sind, die unterschiedliche Kundentypen und Herausforderungen adressieren, bezieht sich CCP auf das wichtigste technische Asset, das für die Implementierung beider verwendet wird. Aus diesem Grund wird in der ausführlichen Dokumentation (verfügbar nach Registrierung) zu diesen beiden Angeboten häufig auf CCP verwiesen.
Während WL Secure Remote Servicing ein Angebot ist, das die Probleme der Hersteller als Remote-Service-Provider für ihre Kunden löst, adressiert WL Digital Doorman die Probleme und Herausforderungen der Gerätebesitzer. Beide setzen auf die CCP-Funktionen zur Orchestrierung der Remote-Konnektivität.

Was ist das Liefermodell von WL Secure Remote Servicing ?

WL Secure Remote Servicing wird im SaaS-Modus geliefert.

Ist es möglich, mit einem Gateway auf mehrere Endpunkte zuzugreifen?

Ein Gateway-Modus wurde für den CCP-Client implementiert. Ein CCP-Client kann mehrere Endpunkte verwalten. Die maximale Anzahl der Endpunkte, die über einen einzelnen CCP-Client verwaltet werden können, hängt von dem zu erwartenden Datenverkehr und der Hardware des Gateways ab.
Wir arbeiten z.B. eng mit Secunet an deren secunet edge gateway zusammen.

Haben Sie eine Audit-Log-Protokollfunktion?

Wir zeichnen nur die Metadaten der Sitzung auf (wer, welches Gerät, welcher Tunneltyp, wann), nicht den Inhalt der Sitzung selbst.
Wir haben uns dafür entschieden, so wenig invasiv wie möglich zu sein, um Datenschutzverletzungen zu vermeiden. Das ist etwas, was zum Beispiel beim Fernzugriff auf medizinische Geräte sehr wichtig ist.
Außerdem ist die CCP ein App-agnostisches Konnektivitäts-Tool und bietet somit die Anbindung an ein zentrales Logging oder SIEM.
Falls dies eine wichtige Anforderung für den Kunden ist, können wir natürlich besprechen, wie wir dieses Bedürfnis adressieren. Wir haben bereits einige Optionen für eine "ordnungsgemäß benachrichtigte (oder informierte) Loggingfunktion" betrachtet und untersucht.

Warum eignet sich Ihre Lösung für hochsensible Anwendungsfälle?

Die Sicherheitsanforderungen für WL Secure Remote Servicing leiten sich aus mehreren Industriestandards wie IEC-62443-3.3 und IEC-62443-4.2 ab.
Der technische Schlüsselwert CCP wird gemäß dem CCP Secure Development Lifecycle entwickelt, der auf dem Standard IEC-62443-4.1 basiert.
Das QMS für die Softwareentwicklung basiert auf ISO9001
Der Betrieb ist nach ISO27001 zertifiziert
Datenschutz:
-Adressiert als Teilbereich der Datensicherheit aus Sicht der GDPR-Compliance
-Worldline verfügt über eine Konzerndatenschutzrichtlinie, die für jedes Produkt und jeden Mitarbeiter von Worldline rechtsverbindlich ist.
-CCP wird regelmäßig auf ihr Datenflussverhalten hin überprüft.

Was ist mit IEC-62443-Readiness gemeint?

Das IEC-Framework definiert mehrere Rollen:
-Eigentümer = Kunde
-Systemintegrator = Netzwerkteam des Kunden
-Produktlieferant = Worldline

Der Produktlieferant ist nur für ein Teilsystem (oder eine Komponente) der Gesamtumgebung verantwortlich, in der es zum Einsatz kommen soll.
Der Produktlieferant entwickelt die Lösung gemäß dem IEC-62443-4.1 Secure Development Lifecycle. Dies ist in unserem CCP SDL Dokument dokumentiert und impliziert, dass wir:
-Mitarbeiter mit dem notwendigen Sicherheits-Know-how haben
-Schwachstellen kennen und diese abschwächen
-die besten Praktiken der Branche für das Sicherheitsdesign anwenden
-Anwendung sicherer Kodierungspraktiken (obligatorische jährliche Auffrischungsschulung)
-Scans durchführen, um zu überprüfen, ob unser Code sicher ist
-Sicherheits- und Penetrationstests regelmäßig durchführen

Der Produktlieferant arbeitet mit dem Systemintegrator zusammen, um gemeinsam ein Requirements Engineering für die gesamte Systemarchitektur durchzuführen (unsere Implikation ist IEC-62443-3.3) und wir übersetzen diese in spezifische IT-Sicherheitsanforderungen, die sich auf unsere Komponente(n) konzentrieren (IEC-62443-4.2).

WL Secure Remote Servicing vs VPN's
  • Keine versteckten internen Kosten mehr für die Einrichtung von VPN's (IT-Teams müssen für jede VPN-Einrichtung involviert werden)
  • Selbstadministration bedeutet keine Beteiligung der IT und eine verbesserte UX
  • Reduziertes Geschäftsrisiko: Einfachere Einhaltung der Sicherheitsrichtlinien des Unternehmens, keine Notwendigkeit, eine komplexe Umgebung mit heterogenen Konnektivitäts-Tools zu verwalten
WL Secure Remote Servicing vs. Desktop-Sharing-Apps

Die Verwendung von Desktop-Sharing-Apps ohne WL Secure Remote Servicing bringt einige Sicherheitsrisiken mit sich, unter anderem, weil sie oft die Heterogenität mit Drittanbietern erhöhen, die ihre eigene Lösung aus ihrem eigenen technischen Stack mitbringen.
Bei einer Desktop-Sharing-App würde eine Remote-Verbindung immer die Beteiligung eines Mitarbeiters erfordern. Mit WL Secure Remote Servicing können Sie die Sicherheitsrichtlinien Ihres Unternehmens einfach durchsetzen und die Aktionen einschränken, die Benutzer (Mitarbeiter oder ) durchführen können.
WL Secure Remote Servicing erlaubt M2M-Verbindungen, was mit Desktop Sharing Apps nicht möglich ist.

Wie trägt WL Secure Remote Servicing dazu bei, Cyber-Resilienz gegen Ransomware aufzubauen?

WL Secure Remote Servicing sorgt dafür, dass Sie Ihre Unternehmens-IT-Strategie verfolgen können.
Der Hauptgrund, warum WL Secure Remote Servicing zum Aufbau von Cyber-Resilienz gegen Ransomware beiträgt, ist, dass die Anwendung der Zero-Trust-Grundsätze die Angriffsfläche der Geräte begrenzt:
- im Gegensatz zu VPNs können Tunnel nur für einen Zweck verwendet werden,
- Tunnel sind nicht permanent aktiv
- dank der Verwendung eines einzigen Ports, des üblichen Internetverkehrs, kann der Verkehr leicht mit einem Intrusion Detection System (IDS) gescannt werden, während übliche VPNs dedizierte Ports verwenden, die unter dem Radar verschwinden können.

Welche Betriebssysteme werden vom CCPClient unterstützt?

Windows 10 64 Bits, Windows 7 64 Bits, Linux 64 Bits

Wie kann ich eine Demo von WL Secure Remote Servicing erhalten?

Sie sollten sich nur über das dafür vorgesehene Formular (verfügbar hier) registrieren, um eine Demo anzufordern. Wir werden uns dann mit Ihnen in Verbindung setzen, um den Termin zu vereinbaren.