Sicherheit

UiPath® goes to great lengths to ensure that data related to your RPA projects remains safe and secure, without exception. When using UiPath Task Mining, your data benefits from multiple layers of security and governance technologies, operational practices, and compliance policies that UiPath enforces.

UiPath Task Mining besteht aus vier Hauptkomponenten: der Aufzeichnungsanwendung, dem Datenpräprozessor, der Analyse und dem Administratorportal. Zusammen führen diese Komponenten Studien zu den Aufgaben durch, die von Benutzern in Ihrer Umgebung ausgeführt werden. Aus diesen Studien identifiziert UiPath Task Mining eine Liste von Aufgaben, die gute Kandidaten für die Automatisierung sind, und erstellt einen detaillierten Prozessplan für die Aufgaben. Diese Studien werden von Ihrem Systemadministrator kontrolliert und die während der Studien gesammelten Daten werden verschlüsselt, um sicherzustellen, dass der Datenschutz Ihrer Benutzer nicht verletzt wird.

Dienstdesignprinzipien

Das Administratorportal und die Analyse werden über ein SaaS-Modell (Software-as-a-Service) bereitgestellt, das in Microsoft Azure erstellt und gehostet wird. Sie alle verwenden Azure-Dienste, einschließlich Rechenleistung, Speicher, Netzwerke, SQL-Datenbank, App-Konfiguration, geheimer Speicher in Key Vault und Identitäts- sowie Zugriffsverwaltung.

This allows us to focus on the unique aspects of running UiPath® services while taking advantage of, and building upon, Azure’s state-of-the-art capabilities in security, privacy, and compliance. We also utilize the industry certifications available through Azure.

UiPath ist gemeinsam mit Azure für den Schutz Ihrer Daten verantwortlich und hält sich strikt an die veröffentlichten Richtlinien.

Datenverschlüsselung

Wir verschlüsseln alle ruhenden Kundendaten in jedem Datenspeicher, der Teil unseres Dienstes ist. Beispielsweise verwenden wir eine transparente Datenverschlüsselung in SQL-Datenbanken.

Alle Daten werden über geschützte Kanäle übertragen, sei es über das Internet oder innerhalb unserer internen Dienstkomponenten.

Identitäts- und Zugriffsverwaltung

We support account creation in our Automation Cloud^TM Platform using a variety of identity service providers, such as Google, Microsoft, and LinkedIn, as well as through native accounts. Post account creation, our services manage a given user’s access rights using application-managed, role-based access control checks.

Mandantendatenisolierung

Die Daten eines Mandanten werden logisch von den anderen in unserem Dienst getrennt, sodass wir Zugriffs- und Autorisierungskontrollen für alle Mandanten durchsetzen können, während sie in unserem Dienst auf Daten zugreifen.

Datenschutz

UiPath® collects two categories of data from users to operate and improve Task Mining Services:

Kundendaten: Enthalten personenbezogene Transaktions- und Interaktionsdaten, die wir für die Bereitstellung des Diensts und die Verwaltung Ihres Vertrags mit UiPath benötigen
Systemgenerierte Protokolle: Enthalten Dienstnutzungsdaten, die aggregiert sein können und Teile von Kundendaten enthalten können

Aus Sicht der DSGVO gilt UiPath als Auftragsverarbeiter. Daher übernehmen wir alle Aufgaben eines Auftragsverarbeiters, indem wir den Kunden entsprechend der Produktarchitektur und Implementierung die volle Kontrolle über ihre Daten geben.

Wir haben sichergestellt, dass wir alle Ihre Daten auf Anfrage für Sie exportieren können. Sollten Sie Ihr Konto bei UiPath Task Mining schließen oder auf andere Weise eine Datenlöschung anfordern, löschen wir diese Daten aus unseren Systemen nach dem erforderlichen 30-tägigen Zeitraum.

Wir empfehlen unseren Kunden, zu überprüfen, ob ihre Verwendung unseres Cloud-Dienstes mit ihren Datenschutzverpflichtungen im Einklang steht. Weitere Informationen zum Datenschutzhinweis von UiPath, zur Verarbeitung Ihrer Daten durch UiPath bei der Nutzung von Online-Diensten und zu den DSGVO-Verpflichtungen finden Sie in unserer Datenschutzerklärung.

Datenaufbewahrung und -hoheit

Wir wissen, dass unseren Kunden der Datenspeicherort sehr wichtig ist. Wir speichern alle Daten und stellen alle Inhalte für den Benutzer in der Region bereit, die den Standort- und Datenhoheitsanforderungen des bezahlenden Benutzers entsprechen. Die aktuell unterstützten Regionen finden Sie unter Datenaufbewahrung. Wir können weiterhin zusätzliche Regionen hinzufügen, da wir sehen, dass unser Kundenstamm wächst.

Hinweis:

Die Datenaufbewahrung wird erzwungen, da wir jetzt den Microsoft Cognitive Service für die PII-Maskierung verwenden, und dies funktioniert in Bezug auf die Mandantenregion.

Sicherheits- und Compliance-Praktiken

UiPath® addresses the following aspects of security and compliance in order to help prevent breaches and uphold the highest standards for data security, privacy, and availability:

Systemschutz

UiPath® Task Mining uses Azure's Platform-as-a-Service (PaaS) offering for much of its infrastructure. PaaS automatically provides regular updates for known security vulnerabilities.

Lebenszyklus mit sicherer Entwicklung

UiPath® security and development teams work hand in hand to address security threats throughout the development process of UiPath Task Mining.

Teams führen die Bedrohungsmodellierung während der Dienstentwicklung durch. Sie wenden dabei Best Practices für die Entwicklung und Programmierung an und überprüfen die Sicherheit im Endprodukt mithilfe eines mehrgleisigen Ansatzes mit intern erstellten Tools, kommerziellen statischen und dynamischen Analysetools, internen Pentests und externen Bug-Prämien-Programmen.

Wir kümmern uns auch um Sicherheitslücken, die in unsere Codebasis durch Bibliotheken von Drittanbietern implementiert werden, und minimieren unsere Abhängigkeit von diesen Bibliotheken und den entsprechenden Risiken. Da sich die Sicherheitslage ständig ändert, bleiben unsere Teams immer auf dem neuesten Stand der Best Practices. Außerdem muss das gesamte Entwickler- und Betriebspersonal, das an UiPath Cloud-Diensten arbeitet, an jährlichen Schulungen teilnehmen.

Dienst- und Datenverfügbarkeit

Ensuring that UiPath® Task Mining services are available so you can access your organization’s assets is of the utmost importance to us. That is why we rely on Azure’s backup mechanism and practice data recovery.

Wir verwenden noch weitere Sicherheitsmaßnahmen, um die Verfügbarkeit sicherzustellen. Zum Beispiel könnte sich ein böswilliger DDoS-Angriff (Distributed Denial-of-Service) auf die Verfügbarkeit des UiPath Task Mining-Diensts auswirken. Doch Azure verfügt über ein DDoS-Abwehrsystem, das Angriffe auf unseren Dienst verhindert. Es verwendet bewährte Erkennungs- und Abwehrtechniken wie SYN-Cookies, Ratenbegrenzung und Verbindungsbeschränkungen.

Das System ist so konzipiert, dass es nicht nur Angriffe von außen, sondern auch innerhalb von Azure abwehrt.

Live-Site-Tests

Wir simulieren Angriffe auf unsere Dienste und die zugrundeliegende Infrastruktur mithilfe von internen Red Teams.

Dabei besteht das Ziel darin, reale Sicherheitslücken, Konfigurationsfehler und andere Schwachstellen unter kontrollierten Bedingungen zu identifizieren, damit wir die Effektivität unserer Präventions-, Erkennungs- und Abwehrfunktionen testen können.

Reaktion auf Sicherheitsvorfälle

Wir versuchen, die Angriffsfläche unserer Dienste zu minimieren, und unternehmen große Anstrengungen, um zu verhindern, dass jemals ein Angriff erfolgreich ist. Dennoch können Sicherheitsvorfälle auftreten.

Im Falle eines Angriffs setzen wir Sicherheitsreaktionspläne ein, um Diebstähle, Verluste oder Beschädigungen von Daten zu minimieren. Wir bleiben für unsere Kunden während des gesamten Vorfalls transparent. Unser 24x7-SRE- und -Sicherheitsteam ist immer verfügbar, um das Problem schnell zu identifizieren und sich mit den zuständigen Mitarbeitern des Entwicklungsteams abzusprechen, um den Vorfall einzudämmen.

Sobald das Team ein Problem eingedämmt hat, setzt sich unser Prozess für das Management von Sicherheitsproblemen fort, indem wir die Ursache identifizieren und die erforderlichen Änderungen ermitteln, um sicherzustellen, dass ähnliche Probleme in Zukunft verhindert werden.

Produktionszugriffskontrolle

Wir haben eine strenge Kontrolle darüber, wer Zugriff auf unsere Produktionsumgebung und Kundendaten hat.

Der Zugriff wird auf Grundlage der geringsten erforderlichen Berechtigungen gewährt, und erst, nachdem entsprechende Begründungen bereitgestellt und überprüft wurden. Wenn ein Teammitglied Zugriff benötigt, um ein dringendes Problem zu lösen oder eine Konfigurationsänderung bereitzustellen, muss es „Just-in-Time“-Zugriff auf den Produktionsdienst beantragen.

Der Zugriff wird widerrufen, sobald das Problem behoben ist. Zugriffsanforderungen und -genehmigungen werden nachverfolgt. Wenn der Benutzername und das Kennwort von einem unserer Entwickler oder Betriebsmitarbeiter jemals entwendet werden sollten, sind die Daten weiterhin geschützt, da wir für den gesamten Produktionssystemzugriff eine Zwei-Faktor-Authentifizierung verwenden.

Verwaltung von geheimen Schlüsseln

Geheime Schlüssel, die wir zum Verwalten und Betreiben des Dienstes verwenden, z. B. Verschlüsselungsschlüssel, werden sicher über das Azure Management Portal verwaltet, gespeichert und übertragen.

Alle geheimen Schlüssel werden in regelmäßigen Abständen rotiert und können im Falle eines Sicherheitsereignisses nach Bedarf rotiert werden.

With a solid foundation for security and privacy, UiPath® is working towards obtaining industry certifications and accreditations over the next year, which include Veracode continuous for our Cloud Platform, ISO 27001:2013, and ISO 27017, CSA Star and SOC 1 Type 2.

Das Administratorportal sowie die Analyse werden über ein SaaS-Modell (Software-as-a-Service) bereitgestellt, das in Microsoft Azure erstellt und gehostet wird. Sie alle verwenden Azure-Dienste, einschließlich Rechenleistung, Speicher, Netzwerke, SQL-Datenbank, App-Konfiguration, geheimer Speicher in Key Vault und Identitäts- sowie Zugriffsverwaltung. Wir sind gemeinsam mit Azure für den Schutz Ihrer Daten verantwortlich und halten uns strikt an die veröffentlichten Richtlinien.