# Sicherheitserklärung von Flosum DevOps

## Übersicht <a href="#overview" id="overview"></a>

Flosum DevOps ist eine umfassende auf Salesforce basierende Application Lifecycle Management-Lösung, die speziell für das [Salesforce.com](https://salesforce.com/) Plattform entwickelt wurde. DevOps verwaltet Entwicklungsprozesse von der Anforderungsplanung bis zur Bereitstellung in der Produktion. Als native [Salesforce.com](https://salesforce.com/) Anwendung fördert DevOps Governance, Compliance und schnelle Innovation bei der erfolgreichen Lieferung von Software.&#x20;

Dieses Dokument bietet einen kurzen Überblick über den Sicherheitsansatz von Flosum DevOps. Es richtet sich an Sicherheitsarchitekten und -experten, die kritische Lösungen für das Application Lifecycle Management (ALM) in ihren Salesforce-Umgebungen bewerten.

***

## Beziehung zwischen Salesforce und Flosum DevOps <a href="#relationship-between-salesforce-and-flosum-devops" id="relationship-between-salesforce-and-flosum-devops"></a>

Flosum DevOps hat eine OEM-Beziehung mit Salesforce. Für jeden Kunden beschafft Flosum eine brandneue Organisation (Instanz) mit den entsprechenden Salesforce-Lizenzen, um die DevOps-Anwendung auszuführen, die ein Salesforce-natives Managed Package ist.&#x20;

Alle Kunden, die Flosum DevOps beschaffen, haben bereits Zugriff auf Salesforce. Alle Sicherheits-, Rechenzentrums-, Infrastruktur-, Geschäftskontinuitäts-, Katastrophenwiederherstellungs- und Verfügbarkeitsrichtlinien, die für Ihre vorhandene Salesforce-Organisation(en) gelten, gelten auch für die Flosum DevOps-Organisation, die eine Salesforce Enterprise Edition-Org ist – im Folgenden als Flosum DevOps Governance-Organisation bezeichnet.&#x20;

Diese Flosum DevOps Governance-Organisation ist ähnlich Ihrer bestehenden Produktionsorganisation, die Sie direkt bei Salesforce bezogen haben, um Ihre Geschäftsanwendungen wie Sales Cloud, Service Cloud oder Ihre kundenspezifische Anwendung auszuführen.&#x20;

Die Flosum DevOps Governance-Organisation wird ebenfalls vollständig von Salesforce gehostet und kann nur aus Ihrem Unternehmensnetzwerk erreicht werden. Sobald sie an Ihre Administratoren übergeben wurde, hat Flosum keinen Zugriff mehr darauf und kann sie nicht mehr ändern.&#x20;

**Physische Sicherheit**: Die Sicherheitsbehandlung, die Ihrer Flosum DevOps Governance-Organisation gewährt wird, ist dieselbe wie die der Salesforce-Org-Architektur.&#x20;

{% hint style="info" %}
Flosum Trust Center ist ein Erweiterungspaket für Flosum DevOps, und als solches gelten alle Sicherheits-, Rechenzentrums-, Infrastruktur-, Geschäftskontinuitäts-, Katastrophenwiederherstellungs- und Verfügbarkeitsrichtlinien, die für Ihre vorhandene Salesforce-Organisation gelten, auch für das Trust Center. Flosum-Mitarbeiter und -Personal können nicht auf die Anwendung oder deren Daten zugreifen.
{% endhint %}

***

## Architektur <a href="#architecture" id="architecture"></a>

Flosum DevOps wird ausschließlich von Salesforce-Kunden verwendet. Kunden, die Salesforce nicht nutzen, können Flosum nicht verwenden.&#x20;

Flosum ist vollständig auf der [Force.com](https://force.com/) Plattform aufgebaut. DevOps hat keine weiteren Server- oder Rechenzentrumsressourcen. Flosum als Unternehmen betreibt keine eigenen Server. Salesforce hostet die Flosum DevOps (Managed Package)-Anwendung vollständig. Kunden steuern, wer Zugriff auf bestimmte Datenteile innerhalb der Anwendung hat. Flosum-Mitarbeiter und -Personal können nicht auf die Anwendung oder deren Daten zugreifen.

<figure><img src="https://1627782107-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FihTXzKlZmF6LYKahCQ1r%2Fuploads%2FX5wKoELwl0u30sMAZ9L0%2FFlosum%20DevOps%20Security%20Architecture.png?alt=media&#x26;token=cd667e9d-208d-4ae4-a7b7-77a4096cdb33" alt=""><figcaption></figcaption></figure>

***

## Sicherheitsüberprüfung <a href="#security-review" id="security-review"></a>

Die meisten Kunden verbringen beträchtliche Zeit damit, die Sicherheit der Salesforce-Plattform im Rahmen ihrer technischen Due Diligence zu überprüfen. Alle Arbeiten, die ein Kunde zur Bewertung der Sicherheit der Salesforce-Plattform durchführt, gelten auch für Flosum DevOps als native Anwendung. Dies liegt daran, dass DevOps vollständig auf der Salesforce-Plattform aufgebaut ist und innerhalb der Salesforce-Umgebung des Kunden betrieben wird.

***

## Weitere Härtung der Plattform <a href="#hardening-the-platform-further" id="hardening-the-platform-further"></a>

Flosum empfiehlt, die umfassenden Sicherheits-Best-Practices von Salesforce zu nutzen, um die Sicherheit der Plattform, einschließlich der Flosum DevOps-Anwendung, weiter zu verbessern.

***

## Benutzerbereitstellung <a href="#user-provisioning" id="user-provisioning"></a>

Da der Kunde die Flosum DevOps Governance-Organisation (eine Salesforce-Produktionsorganisation) vollständig kontrolliert und Flosum-Personal keinen Zugriff hat, ist der Kunde für die Einrichtung neuer Benutzer innerhalb der Anwendung verantwortlich. Der Kunde hat die vollständige Kontrolle über das Benutzerzugangsmanagement. Dementsprechend legen die Richtlinien von Salesforce die Passwortrichtlinien fest und können von Ihrer Single-Sign-On-Infrastruktur außer Kraft gesetzt werden.

***

## Integration mit Single Sign-On <a href="#integration-with-single-sign-on" id="integration-with-single-sign-on"></a>

Die meisten Kunden verwenden eine unternehmensweite Single-Sign-On-Lösung, die Passwörter für alle Anwendungen speichert und eine einheitliche Frontend-Oberfläche zum Anmelden bei allen Anwendungen gleichzeitig bietet. Kunden können wie bei ihrer produktiven Salesforce-Instanz wählen, die Integration mit ihrer unternehmensweiten Single-Sign-On-Lösung vorzunehmen.

***

## Compliance <a href="#compliance" id="compliance"></a>

Flosum entspricht allen Zertifizierungen und Konformitäten, die von der Salesforce-Plattform bescheinigt werden, einschließlich ISO 27001/27018, SSAE 16/ISAE 3402 SOC-1, SOC 2, SOC 3, PCI-DSS, TRUSTe Certified Privacy Seal, CSA STAR und mehr.

***

## Vertrauen, Verfügbarkeit und Pläne zur Geschäftskontinuität <a href="#trust-availability-and-business-continuity-plans" id="trust-availability-and-business-continuity-plans"></a>

Flosum DevOps ist vollständig auf der Salesforce-Plattform aufgebaut; dieselben Service Level Agreements (SLAs) für Verfügbarkeit, Geschäftskontinuität und Katastrophenwiederherstellung, die für Ihre Salesforce-Produktionsorganisation gelten, gelten auch für die Flosum DevOps Governance-Organisation.

***

## Change-Management- und Upgrade-Prozess <a href="#change-management-and-upgrade-process" id="change-management-and-upgrade-process"></a>

Flosum veröffentlicht mehrmals im Jahr Software-Upgrades. Einige Releases sind klein, andere sind groß. Fast jedes Release enthält neue Funktionen und Verbesserungen und unterstützt die neueste Metadata API.

#### **So funktioniert es:**

Flosum wird digitale Mitteilungen bereitstellen, um Kunden über bevorstehende Upgrades zu informieren. Von den Kunden wird erwartet, dass sie sich auf jedes Upgrade vorbereiten, so wie sie es bei jeder saisonalen Salesforce-Veröffentlichung tun würden. Bitte fordern Sie an, dass das DevOps-verwaltete Paket in eine Salesforce-Sandbox-Organisation zur Testung aktualisiert wird.

Bei jedem Upgrade werden die neuen Funktionen und Verbesserungen über unser Success Portal und digitale Mitteilungen geteilt. Die Upgrades des DevOps Managed Package erfolgen zwei Wochen nachdem Salesforce seine saisonale Veröffentlichung für alle Kunden ausgerollt hat. Der Hauptgrund dafür ist sicherzustellen, dass alle Salesforce- und Flosum DevOps-Produktions- und Sandbox-Organisationen vor der Veröffentlichung des DevOps Managed Package und der Metadata API auf dem neuesten Releasestand sind.

Flosum vermeidet es außerdem sorgfältig, ein Upgrade zu planen, das mit den internen Bereitstellungsplänen des Kunden in Konflikt stehen würde. Daher werden Upgrades nur mit der vollständigen und informierten Zustimmung des Kunden durchgeführt. Flosum empfiehlt, Upgrades nicht zwei Wochen vor oder nach internen Bereitstellungen anzufordern.

***

## Datenverwaltung <a href="#data-management" id="data-management"></a>

Die Daten in der Anwendung des Kunden werden vollständig innerhalb der Infrastruktur von Salesforce gehostet. Dies ist dieselbe Infrastruktur, die die Salesforce-Produktionsorganisation verwendet, um die Salesforce-Geschäftsanwendung des Kunden zu hosten.&#x20;

{% hint style="info" %}
Flosum Trust Center ist ein Erweiterungspaket für Flosum DevOps. Flosum-Mitarbeiter und -Personal können nicht auf die Anwendung oder deren Daten zugreifen.
{% endhint %}

***

## Incident-Management <a href="#incident-management" id="incident-management"></a>

Flosum stellt ein dediziertes Support-Portal zur Verfügung, um Kundenincidents zu verwalten. Kunden können ihren Login und ihr Konto erstellen und Incidents über das Portal einreichen.

***

## Protokollierung und Überwachung <a href="#logging-and-monitoring" id="logging-and-monitoring"></a>

Alle Protokollierungs- oder Überwachungsrichtlinien oder -praktiken, die bei der Salesforce-Produktionsorganisation eines Kunden verwendet werden, gelten auch für und werden mit der Flosum DevOps Governance-Organisation verwendet.

***

## System-Development-Life-Cycle <a href="#system-development-life-cycle" id="system-development-life-cycle"></a>

Flosum nutzt einen umfassenden Software-Entwicklungslebenszyklus, um die fortlaufende Anwendungsentwicklung, -erweiterung und -verbesserung zu erleichtern.&#x20;

Flosum nutzt Jira, um alle Anforderungen des Flosum-Produktteams zu erfassen. Flosum verwendet Salesforce Service Cloud, um Incidents und neue Kundenfunktionsanforderungen zu erfassen. Flosum wird intern für sein Application Lifecycle Management verwendet. Flosum verfügt über ein robustes Team von Qualitätssicherungsingenieuren, um sicherzustellen, dass die Anwendung gut getestet ist.