Bedrijven en grote ondernemingen
Bescherm uw bedrijf tegen cybercriminelen.
Gratis proefabonnement startenKeeper maakt gebruik van eersteklas beveiliging met een zero-trust framework en zero-knowledge architectuur om de informatie te beveiligen en het risico op een gegevenslek te beperken.
ALLEEN de gebruiker is op de hoogte van en heeft toegang tot het hoofdwachtwoord en de sleutel die wordt gebruikt om informatie te versleutelen en ontcijferen.
Keeper beschermt uw informatie met 256-bits AES-versleuteling en PBKDF2, wat algemeen wordt erkend als de sterkste vorm van versleuteling die beschikbaar is.
Gebruikersgegevens worden op apparaatniveau versleuteld en ontsleuteld, niet op de servers van Keeper of in de cloud.
Keeper ondersteunt multi-factor-authenticatie, FIDO2 hardwarematige beveiligingssleutels, biometrische logins en Keeper DNA, waarbij een Apple Watch- of Android Wear-apparaat wordt gebruikt om uw identiteit te bevestigen.
Keeper gebruikt cryptografie die is gecertificeerd en gevalideerd door NIST Cryptographic Module Verification Program (CMVP) volgens de FIPS 140-2-norm.
Keeper gebruikt Amazon AWS op meerdere geografische locaties en architectuur om de Keeper-vault te hosten en laten werken, om zo klanten de snelste en veiligste opslag in de cloud te bieden. Gegevens in ruste en onderweg worden volledig geïsoleerd in een internationaal datacenter naar voorkeur van de klant.
Keeper Security, Inc. (KSI) richt zich sterk op de bescherming van de informatie van klanten met Keeper beveiligingssoftware voor mobiel en desktop. Miljoenen klanten en bedrijven vertrouwen erop dat Keeper hun wachtwoorden en privé-informatie beveiligt en toegankelijk houdt.
Keeper's software wordt doorlopend verbeterd en bijgewerkt om klanten te voorzien van de nieuwste technologie en bescherming. Op deze pagina vindt u een overzicht van Keepers beveiligingsarchitectuur, versleutelingsmethoden en hostingomgeving, in de vorm van de momenteel gepubliceerde versie. Een overzicht van de technische details in verband met onze versleutelings- en beveiligingsmethoden wordt in dit document beschreven.
Ons privacybeleid en onze gebruiksvoorwaarden zijn beschikbaar op onze website via de volgende koppelingen:
Zero-trust begint met wachtwoordbeveiliging. KSI creëert zijn producten met een zero-trust beveiligingsframework dat is gebaseerd op het niet-vertrouwen van gebruikers binnen de architectuur. Zero-trust gaat ervan uit dat alle gebruikers en apparaten in potentie kunnen worden gecompromitteerd en daarom moet elke gebruiker worden geverifieerd en geauthenticeerd voordat deze toegang krijgt tot een website, applicatie of systeem. Dit cyberbeveiligingsframework ligt ten grondslag aan het cyberbeveiligingsplatform van Keeper. Het platform geeft IT-beheerders volledig zicht op alle gebruikers, systemen en apparaten die worden gebruikt, wat helpt bij het waarborgen van de naleving en de regelgevende mandaten binnen de branche. Om een zero-trust framework te hebben binnen een organisatie, moet er wachtwoordbeveiliging van wereldklasse zijn die wordt ondersteund met een zero-knowledge beveiligingsarchitectuur.
Zero-trust architectuur
Klik op de i infosymbooltjes voor meer informatie.
Keeper-gebruikers op alle client-apparaten, waaronder desktop, mobiel, browser en opdrachtregel.
Een IdP is een service waarop identiteiten worden opgeslagen en beheerd.
Zorgt ervoor dat SSO kan worden uitgebreid op beveiligingsdomeinen, waardoor browser-SSO mogelijk wordt gemaakt.
Geprivilegieerde gebruikers met toegang tot zeer vertrouwelijke accounts, logins en geheimen.
Gebruik dit platform om bedrijfsbeleidsregels voor eindgebruikers te configureren en af te dwingen.
Schakelt zero-trust netwerktoegang in voor uw infrastructuur zonder een VPN.
Beveiligt infrastructuurgeheimen zoals API-sleutels, databasewachtwoorden, toegangssleutels, certificaten en alle soorten vertrouwelijke gegevens.
Beschermt uw wachtwoorden en persoonsgegevens tegen cybercriminelen.
Apparaten van eindgebruikers met toegang tot beveiligde wachtwoordkluizen.
Verschillende eindpunten die geprivilegieerde gebruikers vaak gebruiken.
DevOps- en ontwikkelaarstools die het proces van apps bouwen en ontwikkelen automatiseren.
Websites, apps en systemen waarvoor logins nodig zijn.
KSI is een zero-knowledge beveiligingsprovider. De Keeper-gebruiker is de enige persoon die de volledige controle heeft over de versleuteling en ontcijfering van zijn of haar gegevens. Met Keeper vindt versleuteling plaats op het niveau van het gebruikersapparaat en via het volledige transportproces vanaf de gebruikersapp naar Keeper's Cloud Security Vault. De encryptiesleutel die nodig is voor de ontcijfering van gegevens, is altijd in handen van de Keeper-gebruiker. KSI kan de opgeslagen gegevens van de gebruiker niet ontcijferen.
KSI heeft geen toegang tot het hoofdwachtwoord van de gebruiker en KSI heeft evenmin toegang tot de records die zijn opgeslagen in de Keeper-kluis. KSI heeft geen externe toegang tot het apparaat van een klant en kan ook de kluis van de klant niet ontcijferen. De enige informatie waar Keeper Security toegang tot heeft, is het e-mailadres van een gebruiker, het apparaattype en abonnementsgegevens (bijv. Keeper Unlimited). Als het apparaat van een gebruiker verloren raakt of wordt gestolen, kan KSI helpen bij het toegang krijgen tot versleutelde back-upbestanden om de kluis van de gebruiker te herstellen zodra het apparaat is vervangen.
Informatie die is opgeslagen en wordt benaderd vanuit Keeper, is alleen toegankelijk voor de klant omdat deze direct wordt versleuteld en weer wordt ontcijferd op het gebruikte apparaat - zelfs bij gebruik van de Keeper-app. De methode van versleuteling die Keeper gebruikt is een bekend, vertrouwd algoritme dat AES (Advanced Encryption Standard) wordt genoemd en een 256-bits sleutellengte heeft. Volgens de publicatie CNSSP-15 van het Comité voor Nationale Veiligheidssystemen is AES met 256-bits sleutellengte voldoende veilig om vertrouwelijke gegevens te versleutelen, tot aan UITERST VERTROUWELIJKE gegevens van de Amerikaanse overheid toe. Keeper is FIPS 140-2 gecertificeerd en gevalideerd door NIST CMVP (certificaat #3976 - https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/3976)
De versleutelingsreeksen die worden gebruikt om klantenrecords te versleutelen en ontcijferen worden niet opgeslagen in of overgedragen aan Keeper's Cloud Security Vault. Let op, om synchronisatiemogelijkheden tussen meerdere apparaten mogelijk te maken, wordt een versleutelde versie van de versleutelingsreeks opgeslagen in de Cloud Security Vault en verstrekt aan de apparaten via de gebruikersaccount. Deze versleutelingsreeks kan alleen worden ontcijferd op het apparaat voor nader gebruik als encryptiesleutel.
We raden u ten zeerste aan een sterk hoofdwachtwoord te kiezen voor uw Keeper-account. Gebruik dit hoofdwachtwoord bij voorkeur niet buiten Keeper. Gebruikers mogen hun hoofdwachtwoord nooit met iemand anders delen.
Om te beschermen tegen ongeautoriseerde toegang tot uw kluis, websites en applicaties, biedt Keeper ook twee-factor-authenticatie aan. Twee-factor-authenticatie is een benadering van authenticatie waarbij twee of meer van de drie authenticatiefactoren nodig zijn: een kennisfactor, een bezitsfactor en een inherentiefactor. Voor meer informatie over twee-factor-authenticatie, zie deze link.
Keeper gebruikt iets wat u weet (uw wachtwoord) en iets dat u hebt (de telefoon in uw bezit) om gebruikers extra beveiliging te bieden in geval uw hoofdwachtwoord of apparaat wordt gecompromitteerd. Om dit te doen, genereren we TOTP's (Time-based One-Time Passwords).
Keeper genereert een 10-bytes geheime sleutel via een cryptografisch veilige willekeurige nummergenerator. Deze code is ongeveer een minuut geldig en wordt via sms Duo Security, RSA SecurID, TOTP-applicatie, Google Authenticator of Keeper DNA-compatibele wearable apparaten zoals de Apple Watch of een Android Wear-apparaat naar de gebruiker gestuurd.
Bij gebruik van de Google Authenticator of TOTP-applicatie op uw mobiele apparaat, genereert de Keeper-server intern een QR-code met uw geheime sleute, en deze wordt nooit gecommuniceerd naar een derde partij. Telkens als een gebruiker twee-factor-authenticatie deactiveert en vervolgens opnieuw activeert, wordt een nieuwe geheime sleutel gegenereerd.
Om twee-factor-authenticatie te activeren, gaat u naar Keeper DNA of het instellingenscherm van de Keeper Web App. Gebruikers van Keeper Business kunnen optioneel het gebruik van twee-factor-authenticatie afdwingen voor aanmelding bij de kluis en ondersteunde 2FA-methoden via de rolafdwingingsfunctionaliteit van de Keeper Admin Console.
Keeper ondersteunt FIDO-compatibele WebAuthn hardwarematige beveiligingssleutelapparaten zoals YubiKey als een tweede factor. Beveiligingssleutels zijn een handige en veilige manier om twee-factor-authenticatie uit te voeren zonder dat de gebruiker handmatig 6 cijfers moet invoeren. Er kunnen meerdere beveiligingssleutels worden geconfigureerd voor een gebruikerskluis. Voor platforms die geen beveiligingssleutelsapparaten ondersteunen, kunnen gebruikers terugvallen op andere geconfigureerde 2FA-methoden. Ga om een beveiligingssleutel en andere twee-factor-authenticatiemethoden te configureren naar het instellingenscherm van de Keeper-app.
Keeper ondersteunt de mogelijkheid om tot 5 noodcontacten toe te voegen om kluistoegang te verlenen in geval van nood of overlijden. Zodra een bepaalde wachttijd is vertreken, krijgt het noodcontact toegang tot de kluis van de gebruiker. Het proces van een kluis delen is zero-knowledge, en het hoofdwachtwoord van de gebruiker wordt nooit rechtstreeks gedeeld. RSA-versleuteling wordt gebruikt om een 256-bits AES-sleutel te delen met het noodcontact na afloop van de wachttijd die is ingesteld door de oorspronkelijke gebruiker. Het noodcontact moet daarom een Keeper-account hebben (en een betaalde openbare/particuliere RSA-sleutel) om de uitnodiging te accepteren.
Tijdens de aanmelding voor een account kunnen gebruikers worden gevraagd om een aangepaste 'vraag en antwoord' te kiezen, of een andere herstelmethode. Eveneens tijdens de aanmelding genereert Keeper een 256-bits AES-gegevenssleutel die wordt gebruikt om de recordsleutels die worden opgeslagen met alle kluisrecords te versleutelen en ontcijferen. De gegevenssleutel van de gebruiker wordt versleuteld met een sleutel die is afgeleid van het hoofdwachtwoord door gebruik te maken van PBKDF2 met tot wel 1.000.000 iteraties, en elke AES-256-recordsleutel wordt versleuteld met de AES-256-gegevenssleutel. Elke record in de gebruikerskluis heeft afzonderlijke, verschillende recordsleutels aan de client-kant.
Accountherstel via de beveiligingsvraagmethode werkt als volgt: een tweede kopie van de gegevenssleutel van de gebruiker die is versleuteld met een sleutel die is afgeleid van de geselecteerde beveiligingsvraag wordt opgeslagen met tot wel 1.000.000 iteraties. Om een kluisherstel te voltooien, moet de gebruiker een e-mailverificatiecode invoeren en ook de twee-factor-authenticatiecode (indien ingeschakeld op het account). We raden u aan om een sterke beveiligingsvraag en -antwoord samen te stellen, en Keeper's twee-factor-authenticatie in te schakelen via het instellingenscherm. U kunt het herstel van een account uitschakelen op basis van de configuratie van het Keeper Enterprise-account. Twee-factor-authenticatie kan daarnaast worden afgedwongen voor klanten van grote ondernemingen via de Keeper-beheerconsole.
Klanten van Keeper Business en Enterprise krijgen een zero-knowledge methode van accountherstel voor hun gebruikers, waarbij gebruik wordt gemaakt van het accountoverdrachtbeleid van Keeper.
De gegevens worden versleuteld en ontcijferd op het apparaat van de gebruiker, niet in de Cloud Security Vault. We noemen dit 'clientversleuteling' omdat de client (bijv. iPhone, Android, webapp) al het werk doet. De Cloud Security Vault slaat ruwe binaire gegevens op, die waardeloos zijn voor indringers. Zelfs als de gegevens worden onderschept tijdens de overdracht van het clientapparaat naar de Cloud Security Vault, kunnen deze niet worden ontcijferd om de privé-gegevens van de gebruikers aan te vallen of compromitteren.
Voor het doorbreken of hacken van een symmetrische 256-bits-sleutel is 2128 keer de rekenkracht van een 128-bits-sleutel nodig. In theorie zou je hiervoor een apparaat nodig hebben dat er 3x1051 jaar over zou doen om de 256-bits sleutelruimte uit te putten.
Elke gebruiker heeft een openbaar en een privé 256-bits Elliptic Curve (ECC secp256r1) sleutelpaar dat wordt gebruikt om andere sleutels te delen (zoals recordsleutels, mapsleutels en teamsleutels) tussen gebruikers. Gedeelde informatie wordt versleuteld met de openbare sleutel van de ontvanger. De ontvanger ontcijfert de gedeelde informatie met de privésleutel. Op deze manier kan een gebruiker records delen met uitsluitend de beoogde ontvanger, omdat alleen de ontvanger de records kan ontcijferen. Omwille van de compatibiliteit met oudere records, kan ook een 2048-bits RSA-sleutel worden gebruikt.
De standaard authenticatiemethode voor Keeper is via een door de gebruiker geselecteerd hoofdwachtwoord. PBKDF2 wordt gebruikt om een sleutel af te leiden van het hoofdwachtwoord, die de andere sleutels van de gebruikers ontcijfert, zoals de 256-bits AES gegevenssleutel. Een tweede PBKDF2-sleutel wordt lokaal gegenereerd en vervolgens gehasht met HMAC_SHA256 om een authenticatietekenreeks af te leiden. De mogelijkheid om te authenticeren met een hoofdwachtwoord wordt beperkt tot het apparaat van de gebruiker verificatie doorstaat en 2FA is geverifieerd. Het aantal PBKDF2-iteraties is standaard 1.000.000 rondes. Keeper-beheerders kunnen ook PBKDF2-iteratieniveaus afdwingen in de Keeper-beheerdersconsole.
Alle geheime sleutels zoals de Elliptic Curve-privésleutel van elke gebruiker, de RSA-privésleutel en de AES-256-gegevenssleutel worden stuk voor stuk versleuteld voorafgaand aan opslag of transmissie. Voor klanten en zakelijke gebruikers die zich aanmelden met een hoofdwachtwoord, wordt een sleutel afgeleid van het hoofdwachtwoord om eventueel opgeslagen sleutels te ontcijferen. Voor klanten van grote ondernemingen die zich aanmelden met een SSO-identiteitsprovider, worden gecodeerde sleutels verstrekt aan het apparaat na succesvolle authenticatie en de privésleutels van de gebruiker worden gebruikt om de gegevenssleutel en andere kluissleutels te ontcijferen. Aangezien Keeper's Cloud Security Vault geen toegang heeft tot het hoofdwachtwoord of de coderingssleutels van de gebruiker, kunnen wij geen opgeslagen sleutels of gegevens ontcijferen.
De Cloud Security Vault verwijst naar de software en netwerkarchitectuur van KSI die fysiek zijn gehost bij de infrastructuur Amazon Web Services (AWS).
Wanneer de gebruiker zijn Keeper-kluis synchroniseert met andere apparaten in zijn account, worden de versleutelde binaire gegevens via een versleutelde SSL-tunnel venzonden en in versleutelde indeling opgeslagen in Keeper's Cloud Security Vault.
Keeper bewaart een volledig versleuteld versieoverzicht van elke record die is opgeslagen in de kluis, om te garanderen dat belangrijke gegevens nooit verloren gaan. Vanuit de Keeper-clientapp kunnen gebruikers de recordgeschiedenis onderzoeken en elke losse kluisrecord herstellen. Als een opgeslagen wachtwoord of bestand in Keeper wordt gewijzigd of verwijderd, hebben gebruikers altijd de mogelijkheid om te herstellen naar een bepaald punt in de tijd.
Klanten die Keeper Business kopen krijgen een extra controlelaag over hun gebruikers en apparaten. Keeper-beheerders krijgen toegang tot een cloudgebaseerde administratieve console die volledige controle biedt over het toevoegen en verwijderen van gebruikers, op rollen gebaseerde machtigingen, gedelegeerd beheer, teams, Active Directory/LDAP-integratie, twee-factor-authenticatie, Single Sign-On en beleidsregels voor beveiligingsafdwinging. Keeper's op rollen gebaseerde afdwingingsbeleidsregels zijn volledig aanpasbaar en schaalbaar op organisaties van alle formaten.
Keeper implementeert een meerlagig versleutelingsssyteem gebaseerd op sleutels die aan de clientkant worden gegenereerd. Sleutels op recordniveau en mapniveau worden op het lokale apparaat gegenereerd, waarbij elke opgeslagen kluisrecord wordt versleuteld (bijvoorbeeld een wachtwoord). Als u bijvoorbeeld 10.000 records in uw kluis hebt, hebt u ook 10.000 AES-recordsleutels die de gegevens beschermen.
Sleutels worden lokaal gegenereerd op het apparaat om zero-knowledge te waarborgen en om geavanceerde functies te ondersteunen, zoals het delen van records en mappen. Record- en mapsleutels worden omwikkeld door andere sleutels, zoals de data-sleutel en client-sleutel.
Keeper for Business biedt een veilige en robuuste set controles ten aanzien van organisatorische eenheden, rollen, teams en gedeelde mappen. De krachtige back-endcontroles van Keeper bieden de meest robuuste beveiligingslagen die toegang met minimale bevoegdheden en volledig gedelegeerde administratie bieden.
Voor rollen die de overdracht van een gebruikersaccount afdwingen:
De afdwingingssleutel wordt versleuteld met de openbare sleutel van de beheerder die gemachtigd is om de overdracht uit te voeren.
(Let op: afzonderlijke afdwingingen die worden toegepast op afzonderlijke groepen gebruikers worden mogelijk aangewezen voor overdracht door afzonderlijke groepen beheerders.)
De gegevenssleutel van de gebruiker (voor gebruikers in een rol waarvoor afdwinging wordt toegepast) wordt versleuteld met de openbare sleutel voor rolafdwinging.
Een account die moet worden overgedragen wordt gedaan door de gebruikersaccount te vergrendelen en vervolgens over te dragen en verwijderen. Hierdoor wordt gegarandeerd dat de bewerking niet in het geheim wordt uitgevoerd. De gedeelde gegevenssleutel van de gebruiker en de metadata zorgen voor de mogelijkheid om de recordgegevens te ontcijferen, maar bieden geen directe toegang. Daarom zijn de records pas bruikbaar door een individu nadat ze zijn toegewezen aan dit individu en geen ander individu toegang heeft gekregen.
Alle versleuteling vindt plaats aan de clientkant, en op geen enkel moment heeft Keeper de mogelijkheid om de informatie die wordt gedeeld of overgedragen te ontcijferen. Bovendien kunt u vliegensvlug de clientsleutel van een gebruiker delen. Een gebruiker die wordt verwijderd uit een team, gedeelde map of direct delen ontvangt geen nieuwe gegevens van het team, gedeelde map of record. Daarom, hoewel de sleutel gecompromitteerd is met dat individu, is de sleutel niet bruikbaar om toegang te verkrijgen tot de onderliggende gegevens.
Diverse verschillende administratieve machtigingen kunnen worden toegewezen aan delen van een hiërarchisch overzicht waarmee de leden van de gemachtigde rol bewerkingen kunnen uitvoeren in onze Keeper-beheerdersconsole.
Er kunnen ook aan de serverkant en clientkant afdwingingsbeleidsregels worden toegepast op rollen om het gedrag van de client voor groepen of groepen individuen te dicteren.
Via teams wordt de eenvoudige verspreiding van gedeelde mappen aan groepen gebruikers mogelijk gemaakt.
De Keeper Bridge wordt geïntegreerd met Active Directory en LDAP-servers voor het toevoegen en aantrekken van gebruikers. De Keeper Bridge-communicatie wordt in eerste instantie geautoriseerd door een beheerder met het privilege om de brug te beheren. Een transmissiesleutel wordt gegenereerd en gedeeld met Keeper voor alle vervolgcommunicatie. Het gebruik van de transmissiesleutel is de autorisatie voor alle bewerkingen die worden uitgevoerd door de brug, met uitzondering van de initialisatie van de brug. De transmissiesleutel kan op elk moment worden gegenereerd, en wordt elke 30 dagen gecirculeerd.
De transmissiesleutel is uitsluitend bedoeld voor transmissie, wat inhoudt dat een gecompromitteerde sleutel opnieuw kan worden geïnitialiseerd of ingetrokken zonder verlies van gegevens of machtigingen.
Keeper Bridge kan geen machtigingen toekennen aan een rol of gebruiker. Het kan wel een gebruiker aan een gemachtigde rol toevoegen, zo lang er geen afdwingingssleutels nodig zijn. Keeper Bridge mag zichzelf of een gebruiker niet boven het overzicht dat het beheert plaatsen. Niet alle bewerkingen zijn beschikbaar voor Bridge. Zo kan Bridge wel een actieve gebruiker uitschakelen, maar de gebruiker niet verwijderen. De beheerder moet bepalen of de gebruiker wordt verwijderd of overgedragen.
Keeper kan worden geconfigureerd door Keeper Business-klanten om een gebruiker te authenticeren voor zijn of haar Keeper-kluis via standaard SAML 2.0-identiteitsproducten. Keeper is een vooraf geconfigureerde serviceprovider in elke grote SSO-identiteitsprovider zoals Google Apps, Microsoft Azure, Okta, Ping Identity en andere. Het mechanisme dat Keeper gebruikt om gebruikers te authenticeren voor hun kluis in een zero-knowledge omgeving is de gepatenteerde implementatie die Keeper SSO Connect® wordt genoemd. Keeper SSO Connect® is een software-app die Keeper Business-beheerders binnen hun eigen infrastructuur installeren (op locatie of in de cloud), en die functioneert als een SAML 2.0 serviceprovider-eindpunt. Bij activatie binnen een bepaalde organisatorische eenheid beheert Keeper SSO Connect® alle sleutels voor Keeper Business-eindgebruikers. Na succesvolle authenticatie in de zakelijke Sign-On-identiteitsprovider wordt de gebruiker aangemeld bij Keeper met de benodigde sleutels om de betreffende kluis te ontcijferen. Keeper SSO Connect®-software werkt binnen Windows-, Mac- en Linux-omgevingen.
Keeper SSO Connect® Cloud biedt klanten van Keeper Enterprise een methode aan van authenticatie van gebruikers en het ontcijferen van opgeslagen gegevens in een zero-knowledge versleutelde kluis, met authenticatie via een externe identiteitsprovider (IdP), waarbij gebruik wordt gemaakt van standaard SAML 2.0-protocollen in een volledige cloudomgeving.
Bij deze implementatie kan een gebruiker zich authenticeren via zijn of haar SSO-identiteitsprovider en vervolgens de versleutelde tekst van zijn of haar kluis lokaal op het apparaat ontcijferen. Elk apparaat heeft een eigen openbaar/privé EC (Elliptic Curve) sleutelpaar en een gecodeerde gegevenssleutel. Elke gebruiker heeft een eigen gegevenssleutel. Voor aanmelding bij een nieuw apparaat moet de gebruiker bestaande apparaten gebruiken om een goedkeuring te verkrijgen, of een beheerder met het privilege om een nieuw apparaat goed te keuren vragen dit te doen.
Het belang van deze mogelijkheid is dat de gebruiker zijn of haar kluis kan ontcijferen met een gecodeerde sleutel die is opgeslagen in de Keeper-cloud. Zero-knowledge blijft behouden omdat de Keeper-cloud de gegevenssleutel van de gebruiker niet kan ontcijferen op zijn of haar apparaat. De Data Key ('DK') van de gebruiker wordt ontcijferd met de Device Private Key ('DPRIV'), en de Encrypted Data Key ('EDK') wordt alleen verstrekt aan de gebruiker na succesvolle authenticatie van de betreffende identiteitsprovider (bijvoorbeeld Okta, Azure, AD FS).
Voor gebruikers van SSO Connect® Cloud wordt een Elliptic Curve-privésleutel gegenereerd en lokaal opgeslagen op elk apparaat. Voor Chromium-gebaseerde browsers slaat de Keeper-kluis de Device Private Key ('DPRIV') op als een CryptoKey die niet kan worden geëxporteerd. Op iOS- en Mac-apparaten wordt de sleutel opgeslagen in de apparaat-KeyChain. Indien beschikbaar gebruikt Keeper veilige opslagmechanismen.
De Device Private Key (DPRIV) wordt niet rechtstreeks gebruikt om kluisgegevens te versleutelen of ontcijferen. Na succesvolle authenticatie van de identiteitsprovider wordt een afzonderlijke sleutel (die niet is opgeslagen) gebruikt voor ontcijfering van de kluisgegevens. Door een Device Private Key (DPRIV) lokaal uit te pakken, kan een gebruikerskluis niet worden ontcijferd.
Verschillende apparaten/platforms hebben verschillende niveaus van beveiliging. Om optimale beveiliging te bieden, raden we u aan om een up-to-date Chromium-gebaseerde browser te gebruiken.
Als algemene bescherming tegen gecompromitteerde apparaataanvallen raden we u aan alle apparaten (zoals desktopcomputers) te beschermen met versleuteling op schijfniveau en up-to-date anti-malware-software.
Voor aanmelding bij een nieuw apparaat moet de gebruiker bestaande apparaten gebruiken om een goedkeuring uit te voeren. Een beheerder met het privilege kan eveneens een nieuw apparaat goedkeuren. Nieuwe apparaten genereren een nieuwe set openbare/privésleutels, en het goedkeurende apparaat versleutelt de gegevenssleutel van de gebruiker met de openbare sleutel van het nieuwe apparaat. De Encrypted Data Key (EDK) van het nieuwe apparaat wordt verstrekt aan de vragende gebruiker/het apparaat en vervolgens kan de gebruiker de gegevenssleutel ontcijferen, waarop de gegevenskluis van de gebruiker wordt ontcijferd. Binnen de ontcijferde kluisgegevens kan de gebruiker andere privé-coderingssleutels zoals recordsleutels, mapsleutels, teamsleutels enz. ontcijferen.
Het belang van deze mogelijkheid is dat de gebruiker zijn of haar kluis kan ontcijferen met een gecodeerde sleutel die is opgeslagen door de Keeper-cloud en appservices op locatie of door de gebruiker gehoste services nodig heeft om coderingssleutels te beheren. Zero-knowledge blijft behouden omdat de Keeper-cloud de Data Key van de gebruiker niet kan ontcijferen op zijn of haar apparaat. De Data Key van de gebruiker wordt ontcijferd met de Device Private Key (DPRIV), en de EDK wordt alleen verstrekt aan de gebruiker na succesvolle authenticatie van de betreffende identiteitsprovider (bijv. Okta, Azure, AD FS).
Vanuit het perspectief van een beheerder zijn de voordelen als volgt: eenvoudige installatie en geen gehoste software vereist voor het beheer van coderingssleutels zoals beschreven in het huidige SSO Connect®-versleutelingsmodel van Keeper.
De enige wijziging in de werkstroom in dit model (vergeleken met de implementatie op locatie van Keeper SSO Connect®) is dat de gebruiker een nieuw apparaat moet goedkeuren op een actief apparaat, of de verantwoordelijkheid daarvoor moet delegeren aan een Keeper-beheerder om de apparaatgoedkeuring uit te voeren
SSO Connect® On-Prem (op locatie) is een zelf-gehoste integratie waarvoor u een door Windows of Linux gehoste applicatieserver nodig hebt. Om zero knowledge beveiliging te waarborgen en te zorgen voor een naadloze SSO-ervaring voor gebruikers, moet Keeper SSO Connect® worden geïnstalleerd op de server van de klant. Windows-, Mac- en Linux-omgevingen worden volledig ondersteund met High Availability (HA) modi om de belasting te balanceren.
Keeper SSO Connect® genereert en onderhoudt automatisch het hoofdwachtwoord voor elke toegevoegde gebruiker, wat een willekeurig gegenereerde 256-bits sleutel is. Dit hoofdwachtwoord wordt versleuteld met de SSO-sleutel. De SSO-sleutel wordt versleuteld met de Tree Key. De SSO-sleutel wordt geladen van de server na opstarten van de Keeper SSO Connect®-service en vervolgens ontcijferd met de Tree Key, die lokaal op de service wordt opgeslagen ter ondersteuning van automatisch opstarten van de service. De communicatie tussen SSO Connect® en Keeper's Cloud Security Vault wordt beschermd met een transmissiesleutel.
BreachWatch scant Keeper-records doorlopend op openbare gegevenslekken en alarmeert de gebruiker in de kluis. BreachWatch kent een zero knowledge architectuur en maakt gebruik van een aantal gelaagde technieken om de klantgegevens te beschermen. In het kort:
Afbeelding 1. Het pad van de gehashte wachtwoordgegevens van een klant via BreachWatch. Alleen wachtwoorden versterkt met een HSM en een niet-exporteerbare sleutel worden opgeslagen op BreachWatch-servers. BreachWatch-klanten gebruiken geanonimiseerde ID's wanneer ze interactief zijn met BreachWatch-servers.
Om een veilige service te bouwen, heeft Keeper BreachWatch opgesplitst in drie services; een voor het controleren van domeinen, gebruikersnamen, wachtwoorden, en gebruikersnaam+wachtwoord-paren. De Keeper-klantenapps nemen met elk van deze back-end-services contact op met een versleutelde REST API.
BreachWatch-klanten downloaden een lijst met domeinen die zijn gelekt en voeren lokaal een controle uit.
Klantapparaten maken verbinding met BreachWatch en uploaden een lijst met gehashte gebruikersnamen (of wachtwoorden) samen met een door de klant geselecteerde, willekeurige identificatie (afzonderlijke identificaties voor de gebruikersnaam- en wachtwoordcontrolerende services). Deze wachtwoord-hashes worden verwerkt bij het uploaden met HMAC via een Hardware Security Module (HSM) en een geheime sleutel die is opgeslagen in HSM en gemarkeerd als niet-exporteerbaar (wat inhoudt dat de HSM de HMAC uitsluitend lokaal verwerkt en de sleutel niet kan worden geëxtraheerd). Deze ge-HMAC’te invoeren (gebruikersnamen en wachtwoorden) worden vergeleken met de gelekte datasets die zijn verwerkt met dezelfde HMAC en sleutel. Eventuele matches worden gemeld bij het clientapparaat. Enige waarden die niet matchen, worden opgeslagen volgens de anonieme ID van de klant.
Naarmate nieuw gelekte gebruikersnamen en wachtwoorden worden toegevoegd aan het systeem, worden deze verwerkt met HMAC op de HSM, toegevoegd aan de BreachWatch-dataset en vergeleken met de opgeslagen klantwaarden. Eventuele matches leveren een alarm op voor die klant-ID.
Klanten melden zich regelmatig aan bij BreachWatch en presenteren hun BreachWatch-ID's. Eventuele berichten in de wachtrij worden gedownload en klanten uploaden eventuele nieuwe of gewijzigde gebruikersnamen en wachtwoorden die op dezelfde manier worden verwerkt.
De beveiliging van de BreachWatch-services is trust-on-first-use (TOFU). Dat betekent dat klanten moeten aannemen dat de BreachWatch-server niet kwaadwillend is (niet actief gecompromitteerd door een aanvaller) wanneer de klant zijn gehashte waarden uploadt. Zodra deze waarden zijn verwerkt met een HSM, worden ze veiliggesteld tegen offline kraakpogingen. Met andere woorden: als een aanvaller de dataset steelt met bewaarde klantwaarden, kan hij of zij deze waarden niet offline kraken zonder de HMAC-sleutel die is opgeslagen in de HSM.
Als een lek van een wachtwoord wordt gedetecteerd, stuurt het klantapparaat een gebruikersnaam+wachtwoord-combinatiehash naar de BreachWatch-servers. De server voert vervolgens dezelfde HMAC-hash-vergelijking uit om te bepalen of een combinatie van gebruikersnaam+wachtwoord is gelekt, en als dat het geval is, of de domeinen gerelateerd aan die lekken worden geretourneerd zodat het klantapparaat kan controleren of gebruikersnaam+wachtwoord+domein overeenkomt. Als alle drie de parameters overeenkomen op het klantapparaat, wordt de gebruiker op de hoogte gesteld van de ernst van het lek.
Wanneer BreachWatch wordt geactiveerd voor zakelijke klanten, worden de kluizen van de eindgebruikers automatisch gescand telkens wanneer een gebruiker zich aanmeldt met Keeper. De BreachWatch-overzichtsgegevens die worden gescand op het apparaat van de gebruiker, worden versleuteld met de zakelijke openbare sleutel en ontcijferd door de zakelijke beheerder bij aanmelding bij de Keeper-beheerdersconsole. De versleutelde informatie bevat het e-mailadres, aantal records met een hoog risico, het aantal opgeloste records en het aantal genegeerde records. De Keeper-beheerder kan het statistiekenoverzicht op gebruikersniveau bekijken via de gebruikersinterface van de beheerdersconsole.
Bij integratie met de Geavanceerde Rapportage en Alarmen, kunnen apparaten van Keeper-eindgebruikers ook optioneel worden geconfigureerd om gedetailleerde real-time gebeurtenissen te sturen naar SIEM-oplossingen van externe providers en naar de rapportage-interface van de Keeper-beheerdersconsole. De gebeurtenisgegevens bevatten e-mailadres, record-UID, IP-adres en apparaatinformatie (gebeurtenissen bevatten geen ontcijferde recordgegevens aangezien Keeper een zero-knowledge platform is en geen gebruikersgegevens kan ontcijferen).
Standaard worden de gedetailleerde BreachWatch-gebeurtenisgegevens niet naar de Geavanceerde rapportage- en alarmmodule gestuurd, evenmin als naar eventuele verbonden externe loggingsystemen. Om rapportage op gebeurtenisniveau van BreachWatch-gegevens naar de Geavanceerde rapportage- en alarmmodule te activeren, moet u het rolafdwingingsbeleid voor gebeurtenissen inschakelen voor de specifieke rol > Afdwingingsinstellingen > Kluisfuncties. Na inschakeling sturen de klantapparaten deze gebeurtenisgegevens. Aangezien integratie met SIEM-oplossingen van externe partijen wordt verzonden van de Keeper-back-end naar de doel-SIEM, is deze gebeurtenisinformatie daardoor leesbaar door de doel-SIEM en kan worden gebruikt om te identificeren welke records en welke gebruikers binnen de organisatie zwakke wachtwoorden hebben. Als de Keeper-beheerder gebeurtenisgegevens op recordniveau niet wil overdragen aan de Keeper Geavanceerde rapportage- en alarmmodule, kunt u deze instelling uitgeschakeld laten.
Via de offline-modus hebben gebruikers toegang tot hun kluis wanneer ze online geen verbinding kunnen maken met Keeper of met hun SSO-identiteitsprovider. Deze mogelijkheid is beschikbaar op Keeper's mobiele app, desktop-app en uitgebreid naar zakelijke gebruikers in populaire browsers.
Deze functie werkt door een kopie van de kluis te maken op het lokale apparaat van de gebruiker. De kluisgegevens die offline worden opgeslagen, worden AES-GCM-versleuteld met een 256-bits 'client-sleutel' die willekeurig wordt gegenereerd en beschermd door PBKDF2-HMAC-SHA512 met tot wel 1.000.000 iteraties en een willekeurige salt. De salt en iteraties worden lokaal opgeslagen. Wanneer de gebruiker het hoofdwachtwoord invoert, wordt er een sleutel afgeleid door gebruik te maken van de salt en iteraties, en wordt er een poging gedaan om de client-sleutel te ontcijferen. De client-sleutel wordt vervolgens gebruikt om de opgeslagen recordcache te ontcijferen. Als zelfvernietigingsbescherming wordt ingeschakeld in de kluis van de gebruiker, worden na 5 mislukte aanmeldingspogingen automatisch alle lokaal opgeslagen kluisgegevens gewist.
KSI maakt gebruik van Amazon AWS in Noord-Amerika, Europa en Australië voor gelokaliseerde gegevensprivacy en geografische segregatie om de Keeper-oplossing en -architectuur te hosten en uitvoeren. Door het gebruik van Amazon AWS kan Keeper bronnen naadloos op verzoek schalen en klanten de snelste en veiligste omgeving voor opslag in de cloud aanbieden. KSI opereert in zowel multizone- als multiregio-omgevingen om de uptime te maximaliseren en om de snelste reactietijd aan klanten te kunnen aanbieden.
De Keeper Cloud Security Vault wordt beschermd door een API die elk verzoek van het clientapparaat authenticeert. Op het clientapparaat wordt een 'authenticatiesleutel' afgeleid van het hoofdwachtwoord met PBKDF2-HMAC-SHA256 en een willekeurige salt. Een 'authenticatiehash' wordt gegenereerd door de 'authenticatiesleutel' te hashen met SHA-256. Om aan te melden, wordt de authenticatiehash vergeleken met een opgeslagen authenticatiehash in de Cloud Security Vault. Na het aanmelden wordt een sessietoken gegenereerd en gebruikt door het clientapparaat voor verdere verzoeken. Dit authenticatietoken moet elke 30 minuten worden vernieuwd, of op aanvraag van de server.
KSI ondersteunt 256-bits en 128-bits SSL om alle gegevensoverdracht tussen de clienttoepassing en de in de cloud gebaseerde opslag van KSI te versleutelen. Dit is hetzelfde versleutelingsniveau waarop miljoenen individuen en bedrijven elke dag vertrouwen voor online transacties die veilig moeten verlopen, zoals online bankieren, online winkelen, aandelenhandel, toegang tot medische gegevens en de belastingaangifte.
KSI gebruikt TLS-certificaten ondertekend door DigiCert waarbij gebruik wordt gemaakt van het SHA2-algoritme, het veiligste ondertekeningsalgoritme dat momenteel wordt aangeboden door commerciële certificaatinstanties. SHA2 is aanzienlijk veiliger dan het breder gebruikte SHA1, dat kan worden misbruikt via wiskundig zwakke punten die zijn geïdentificeerd in het algoritme. SHA2 helpt je om te beschermen tegen de uitgifte van valse certificaten die gebruikt kunnen worden door een aanvaller om een website na te doen.
KSI ondersteunt ook Certificate Transparency (CT), een nieuw initiatief van Google om een openbaar controleerbare record van certificaten te maken, ondertekend door certificaatinstanties. CT helpt met de bescherming tegen de uitgifte van certificaten door onbevoegde entiteiten. CT wordt momenteel ondersteund in de nieuwste versies van de Chrome-browser. Meer informatie over Certificate Transparency vindt u op: https://www.certificate-transparency.org. Keeper ondersteunt de volgende TLS-versleutelingssuites:
De Keeper-webkluis hanteert een streng contentbeveiligingsbeleid dat de oorsprong van uitgaande verzoeken beperkt en voorkomt dat alle scripts worden uitgevoerd, behalve die uitdrukkelijk afkomstig zijn van Keeper. Dit is inclusief in-line scripts en evenementverwerkende HTML-attributen, waarbij de meeste vectoren voor cross-site scriptingaanvallen worden beperkt of uitgeschakeld.
Toegang tot de KeeperSecurity.com- en KeeperSecurity.eu-domeinnamen is beperkt tot HTTPS met TLS v1.2 en wordt afgedwongen via HTTP Strict Transport Security. Dit voorkomt een brede waaier van packet sniffing, gegevensaanpassing en man-in-the-middle-aanvallen.
Binnen de Keeper-browserextensie vraagt Keeper gebruikers niet om zich aan te melden bij hun kluis vanuit het gebied van het paginakader. Aanmelden bij de extensie gebeurt binnen de browserextensie-taakbalk. Aanmelden bij de kluis in de browser geschiedt altijd binnen het KeeperSecurity.com-domein, het KeeperSecurity.eu-domein of vanuit de taakbalk van de Keeper-browserextensie die buiten de inhoudspagina bestaat.
De Keeper-browserextensie in Chrome, Firefox, Edge en Opera maakt gebruik van iFrames voor de injectie van recordgegevens op de aanmeldingsschermen van websites om ervoor te zorgen dat kwaadwillende websites geen toegang krijgen tot geïnjecteerde inhoud. De recordinhoud die wordt geïnjecteerd in iFrames is ook beperkt tot de kluisrecords zoals opgeslagen in de kluis van de gebruiker, die overeenkomt met het domein van de doelwebsite. Keeper biedt geen automatisch invullen van aanmeldings- of wachtwoordgegevens aan, tenzij het websitedomein overeenkomt met het websitedomeinveld van de Keeper-kluisrecord.
De Internet Explorer-extensie maakt gebruik van een afzonderlijk en eigen app-venster voor aanmelding en de toegang tot records. Deze afzonderlijke vensters zijn niet gevoelig voor XSS-aanvallen omdat ze niet toegankelijk zijn vanuit de browser. Hierdoor kan de extensie in Internet Explorer een aanmeldingsscherm genereren vanuit de pagina. De extensie geeft geen records weer, tenzij de records overeenkomen met het hoofddomein van het website-adres.
Browserextensies van externe partijen hebben mogelijk hogere machtigingen in browsers en toegang tot informatie binnen de pagina. Het wordt daarom aangeraden dat Keeper-beheerders voorkomen dat gebruikers niet-goedgekeurde browserextensies van externe partijn installeren vanuit de betreffende app store van de browser.
Met Touch ID en Face ID op iOS-apparaten hebt u via biometrische gegevens toegang tot uw Keeper-kluis. Om deze handige optie te verstrekken, wordt er een willekeurig gegenereerde 256-bits 'biometrische sleutel' opgeslagen in de iOS-sleutelhanger. De iOS-sleutelhanger die is gemaakt voor deze functionaliteit is niet ontworpen om te synchroniseren met de iCloud-sleutelhanger en verlaat uw mobiele iOS-apparaat dan ook niet.
We raden u sterk aan een complex hoofdwachtwoord te gebruiken en meervoudige authenticatie in te schakelen om maximale beveiliging te bieden voor uw versleutelde Keeper-kluis. Met Touch ID en Face ID is het makkelijker om een complex hoofdwachtwoord te gebruiken op uw mobiele iOS-apparaat. We raden u ook aan om een code in te stellen die langer is dan 4 cijfers om de iOS-sleutelhanger te beveiligen.
De iOS-sleutelhanger wordt door iOS en apps gebruikt om veilig aanmeldingsgegevens op te slaan. iOS-apps gebruiken de iOS-sleutelhanger om verschillende vertrouwelijke informatie op te slaan, waaronder wachtwoorden voor websites, sleutels, creditcardnummers en Apple Pay™-informatie. Keeper gebruikt de iOS-sleutelhanger niet om uw Keeper-records op te slaan - alle Keeper-records worden beschermd met 256-bits AES versleuteling en worden veilig opgeslagen in de Keeper-kluis. De iOS-sleutelhanger wordt ook versleuteld met 256-bits AES versleuteling via de toegangscode van het apparaat. Zelfs als het apparaat verloren gaat of wordt gestolen, of als een aanvaller fysieke toegang verkrijgt tot het mobiele apparaat, kan deze geen toegang krijgen tot eventuele opgeslagen Keeper-informatie. De iOS-sleutelhanger kan niet worden ontcijferd zonder de toegangscode en de Keeper-kluis kan niet worden ontcijferd zonder het hoofdwachtwoord voor Keeper van de gebruiker.
Keeper ondersteunt Windows Hello, Touch ID, Face ID en Android biometrische gegevens. Klanten die normaal gesproken zich aanmelden bij hun Keeper-kluis met een hoofdwachtwoord of Enterprise SSO Login (SAML 2.0) kunnen zich ook aanmelden bij hun apparaten via biometrische gegevens. Biometrische gegevens moeten worden ingeschakeld door de Keeper-beheerder volgens het rollenbeleid. Offline toegang kan ook mogelijk worden gemaakt met biometrische gegevens voor zowel het hoofdwachtwoord als SSO-ingeschakelde gebruikers wanneer deze functie is geactiveerd.
Wanneer biometrische aanmelding is ingeschakeld op een apparaat, wordt er lokaal willekeurig een sleutel gegenereerd en opgeslagen in de veilige enclave (bijv. Keychain) van het apparaat. De gegevenssleutel van de gebruiker wordt versleuteld met de biometrische sleutel. Na succesvolle biometrische authenticatie, wordt de sleutel opgehaald en kan de gebruiker zijn of haar kluis ontcijferen.
Met de favorietenfunctie van Apple Watch kunt u de geselecteerde records op een gekoppelde Apple Watch bekijken. Keeper-records moeten specifiek ingeschakeld zijn voor weergave op de Apple Watch. Een gekoppelde Apple Watch communiceert met de Keeper Watch-extensie die overzichtelijk wordt uitgevoerd in een sandbox-ruimte los van de iOS Keeper-app. De Keeper Watch-extensie maakt ook gebruik van iOS Sleutelhanger om sleutels veilig op te slaan en toegankelijk te maken, om het zo naadloos en veilig te laten communiceren met de iOS Keeper-app.
Keeper DNA is een nieuwe en innovatieve toevoeging aan multi-factor-authenticatie. Bij gebruik met een gekoppelde Apple Watch, biedt Keeper DNA een multi-factor-authenticatiemethode die ongeëvenaard is voor wat betreft gemak en beveiliging. Keeper DNA gebruikt beveiligingstokens die zijn opgeslagen in de Keeper-kluis om tijdgebaseerde codes te genereren voor multi-factor-authenticatie. Deze tijdgebaseerde authenticatieverzoeken kunnen worden goedgekeurd door en automatisch worden verzonden vanaf de Apple Watch (of Android Wear-apparaat) met een tik op het scherm van het horloge, of handmatig worden ingevoerd door de gebruiker. Meerdere lagen van versleuteling, Touch ID en multi-factor-authenticatie zorgen ervoor dat Keeper DNA de meest elegante, veilige en geavanceerde authenticatiemethode is die beschikbaar is.
De records in een klantkluis worden beschermd via strenge en nauwkeurig gecontroleerde interne praktijken. Keeper is gecertificeerd als SOC 2 Type 2-compliant in overeenstemming met het AICPA Service Organization Control-kader. Door SOC 2-certificering wordt ervoor gezorgd dat uw kluis veilig blijft via de implementatie van gestandaardiseerde controles, zoals gedefinieerd in het AICPA Trust Service Principles-kader.
Keeper is ISO 27001-gecertificeerd voor het Keeper Security-informatiebeheersysteem wat het Keeper Enterprise-platform ondersteunt. Keeper's ISO 27001-certificering is inclusief het beheer en de werking van de digitale kluis en cloudservices, software en applicatie-ontwikkeling, en bescherming van digitale middelen voor de digitale kluis en cloudservices.
Keeper voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en we richten ons erop om onze bedrijfsprocessen en producten ook in de toekomst de verordening te laten naleven voor onze klanten in de Europese Unie. Klik hier voor meer informatie over Keeper's naleving van de AVG en om de overeenkomsten aangaande gegevensverwerking te downloaden.
Keeper Security Government Cloud (KSGC) is KSI’s wachtwoordbeheer- en cyberbeveiligingsplatform voor instanties in de openbare sector. KSGC is een door FedRAMP geautoriseerde provider op het Moderate Impact Level, gehost in AWS GovCloud (US). KSGC vindt u op de FedRAMP Marketplace.
Het Federal Risk & Authorization Management Program (FedRAMP) is een federaal Amerikaans overheidsprogramma dat een gestandaardiseerde benadering biedt voor beveiligingsbeoordeling, autorisatie en doorlopende monitoring voor cloudproducten en services. FedRAMP stelt overheidsinstanties in staat om moderne cloudtechnologieën te gebruiken, met de nadruk op beveiliging en bescherming van federale informatie en helpt de implementatie van veilige cloudoplossingen te versnellen.
Bezoek voor meer informatie over FedRAMP https://www.gsa.gov/technology/government-it-initiatives/fedramp.
Keeper Security Government Cloud (KSGC) is KSI’s wachtwoordbeheer- en cyberbeveiligingsplatform voor instanties in de publieke sector. KSGC is een door StateRAMP geautoriseerde provider op het Moderate Impact Level, gehost in AWS GovCloud (US). KSGC vindt u op de StateRAMP Marketplace.
StateRAMP's toezichthoudende comités hanteren beleidsregels en procedures die beveiligingsvereisten voor providers standaardiseren. StateRAMP’s Program Management Office verifieert vervolgens of het aanbod via de cloud waar gebruik van wordt gemaakt door de overheid die beveiligingsvereisten voldoende heeft gevolgd. Dit wordt gedaan via onafhankelijke audits en doorlopende monitoring. StateRAMP stelt overheidsinstanties in staat om gebruik te maken van moderne cloudtechnologieën, met de nadruk op beveiliging en bescherming van vertrouwelijke informatie, en helpt de implementatie van veilige oplossingen in de cloud te versnellen.
Ga voor meer informatie over StateRAMP naar https://stateramp.org.
KSGC ondersteunt naleving van de International Traffic in Arms Regulations (ITAR) van de Verenigde Staten. Bedrijven die zich dienen zich te houden aan ITAR-exportregels moeten onbedoelde exports voorkomen door de toegang tot beschermde gegevens van Amerikaanse burgers te beperken en door de fysieke locatie van beschermde gegevens voor te behouden aan de VS
KSGC’s FedRAMP Moderate-omgeving ondersteunt ITAR-vereisten via het volgende:
De Keeper FedRAMP-omgeving wordt gecontroleerd door een onafhankelijke externe beoordelingsorganisatie (3PAO) om te verifieren dat de juiste controlemechanismen worden gebruikt om programma's van klanten te ondersteunen die moeten voldoen aan bepaalde exportvereisten.
Ga voor meer informatie over ITAR naar https://www.pmddtc.state.gov/.
Keeper is in overeenstemming met 21 CFR Part 11, wat van toepassing is op wetenschappers die in sterk gereguleerde omgevingen werken, waaronder onderzoekers die klinische proeven uitvoeren. Deze regulering specificeert de FDA-criteria waaronder elektronische records en handtekeningen als betrouwbaar en equivalent aan papieren records met handgeschreven handtekeningen worden beschouwd. Meer specifiek: wetenschappers moeten ervoor zorgen dat alle software die ze gebruiken in overeenstemming is met de regels van 21 CFR Part 11, betreffende:
Beveiligingscontroles voor gebruikersidentificatie - Keeper voldoet aan de vereisten van 21 CFR Part 11 voor beveiligingskenmerken die de gebruikerstoegang en bijbehorende privileges beperken, waaronder ervoor zorgen dat alle gebruikers unieke gebruikersnamen en wachtwoorden hebben, de mogelijkheid om onbevoegde toegang tot het systeem te detecteren en voorkomen, en de mogelijkheid om gecompromitteerde accounts te vergrendelen.
Gedetailleerd auditspoor
Tijdens FDA-inspecties moeten onderzoekers een gedetailleerd auditspoor overleggen, met een chronologisch overzicht van alle operaties. Met Keeper's functies voor nalevingsrapportage kunnen onderzoekers eenvoudig traceerbare elektronische auditsporen produceren.
Elektronische handtekeningen
Wanneer een document een wettelijk bindende elektronische handtekening vereist, verzoekt 21 CFR Part 11 u om de handtekening te koppelen aan een unieke aanmeldings- en wachtwoord- of biometrische identificatie.
Voor meer informatie over 21 CFR Part 11, zie https://www.fda.gov/regulatory-information/search-fda-guidance-documents/part-11-electronic-records-electronic-signatures-scope-and-application
Keeper-software voldoet aan internationale medische gegevensbeschermingsnormen, waaronder, zonder beperking de HIPAA (Health Insurance Portability and Accountability Act) en DPA (Data Protection Act).
Keeper is een SOC2-gecertificeerd en ISO 27001-gecertificeerd zero-knowledge beveiligingsplatform dat voldoet aan HIPAA. Strenge nalevings- en controleregels met betrekking tot de privacy, vertrouwelijkheid, integriteit en beschikbaarheid. Met deze beveiligingsarchitectuur kan Keeper geen informatie, waaronder elektronische patiëntendossiers, ontcijferen, bekijken of laden als deze zijn opgeslagen in de Keeper-kluis. Hierdoor is Keeper geen zakenpartner zoals gedefinieerd in de Health Insurance Portability and Accountability Act (HIPAA) en derhalve niet onderhevig aan een zakenpartnerovereenkomst.
Voor meer informatie over de aanvullende voordelen voor zorgverleners en zorgverzekeraars leest u de volledige beveiligingsverklaring en bezoekt u onze gids voor grote ondernemingen.
Keeper voert periodieke penetratietests uit met externe experts, waaronder NCC Group, Secarma, Cybertest en onafhankelijke beveiligingsonderzoekers voor al onze producten en systemen. Keeper is ook een samenwerkingsverband aangegaan met Bugcrowd om diens VDP-programma te beheren.
Keeper's infrastructuur wordt dagelijks gescand door Tenable om ervoor te zorgen dat de Keeper-webapp en KSI's Cloud Security Vault beschermd zijn tegen bekende externe exploitaties, kwetsbaarheden en denial-of-service-aanvallen. Het personeel van Keeper controleert en verhelpt alle bevindingen.
KSI gebruikt PayPal en Stripe om veilig creditcard- en bankpasbetalingen te verwerken via de KSI-betaalwebsite. PayPal en Stripe zijn PCI-DSS-compatibele transactieverwerkingsoplossingen.
KSI is gecertificeerd compatibel met PCI-DSS.
De extensies voor de Keeper-webclient, Android-app, Windows Phone-app, iPhone/iPad-app en browser zijn in overeenstemming met EU Privacy Shield gecertificeerd volgens het U.S. Department of Commerce EU-U.S. Privacy Shield-programma en voldoen aan de richtlijn van de Europese Commissie aangaande gegevensbescherming.
Voor meer informatie over het U.S. Department of Commerce U.S.-EU Privacy Shield-programma, zie https://www.privacyshield.gov
Keeper maakt gebruik van FIPS 140-2 gevalideerde versleutelingsmodules om te voldoen aan robuuste overheidsvereisten en vereisten van de publieke sector. Keeper’s versleuteling is gecertificeerd door de NIST CMVP en gevalideerd volgens de FIPS 140-norm door geaccrediteerde externe laboratoria. Keeper heeft certificaat #3976 toegekend gekregen volgens de NIST CMVP
Keeper Security EMEA Limited is gecertificeerd volgens het Hellios Financial Services Qualification System-Netherlands (FSQS-NL), wat de hoogste normen op het gebied van beveiliging, kwaliteit en innovatie erkent in Nederland. Deze norm staat voor naleving van de Financial Conduct Authority en de Prudential Regulation Authority om de betrouwbaarheid van Keeper Enterprise-software voor grote banken en financiële instituten te waarborgen.
Keeper is gecertificeerd door het U.S. Department of Commerce Bureau of Industry and Security onder Export Commodity Classification Control Number 5D992, in overeenstemming met Export Administration Regulations (EAR).
Voor meer informatie over EAR: https://www.bis.doc.gov
Keeper wordt dag en nacht, alle dagen van het jaar gecontroleerd door een extern wereldwijd monitoringnetwerk om ervoor te zorgen dat onze website en Cloud Security Vault wereldwijd beschikbaar zijn.
Bij vragen over deze beveiligingsverklaring kunt u contact met ons opnemen.
Als u een email ontvangt die schijnbaar afkomstig is van KSI en u niet zeker weet of dit wel echt zo is, is het mogelijk een 'phishing-mail' waarbij het emailadres niet klopt of 'spoofed' is. In dat geval kan een email koppelingen bevatten naar een website die lijkt op KeeperSecurity.com, maar niet onze site is. De website vraagt mogelijk naar uw hoofdwachtwoord voor Keeper Security of probeert ongewenste software op uw computer te installeren in een poging om uw persoonlijke gegevens te stelen of toegang te krijgen tot uw computer. Andere emails bevatten koppelingen die u doorsturen naar andere, potentieel gevaarlijke, websites. Het bericht bevat mogelijk ook bijlagen met ongewenste software, oftewel 'malware'. Als u twijfelt over een email die u in uw inbox hebt ontvangen, moet u deze verwijderen zonder op koppelingen te klikken of zonder bijlagen te openen.
Als u een email ontvangt die schijnbaar van KSI is maar waarvan u denkt dat deze vals is of als u andere zorgen heeft over beveiliging in relatie tot KSI, kunt u contact opnemen met ons.
De Keeper-website en opslag in de cloud werkt via de veilige Amazon Web Services (AWS) cloudcomputing-infrastructuur. De AWS-cloudinfrastructuur die Keeper's systeemarchitectuur host is gecertificeerd en voldoet aan de volgende attesten, rapporten en certificeringen van derde partijen:
Keeper Security is gericht op de best practice in de branche van verantwoordelijke openbaarmaking van potentiële beveiligingskwesties. We nemen uw beveiliging en privacy serieus, en concentreren ons op de bescherming van de privacy en persoonsgegevens van onze klanten. KSI's missie is om 's werelds veiligste en meest innovatieve beveiligingsapps te maken, en we geloven dat bugrapporten van de wereldwijde community van beveiligingsonderzoekers een waardevol onderdeel is om de beveiliging van de producten en diensten van KSI te waarborgen.
Onze gebruikers veilig houden vormt de kern van onze bedrijfswaarden. We waarderen de input van goedwillende hackers en geloven dat een langdurige relatie met de hackergemeenschap ons helpt om de beveiliging en privacy van onze gebruikers te waarborgen, en internet veiliger maakt. Dit omvat onder meer het stimuleren van verantwoordelijke beveiligingstests en ontsluiting van kwetsbare beveiligingsaspecten.
In het ontsluitingsbeleid van kwetsbaarheden van Keeper worden onze verwachtingen uiteengezet bij het werken met goedwillende hackers, plus wat u van ons kunt verwachten.
Wanneer beveiligingstests en -rapporten worden uitgevoerd binnen de richtlijnen van dit beleid:
Als u zich op welk moment dan ook zorgen maakt of onzeker bent over testen op deze manier, of dit wel consistent is met de richtlijnen en de reikwijdte van dit beleid, kunt u contact met ons opnemen via security@keepersecurity.com voordat u verdergaat.
Om goedwillende beveiligingstests te stimuleren, evenals de ontsluiting van ontdekte kwetsbaarheden, vragen we u:
Keeper is een samenwerkingsverband aangegaan met Bugcrowd om ons programma voor ontsluiting van kwetsbaarheden te beheren.
Stuur rapporten in via [https://bugcrowd.com/keepersecurity].
Keeper’s documentatieportal met producthandleidingen, technische informatie, release-opmerkingen en gidsen voor de eindgebruiker is beschikbaar op: https://docs.keeper.io
De realtime systeemstatus vindt u op: https://statuspage.keeper.io