Anforderungen für die Produktintegration

Um Ihr Produkt erfolgreich in den STACKIT Marketplace zu integrieren, müssen bestimmte Anforderungen erfüllt sein. In diesem Kapitel werden die strukturellen sowie die Qualitäts- und Sicherheitsanforderungen beschrieben, die für die Integration und Listung notwendig sind.

Voraussetzungen

• Sie haben ein STACKIT-Benutzerkonto: Benutzerkonto erstellen
• Ihnen wurde die Rolle project.write zugewiesen: Rolle einem User-Account zuweisen
• Sie sind Mitglied einer aktiven Organisation: Kundenkonto erstellen
• Sie haben einen Service-Account für den API-Zugriff erstellt: Service-Account erstellen
• Der Service-Account hat die Editor-Rolle zugewiesen: Rollen einem Service-Account zuweisen
• Sie haben ein Schlüsselpaar für diesen Service-Account erstellt: Service-Account-Schlüssel erstellen

Qualitäts- und Sicherheitsanforderungen

Jedes Produkt auf dem STACKIT Marketplace muss die folgenden Anforderungen erfüllen. Das STACKIT Marketplace-Integrationsteam prüft kontinuierlich, ob alle Produktanforderungen erfüllt sind. Verletzt ein Produkt eine Anforderung, kann STACKIT die Listung und Integration ablehnen oder entfernen.

Reifegrad

• Produkte müssen den General-Availability-(GA)-Level erreichen, bevor sie im STACKIT Marketplace gelistet und vollständig integriert werden. General Availability (GA) bedeutet, dass ein Produkt vollständig entwickelt, stabil und für den Produktionseinsatz bereit ist. Es hat umfassende Tests durchlaufen und ist offiziell für den breiten öffentlichen Zugriff und Support freigegeben.

Geschäftstauglichkeit

• STACKIT Marketplace-Produkte müssen für den geschäftlichen Einsatz geeignet sein. Dazu gehören die Pflege einer professionellen Online-Präsenz und die Bereitstellung von Kundensupport.

Sicherheitsstandards

• STACKIT Marketplace-Produkte müssen sich an Best Practices der Unternehmenssicherheit und an branchenweit anerkannte Standards für Softwaresicherheit halten. Als Anbieter sind Sie dafür verantwortlich, die spezifischen Standards und Best Practices auszuwählen, die für Ihr Produkt relevant sind. STACKIT gibt diese nicht vor. Sie müssen die gewählten Standards dokumentieren und diese Dokumentation STACKIT zur Verfügung stellen.
• Alle Softwarekomponenten und Unterkomponenten müssen frei von bekannten Sicherheitslücken, Spyware oder bösartigem Code jeglicher Art sein.

Sicherheits- und Schwachstellenmanagement

• Um die Sicherheit zu gewährleisten, sind Sie dafür verantwortlich, dass die Ihrem STACKIT Marketplace-Produkt zugrunde liegende SaaS-Anwendung jährlichen Penetrationstests unterzogen wird. Qualifizierte, unabhängige Personen führen diese Tests durch, um Sicherheitsrisiken zu identifizieren und zu beheben. Sie müssen deren Abschluss gegenüber STACKIT bestätigen.
• Zur Reduzierung von Sicherheitsrisiken müssen regelmäßige Schwachstellenchecks durchgeführt werden, um potenzielle Probleme zu erkennen. Sie sind dafür verantwortlich, identifizierte Schwachstellen innerhalb eines definierten Zeitraums basierend auf ihrer Kritikalität zu beheben.
• Alle sicherheitsrelevanten Ereignisse werden manipulationssicher protokolliert. Diese Protokolle werden kontinuierlich ausgewertet, um Sicherheitsbedrohungen zu überwachen.

Sichere Software-Entwicklung

• Während der Software-Entwicklung muss statisches Application Security Testing (SAST) zur Prüfung auf Schwachstellen eingesetzt werden.
• Während der Software-Entwicklung sollte dynamisches Application Security Testing (DAST) zur Prüfung auf Schwachstellen eingesetzt werden.

Sichere Authentifizierung

• Der Zugriff auf API- und (Kunden-)Daten für STACKIT Marketplace-Produkte muss authentifiziert und autorisiert werden.
• Multi-Faktor-Authentifizierung (MFA) wird empfohlen und den Kunden angeboten.
• Die Authentifizierung über einen vom Kunden ausgewählten Identitätsanbieter (IdP) wird unterstützt.
• Authentifizierungsdaten werden während der Übertragung und Speicherung geschützt, um unbefugten Zugriff zu verhindern.

Datenschutz

• Die Kommunikation über öffentliche Netzwerke muss verschlüsselt werden, wobei TLS 1.2 oder höher zu verwenden ist, falls HTTPS implementiert ist.
• Permanente Kundendaten für STACKIT Marketplace-Produkte müssen auf Anwendungsebene im Ruhezustand verschlüsselt werden.
• Passwörter werden als Salted Hashes mit einem Salt von mindestens 32 Bit gespeichert.
• Alle Einwilligungen im Zusammenhang mit der Datenverarbeitung werden protokolliert.
• Die Datentrennung wird für verschiedene Verarbeitungszwecke aufrechterhalten, um die Privatsphäre und Compliance personenbezogener Daten zu gewährleisten.
• Ein geeignetes Konzept für die Löschung personenbezogener Daten muss für jede SaaS-Anwendung vorhanden sein, die zur Verarbeitung personenbezogener Daten verwendet wird.
• Funktionen zum Löschen, Ändern und Bereitstellen personenbezogener Daten sind verfügbar, mit der Möglichkeit, die Datenverarbeitung bei Bedarf einzuschränken oder zu stoppen.

Änderungs- und Sicherungsverfahren

• Änderungen an der Software, die jedem STACKIT Marketplace-Produkt zugrunde liegt, müssen vor der Bereitstellung gründlich getestet werden.
• Für jedes Produkt werden regelmäßige Sicherungen durchgeführt, wobei die Sicherungsmedien an einem sicheren, separaten Ort gespeichert werden.
• Die Integrität der Sicherungen wird durch Wiederherstellungstests mindestens einmal pro Jahr überprüft.

System-Hardening

• Ihre SaaS-Anwendung und ihre Abhängigkeiten müssen gemäß einer von Ihnen definierten Richtlinie gehärtet werden. STACKIT gibt diese Richtlinie nicht vor. STACKIT verlangt jedoch die Einhaltung gängiger Industriestandards. Wenn zum Beispiel ein CIS Benchmark für eine Komponente existiert, sollten Sie diese Komponente gemäß dem anwendbaren CIS Benchmark härten. Sie müssen Ihre Hardening-Richtlinie dokumentieren und diese Dokumentation STACKIT zur Verfügung stellen.

Architektonische Anforderungen

Software, die auf dem STACKIT Marketplace gelistet und verkauft wird, muss auf der STACKIT Cloud oder auf der STACKIT Infrastruktur laufen. Es gibt bestimmte Strategien, um diese Anforderung zu erfüllen:

Das Produkt läuft vollständig auf STACKIT

Das gesamte Produkt läuft auf der STACKIT Cloud und der STACKIT Infrastruktur. Dies schließt alle unterstützenden (Unter-)Komponenten ein.

Die Datenebene des Produkts läuft vollständig auf STACKIT

Die gesamte Datenebene des Produkts läuft auf der STACKIT Cloud und der STACKIT Infrastruktur. Bestimmte unterstützende (Unter-)Komponenten können auf anderen Anbietern oder On-Premise laufen.

Jegliche Art von Daten muss ausschließlich auf STACKIT gespeichert werden. Dies schließt insbesondere jegliche Art von Benutzerdaten sowie Protokolle, Metriken und Traces ein.

Der gesamte Speicher des Produkts einschließlich jeder Art von Speicher muss STACKIT verwenden

Der gesamte (Daten-)Speicher muss die STACKIT Cloud und Infrastruktur nutzen. Dies schließt jegliche Art von Sicherung, Replikation oder Datenwiederherstellung ein, außerdem jede Art von Benutzerdaten, einschließlich Protokollen, Metriken und Traces.