von Lindsay Nash | Aug. 26, 2025 | Artikel, Artikel
Lesen Sie das folgende Interview mit Kirk Bushell, dem technischen Direktor von Award Force, um zu erfahren, wie Sie die Sicherheit Ihres Programms erhöhen können und was Award Force unternimmt, um die Sicherheit und Integrität Ihres Programms zu gewährleisten. Möchten Sie mehr über die Sicherheit Ihres Application Management Systems erfahren? Sehen Sie sich das Award Force Academy-Webinar an.
Carl (Award Force Academy): Wir alle wissen, dass Sicherheit wichtig ist und haben eine Vorstellung davon, was sie ist, aber, ehrlich gesagt, ist sie für viele von uns eine Art Grauzone. Wir hören Dinge wie Datenverschlüsselung, SSL, ISO, GDPR, PCI DSS und vieles mehr; aber was bedeutet das alles?
Ich freue mich, Ihnen meinen guten Freund und Kollegen Kirk Bushell, den technischen Direktor von Award Force, vorzustellen. Hallo Kirk!
Kirk: Hallo Carl, wie geht es dir?
Carl: Ausgezeichnet, danke. Vielen Dank, dass Sie heute dabei sind und sich die Zeit nehmen, ein paar Dinge darüber zu besprechen, wie und was Award Force in Bezug auf Sicherheit unternimmt. Wenn ich direkt einsteigen darf, hätte ich ein paar Fragen.
Kirk: Kein Problem.
Carl: Fantastisch. In Bezug auf verschlüsselte Daten verwenden Auszeichnungsprogramme, die Award Force nutzen, standardmäßig auch SSL. Wie hilft dies den Usern von Award Force? Und welches Vertrauen gibt ihnen das in die Nutzung?
Kirk: Das ist eine wirklich gute Frage, Carl. SSL ist standardmäßig vorhanden, wie Sie bereits erwähnt haben, und was dies für unsere Kunden und User bewirkt, ist, eine bessere Sicherheitsimplementierung für alle Anfragen auf der Plattform zu gewährleisten. Das bedeutet, dass mit aktiviertem SSL bestimmte Angriffe unmöglich sind. Zum Beispiel ein Man-in-the-Middle-Angriff. Die Plattform aktiviert diesen Schutz standardmäßig. Das bedeutet, dass Sie keine Verbindung zu unseren Diensten herstellen können, ohne dass SSL aktiviert ist. Wenn Sie versuchen, sich ohne aktiviertes SSL mit unserer Plattform zu verbinden, blockiert sie einfach die Anfrage, was wirklich gut für die Sicherheit ist.
Carl: Fantastisch. Die General Data Protection Regulation, auch bekannt als GDPR, wurde im Mai 2018 eingeführt, um europäische Bürger zu schützen, aber wie wirkt sich dies auf Menschen außerhalb der EU aus?
Kirk: Wieder eine wirklich gute Frage. Erstens hat die GDPR, obwohl sie innerhalb der EU für EU-Bürger entwickelt wurde, tatsächlich weitreichendere Auswirkungen für jeden, der außerhalb der EU tätig ist und EU-Kunden bedient. Wenn beispielsweise ein EU-Bürger von außerhalb der EU auf den Award Force-Stack zugreift, müssen wir dennoch die gleichen Funktionen und Schutzmaßnahmen anwenden, als wären sie innerhalb der EU. Da die GDPR wirklich ein gutes Gesetz ist, um die Privatsphäre und Sicherheit der User auf grundlegender Ebene zu gewährleisten, haben wir diese Sache unterstützt, obwohl wir ein australisches Unternehmen sind. Wir haben sichergestellt, dass alle diese Vorschriften mit einer Reihe von Funktionen erfüllt werden, die wir heute in der Plattform implementiert haben.
Carl: Ausgezeichnet. Was hat Award Force getan, um unseren Kunden die Optionen zu bieten, die sie benötigen, um sich und ihre Userbasis zu schützen?
Kirk: Wieder eine wirklich gute Frage. Award Force ist ein Datenverarbeiter, und das bedeutet, dass wir gemäß den Vorschriften sicherstellen müssen, dass wir alle Funktionen vorhanden sind, um sicherzustellen, dass unsere Kunden und Programm-Manager über die relevanten Funktionen und Anforderungen verfügen, um Dinge wie User-Löschanfragen zu ermöglichen.
Alle Ressourcen innerhalb von Award Force verfügen jetzt über eine Art permanente Löschfunktion, nämlich User und Beiträge, und wenn Sie beispielsweise Ihre Saison oder sogar Ihr gesamtes Konto irgendwann entfernen müssen, können wir dies tun und Ihnen eine Bescheinigung ausstellen, um sicherzustellen, dass dies tatsächlich geschehen ist. Der Grund dafür ist, dass die GDPR-Gesetzgebung vorschreibt, dass wir keine Daten über ihren Verwendungszweck hinaus aufbewahren oder speichern dürfen.
Wenn Sie also eine Saison durchführen und dort Daten haben, die nicht mehr relevant sind, können Sie diese Informationen löschen. Zweitens, und wahrscheinlich die wichtigste Funktion, ist die Art und Weise, wie wir mit Datenverschlüsselung umgehen, um sicherzustellen, dass wir die Privatsphäre der User respektieren, insbesondere bei sensiblen Daten.
Wenn Sie beispielsweise benutzerdefinierte Felder einrichten, haben wir drei Verschlüsselungsstufen. Die Standardstufe wenden wir auf alle Daten an, unabhängig von der Option, die Sie auswählen, und das ist unsere Data-at-Rest-Funktion. Alle Informationen und Daten, die wir über User sammeln und die sie im Rahmen ihres Beitrags oder als Teil ihres Userprofils hochladen, werden im Ruhezustand verschlüsselt. Das bedeutet, dass die Daten auf dem Festplattenspeicher eines Dateiservers vorhanden sind und auf dieser Ebene verschlüsselt werden. Wenn also jemand Zugriff auf den Server erhält, bräuchte er beispielsweise den Schlüssel, den wir zur Verschlüsselung dieser Daten verwendet haben, bevor er sie tatsächlich anzeigen kann. Das ist eine großartige Standardverschlüsselung.
Die nächste Stufe darüber ist die erweiterte Verschlüsselungsoption für benutzerdefinierte Felder. Das bedeutet, dass wir die Werte in unserer Datenbank tatsächlich hashen, sodass Sie nicht sehen können, welcher Wert es ist, selbst wenn Sie sich die Daten ansehen. Sie können es vielleicht erraten, wenn Sie ungefähr wissen, was sich darin befindet, aber angesichts der Datenmenge und der vielfältigen Datenwerte ist dies natürlich recht schwierig. Sie können es nicht tatsächlich sehen; Sie müssen es auch mit unserem Schlüssel entschlüsseln.
Und schließlich haben wir die maximale Verschlüsselung, was bedeutet, dass der einzige Wert, den wir speichern, ein vollständig verschlüsselter Wert ist. Wenn Sie keinen Schlüssel haben, können Sie ihn auch hier nicht sehen. Das Interessante an der maximalen Verschlüsselungsoption ist, dass Sie die Daten nicht tatsächlich suchen können; wir können keine Abfragen schreiben, um nach den Daten zu suchen, die Sie suchen. Sie bietet Ihnen ein extremes Maß an Verschlüsselung und Sicherheit für wirklich private Informationen für Enduser. Wenn Sie also Informationen über User sammeln, die besonders sensibel sind, ist es möglicherweise eine gute Idee, die maximale Verschlüsselung zu verwenden.
Carl: Fantastisch. Ich werde das später heute noch etwas genauer erläutern. Vielen Dank dafür. Meine nächste Frage an Sie ist: Welche Verantwortung tragen Programme, die personenbezogene Daten erheben, insbesondere wenn die Möglichkeit besteht, Daten über europäische Bürger zu erheben? Und was bedeutet es, gegen die GDPR zu verstoßen?
Kirk: Wenn Sie ein EU-Programm sind, ist es wirklich wichtig, dass Sie über die GDPR-Verordnung auf dem Laufenden sind und verstehen, was von Ihnen als Datenverantwortlicher verlangt wird und welche Verantwortung Sie tragen.
Wenn der User beispielsweise verlangt, dass Informationen gelöscht werden, müssen Sie dieser Anfrage nachkommen. Ich kann mich nicht mehr genau an den Zeitrahmen erinnern, aber ich glaube, er liegt innerhalb von 30 Tagen. Es ist wirklich wichtig, dass sich die Kunden ihrer Verantwortung bewusst sind und wissen, was sie für ihre Enduser tun müssen, sowie den letzten Zyklus der Daten kennen, die Sie sammeln. Benötigen Sie sie für immer, benötigen Sie sie nur für dieses Jahr, benötigen Sie sie für diese Saison oder nur für einen Monat? Sicherzustellen, dass Sie wissen, wie lange Sie Daten aufbewahren, ist wirklich wichtig.
Die zweite Frage betrifft die Frage, was eine Datenschutzverletzung ist. Das bedeutet beispielsweise, dass Award Force, Gott bewahre, von jemandem gehackt würde, der sich Zugriff auf unsere Datenserver verschaffen könnte, was im Wesentlichen eine Datenschutzverletzung darstellt. Sobald Award Force von einer solchen Datenschutzverletzung Kenntnis erlangt, müssen wir zwei Dinge tun. Das erste ist, das Problem zu untersuchen und zu verstehen, wie es passiert ist, und das zweite ist, diese Datenschutzverletzung sowohl dem Kunden als auch der Aufsichtsbehörde in der EU zu melden und zu sagen: „Hey, wir wurden gehackt, das sind alle Details, das tun wir, um es in Zukunft zu bekämpfen.“
Carl: Award Force ist ISO27001-zertifiziert. Was hat Award Force getan, um sicherzustellen, dass die Anforderungen der International Standards Organization für diese Zertifizierung erfüllt werden, und, wenn ich so naiv sein darf, was ist das?
Kirk: Gute Frage. Dieser Standard ist im Wesentlichen eine Reihe von Richtlinien, die steuern, wie sich eine Organisation in Bezug auf die Verwaltung aller Arten von Daten in der gesamten Organisation verhalten sollte: die Informationen, die wir sammeln, wie wir sie speichern, wie wir sie prüfen, wie wir sicherstellen, dass die User Zugriff auf diese Informationen haben usw. Das ist ein sehr breiter Überblick und ein recht vereinfachter, aber er hat weitreichende Auswirkungen für eine Organisation, die dies möglicherweise noch nicht eingerichtet hat.
Das Gute ist, dass wir bei Award Force immer sehr sensibel für Datenschutz und Datensicherheit waren und daher bereits vieles davon eingerichtet hatten, aber es dauerte immer noch etwa zwölf Monate, um alle Kontrollen, die verschiedenen Audits und Dinge zu implementieren, um sicherzustellen, dass wir tatsächlich mit dieser Zertifizierung konform sind. Tatsächlich steht unsere nächste jährliche Zertifizierung bevor. Wir sind also seit etwa einem Jahr zertifiziert, um dies einzurichten, aber es war eine wirklich interessante und aufregende Zeit, weil es unseren Kunden zeigt, dass wir Sicherheit sehr ernst nehmen.
Carl: Absolut. Was hat Award Force in Bezug auf Sicherheit getan und tut es weiterhin, um sicherzustellen, dass wir der Branchenführer, der Maßstab, wenn Sie so wollen, sind, wenn es darum geht, Daten und User zu schützen?
Kirk: Wieder eine wirklich gute Frage. Wir haben eine Reihe von Dingen erwähnt, die wir getan haben, um dies zu ermöglichen, aber einfach aus Zertifizierungssicht haben wir die ISO27001-Zertifizierung angestrebt, wir haben auch die PCI DSS-Zertifizierung angestrebt. Letzteres ist wirklich wichtig, denn obwohl wir keine Kreditkartendaten für Zahlungen speichern, beispielsweise für Beitragsanmeldungen, müssen wir diese Daten dennoch erfassen, um sie an die von uns verwendeten Payment Gateways weiterzuleiten; und ein Teil dieser Zertifizierung besteht darin, zu zeigen, dass wir sie nicht speichern, wir nichts anderes damit tun, als sie weiterzuleiten. In einigen Fällen erfassen wir diese Daten nicht einmal; wir fragen den User nicht einmal nach diesen Daten, wenn Sie beispielsweise eine Art Redirect-Gateway in dieser Angelegenheit verwenden. Schließlich haben wir die GDPR-Verordnung, die meiner Meinung nach wahrscheinlich die stärkste von allen ist, einfach weil sie den Datenschutz und die Datensicherheit der User in den Mittelpunkt stellt. Wenn Sie also überhaupt in der EU tätig sein wollen, müssen Sie diese Verordnung und ihre Gesetzgebung befolgen.
Carl: Vielen Dank, Kirk, dass Sie heute dabei waren und uns Ihre Zeit geschenkt haben. Ich weiß das wirklich zu schätzen.
Erfahren Sie mehr über die Award Force-Sicherheit.
Artikel
Funktionsfokus
Anleitungen
Pressemitteilungen
Produktaktualisierungen