De toewijding van Keeper Security om gebruikersgegevens te beschermen is terug te zien in alles wat we doen. Keeper heeft de langst bestaande SOC 2- en
Nee. Keeper® is nog nooit gehackt of getroffen door een lek. In dit artikel onderzoeken we waarom miljoenen consumenten en duizenden bedrijven overal ter wereld Keeper vertrouwen om hun wachtwoorden en andere persoonlijke gegevens te beschermen.
Wat is Keeper Security?
Keeper Security verandert de manier waarop organisaties en particulieren hun wachtwoorden en gevoelige digitale gegevens beschermen. Hierdoor komen bij deze klanten aanzienlijk minder wachtwoord-inbreuken en cyberdreigingen voor.
Keeper is de toonaangevende leverancier van zero-knowledge beveiligings– en encryptiesoftware voor wachtwoorden, passkeys, geheimen, verbinding en geprivilegieerd toegangsbeheer, evenals dark web-monitoring, digitale bestandsopslag, versleutelde berichten en meer. We beschermen zowel consumenten als bedrijven van elke omvang in alle grote industriesectoren. Keeper heeft de langst bestaande SOC 2- en ISO27001-certificering in deze branche en we zijn ook geautoriseerd door FIPS 140-2 en FedRAMP.
Keeper is door PC Magazine uitgeroepen tot de beste wachtwoordmanager. Ook is Keeper bekroond als ‘Editor’s Choice’ en ‘Best Overall Password Manager’ door U.S. News & World Report, G2 Enterprise Leader, Hot Company in IAM, Most Innovative in Endpoint Security en Cutting Edge in Security Company of the Year. Keeper heeft meer dan 275.000 5-sterrenrecensies in de appstores.
Keeper voor consumenten en gezinnen
De Keeper Password Manager voor consumenten en gezinnen slaat al uw wachtwoorden, MFA-codes en verschillende andere gevoelige gegevens op in een veilige digitale webkluis. U hebt daarbij de mogelijkheid om uw inloggegevens automatisch in te laten vullen op al uw websites en apps. Onze consumentenoplossingen maken gebruik van dezelfde merkgebonden zero-knowledge encryptie als onze commerciële producten, waardoor consumenten profiteren van een beveiliging die goed genoeg is voor bedrijven. Alleen de gebruiker heeft toegang tot de opgeslagen wachtwoorden en bestanden en kan die ontsleutelen. Niemand anders heeft toegang tot de hoofdwachtwoorden, encryptiesleutels of kluisinhoud van onze gebruikers, zelfs de eigen medewerkers van Keeper niet.
Keeper voor organisaties
Het bedrijfsplatform voor wachtwoordbeheer en beveiliging van Keeper:
- Geeft elke medewerker een veilige, versleutelde digitale kluis waarin alle wachtwoorden, bestanden en andere gevoelige gegevens kunnen worden opgeslagen. Medewerkers hebben toegang tot hun kluis vanaf vrijwel elk apparaat en vanaf alle grote webbrowsers. De software genereert automatisch unieke, complexe wachtwoorden voor al hun accounts en vult automatisch hun inloggegevens in op al hun websites en apps.
- Biedt IT-beheerders volledig inzicht in het gebruik van wachtwoorden door medewerkers, zodat ze het gebruik van wachtwoorden kunnen controleren en regels kunnen opleggen, zoals het instellen van complexe wachtwoorden, tweefactorauthenticatie (2FA), Role-Based Access Control (RBAC) en andere beveiligingen.
Is het veilig om Keeper te gebruiken?
Keeper is volledig veilig in het gebruik. De eigen medewerkers van Keeper gebruiken onze wachtwoordmanager om bedrijfswachtwoorden en -gegevens te beschermen en hun bestanden veilig te delen.
Keeper is een zero-trust en zero-knowledge beveiligingsprovider. De versleuteling en ontsleuteling vindt alleen plaats op het apparaat van de gebruiker nadat de kluis met de unieke inloggegevens is geopend. Dit betekent dat de Keeper-gebruiker de enige persoon is die alle eigen gegevens kan versleutelen en ontsleutelen.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Wanneer u met een hoofdwachtwoord inlogt, gebruikt het clientapparaat een 256-bits authenticatiesleutel met PBKDF2-HMAC-SHA256 en een willekeurige SALT-code. Een ‘authenticatie-hash’ wordt gegenereerd door de authenticatiesleutel met SHA-256 te hashen. Voor het inloggen wordt de authenticatie-hash vergeleken met een opgeslagen authenticatie-hash in de Cloud Security Vault. Na het inloggen wordt een sessietoken op de server gegenereerd en naar de klant verzonden. Het apparaat van de klant gebruikt dit token voor de API-aanvragen. De sessie moet actief zijn om tussen de clients en servers te kunnen blijven communiceren.
Keeper maakt gebruik van FIPS 140-2 gevalideerde encryptiemodules om aan strenge beveiligingsvereisten van overheden en de publieke sector te voldoen. De encryptie van Keeper is gecertificeerd door de NIST CMVP en gevalideerd volgens de FIPS 140-standaard door geaccrediteerde externe laboratoria.
Meer informatie over de authenticatie- en encryptiemethode van Keeper staat in onze online kennisbasis.
Keeper ondersteunt de meest populaire en veilige 2FA-methoden: sms, op TOTP gebaseerde authenticatie-apps, zoals Google of Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (authenticatie van draagbare apparaten met Apple Watch en Android Wear-apparaten) en FIDO2 WebAuthn-apparaten, zoals Yubikey. Organisaties kunnen 2FA afdwingen met behulp van de Role-Based Enforcement Policies van Keeper.
Is Keeper ooit gehackt?
Nee, Keeper is nog nooit gehackt. In 2017 vond een beveiligingsonderzoeker een bug in de Keeper browserextensie. Dit is een aparte applicatie van de Keeper desktop-app. We hebben de bug binnen 24 uur na bevestiging gepatcht, alle eerdere versies van de Keeper-browserextensie als verouderd aangemerkt en melding gemaakt van het incident op onze blog. We hebben een tweede blog gepubliceerd met verdere uitleg over de situatie. We hebben onze klanten verzekerd dat er geen sprake was van een gemelde of daadwerkelijke beveiligingslek of enig verlies van klantgegevens als gevolg van deze bug.
Sinds 2017 is er veel veranderd! Keeper werkt nu samen met Bugcrowd voor het beheer van onze ‘bug bounty’ en het Vulnerability Disclosure Program (VDP), ofwel het bekendmaken van onze kwetsbaarheden. De VDP van Keeper Security staat op https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper houdt zich ook aan zeer strikte interne beveiligingsprocedures die regelmatig door derden worden gecontroleerd om ervoor te zorgen dat we veilige software blijven ontwikkelen en het veiligste cybersecurity-platform ter wereld leveren:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper voert SAST/DAST uit met de ingebouwde CodeQL-tools van Github Enterprise en periodieke tests met Synopsys/Black Duck. Het engineeringteam van Keeper controleert de statische analyses op geldige bevindingen.
- Keeper verwelkomt en gebruikt de best practices en aanbevelingen in de OWASP Developer’s Guide en de OWASP Cheat Sheet Series om onze veilige software-engineering te implementeren en te verbeteren. Keeper maakt gebruik van de OWASP Testing Guide en/of OWASP Code Review Guide om kwetsbaarheden in onze service/applicatie te vinden en te corrigeren.
- Keeper voert alle software-ontwikkeling in eigen beheer uit op lokale ontwikkelingswerkstations. We geven derden geen technische toegang tot onze systemen.
- Elk project bestaat gewoonlijk uit een GitHub-repository, een Jira-project, een Kanban-bord en een pijplijn voor het ontwikkelen van GitHub-acties. Terwijl de software wordt ontwikkeld, wordt de GitHub-repo met regelmatige commits bijgewerkt. De geautomatiseerde GitHub-acties worden ontwikkeld op basis van commits of met regelmatige, speciale build-intervallen. Jira-tickets en Kanban-borden worden gebruikt om de projectontwikkeling te organiseren.
- Voordat de QA wordt afgerond, ondergaat de broncode een peer review van de teamlead, waaronder beveiligingscontroles, onbevoegde toegang, aanvallen met gegevensinjectie, enzovoort.
- De hardening en aanpassing van het serverbesturingssysteem, de webservers, app-servers en DB-servers zijn gestandaardiseerd met behulp van configuratiesjablonen en gescripte API-aanvragen aan Amazon AWS.
- Keeper voert dagelijkse en maandelijkse kwetsbaarheidsscans uit op de systeeminfrastructuur van Keeper.
- Keeper voert regelmatig zowel interne als externe penetratietests uit. Penetratietests worden elke maand uitgevoerd met een combinatie van services van derden en interne tools en systemen.
- Kritieke kwetsbaarheden worden binnen 48 uur gepatcht en niet-kritieke (medium) kwetsbaarheden binnen 10 werkdagen.
Certificeringen en compliance van Keeper
Keeper is het veiligste, gecertificeerde, geteste en gecontroleerde wachtwoordbeveiligingsplatform ter wereld. Keeper heeft de langst bestaande SOC 2- en ISO 27001-certificeringen in de sector. Keeper is geautoriseerd door FedRAMP en StateRAMP en is gecertificeerd door TrustArc voor online privacy volgens het Data Privacy Framework (DPF). Bedrijfsklanten kunnen een exemplaar van onze SOC 2- en ISO 27001-rapporten verkrijgen door contact op te nemen met ons verkoopteam.
Keeper voldoet aan AVG, CCPA, PCI DSS en HIPAA en we hebben een exportlicentie van het Amerikaanse Department of Commerce volgens EAR. We voldoen aan alle lokale wettelijke vereisten voor gegevensbeveiliging en zijn gecertificeerd door TrustArc voor online privacy.
Volgens de AVG zijn er twee entiteiten die persoonsgegevens mogen verwerken. Een verwerkingsverantwoordelijke beslist welke gegevens worden verzameld en welke persoonsgegevens worden verwerkt. Een gegevensverwerker voert de opdrachten van een verwerkingsverantwoordelijke uit voor het verzamelen, opslaan, ophalen en/of verwijderen van persoonsgegevens. Keeper Security is een verwerkingsverantwoordelijke wanneer we onze wachtwoordmanager rechtstreeks aan consumenten verkopen. We zijn een gegevensverwerker wanneer we onze producten aan bedrijven verkopen, die in dat geval dus de verwerkingsverantwoordelijke zijn.
Ga voor meer informatie over de AVG-naleving van Keeper of voor downloadbare AVG-overeenkomsten voor gegevensverwerking naar https://www.keepersecurity.com/GDPR.html
Als cloudserviceprovider van FedRAMP (gemiddeld impactniveau) is Keeper in een goede positie om organisaties te helpen bij het naleven van de International Traffic in Arms Regulation (ITAR), die de Amerikaanse import en export van ruimte- en defensiegerelateerde artikelen en diensten regelt.
Ga voor meer informatie over onze compliancecertificeringen naar https://www.keepersecurity.com/security.html?s=compliance
Keeper is door FedRAMP geautoriseerd
Keeper Security Government Cloud (KSGC) is door FedRAMP geautoriseerd voor een gemiddeld impactniveau. Wat betekent dat eigenlijk?
Het Federal Risk and Authorization Management Program (FedRAMP) werd door de Amerikaanse overheid opgezet voor de toepassing van een gestandaardiseerde aanpak van beveiligingsmaatregelen, autorisatie en continue monitoring van cloudproducten en -services. Alle Amerikaanse federale instanties moeten FedRAMP-gecertificeerde cloudservices gebruiken.
Voor een vermelding op de FedRAMP-marktplaats moeten cloudserviceproviders (CSP’s) zoals Keeper een maandenlang, rigoureus autorisatieproces ondergaan, inclusief een grondige audit van alle systemen. Zelfs na het verkrijgen van FedRAMP-autorisatie is het werk van de CSP nog niet klaar! De CSP moet alle systemen voortdurend onderhouden om aan de FedRAMP-vereisten te blijven voldoen. Het FedRAMP-programma controleert dit door van de CSP te eisen dat ze elke maand continue monitoringrapporten aan de overheidsinstanties leveren die hun service gebruiken, inclusief een bijgewerkt Plan of Action en Milestones (POA&M)-rapport en scanresultaten/rapporten. Bovendien moet de CSP ook een jaarlijkse beveiligingsevaluatie uitvoeren.
Hoewel FedRAMP is ontworpen voor federale overheidsinstanties, is het kiezen van een FedRAMP– en StateRAMP-oplossing voor geautoriseerd wachtwoordbeheer zoals Keeper Security Government Cloud ook gunstig voor staats- en lokale overheidsinstanties en organisaties in sterk gereguleerde sectoren.