Wie/Wo werden meine Daten gespeichert?

Wir speichern Ihre Daten in einer Datenbank, welche von Azure in einem Datencenter in Europa gehostet wird. Um die Sicherheit zu erhöhen, verwenden wir für jeden Kunden eine separate Datenbank.

Werden meine Daten an Dritte weitergegeben?

Nein, abgesehen von Microsoft erhält keine weitere Partei auf irgend eine Art Zugriff auf Daten Ihrer Umgebung welche wir speichern oder im Zuge der Überprüfungen generieren. Darüber hinaus werden die Daten an niemanden verkauft oder weitergeleitet. Die Kooperation mit Microsoft beschränkt sich auf mögliche technische Analysen und unterliegt den von Microsoft definierten Einschränkungen. Diese finden Sie in der offiziellen Dokumentation.

Beachten Sie bitte, dass der Zugriff von Microsoft auf Ihre Daten dadurch nicht ausgeweitet wird. Schließlich verwenden Sie bereits Dienste von Microsoft, die denselben Bedingungen unterliegen.

Wie bekommt C-Ray die Daten von meiner Cloud-Umgebung?

C-Ray liest die benötigten Daten für eine Sicherheitsüberprüfung über die Microsoft Graph API und Exchange Online PowerShell. Dafür müssen gewisse Berechtigungen an C-Ray vergeben werden.

Welche Berechtigungen werden von C-Ray benötigt um eine Sicherheitsüberprüfung durchführen zu können?

C-Ray benötigt die Berechtigung für die Microsoft Graph API und Exchange Online PowerShell. Während der Registrierung wird C-Ray nach den benötigten Berechtigungen fragen.

Benötigte Berechtigungen für Graph API:

• Directory.Read.All
• RoleManagementPolicy.Read.Directory
• RoleManagement.Read.All
• Agreement.Read.All
• AccessReview.Read.All
• CrossTenantInformation.ReadBasic.All

Detaillierte Informationen über die Graph API Berechtigungen finden Sie hier.

Die benötigte Berechtigung für Exchange Online erlaubt C-Ray die Exchange-Umgebung zu managen. Das beinhaltet beispielsweise Mailboxen, Gruppen und andere Konfigurations-Objekte. Um Management-Tätigkeiten zu erlauben, muss ein Administrator die entsprechende Rolle dem Service Principal der App zuweisen.

C-Ray benötigt die Rolle Global Reader, welche in Ihrem Azure Active Directory der entsprechenden Enterprise Application / dem entsprechenden Service Principal zugewiesen werden muss. Wenn diese Rolle nicht zugewiesen ist, überprüft C-Ray nur Azure Active Directory.

Wie schaut eine Sicherheitsüberprüfung von C-Ray aus?

Eine fertige Sicherheitsüberprüfung wird als Bericht im Format PDF zur Verfügung gestellt. Alle Ergebnisse sind in der gewünschten Sprache detailliert beschrieben und beinhalten eine Risikoeinstufung, den Behebungsaufwand und eine Behebungsanleitung.

Eine Beispiel-Sicherheitsüberprüfung finden Sie hier.

Kann ich Informationen über meine Umgebung löschen?

Ja. Sie können eine Überprüfung jederzeit löschen. Dies führt dazu, dass sämtliche Informationen, welche in Bezug zu dieser stehen, auch gelöscht werden. Darüber hinaus speichern wir nur Informationen, welche für den Anmeldeprozess erforderlich sind, sowie vollständig anonymisierte Metadaten. Falls Sie die Informationen die für den Anmeldeprozess erforderlich sind löschen möchten, kontaktieren Sie uns bitte über das Kontaktformular. Beachten Sie, dass ein Löschen dieser Daten Ihr Profil vollständig zurücksetzt und wir keinerlei Möglichkeiten haben gelöschte Daten wieder herzustellen.

Wie werden die Daten über meine Umgebung verwendet?

Die Daten mit Bezug zu Ihrer Umgebung werden ausschließlich für das Erstellen der Berichte verwendet. Während der Überprüfung anfallende Metadaten (Überprüfung wurde durchgeführt, Zähler für Schwachstellen wird erhöht etc.) werden von uns in vollständig anonymisierter Form für statistische Zwecke erfasst. Durch das Erkennen der am häufigsten auftretenden Schwachstellen können wir unsere Bemühungen zur Verbesserung des Dienstes besser fokussieren. Diese Metadaten sind in keiner Weise auf Ihre Umgebung bzw. Daten zurückzuführen und können auch nicht gelöscht werden.