Ihre Daten bei Navan in sicheren Händen

Das umfassende Programm für Anwendungssicherheit von Navan ist eng mit dem SDLC-Prozess (Secure Software Development Life Cycle) verbunden und darin integriert. Das Sicherheits- und Entwicklungsteam arbeiten eng zusammen, um Sicherheitsmaßnahmen in jeden Schritt des SDLC einzubauen, inkl. jährlicher Penetrationstests und regelmäßiger Anwendungssicherheitstests als Teil der CI/CD-Pipeline. Die Navan-Webseite, Mikroservices und APIs unterliegen regelmäßigen Schwachstellen- und Penetrationstests, Sicherheitsscans sowie Tests zur Bedrohungserkennung und Sicherheitsbewertung durch Cybersecurity-Expert:innen.

Das Detection & Response-Team von Navan ist auf Gefahrenerkennung, Schwachstellenmanagement, Vorfallsreaktionen und Krisenkommunikation spezialisiert. Navan überwacht seine Produktlandschaft sorgfältig, um alle Schwachstellen, die die Datensicherheit gefährden könnten, zu erkennen und zu beheben. Unsere umfassenden Pläne und unser Protokoll zur Reaktion auf Störungen stellen sicher, dass auf Sicherheitsvorfälle umgehend und effektiv reagiert wird, um die Auswirkungen zu minimieren und eine schnelle Rückkehr zum normalen Geschäftsbetrieb zu ermöglichen.

Die Plattform und Anwendungen von Navan werden in AWS-Cloud-Rechenzentren gehostet, die sich in mehreren regionalen Verfügbarkeitszonen befinden. Unsere Strategie zur Sicherung von Kundendaten nutzt unter anderem verlässliche AWS-Sicherheitsfunktionen. Dazu gehören unter anderem Virtual Private Clouds (VPCs), Security Groups sowie der AWS Key Management Service (KMS). Die Rechenzentren von AWS verwenden eine innovative Sicherheitsarchitektur, die direkt in die Plattform und Infrastruktur von Navan integriert ist.

Navan hat detaillierte Betriebsrichtlinien, Verfahren und Prozesse eingeführt, um die Gesamtqualität und Integrität unserer Landschaft effektiv zu kontrollieren. Wir überwachen die Netzwerkaktivität rund um die Uhr und reagieren innerhalb von Minuten auf Sicherheitsvorfälle. Darüber hinaus verfügen wir über proaktive Sicherheitsmaßnahmen, einschließlich Perimeterverteidigung und Netzwerk-Intrusion-Prevention-Systeme (IPS). Diese IPS überwachen kritische Netzwerksegmente auf atypische Netzwerkmuster in der Kundenumgebung sowie den Datenverkehr zwischen verschiedenen Serviceebenen.

Wir betrachten unsere Mitarbeitenden als unsere erste und effektivste Abwehr gegen Cyber-Bedrohungen. Unser Team erhält regelmäßig Schulungen und Updates zu sicherheitsrelevanten Themen und bewährten Verfahren, um das Bewusstsein zu schärfen, Risiken zu verringern und gegenüber potenziellen Bedrohungen wachsam zu bleiben. Kontinuierliche Schulungen zur Anwendungssicherheit sind für unsere Entwickler:innen obligatorisch und Navan hält sich an zahlreiche Best Practices und Empfehlungen der Branche, einschließlich der des Open Web Application Security Project (OWASP) und anderer branchenüblicher Kontrollsysteme.

Navan überträgt Kundendaten mithilfe mehrstufiger Sicherheitsmechanismen, verstärkten Netzwerken und Transport Layer Security-Verschlüsselung (TLS) für die Datenübertragun („dat in transit“). Für sensible Daten, die gespeichert werden („data at rest”) verwenden wir den Advanced Encryption Standard (AES), den aktuellen Industriestandard für moderne kommerzielle Geschäftsanwendungen. Wir überprüfen und aktualisieren unsere Verschlüsselungsprotokolle regelmäßig, um sicherzustellen, dass sie den aktuellen Branchenstandards entsprechen und den neuesten Entschlüsselungsmethoden effektiv entgegenwirken.