Organisatorische Sicherheit

Das Sicherheitsprogramm von GoFundMe orientiert sich an den durch das NIST beschriebenen Cybersecurity Framework Functions und nutzt eine Kombination verschiedener in der Publikation 800-53 des NIST, den CSC Top 20 des CIS und den Datensicherheitsstandards der Zahlungsindustrie (PCI DSS) zu findenden Kontrollinstrumente.

Audits und Feststellung der Compliance durch externe Prüfer

Audits: Einmal jährlich führt GoFundMe ein Audit durch, bei dem externe Prüfer feststellen, ob die Sicherheitsarchitektur von GoFundMe den PCI-Standards entspricht.

Kontinuierliche Tests: GoFundMe lässt kontinuierlich auf Anwendungs- wie auf Netzwerkebene Schwachstellenscans und Penetrationstests durchführen.

Lebenszyklus für die Softwareentwicklung

Bei GoFundMe ist die Softwareentwicklung voll auf Sicherheitsarchitektur und -strategie abgestimmt. Bei der Risikobewertung werden Softwareprojekte auf die 10 Risiken überprüft, die laut OWASP die kritischsten sind. Unsere Softwareentwickler befolgen die Prinzipien des Secure Coding und bilden sich regelmäßig auf diesem Gebiet weiter. Statische und dynamische Code-Analyse und Software Composition Analysis werden auf verschiedenen Stufen der Softwareentwicklung durchgeführt. Der gesamte Code durchläuft Versionskontrollen, Peer-Reviews und Integrations-, Funktions- und Qualitätsprüfungen.

Schutz von Kundendaten

GoFundMe schützt Kundendaten mit verschiedenen Maßnahmen. Zur Identifizierung und Minimierung von Risiken und zur Umsetzung bewährter Praktiken wird auf einen kollaborativen Ansatz gesetzt.

Verschlüsselung bei der Datenübermittlung

Daten, die über ein öffentliches/offenes Netzwerk auf der Website von GoFundMe eingegeben werden, werden verschlüsselt. Dazu werden TLS 1.2+ Protokolle und ein kryptographischer Algorithmus, der dem AES entspricht und eine Blocklänge von 256 Bit hat, genutzt. Das Team für Schutz und Sicherheit prüft laufend neue Verschlüsselungsstandards, gibt Empfehlungen aus und nimmt ggf. Änderungen vor.

Verschlüsselung ruhender Daten

Zur Verschlüsselung ruhender Datensätze nutzen wir einen FIPS-zertifizierten kryptographischen Algorithmus, der dem AES entspricht und eine Blocklänge von 256 Bit hat.

Sicheres Hosting unserer Infrastruktur

Die Website von GoFundMe wird von Amazon Web Services gehostet. Die Rechenzentren von AWS sind unter anderem ISO 27001- und PCI DSS-zertifiziert. Näheres zu Zertifizierungen und Normenkonformität ist der Website von AWS Security zu entnehmen.

 

Notfallwiederherstellung

Durch Nutzung verschiedener Dienste von AWS, darunter AWS Cloudfront-Bereitstellungsnetzwerke, AWS Application Load Balancing und AWS Availability Zones, verteilt GoFundMe seine Produktionsumgebung auf verschiedene Orte. Ausfälle, die durch örtliche Faktoren wie Verbindungs- oder Stromausfälle bedingt sind, werden durch diese örtliche Streuung vermieden. Die Infrastruktur von GoFundMe ist hochverfügbar. Zusätzlich wird die Konfiguration der Infrastruktur mittels Code- und Konfigurationsverwaltungssystemen verwaltet. Diese ermöglicht im Falle ihres Ausfalls die zügige Wiederherstellung der Infrastruktur. Für kritische Daten und Infrastruktur stehen vollständige und inkrementelle Backups zur Verfügung.

Konformität und Zertifizierungen

GoFundMe speichert Karteninhaberdaten nicht wie im PCI Data Security Standard definiert, ist jedoch für die höchste PCI DSS-Konformitätsstufe zertifiziert. GoFundMe erfüllt alle PCI-Sicherheitsstandards, was jährlich durch einen unabhängigen und dafür geschulten Prüfer überprüft wird. GoFundMe ist auf der Website des Visa Global Registry of Service Providers erfasst. Der Nachweis über die PCI-Konformität von GoFundMe ist auf Anfrage erhältlich.

Schwachstellenerkennung und -meldung

GoFundMe bietet ein Bug-Bounty-Programm an, über welches Schwachstellen und Sicherheitslücken gemeldet werden können. Falls du der Ansicht bist, mögliche Sicherheitslücken auf GoFundMe entdeckt zu haben, freuen wir uns, wenn du uns diese so schnell wie möglich meldest. GoFundMe betreibt ein eigenes über BugCrowd laufendes Bug-Bounty-Programm. Für die Auffindung noch nicht bekannter Schwachstellen werden Belohnungen ausgezahlt. Auch wer kein Teilnehmer des Programms ist, kann über das am Seitenende zu findende Formular Schwachstellen oder Sicherheitslücken via BugCrowd an GoFundMe melden.

Die Meldung von Sicherheitslücken und Schwachstellen unterliegt den Nutzungsbedingungen von GoFundMe. Mit dem Einreichen deiner Meldung erklärst du, Informationen zu deren Inhalten oder der Art des gemeldeten Fehlers nicht ohne die vorherige schriftliche Genehmigung von GoFundMe an Dritte weiterzugeben.

Schwachstellen, für deren Meldung kein Bonus gezahlt wird

  1. DoS/DDoS
  2. Spam-Meldungen
  3. Social Engineering
  4. Durch automatisierte Schwachstellenscans generierte unüberprüfte Warnmeldungen
  5. Offenlegung von Server- oder Softwareversionsnummern
  6. Nicht durch Beweise gestützte Meldungen der Möglichkeit einer Übernahme von Subdomains
  7. Sitzungsschließung oder andere die Account-Verwaltung betreffende Maßnahme zur Erhöhung der Sicherheit bei bekannten Anmeldedaten (Link zur Passwortzurücksetzung läuft nicht sofort ab, bei Hinzufügen einer Multi-Faktor-Authentifizierung laufen andere Sitzungen nicht automatisch ab o.ä.)
  8. Fehler, deren Sicherheitsrelevanz nicht belegt werden kann (fehlende Limits für Datenraten, fehlende Kopfzeilen usw.)
  9. Schwachstellen, die in nicht mehr aktuellen Browsern auftreten oder durch diese verursacht werden
  10. Enumerationsangriffe zur Nutzer-/Anbieterermittlung
  11. Bewährte Praktiken betreffende Meldungen ohne Vorliegen von Exploits (bspw. Verwendung schwacher TLS-Algorithmen)
  12. Offenlegung bereits bekannter öffentlicher Dateien oder Verzeichnisse (z. B. robots.txt)
  13. Vorschläge zur Konfiguration von Domain Name System Security Extensions (DNSSEC)
  14. Offenlegung eines Banners in öffentlichen Diensten
  15. Fehlende Secure- oder HTTPOnly-Flags bei nicht sensiblen Cookies
  16. Vorhandensein der Funktionen ‚Autovervollständigen‘ und ‚Passwort speichern‘ in Webbrowser oder Anwendung
  17. Vorschläge zur Konfiguration des Sender Policy Framework (SPF)
  18. CSRF
  19. Kontaktformular
  20. Benachrichtigungen

Umfang

Inbegriffen:

  • gofundme.com
  • api.gofundme.com
  • funds.gofundme.com
  • gateway.gofundme.com
  • www.gofundme.com/de-de
  • support.gofundme.com

Nicht inbegriffen:

  • happiness.gofundme.com
  • Charity.gofundme.com
  • Charitysupport.gofundme.com
  • Charitysandbox.gofundme.com
  • fastly.gofundme.com

Melde Fehler hier