close

Keeper is uitermate gepassioneerd als het gaat om het beschermen van uw informatie

Keeper maakt gebruik van eersteklas beveiliging om uw informatie te beschermen en het risico op gegevenslekken te minimaliseren.

Keeper's toonaangevende beveiliging

Eigen hoofdwachtwoord

ALLEEN de gebruiker is op de hoogte van en heeft toegang tot het hoofdwachtwoord en de sleutel die wordt gebruikt om informatie te versleutelen en ontcijferen.

Diepgaande versleuteling

Gebruikersgegevens worden op apparaatniveau versleuteld en ontsleuteld, niet op de servers van Keeper of in de cloud.

Sterkste versleuteling

Keeper beschermt uw informatie met 256-bits AES-versleuteling en PBKDF2, wat algemeen wordt erkend als de sterkste vorm van versleuteling die beschikbaar is.

Multi-factor-authenticatie

Keeper ondersteunt multi-factor-authenticatie, biometrisch aanmelden en Keeper DNA dat gebruikmaakt van persoonlijke apparaten zoals uw smartwatch om uw identiteit te bevestigen.

Veilige/betrouwbare cloud-kluis

Keeper gebruikt Amazon AWS op meerdere geografische locaties en architectuur om de Keeper-vault te hosten en laten werken, om zo klanten de snelste en veiligste opslag in de cloud te bieden. Gegevens in ruste en onderweg worden volledig geïsoleerd in een internationaal datacenter naar voorkeur van de klant.

Overzicht

Keeper Security, Inc. (KSI) richt zich sterk op de bescherming van de informatie van klanten met Keeper beveiligingssoftware voor mobiel en desktop. Miljoenen klanten en bedrijven vertrouwen erop dat Keeper hun wachtwoorden en privé-informatie beveiligt en toegankelijk houdt.

Keeper's software wordt doorlopend verbeterd en bijgewerkt om klanten te voorzien van de nieuwste technologie en bescherming. Op deze pagina vindt u een overzicht van Keepers beveiligingsarchitectuur, versleutelingsmethoden en hostingomgeving, in de vorm van de momenteel gepubliceerde versie. Een overzicht van de technische details in verband met onze versleutelings- en beveiligingsmethoden wordt in dit document beschreven.

Ons privacybeleid en onze gebruiksvoorwaarden zijn beschikbaar op onze website via de volgende koppelingen:

Gegevensbeveiliging

KSI is een zero-knowledge beveiligingsprovider. De Keeper-gebruiker is de enige persoon die de volledige controle heeft over de versleuteling en ontcijfering van zijn of haar gegevens. Met Keeper vindt versleuteling plaats op het niveau van het gebruikersapparaat en via het volledige transportproces vanaf de gebruikersapp naar Keeper's Cloud Security Vault. De encryptiesleutel die nodig is voor de ontcijfering van gegevens, is altijd in handen van de Keeper-gebruiker. KSI kan de opgeslagen gegevens van de gebruiker niet ontcijferen.

KSI heeft geen toegang tot het hoofdwachtwoord van de gebruiker en KSI heeft evenmin toegang tot de records die zijn opgeslagen in de Keeper-kluis. KSI heeft geen externe toegang tot het apparaat van een klant en kan ook de kluis van de klant niet ontcijferen. De enige informatie waar Keeper Security toegang tot heeft, is het e-mailadres van een gebruiker, het apparaattype en abonnementsgegevens (bijv. Keeper Unlimited). Als het apparaat van een gebruiker verloren raakt of wordt gestolen, kan KSI helpen bij het toegang krijgen tot versleutelde back-upbestanden om de kluis van de gebruiker te herstellen zodra het apparaat is vervangen.

Informatie die is opgeslagen en wordt benaderd vanuit Keeper, is alleen toegankelijk voor de klant omdat deze direct wordt versleuteld en weer wordt ontcijferd op het gebruikte apparaat - zelfs bij gebruik van de Keeper-app. De methode van versleuteling die Keeper gebruikt is een bekend, vertrouwd algoritme dat AES (Advanced Encryption Standard) wordt genoemd en een 256-bits sleutellengte heeft. Volgens de publicatie CNSSP-15 van het Comité voor Nationale Veiligheidssystemen is AES met 256-bits sleutellengte voldoende veilig om vertrouwelijke gegevens te versleutelen, tot aan UITERST VERTROUWELIJKE gegevens van de Amerikaanse overheid toe.

De versleutelingsreeksen die worden gebruikt om klantenrecords te versleutelen en ontcijferen worden niet opgeslagen in of overgedragen aan Keeper's Cloud Security Vault. Let op, om synchronisatiemogelijkheden tussen meerdere apparaten mogelijk te maken, wordt een versleutelde versie van de versleutelingsreeks opgeslagen in de Cloud Security Vault en verstrekt aan de apparaten via de gebruikersaccount. Deze versleutelingsreeks kan alleen worden ontcijferd op het apparaat voor nader gebruik als encryptiesleutel.

Gegevensbeveiliging

Sterk hoofdwachtwoord

We raden u ten zeerste aan een sterk hoofdwachtwoord te kiezen voor uw Keeper-account. Gebruik dit hoofdwachtwoord bij voorkeur niet buiten Keeper. Gebruikers mogen hun hoofdwachtwoord nooit met iemand anders delen.

Twee-factor-authenticatie

Om te beschermen tegen ongeoorloofde toegang tot de account van een klant, biedt Keeper ook twee-factor-authenticatie. Twee-factor-authenticatie is een authenticatiemethode waarvoor twee of meer van de drie authenticatiefactoren zijn vereist: een kennisfactor, een bezitsfactor en een inherentiefactor. Voor meer informatie over twee-factor-authenticatie, zie deze koppeling.

Keeper gebruikt iets wat u kent (uw wachtwoord) en iets dat u hebt (de telefoon in uw bezit) om gebruikers extra beveiliging te bieden in het geval uw hoofdwachtwoord of apparaat wordt gecompromitteerd. Om dit te doen, genereren we TOTP's (Time-based One-Time Passwords).

Keeper genereert een geheime sleutel van 10 bytes via een cryptografisch veilige, willekeurige nummergenerator. Deze code is ongeveer een minuut geldig en wordt naar de gebruiker gestuurd via sms, Duo Security, RSA SecurID, Google Authenticator of Keeper DNA-compatibele wearable apparaten.

Bij gebruik van de Google Authenticator-app op uw mobiele apparaat genereert de server intern een QR-code met uw geheime sleutel, en deze wordt nooit gecommuniceerd aan een derde partij. Telkens als een gebruiker twee-factor-authenticatie deactiveert en vervolgens heractiveert, wordt een nieuwe geheime sleutel gegenereerd.

Om twee-factor-authenticatie te activeren, bezoekt u het instellingenscherm van de Keeper-webapp.

FIDO (U2F)-beveiligingssleutels

Keeper ondersteunt FIDO-compatibele U2F hardwarematige beveiligingssleutels zoals YubiKey als tweede factor. Beveiligingssleutels bieden een handige manier om twee-factor-authenticatie uit te voeren zonder dat de gebruiker handmatig 6-cijferige codes moet invoeren. U kunt meerdere beveiligingssleutels configureren voor een gebruikerskluis. Voor platforms die geen beveiligingssleutelapparaten ondersteunen, kunnen gebruikers terugvallen op andere geconfigureerde 2FA-methoden. Om een beveiligingssleutel te configureren en andere twee-factor-authenticatiemethoden, bezoekt u het instellingenscherm van de Keeper-app.

Noodtoegang (digitaal erfgoed)

Keeper ondersteunt de mogelijkheid om tot 5 noodcontacten toe te voegen om kluistoegang te verlenen in geval van nood of overlijden. Zodra een bepaalde wachttijd is vertreken, krijgt het noodcontact toegang tot de kluis van de gebruiker. Het proces van een kluis delen is zero-knowledge, en het hoofdwachtwoord van de gebruiker wordt nooit rechtstreeks gedeeld. RSA-versleuteling wordt gebruikt om een 256-bits AES-sleutel te delen met het noodcontact na afloop van de wachttijd die is ingesteld door de oorspronkelijke gebruiker. Het noodcontact moet daarom een Keeper-account hebben (en een betaalde openbare/particuliere RSA-sleutel) om de uitnodiging te accepteren.

Accountherstel

Tijdens de registratie voor een account wordt aan gebruikers gevraagd om een beveiligingsvraag en -antwoord te selecteren. Eveneens tijdens de registratie genereert Keeper een gegevenssleutel die wordt gebruikt om de recordsleutels die worden opgeslagen met elke kluisrecord te versleutelen en ontcijferen. De gegevenssleutel van de gebruiker is versleuteld met het hoofdwachtwoord en elke recordsleutel is versleuteld met de gegevenssleutel. Elke record in de kluis van de gebruiker heeft afzonderlijke, verschillende recordsleutels.

Bij accountherstel wordt een tweede exemplaar van de gegevenssleutel van de gebruiker versleuteld met de geselecteerde beveiligingsvraag en -antwoord. De gebruiker moet voor een volledig kluisherstel een verificatiecode per e-mail invoeren en ook de twee-factor-authenticatiecode (indien ingeschakeld voor de account). We raden u aan om een sterke beveiligingsvraag en -antwoord samen te stellen, en Keeper's twee-factor-authenticatiefunctie in te schakelen vanuit het instellingenscherm. Twee-factor-authenticatie kan ook worden afgedwongen voor klanten van Keeper Business via de Keeper-beheerdersconsole.

Clientversleuteling

De gegevens worden versleuteld en ontcijferd op het apparaat van de gebruiker, niet in de Cloud Security Vault. We noemen dit 'clientversleuteling' omdat de client (bijv. iPhone, Android, webapp) al het werk doet. De Cloud Security Vault slaat ruwe binaire gegevens op, die waardeloos zijn voor indringers. Zelfs als de gegevens worden onderschept tijdens de overdracht van het clientapparaat naar de Cloud Security Vault, kunnen deze niet worden ontcijferd om de privé-gegevens van de gebruikers aan te vallen of compromitteren.

Voor het doorbreken of hacken van een symmetrische 256-bits-sleutel is 2128 keer de rekenkracht van een 128-bits-sleutel nodig. In theorie zou je hiervoor een apparaat nodig hebben dat er 3x1051 jaar over zou doen om de 256-bits sleutelruimte uit te putten.

Clientversleuteling

Delen

Elke gebruiker heeft een RSA-sleutelpaar van 2048 bit dat wordt gebruikt om te delen. Gedeelde kluisrecords worden versleuteld met de openbare sleutel van de ontvanger. De ontvanger ontsleutelt de record met zijn of haar privésleutel. Zo zorgt een gebruiker ervoor dat zijn of haar records alleen met de bedoelde ontvanger worden gedeeld. Diegene is tenslotte de enige die records kan ontsleutelen.

Sleutelgeneratie

Keeper maakt gebruik van PBKDF2 met HMAC-SHA256 om het hoofdwachtwoord van de gebruiker te converteren naar een 256-bits encryptiesleutel met een minimum van 1000 rondes.

Sleutelopslag

Alle geheime sleutels die moeten worden opgeslagen (zoals de eigen RSA-sleutel en de gegevenssleutel van elke gebruiker) zijn allemaal versleuteld voorafgaand aan opslag of transmissie. Het hoofdwachtwoord van de gebruiker is vereist om sleutels te ontcijferen. Aangezien Keeper's Cloud Security Vault GEEN toegang heeft tot het hoofdwachtwoord van de gebruiker, kunnen we uw sleutels of gegevens nooit ontcijferen.

Keeper's Cloud Security Vault

De Cloud Security Vault verwijst naar de software en netwerkarchitectuur van KSI die fysiek zijn gehost bij de infrastructuur Amazon Web Services (AWS).

Wanneer de gebruiker zijn Keeper-kluis synchroniseert met andere apparaten in zijn account, worden de versleutelde binaire gegevens via een versleutelde SSL-tunnel venzonden en in versleutelde indeling opgeslagen in Keeper's Cloud Security Vault.

Recordversies

Keeper bewaart een volledig versleuteld versieoverzicht van elke record die is opgeslagen in de kluis, om te garanderen dat belangrijke gegevens nooit verloren gaan. Vanuit de Keeper-clientapp kunnen gebruikers de recordgeschiedenis onderzoeken en elke losse kluisrecord herstellen. Als een opgeslagen wachtwoord of bestand in Keeper wordt gewijzigd of verwijderd, hebben gebruikers altijd de mogelijkheid om te herstellen naar een bepaald punt in de tijd.

Keeper Business

Klanten die Keeper Business aanschaffen krijgen een extra controlelaag over hun gebruikers en apparaten. Keeper-beheerders krijgen toegang tot een cloudgebaseerde beheerconsole met volledige controle over het toevoegen en verwijderen van gebruikers, rolgebaseerde machtigingen, gedelegeerd beheer, teams, Active Directory/LDAP-integratie, twee-factor-authenticatie, Single Sign-On en beveiligingsafdwingingsbeleid. Keeper's rolgebaseerde afdwingingsbeleid is volledig aanpasbaar en schaalbaar op organisaties van alle formaten.

Keeper Business

Rollen, teams, gedeelde mappen en gedelegeerd beheer

Keeper for Business biedt een veilige en robuuste set controles ten aanzien van organisatorische eenheden, rollen, teams en gedeelde mappen. De krachtige back-endcontroles van Keeper bieden de meest robuuste beveiligingslagen die toegang met minimale bevoegdheden en volledig gedelegeerde administratie bieden.

Op het niveau van de versleutelingslaag krijgt elke record (bijv. wachtwoord of aanmelding) die is opgeslagen in het Keeper-platform een unieke recordidentificatie (Record UID). Elke record wordt versleuteld met een recordsleutel. Gedeelde mappen hebben een gedeelde mapsleutel, elk team heeft een teamsleutel en een openbaar/particulier sleutelpaar, en elke gebruiker heeft een gebruikersgegevenssleutel, en een openbaar/particulier sleutelpaar. Elke rol waarvoor de overdracht van de gebruikersaccount is vereist, heeft een rolafdwingingssleutel en een openbaar/particulier sleutelpaar. Gegevens op het apparaat van de gebruiker worden versleuteld met de clientsleutel van de gebruiker. De gegevenssleutel van de gebruiker en de clientsleutel zijn versleuteld met het hoofdwachtwoord van de gebruiker.

Bij records die worden gemaakt door een gebruiker, wordt de recordsleutel versleuteld met de gegevenssleutel van de gebruiker. Records worden toegevoegd aan een gedeelde map door de recordsleutel te versleutelen met de gedeelde mapsleutel. Records worden rechtstreeks gedeeld met een gebruiker door de recordsleutel te versleutelen met de openbare sleutel van de gebruiker. Gebruikers worden toegevoegd aan een gedeelde map door de gedeelde mapsleutel te versleutelen met de openbare sleutel van de gebruiker. Teams worden toegevoegd aan een gedeelde map door de gedeelde mapsleutel te versleutelen met de openbare sleutel van het team. Gebruikers worden toegevoegd aan een team door de teamsleutel te versleutelen met de openbare sleutel van de gebruiker.

Voor rollen die de overdracht van een gebruikersaccount afdwingen:

De afdwingingssleutel wordt versleuteld met de openbare sleutel van de beheerder die gemachtigd is om de overdracht uit te voeren.

(Let op: afzonderlijke afdwingingen die worden toegepast op afzonderlijke groepen gebruikers worden mogelijk aangewezen voor overdracht door afzonderlijke groepen beheerders.)

De gegevenssleutel van de gebruiker (voor gebruikers in een rol waarvoor afdwinging wordt toegepast) wordt versleuteld met de openbare sleutel voor rolafdwinging.

Een account die moet worden overgedragen wordt gedaan door de gebruikersaccount te vergrendelen en vervolgens over te dragen en verwijderen. Hierdoor wordt gegarandeerd dat de bewerking niet in het geheim wordt uitgevoerd. De gedeelde gegevenssleutel van de gebruiker en de metadata zorgen voor de mogelijkheid om de recordgegevens te ontcijferen, maar bieden geen directe toegang. Daarom zijn de records pas bruikbaar door een individu nadat ze zijn toegewezen aan dit individu en geen ander individu toegang heeft gekregen.

Alle versleuteling vindt plaats aan de clientkant, en op geen enkel moment heeft Keeper de mogelijkheid om de informatie die wordt gedeeld of overgedragen te ontcijferen. Bovendien kunt u vliegensvlug de clientsleutel van een gebruiker delen. Een gebruiker die wordt verwijderd uit een team, gedeelde map of direct delen ontvangt geen nieuwe gegevens van het team, gedeelde map of record. Daarom, hoewel de sleutel gecompromitteerd is met dat individu, is de sleutel niet bruikbaar om toegang te verkrijgen tot de onderliggende gegevens.

Diverse verschillende administratieve machtigingen kunnen worden toegewezen aan delen van een hiërarchisch overzicht waarmee de leden van de gemachtigde rol bewerkingen kunnen uitvoeren in onze Keeper-beheerdersconsole.

Er kunnen ook aan de serverkant en clientkant afdwingingsbeleidsregels worden toegepast op rollen om het gedrag van de client voor groepen of groepen individuen te dicteren.

Via teams wordt de eenvoudige verspreiding van gedeelde mappen aan groepen gebruikers mogelijk gemaakt.

Keeper Active Directory / LDAP Bridge

De Keeper Bridge wordt geïntegreerd met Active Directory en LDAP-servers voor het toevoegen en aantrekken van gebruikers. De Keeper Bridge-communicatie wordt in eerste instantie geautoriseerd door een beheerder met het privilege om de brug te beheren. Een transmissiesleutel wordt gegenereerd en gedeeld met Keeper voor alle vervolgcommunicatie. Het gebruik van de transmissiesleutel is de autorisatie voor alle bewerkingen die worden uitgevoerd door de brug, met uitzondering van de initialisatie van de brug. De transmissiesleutel kan op elk moment worden gegenereerd, en wordt elke 30 dagen gecirculeerd.

De transmissiesleutel is uitsluitend bedoeld voor transmissie, wat inhoudt dat een gecompromitteerde sleutel opnieuw kan worden geïnitialiseerd of ingetrokken zonder verlies van gegevens of machtigingen.

Keeper Bridge kan geen machtigingen toekennen aan een rol of gebruiker. Het kan wel een gebruiker aan een gemachtigde rol toevoegen, zo lang er geen afdwingingssleutels nodig zijn. Keeper Bridge mag zichzelf of een gebruiker niet boven het overzicht dat het beheert plaatsen. Niet alle bewerkingen zijn beschikbaar voor Bridge. Zo kan Bridge wel een actieve gebruiker uitschakelen, maar de gebruiker niet verwijderen. De beheerder moet bepalen of de gebruiker wordt verwijderd of overgedragen.

Single Sign-On (SAML 2.0)-authenticatie

Keeper kan door Keeper Business-klanten worden geconfigureerd om een gebruiker te authenticeren voor hun Keeper-kluis met standaard SAML 2.0-identiteitsproducten. Keeper is een vooraf geconfigureerde serviceprovider in elke grote SSO-identiteitsprovider, zoals Google Apps, Microsoft Azure, Okta, Ping Identity en andere. Het mechanisme dat Keeper gebruikt om gebruikers te authenticeren voor hun kluis in een zero-knowledge omgeving, is een implementatie waarvoor patent is aangevraagd en Keeper SSO Connect™ wordt genoemd. Keeper SSO Connect is een softwareapplicatie die Keeper Business-beheerders installeren in hun eigen infrastructuur (lokaal of in de cloud). Het fungeert als een SAML 2.0-serviceprovider-eindpunt. Bij activatie op een bepaalde organisatorische eenheid, beheert Keeper SSO Connect alle encryptiesleutels voor Keeper Business-eindgebruikers. Na de succesvolle authenticatie in de zakelijke Single Sign-On-identiteitsprovider, wordt de gebruiker aangemeld bij Keeper met de noodzakelijke encryptiesleutels om hun kluis te ontcijferen. Keeper SSO Connect-software werkt in Windows-, Mac- en Linux-omgevingen.

Keeper SSO Connect

Om zero knowledge beveiliging te waarborgen en te zorgen voor een naadloze SSO-ervaring voor gebruikers, moet Keeper SSO Connect worden geïnstalleerd op de server van de klant. Windows-, Mac- en Linux-omgevingen worden volledig ondersteund met High Availability (HA) modi om de belasting te balanceren.

Keeper SSO Connect genereert en onderhoudt automatisch het hoofdwachtwoord voor elke toegevoegde gebruiker, wat een willekeurig gegenereerde 256-bits sleutel is. Dit hoofdwachtwoord wordt versleuteld met de SSO-sleutel. De SSO-sleutel wordt versleuteld met de Tree Key. De SSO-sleutel wordt geladen van de server na opstarten van de Keeper SSO Connect-service en vervolgens ontcijferd met de Tree Key, die lokaal op de service wordt opgeslagen ter ondersteuning van automatisch opstarten van de service. De communicatie tussen SSO Connect en Keeper's Cloud Security Vault wordt beschermd met een transmissiesleutel.

Aanvalsbescherming cross-site scripting (XSS)

De Keeper-webkluis hanteert een streng contentbeveiligingsbeleid dat de oorsprong van uitgaande verzoeken beperkt en voorkomt dat alle scripts worden uitgevoerd, behalve die uitdrukkelijk afkomstig zijn van Keeper. Dit is inclusief in-line scripts en evenementverwerkende HTML-attributen, waarbij de meeste vectoren voor cross-site scriptingaanvallen worden beperkt of uitgeschakeld.


Toegang tot de KeeperSecurity.com- en KeeperSecurity.eu-domeinnamen is beperkt tot HTTPS met TLS v1.2 en wordt afgedwongen via HTTP Strict Transport Security. Dit voorkomt een brede waaier van packet sniffing, gegevensaanpassing en man-in-the-middle-aanvallen.


Binnen de Keeper-browserextensie vraagt Keeper gebruikers niet om zich aan te melden bij hun kluis vanuit het gebied van het paginakader. Aanmelden bij de extensie gebeurt binnen de browserextensie-taakbalk. Aanmelden bij de kluis in de browser geschiedt altijd binnen het KeeperSecurity.com-domein, het KeeperSecurity.eu-domein of vanuit de taakbalk van de Keeper-browserextensie die buiten de inhoudspagina bestaat.


De Keeper-browserextensie in Chrome, Firefox, Edge en Opera maakt gebruik van iFrames voor de injectie van recordgegevens op de aanmeldingsschermen van websites om ervoor te zorgen dat kwaadwillende websites geen toegang krijgen tot geïnjecteerde inhoud. De recordinhoud die wordt geïnjecteerd in iFrames is ook beperkt tot de kluisrecords zoals opgeslagen in de kluis van de gebruiker, die overeenkomt met het domein van de doelwebsite. Keeper biedt geen automatisch invullen van aanmeldings- of wachtwoordgegevens aan, tenzij het websitedomein overeenkomt met het websitedomeinveld van de Keeper-kluisrecord.


De Internet Explorer-extensie maakt gebruik van een afzonderlijk en eigen app-venster voor aanmelding en de toegang tot records. Deze afzonderlijke vensters zijn niet gevoelig voor XSS-aanvallen omdat ze niet toegankelijk zijn vanuit de browser. Hierdoor kan de extensie in Internet Explorer een aanmeldingsscherm genereren vanuit de pagina. De extensie geeft geen records weer, tenzij de records overeenkomen met het hoofddomein van het website-adres.


Browserextensies van externe partijen hebben mogelijk hogere machtigingen in browsers en toegang tot informatie binnen de pagina. Het wordt daarom aangeraden dat Keeper-beheerders voorkomen dat gebruikers niet-goedgekeurde browserextensies van externe partijn installeren vanuit de betreffende app store van de browser.

Offline-modus

Via de offline-modus hebben gebruikers toegang tot hun kluis wanneer ze online geen verbinding kunnen maken met Keeper of met hun SSO-identiteitsprovider. Deze mogelijkheid is beschikbaar op Keeper's mobiele app, desktop-app en uitgebreid naar zakelijke gebruikers in populaire browsers.


Dit functioneert door een kopie te maken van de kluis op het lokale apparaat van de gebruiker. De kluisgegevens die offline worden opgeslagen zijn AES-GCM-versleuteld met een 256-bits 'clientsleutel' die willekeurig wordt gegenereerd en beschermd door PBKDF2-HMAC-SHA512 met maximaal 100.000 iteraties en een willekeurige salt. De salt en iteraties worden lokaal opgeslagen. Wanneer gebruikers hun hoofdwachtwoord invoeren, wordt een sleutel ervan afgeleid met de salt en de iteraties, en er wordt een poging gedaan om de clientsleutel te ontcijferen. De clientsleutel wordt vervolgens gebruikt om de bewaarde recordcache te ontcijferen. De zelfvernietigingsbescherming wordt ingeschakeld in de kluis van de gebruiker bij 5 mislukte pogingen om aan te melden. Daarbij worden automatisch alle kluisgegevens die lokaal zijn opgeslagen gewist.

Netwerkarchitectuur

KSI maakt gebruik van Amazon AWS in Noord-Amerika en Europa, voor gelokaliseerde gegevensprivacy en geografische segregatie om de Keeper-oplossing en -architectuur te hosten en te laten werken. Door het gebruik van Amazon AWS kan Keeper bronnen naadloos op verzoek schalen en klanten de snelste en veiligste omgeving voor opslag in de cloud aanbieden. KSI opereert in zowel multizone- als multiregio-omgevingen om de uptime te maximaliseren en om de snelste reactietijd aan klanten te kunnen aanbieden.

Netwerkarchitectuur

Serverauthenticatie

De Keeper Cloud Security Vault wordt beschermd door een API die elk verzoek van het clientapparaat authenticeert. Op het clientapparaat wordt een 'authenticatiesleutel' afgeleid van het hoofdwachtwoord met PBKDF2-HMAC-SHA256 en een willekeurige salt. Een 'authenticatiehash' wordt gegenereerd door de 'authenticatiesleutel' te hashen met SHA-256. Om aan te melden, wordt de authenticatiehash vergeleken met een opgeslagen authenticatiehash in de Cloud Security Vault. Na het aanmelden wordt een sessietoken gegenereerd en gebruikt door het clientapparaat voor verdere verzoeken. Dit authenticatietoken moet elke 30 minuten worden vernieuwd, of op aanvraag van de server.

Netwerkarchitectuur

Overdracht laagversleuteling

KSI ondersteunt 256-bits en 128-bits SSL om alle gegevensoverdracht tussen de clienttoepassing en de in de cloud gebaseerde opslag van KSI te versleutelen. Dit is hetzelfde versleutelingsniveau waarop miljoenen individuen en bedrijven elke dag vertrouwen voor online transacties die veilig moeten verlopen, zoals online bankieren, online winkelen, aandelenhandel, toegang tot medische gegevens en de belastingaangifte.

KSI gebruikt TLS-certificaten die zijn ondertekend door Digicert met het algoritme SHA2. Dit is het veiligste handtekeningalgoritme dat op dit moment wordt aangeboden door commerciële certificaatinstanties. SHA2 is aanzienlijk veiliger dan het vaker gebruikte SHA1, waar misbruik van kan worden gemaakt door wiskundige kwetsbaarheden in het algoritme. SHA2 helpt u te beschermen tegen de uitgifte van valse certificaten die kunnen worden gebruikt door een hacker om een website te imiteren.

KSI ondersteunt ook Certificate Transparency (CT), een nieuw initiatief van Google om een openbare record van certificaten van certificaatinstanties samen te stellen. CT helpt u te beschermen tegen de uitgifte van certificaten door niet-gemachtigde instanties. CT wordt op het moment ondersteund in de nieuwste versies van de webbrowser Chrome. U kunt meer informatie over Certificate Transparency vinden via: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256

Sleutel vastmaken

De systeemeigen clients van Keeper implementeren HTTP Public Key Pinning (HPKP). HPKP is een beveiligingsmechanisme dat HTTPS-websites in staat stelt om imitatie door aanvallers met frauduleuze certificaten te weerstaan.

iOS Sleutelhanger en Touch ID®

Met Touch ID op iOS-apparaten kunt u uw Keeper-kluis op uw iOS-apparaat openen met uw vingerafdruk. Er wordt een onleesbare versie van uw hoofdwachtwoord opgeslagen in de iOS Keychain om deze handige functie te kunnen bieden. Het iOS Keychain-item dat hiervoor wordt gemaakt, kan niet synchroniseren naar de iCloud Keychain en verlaat uw mobiele iOS-apparaat dus nooit.

Het is ten zeerste aanbevolen om een complex hoofdwachtwoord te gebruiken en om Meervoudige verificatie in te schakelen om uw Keeper-kluis optimaal te beveiligen. Touch ID maakt het eenvoudiger om een complex hoofdwachtwoord te gebruiken op uw mobiele iOS-apparaat. We raden u ook aan om een code die langer is dan de vereiste 4 cijfers in te stellen om de iOS Keychain te beveiligen.

De iOS Keychain wordt door iOS en apps gebruikt om uw inloggegevens veilig op te slaan. iOS-apps gebruiken de iOS Keychain om verschillende gevoelige gegevens op te slaan, waaronder wachtwoorden van websites, sleutels, creditcardnummers en Apple Pay™-informatie. Keeper gebruikt de iOS Keychain niet om uw Keeper-records op te slaan. Alle Keeper-records worden beveiligd met 256-bits AES-versleuteling en worden veilig opgeslagen in de Keeper-kluis. De iOS Keychain wordt ook versleuteld met 256-bits AES-versleuteling met de beveiligingscode van het apparaat. Zelfs als het apparaat kwijt of gestolen raakt, of als een aanvaller fysieke toegang tot het mobiele apparaat krijgt, heeft hij geen toegang tot opgeslagen Keeper-informatie. De iOS Keychain kan niet worden ontsleuteld zonder de beveiligingscode en de Keeper-kluis kan niet worden ontsleuteld zonder het Keeper-hoofdwachtwoord van de gebruiker.

Apple Watch®

Met de favorietenfunctie van Apple Watch kunt u de geselecteerde records op een gekoppelde Apple Watch bekijken. Keeper-records moeten specifiek ingeschakeld zijn voor weergave op de Apple Watch. Een gekoppelde Apple Watch communiceert met de Keeper Watch-extensie die overzichtelijk wordt uitgevoerd in een sandbox-ruimte los van de iOS Keeper-app. De Keeper Watch-extensie maakt ook gebruik van iOS Sleutelhanger om sleutels veilig op te slaan en toegankelijk te maken, om het zo naadloos en veilig te laten communiceren met de iOS Keeper-app.

Keeper DNA®

Keeper DNA is een nieuwe en innovatieve aanvulling op meervoudige verificatie. Wanneer u Keeper DNA gebruikt in combinatie met een gekoppelde Apple Watch, biedt de tool een meervoudige verificatiemethode die ongeëvenaard is op het gebied van handigheid en veiligheid. Keeper DNA gebruikt veilige tokens die worden opgeslagen in de Keeper-kluis om tijdsgebaseerde codes te genereren voor meervoudige verificatie. Deze tijdgebaseerde verificatieverzoeken kunnen automatisch worden goedgekeurd en verzonden vanaf de Apple Watch met een tik op het scherm ervan. De gebruiker kan ze ook handmatig invoeren. Dankzij de meerdere versleutelingslagen, Touch ID en meervoudige verificatie is Keeper DNA de elegantste, veiligste en geavanceerde verificatiemethode die beschikbaar is.

Naleving en controles

Gecertificeerd SOC 2-compliant

De records in een klantkluis worden beschermd via strenge en nauwkeurig gecontroleerde interne praktijken. Keeper is gecertificeerd als SOC 2 Type 2-compliant in overeenstemming met het AICPA Service Organization Control-kader. Door SOC 2-certificering wordt ervoor gezorgd dat uw kluis veilig blijft via de implementatie van gestandaardiseerde controles, zoals gedefinieerd in het AICPA Trust Service Principles-kader.

ISO 27001-gecertificeerd (informatiebeheersysteem)

Keeper is ISO 27001-gecertificeerd voor het Keeper Security-informatiebeheersysteem wat het Keeper Enterprise-platform ondersteunt. Keeper's ISO 27001-certificering is inclusief het beheer en de werking van de digitale kluis en cloudservices, software en applicatie-ontwikkeling, en bescherming van digitale middelen voor de digitale kluis en cloudservices.

Naleving AVG

Keeper voldoet aan de Algemene Verordening Gegevensbescherming (AVG) en we richten ons erop om onze bedrijfsprocessen en producten ook in de toekomst de verordening te laten naleven voor onze klanten in de Europese Unie. Klik hier voor meer informatie over Keeper's naleving van de AVG en om de overeenkomsten aangaande gegevensverwerking te downloaden.

Bescherming van medische patiëntgegevens

Keeper-software voldoet aan internationale medische gegevensbeschermingsnormen, waaronder, zonder beperking de HIPAA (Health Insurance Portability and Accountability Act) en DPA (Data Protection Act).

Penetratietests

Keeper voert periodieke penetratietests uit met externe experts, waaronder Secarma, Rhino Security en onafhankelijke beveiligingsonderzoekers voor al onze producten en systemen. Keeper is ook een samenwerkingsverband aangegaan met Bugcrowd om diens VDP-programma te beheren.

Beveiligingsscan- en penetratietests derde partij

KSI wordt dagelijks getest door McAfee Secure om ervoor te zorgen dat de Keeper-webapp en KSI's Cloud Security Vault veilig zijn voor bekende externe dreigingen, kwetsbaarheden en Denial of Service-aanvallen. U vindt McAfee Secure-badges op de Keeper-website om dagelijkse tests van de Keeper-website, webapp, en Cloud Security Vault te verifiëren.

Maandelijks wordt een uitgebreide externe beveiligingsscan uitgevoerd op de Keeper-website, Keeper-webapp en Keeper Cloud Security Vault door McAfee Secure. De Keeper-werknemers initiëren van tijd tot tijd op aanvraag externe scans via McAfee Secure.

Verwerking van betalingen en naleving van PCI

De KSI gebruikt PayPal Payments Pro voor het veilig verwerken van creditkaart- en bankpasbetalingen via de KSI-betaalwebsite. PayPal Payments Pro is een PCI-DSS-compliant transactieverwerkingsoplossing.

KSI is gecertificeerd PCI-DSS-compliant door McAfee Secure.

EU-US Privacy Shield

De extensies voor de Keeper-webclient, Android-app, Windows Phone-app, iPhone/iPad-app en browser zijn in overeenstemming met EU Privacy Shield gecertificeerd volgens het U.S. Department of Commerce EU-U.S. Privacy Shield-programma en voldoen aan de richtlijn van de Europese Commissie aangaande gegevensbescherming.
Voor meer informatie over het U.S. Department of Commerce U.S.-EU Privacy Shield-programma, zie https://www.privacyshield.gov

U.S. Department of Commerce Export Licensed Under EAR

Keeper is gecertificeerd door het U.S. Department of Commerce Bureau of Industry and Security onder Export Commodity Classification Control Number 5D992, in overeenstemming met Export Administration Regulations (EAR).
Voor meer informatie over EAR: http://www.bis.doc.gov

Dag en nacht externe monitoring

Keeper wordt dag en nacht, alle dagen van het jaar gecontroleerd door een extern wereldwijd monitoringnetwerk om ervoor te zorgen dat onze website en Cloud Security Vault wereldwijd beschikbaar zijn.

Bij vragen over deze beveiligingsverklaring kunt u contact met ons opnemen.

Phishing- of spoofed mails

Als u een email ontvangt die schijnbaar afkomstig is van KSI en u niet zeker weet of dit wel echt zo is, is het mogelijk een 'phishing-mail' waarbij het emailadres niet klopt of 'spoofed' is. In dat geval kan een email koppelingen bevatten naar een website die lijkt op KeeperSecurity.com, maar niet onze site is. De website vraagt mogelijk naar uw hoofdwachtwoord voor Keeper Security of probeert ongewenste software op uw computer te installeren in een poging om uw persoonlijke gegevens te stelen of toegang te krijgen tot uw computer. Andere emails bevatten koppelingen die u doorsturen naar andere, potentieel gevaarlijke, websites. Het bericht bevat mogelijk ook bijlagen met ongewenste software, oftewel 'malware'. Als u twijfelt over een email die u in uw inbox hebt ontvangen, moet u deze verwijderen zonder op koppelingen te klikken of zonder bijlagen te openen.

Als u een email ontvangt die schijnbaar van KSI is maar waarvan u denkt dat deze vals is of als u andere zorgen heeft over beveiliging in relatie tot KSI, kunt u contact opnemen met ons.

Gecertificeerde hostinginfrastructuur volgens de strengste industrienormen

De Keeper-website en opslag in de cloud werkt via de veilige Amazon Web Services (AWS) cloudcomputing-infrastructuur. De AWS-cloudinfrastructuur die Keeper's systeemarchitectuur host is gecertificeerd en voldoet aan de volgende attesten, rapporten en certificeringen van derde partijen:

  • SOC 1 / SSAE 16 / ISAE 3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Kwetsbaarheidsrapportage en Bug Bounty-programma

Keeper Security is gericht op de best practice in de branche van verantwoordelijke openbaarmaking van potentiële beveiligingskwesties. We nemen uw beveiliging en privacy serieus, en concentreren ons op de bescherming van de privacy en persoonsgegevens van onze klanten. KSI's missie is om 's werelds veiligste en meest innovatieve beveiligingsapps te maken, en we geloven dat bugrapporten van de wereldwijde community van beveiligingsonderzoekers een waardevol onderdeel is om de beveiliging van de producten en diensten van KSI te waarborgen.


Onze gebruikers veilig houden vormt de kern van onze bedrijfswaarden. We waarderen de input van goedwillende hackers en geloven dat een langdurige relatie met de hackergemeenschap ons helpt om de beveiliging en privacy van onze gebruikers te waarborgen, en internet veiliger maakt. Dit omvat onder meer het stimuleren van verantwoordelijke beveiligingstests en ontsluiting van kwetsbare beveiligingsaspecten.

Richtlijnen

In het ontsluitingsbeleid van kwetsbaarheden van Keeper worden onze verwachtingen uiteengezet bij het werken met goedwillende hackers, plus wat u van ons kunt verwachten.

Wanneer beveiligingstests en -rapporten worden uitgevoerd binnen de richtlijnen van dit beleid:

  • Beschouwen we deze als geautoriseerd in overeenstemming met de Computer Fraud and Abuse Act,
  • Beschouwen we deze als uitgesloten van de DMCA en spannen we geen rechtszaak tegen u aan voor het omzeilen van enige beveiligings- of technologische controles,
  • Beschouwen we deze als legaal en nemen of ondersteunen wij geen strafrechtelijke stappen in verband met dit programma jegens u,
  • Werken we samen met u om de kwestie te begrijpen en snel te verhelpen, en
  • Erkennen we uw bijdragen publiekelijk als u de eerste bent die de kwestie rapporteert, en voeren we een code- of configuratiewijziging door op basis van de kwestie.

Als u zich op welk moment dan ook zorgen maakt of onzeker bent over testen op deze manier, of dit wel consistent is met de richtlijnen en de reikwijdte van dit beleid, kunt u contact met ons opnemen via security@keepersecurity.com voordat u verdergaat.

Om goedwillende beveiligingstests te stimuleren, evenals de ontsluiting van ontdekte kwetsbaarheden, vragen we u:

  • Het schenden van de privacy te vermijden, evenals het negatief beïnvloeden van de gebruikerservaring, het storen van de productie of bedrijfssystemen, en/of het vernietigen van gegevens,
  • Onderzoek alleen uit te voeren binnen de reikwijdte zoals hieronder uiteengezet, en systemen en activiteiten die hierbuiten vallen te respecteren,
  • Onmiddellijk contact met ons op te nemen via security@keepersecurity.com als u gebruikersgegevens aantreft tijdens het testen, en
  • Ons redelijk de tijd te geven om de gemelde kwestie te analyseren, bevestigen en herstellen voordat u enige kwetsbaarheid die u hebt gevonden openbaar maakt.

Een rapport indienen

Keeper is een samenwerkingsverband aangegaan met Bugcrowd om ons programma voor ontsluiting van kwetsbaarheden te beheren. Stuur rapporten in via [https://bugcrowd.com/keepersecurity].