Wir von Onshape nehmen die Sicherheit sehr ernst, damit Sie und Ihre Teams sich ganz auf das konzentrieren können, was Sie am besten können: die Entwicklung außergewöhnlicher Produkte. Wir sind stolz darauf, dass wir unseren Anwendern Sicherheitsverfahren bieten, die weit über das hinausgehen, was Benutzer von traditionellen CAD-Systemen selbst zur Sicherheit beitragen können. Wir hoffen, dass der folgende Überblick über unsere wichtigsten Sicherheitsmechanismen für Sie hilfreich ist. Bei weiteren Fragen oder wenn Sie Anregungen zum Schutz der Informationen haben, die Sie uns anvertrauen, empfehlen wir das Onshape community forum, Oder schreiben Sie uns einfach eine E-Mail an security@onshape.com.
Bei Onshape können Sie Berechtigungen festlegen, wenn Sie Ihre privaten Dokumente mit anderen Benutzern teilen wollen. Diese Berechtigungsstufen bieten Ihnen eine engmaschige Kontrolle über die Aktionen, die ein bestimmter Benutzer (mit dem Sie das Dokument teilen) bei dem geteilten Dokument vornehmen kann:
Die Kommunikation zwischen den Cloud-Servern von Onshape und den Webbrowser-Clients von Benutzern und Mobilgeräten wird ausnahmslos verschlüsselt. Werden jedoch Dokumente mit böswilligen Benutzern geteilt, können diese mit manuellen oder automatisierten Methoden die Dokumente dennoch für eigene Zwecke reproduzieren, unabhängig von den Berechtigungen, die Sie diesen Benutzern zugewiesen haben. Beispielsweise kann Onshape nicht verhindern, dass Benutzer Screenshots machen oder mit Reverse-Engineering die an Browser oder Mobilgeräte-Clients gesendeten Informationen rekonstruieren.
Wie bei allen wichtigen geschäftlichen oder privaten Daten empfiehlt Onshape daher, dass Sie beim Teilen stets mit Vorsicht vorgehen und erteilte Berechtigungen auf das absolut notwendige Mindestmaß begrenzen. In hochsensiblen Situationen, in denen Sie den Empfängern nicht hundertprozentig vertrauen, sollten Sie erwägen, die Daten in ein anderes Onshape-Dokument zu kopieren, dort zu bearbeiten (z. B. indem Sie bestimmte Daten ausblenden oder vereinfachen) und dann die Daten nur einem tessellierten Format teilen. Das Entfernen von detaillierten Informationen ist eine weitere Option.
Mehr zum Teilen in Onshape finden Sie hier.
Onshape ist nach SOC 2, Typ 2 gemäß den Trust-Service-Kriterien des AICPA für Sicherheit, Verfügbarkeit und Vertraulichkeit zertifiziert. Den SOC-2-Bericht von Onshape finden Sie im NDA.
Onshape verwendet einen Drittanbieter für die Abwicklung von Zahlungen. Kreditkartendaten werden in Ihrem Browser oder Mobilgeräte-Client verschlüsselt und direkt an diesen Dienst gesendet. Es werden keine Kreditkarteninformationen an Onshape-Server übertragen oder von Onshape gespeichert. Unser Zahlungsdienst ist PCI-konform und die Verwendung dieses Dienstleisters erfüllt diese PCI-Compliance.
Onshape erfordert HTTPS für alle Dienste, auch für unsere öffentliche Website und unser Community-Forum. Wir überprüfen regelmäßig die Details unserer Implementierung, d. h. von uns verwendete Zertifikate, Zertifizierungsstellen und Verschlüsselungsverfahren. Wir verwenden automatisierte Tools, um unsere Live-Server auf Anfälligkeiten für neue und bekannte SSL/TLS-Schwachstellen zu testen. Wir verwenden HSTS, um zu gewährleisten, dass Browser mit Onshape ausschließlich über HTTPS interagieren.
Alle Onshape-Dokumente werden mit der AES-256-Verschlüsselung gespeichert. Für die gesamte Kommunikation zwischen unseren internen Servern und internen Datenbanken mit Onshape-Dokumenten wird das Verschlüsselungsprotokoll TLS 1.2 verwendet. Wir blockieren schwache Cipher-Suites und priorisieren stärkere für die Kommunikation zwischen Ihrem Client und unserem Dienst. Wir verwenden ausschließlich sehr starke Cipher-Suites zwischen unseren internen Servern.
Onshape speichert nie Passwörter von Kunden als Klartext. Wir verwenden starke kryptografische Hash-Einwegfunktionen, sodass selbst bei einer Kompromittierung unseres internen Passwortspeichers das Originalpasswort nicht wiederhergestellt werden kann.
Onshape unterhält Verträge mit externen Testdienstleistern, die ein weltweites Team an professionellen Security-Forschern beschäftigen. Diese Forscher werden bezahlt, um Sicherheitslücken in unserem Leistungsangebot zu finden und zu melden. Diese Sicherheitstests erfolgen kontinuierlich und umfassen die Validierung laufender Onshape-Dienst-Updates hinsichtlich bekannter und neuer Bedrohungen.
Wir untersuchen alle gemeldeten Sicherheitsprobleme sofort. Sollten Sie eine Schwachstelle oder einen Bug in den Sicherheitsmaßnahmen von Onshape vermuten, schreiben Sie uns bitte an security@onshape.com (Sie können dafür auch den PGP-Schlüssel am Ende dieser Seite verwenden). Wir werden schnellstmöglich auf Ihre Meldung antworten. Es ist jedoch notwendig, dass Sie das Problem nicht öffentlich bekanntgeben, solange es noch nicht von Onshape geklärt wurde.
Im Folgenden finden Sie unseren PGP-Schlüssel. Sie können diesen Schlüssel zum Verschlüsseln Ihrer Kommunikation mit Onshape oder zum Verifizieren signierter Nachrichten von Onshape verwenden. (Keine Erfahrung mit PGP? In der GPG (in Englisch) finden Sie weitere Informationen. Zuerst sollten Sie einen öffentlichen Schlüssel importieren.)
1