Matrix42 Cloud Services

(1)

Matrix42 Cloud Services

Servicebeschreibung

Letzte Aktualisierung: 01. Dezember 2021

(2)

Seite 2

Inhaltsverzeichnis

1 Allgemein ... 3

1.1 Bereitstellung aus der Matrix42 Cloud 3

1.2 Wartungs- und Supportbedingungen 3

2 Rechenzentren und Datenschutz ... 4

2.1 Rechenzentren 4

2.2 Datenschutz 4

3 Sicherheit und Wiederherstellung ... 6

3.1 Sicherheit 6

3.2 Sicherung und Wiederherstellung 6

3.3 SLA – Verfügbarkeit Matrix42 Cloud Services 7

3.4 SLA – Ansprüche 7

3.5 SLA – Servicegutschrift 7

3.6 SLA – Einschränkungen 8

3.7 SLA – Definitionen 8

3.8 Regeln für Penetrationstests 8

3.9 Melden von Sicherheitsproblemen 9

4 Betrieb ... 10

4.1 Überwachung 10

4.2 Zeitzone 10

4.3 Wartung und Update Managed Hosting 10

4.4 Wartungsarbeiten 10

4.5 Anpassungen 10

4.6 EgoSecure Secure Audit, IntellAct Automation und Insight Analysis 10

4.7 Silverback Companion Push Zertifikat 11

5 Glossar ... 12

(3)

1 Allgemein

1.1 Bereitstellung aus der Matrix42 Cloud

Matrix42 unterstützt Organisationen dabei, die Arbeitsumgebung ihrer Mitarbeiter zu digitalisieren. Die Software für Digital Workspace Experience verwaltet Geräte, Anwendungen, Prozesse und Services einfach, sicher und konform. Die innovative Software integriert physische, virtuelle, mobile und cloudbasierte Arbeitsumgebungen nahtlos in vorhandene Infrastrukturen.

Als Managed Hosting werden die Matrix42 Produkte Software Asset & Service Management, Secure Unified Endpoint Management, bestehend aus Empirum, Silverback und EgoSecure sowie FireScope angeboten.

Bei der Bereitstellung und zum Teil in der Funktion unterscheiden sich die Matrix42 Cloud-Lösungen von klassischen lokalen Installationen, auch wenn die Produktbasis die Gleiche ist.

Das Managed Hosting umfasst das produktive System und enthält im Standard keine Test- oder Entwicklungssysteme. Wenn Sie daran interessiert sind, sprechen Sie uns an.

1.2 Wartungs- und Supportbedingungen

Bei der Feststellung einer technischen Störung des Matrix42 Cloud Services stehen Ihnen als Kunde verschiedene Wege zur Störungsmeldung an den Matrix42 Support zur Verfügung. Der Matrix42 Support bearbeitet die Störungsmeldungen anhand der entsprechenden Einordnung und Servicezeiten. Weitere Details hierzu sind der Support Leistungsbeschreibung zu entnehmen, abrufbar unter https://www.matrix42.com/de/tcsupport.

(4)

Seite 4

2 Rechenzentren und Datenschutz

2.1 Rechenzentren

Die Lösung wird Ihnen als Managed Hosting in unseren angemieteten Microsoft Azure Rechenzentren in den Regionen Europa, Deutschland, Schweiz, Vereinigtes Königreich (UK), Australien und Nordamerika (USA) zur Verfügung gestellt. Weitere Regionen sind auf Anfrage möglich.

Die verwendeten Rechenzentren sind in den Regionen paarweise angeordnet, so dass alle Kunden- Produktionsdaten in beiden Rechenzentren gespeichert und zeitnah vom primären zum sekundären Rechenzentrum für ein Disaster Recovery synchronisiert werden.

Rechenzentrenpaare:

Region Primäres Rechenzentrum Sekundäres Rechenzentrum

Europa Westeuropa Nordeuropa

Deutschland Westen-Mitte Deutschland Nord

Schweiz West Schweiz Nord

UK Süd UK West

Nordamerika USA Ost USA Mitte

Australien Australien Ost Australien Südost

2.2 Datenschutz

Die Rechenzentren verfügen alle über verschiedene Zertifikate in den Bereichen Datenschutz und Sicherheit. Dazu zählt eine Vielzahl internationaler und branchenspezifischer Compliance-Standards, wie beispielsweise die Datenschutz-Grundverordnung (DSGVO), ISO/IEC 27001, HIPAA, FedRAMP, SOC 1 und SOC 2 sowie länderspezifische Standards wie das australische IRAP. Zudem wird sämtlicher Netzwerkverkehr nur verschlüsselt übertragen.

Matrtix42 unterstützt seit Mai 2018 die Anforderungen der EU-Datenschutz-Grundverordnung (GDPR).

Anfragen hierzu können Sie an gdpr@matrix42.com einreichen.

Sollten Sie Ihre Matrix42 Cloud Subscripton kündigen, werden alle Daten Ihrer Matrix42 Cloud Services nach 30 Tagen unwiderruflich gelöscht.

Auszug Zertifizierungen:

Region Rechenzentren

ASIP HDS Westeuropa/Nordeuropa

C5 Katalog (BSI) Deutschland

FACT Alle

FINMA-Konform Schweiz

General Data Protection Regulation (GDPR) Europa

ISO 22301 Alle

ISO 9001 Alle

ISO/IEC 20000-1 Alle

(5)

Region Rechenzentren

ISO/IEC 27001 Alle

IT-Grundschutz (BSI) Deutschland

SOC 1 Type II Alle

SOC 2 Type II Alle

SOC 3 Alle

(6)

Seite 6

3 Sicherheit und Wiederherstellung

3.1 Sicherheit

Unsere Applikationen werden regelmäßig auf Sicherheit von externen renommierten Unternehmen getestet. Grundlage sind regelmäßige externe Penetrationstests der Lösung, u.a. auf Basis der OWASP Top 10 Risiken und SANS Top 25 Common Software Errors. Sollten Sie als Kunde eigene Penetrationstests durchführen, müssen diese 30 Tage vorher über den Matrix42 Support angekündigt werden. Dies dient der eindeutigen Zuordnung von Warnungen unserer Monitoring-Lösungen. Zudem sind wir als Unternehmen an den Ergebnissen des Penetrationstest interessiert, um unsere Matrix42 Cloud Services für Sie als Kunden stetig zu verbessern und sicherer zu gestalten.

Matrix42 stellt das Einspielen und die Wartung der Systeme innerhalb der geplanten Wartungsarbeiten sicher. Bei wichtigen oder kritischen Security Updates erfolgt dies auch außerhalb von geplanten Wartungsarbeiten.

Browserbasierte Zugriffe zu Ihrem Matrix42 Cloud Service sind über Transport Layer Security (TLS) verschlüsselt. Die zum Einsatz kommenden Cipher Suites können je nach eingesetztem Browser und Betriebssystem variieren und von Ihrem Internetproxy oder anderen Systemen im und außerhalb des Unternehmens beeinflusst werden. Zusätzlich erfolgt eine Umleitung aller Verbindungen zu Ihrem Matrix42 Cloud Service von http nach https. Alle benötigten SSL Zertifikate werden von Matrix42 zur Verfügung gestellt.

3.2 Sicherung und Wiederherstellung

Unsere Systeme werden täglich gesichert und die Daten für 7 Tage im primären sowie im sekundären Rechenzentrum aufbewahrt. Im Disaster Recovery-Fall erfolgt eine Gesamtwiederherstellung Ihrer Umgebung im primären Rechenzentrum innerhalb von 8 Stunden, im sekundären Rechenzentrum innerhalb von 12 Stunden. Dabei sind Teilwiederherstellungen von Daten jedoch leider nicht möglich. Das Verfahren der Sicherung und Wiederherstellung wird regelmäßig überprüft.

Für den Disaster Recovery-Fall im primären und sekundären Rechenzentrum sind folgende Zeiten eingeplant:

Objekt Backup

Häufigkei t

Vorhaltezeit en

Wiederherstellungszeit en

primäres Rechenzentrum

Wiederherstellungszeiten sekundäres

Rechenzentrum

Betriebssyste m

1x täglich 7 Tage 8 Stunden 12 Stunden

Applikation 1x täglich 7 Tage 8 Stunden 12 Stunden

Datenbank 1x täglich Full Backup

7 Tage 8 Stunden 12 Stunden

(7)

3.3 SLA – Verfügbarkeit Matrix42 Cloud Services

Die Berechnung des SLA beruht auf der Verfügbarkeit und Erreichbarkeit der definierten Landing Page der Matrix42 Cloud Services und beträgt 99,5% im Monat. Fehlfunktionen innerhalb der Applikation sowie Wartungsarbeiten oder Service Requests werden bei der Berechnung des SLA nicht berücksichtigt.

›

Die Service-Verfügbarkeit stellt sich wie folgt für einen Monat (30 Tage) dar:

Monatliche Verfügbarkeit in Prozent Monatliche Ausfallzeit in Minuten

99,5% 216 Minuten (3,6 Stunden)

›

Für die Nichteinhaltung des SLA wird auf Antrag folgende Erstattung auf die monatliche Hosting- Gebühr gewährt.

Monatliche Verfügbarkeit in Prozent Servicegutschrift in Prozent

< 99,5% 10%

< 99% 25%

< 95% 100%

3.4 SLA – Ansprüche

Für die Berücksichtigung eines Anspruchs gegenüber Matrix42 müssen Sie den Anspruch beim Matrix42 Support mit allen erforderlichen Informationen einreichen, damit Matrix42 den Anspruch überprüfen kann, einschließlich, aber nicht beschränkt auf eine detaillierte Beschreibung des Vorfalls, Informationen über den Zeitpunkt und die Dauer der Ausfallzeit, die Anzahl und den/die Standort(e) der betroffenen Nutzer (falls zutreffend) und Beschreibungen Ihrer Versuche, den Vorfall zum Zeitpunkt des Auftretens zu lösen.

Bei einem Anspruch muss die Anspruchserhebung innerhalb von einem Monat nach dem Ende des Monats, in dem sich der Vorfall ereignete, der Gegenstand des Anspruchs ist, aufgetreten ist, bei Matrix42 eingehen.

Wenn sich der Vorfall beispielsweise am 21. Mai ereignete, muss Matrix42 die Anspruchserhebung und alle erforderlichen Informationen bis zum 30. Juni erhalten.

Matrix42 wird alle vernünftigerweise zur Verfügung stehenden Informationen auswerten und nach Treu und Glauben feststellen, ob eine Servicegutschrift geschuldet wird. Als Unternehmen werden wir wirtschaftlich angemessene Anstrengungen unternehmen, um Ansprüche während des Folgemonats und innerhalb von sechzig (60) Tagen nach Erhalt zu bearbeiten. Als Kunde müssen Sie den Vertrag einhalten, um zu einer Servicegutschrift berechtigt zu sein. Sollten wir feststellen, dass Ihnen eine Servicegutschrift zusteht, werden wir die Servicegutschrift Ihrem Verrechnungskonto gutschreiben.

3.5 SLA – Servicegutschrift

Sie dürfen Ihre zutreffenden monatlichen Servicegebühren für Leistungs- oder Verfügbarkeitsprobleme nicht einseitig aufrechnen. Servicegutschriften gelten nur für Gebühren, die für den jeweiligen Service bezahlt wurden, für die ein Servicelevel nicht erfüllt wurde. Die in einem beliebigen Abrechnungsmonat für einen bestimmten Service gewährten Servicegutschriften übersteigen unter keinen Umständen Ihre monatlichen Servicegebühren für diesen Service. Wenn Sie einen Service bei einem Matrix42 Partner gekauft haben, erhalten Sie eine Servicegutschrift direkt von Ihrem Matrix42 Partner. Der Matrix42 Partner erhält eine Servicegutschrift direkt von Matrix42.

(8)

Seite 8

3.6 SLA – Einschränkungen

Die Vereinbarung zum Servicelevel gelten nicht für folgende Leistungs- oder Verfügbarkeitsprobleme:

a) aufgrund von Faktoren, die außerhalb der Kontrolle von Matrix42 liegen (beispielsweiße Naturkatastrophen, Kriege, Terroranschläge, Aufstände, staatliche Maßnahmen, Netz- oder Geräteausfall außerhalb der Rechenzentren, u.a. an Ihrem Standort oder zwischen Ihrem Standort und unserem Rechenzentrum),

b) die aus der Nutzung von Services, Hardware oder Software hervorgehen, die nicht von Matrix42 bereitgestellt wurden, wie beispielsweise Probleme im Zusammenhang mit unzureichender Bandbreite oder Software bzw. Services von Dritten,

c) die durch Ihre Verwendung eines Diensts verursacht wurden, nachdem wir Sie angewiesen haben, Ihre Verwendung des Diensts zu ändern, und Sie der Anweisung nicht folge leisteten,

d) während der Teilnahme am Controlled Rollout Program, Beta- oder Testversionen eines Services oder eines Features,

e) die durch Ihre nicht autorisierte Verrichtung oder Unterlassung einer erforderlichen Handlung oder die Ihrer Mitarbeiter, Vertreter, Vertragspartner, Lieferanten oder durch andere Personen verursacht wurden, die sich mithilfe Ihrer Kennwörter oder Geräte Zugriff auf unseren Service, Infrastruktur oder Netzwerk verschafft haben, oder die auf andere Weise von der Nichtbefolgung angemessener Sicherheitsverfahren durch Sie verursacht wurden,

f) die durch Ihre Nachlässigkeit, erforderliche Konfigurationen einzuhalten, unterstützte Plattformen zu verwenden, Richtlinien für die akzeptable Nutzung einzuhalten, aufgrund Ihrer Nutzung von Services, die nicht mit den Features unseres Services vereinbar sind (beispielsweiße Versuche, nicht unterstützte Vorgänge durchzuführen) oder die nicht den von uns veröffentlichten Hilfestellungen entspricht, verursacht wurden,

g) die sich aus fehlerhaften Eingaben, Anweisungen oder Argumenten ergeben, oder h) für zum Zeitpunkt des Vorfalls bereitgestellte, aber nicht bezahlte Lizenzen.

3.7 SLA – Definitionen

Begriff Erläuterung

Monatliche Ausfallzeit in Minuten

Die monatliche Ausfallzeit in Minuten bedeutet die Gesamtanzahl an Minuten im Monat, für die keine Verbindung mit dem Cloud Service besteht.

Monatliche Verfügbarkeit in Prozent

Die monatliche Verfügbarkeit in Prozent wird für einen bestimmten Matrix42 Cloud Service berechnet als die maximal verfügbaren Minuten im Monat minus Ausfallzeit in Minuten im Monat geteilt durch die maximal verfügbaren Minuten im Monat mal einhundert (100).

Servicegutschrift in Prozent

Die Servicegutschrift in Prozent ist der Prozentsatz der anwendbaren monatlichen Servicegebühren, der Ihnen nach Genehmigung des Anspruchs durch Matrix42 gutgeschrieben wird.

Vorfall Als Vorfall ist jedes einzelne Ereignis oder jede Ansammlung von Ereignissen zu verstehen, die zu Ausfallzeiten führen.

3.8 Regeln für Penetrationstests

Alle Penetrationstests müssen den hier beschriebenen Matrix42 Cloud Services Penetrationstests Regeln entsprechen. Jeder Verstoß gegen diese Regeln kann zur Abschaltung des Service und zu rechtlichen

(9)

Schritten führen. Sie sind für alle Schäden an den Matrix42 Cloud Services und anderen Kundendaten verantwortlich, die durch die Nichteinhaltung dieser Regeln verursacht werden. Es ist darauf zu achten alle Penetrationstests auf Ihre eigenen Services zu beschränken, um unbeabsichtigte Folgen für andere Kunden zu vermeiden. Dies ermöglicht Ihnen die Sicherheit Ihrer Services effektiv zu bewerten und gleichzeitig Schaden für andere Kunden oder die Infrastruktur selbst zu vermeiden.

Penetrationstests Regeln:

a) Jede Art von Denial of Services (DoS)-Angriff.

b) Der Zugriff auf Daten, die nicht ausschließlich Ihre eigenen sind.

c) Vorsätzlicher Zugriff auf die Daten eines anderen Matrix42 Kunden.

d) Der Versuch von Phishing- oder anderen Social Engineering Angriffen gegen Matrix42 Mitarbeiter.

e) Durchführung automatisierter Tests von Matrix42 Cloud Services, die erhebliche Mengen an Datenverkehr erzeugen.

Trotz dieser Verbote behält sich Matrix42 das Recht vor auf Aktionen in seinen Netzwerken zu reagieren, die bösartig erscheinen. Automatisierte Abwehrmechanismen werden innerhalb der gesamten Matrix42 Cloud Services eingesetzt. Diese werden nicht deaktiviert, um einen Penetrationstest zu erleichtern.

3.9 Melden von Sicherheitsproblemen

Bei Verdacht auf eine Sicherheitsverletzung oder sollten Sie während der Durchführung eines Penetrationstests der Meinung sein, dass Sie eine potenzielle Sicherheitslücke im Zusammenhang mit Matrix42 Cloud Services, einem anderen Matrix42 Service oder einem Matrix42 Produkt festgestellt haben, melden Sie diese über psirt@matrix42.com an Matrix42.

Sollten Sie ein zulässiges Sicherheitsrisiko an Matrix42 melden, stimmen Sie zu, dass Sie keinerlei Informationen zu diesem Sicherheitsrisiko an die Öffentlichkeit oder an Dritte weitergeben, bis Matrix42 Ihnen Rückmeldung über die Behebung des Sicherheitsrisikos gibt.

(10)

Seite 10

4 Betrieb

4.1 Überwachung

Bei der Matrix42 eigenen Systemüberwachung werden wichtige Applikationsparameter regelmäßig überwacht. Dazu werden durch Matrix42, als auch durch unsere Rechenzentrum-Betreiber, alle wichtigen Infrastrukturparameter regelmäßig überwacht und aufgezeichnet.

4.2 Zeitzone

Alle Matrix42 Cloud Services verwenden die koordinierte Weltzeit (Coordinated Universal Time - UTC) als einheitliche Zeitskala um sicherzustellen, dass sich Services oder Anwendungen unabhängig von ihrem physischen Standort auf die gleiche Weise verhalten.

4.3 Wartung und Update Managed Hosting

Sie erhalten als Kunde automatisch die aktuelle, für die Matrix42 Cloud freigegebene Softwareversion. Das Update auf neue Softwareversionen wird von Matrix42 mit einem Vorlauf von mindestens zwei Wochen angekündigt. Sollte in einer eingesetzten Softwareversion sicherheitsrelevante Probleme bestehen, so ist die Aktualisierung auf eine neuere Version zur Problembehebung notwendig und kann nicht ausgesetzt werden. Die Aktualisierung beinhaltet nur Komponenten in der Matrix42 Cloud, nicht On-premises.

Für Updates, welche auf Kundenwunsch eingespielt werden sollen, gelten die jeweiligen Servicezeiten des Supportvertrags. Für Updates außerhalb der Servicezeiten können Zusatzkosten entstehen.

Matrix42 Cloud Kunden mit aktiven Premium Supportvertrag steht es frei, eine LTSB-Version zu verwenden.

Dies muss jedoch vor der Bereitstellung des Service beantragt werden. Weitere Informationen hierzu finden Sie im Leitfaden zur Produktnutzung.

4.4 Wartungsarbeiten

Wartungsarbeiten der Matrix42 Cloud sind wöchentlich von Sonntag 00:00 Uhr bis 08:00 Uhr lokale Zeit des Rechenzentrums geplant. In Ausnahmesituationen behält sich Matrix42 das Recht vor, Wartungsarbeiten für die Behebung von Störungen oder Sicherheitsvorfällen zu anderen Zeiten durchzuführen.

4.5 Anpassungen

Alle kundenspezifischen Anpassungen (Customizings), Konfigurationen, Reports und mehr, die an eine bestimmte Release Version gebunden und nicht automatisch updatesicher sind, stehen für Matrix42 Cloud Services nicht zur Verfügung. Ausnahme sind hier Artikel aus dem Matrix42 Marketplace.

4.6 EgoSecure Secure Audit, IntellAct Automation und Insight Analysis

Die gesammelten Informationen von EgoSecure Secure Audit, IntellAct Automation sowie Insight Analysis werden 90 Tage im Cloud Service vorgehalten und anschließend exportiert. Der Export bleibt für weitere 30 Tage erhalten und kann auf Kundenwunsch über den Matrix42 Support zum Download beantragt werden. Nach den 30 Tagen werden die Informationen unwiderruflich gelöscht.

(11)

4.7 Silverback Companion Push Zertifikat

Jedes Jahr verlangt Apple, dass Push-Zertifikate für Anwendungen erneuert werden. Die Verlängerung des Zertifikates für die Silverback Companion erfolgt durch Matrix42 und wird automatisch allen Silverback Cloud Services bereitgestellt. Ein manueller Eingriff in diesen Prozess ist nicht notwendig.

(12)

Seite 12

5 Glossar

ASIP HDS Die Zertifizierung Hébergeurs de Données de Santé (HDS) ist für Unternehmen erforderlich, welche die unter französisches Recht fallenden personenbezogenen Gesundheitsdaten hosten, die gesammelt werden, um Präventions-, Diagnose- und andere Gesundheitsdienstleistungen bereitzustellen.

Die HDS-Verordnung wurde von ASIP SANTÉ herausgegeben, die unter dem französischen Gesundheitsministerium für die Förderung elektronisch gestützter Gesundheitslösungen in Frankreich zuständig ist. Das Hosting von Gesundheitsdaten wird nach französischem Recht durch das französische Gesundheitsgesetzbuch (Artikel L.1111-8) geregelt, das besagt, dass jede Gesundheitsorganisation wie Krankenhäuser, Pharmaunternehmen Laboratorien usw., die mit personenbezogenen medizinischen Daten arbeitet, einen Dienstleister mit HDS-Zertifizierung in Anspruch nehmen muss.

C5 Katalog (BSI)

Der C5 (Cloud Computing Compliance Controls Catalogue) wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als Prüfungsstandard entwickelt und beschreibt die minimalen Sicherheitsanforderungen, die Cloud-Service-Provider für Cloud-Services erfüllen müssen, die Kunden angeboten werden. Er richtet sich an Cloud-Service- Provider, deren Prüfer und Kunden der Cloud-Service- Provider. Der Katalog umfasst 114 Anforderungen in 17 Domänen. Er basiert auf etablierten Standards, darunter ISO/IEC 27001, Cloud Controls Matrix (CCM), Version 3.01 der Cloud Security Alliance (CSA), AICPA Trust Services Principles and Criteria 2014 und anderen. Der C5 fügt jedoch zusätzliche Transparenzkontrollen hinzu, um Informationen zu Datenstandort, Erbringung von Dienstleistungen, Gerichtsstand, bestehenden Zertifizierungen und Informationspflichten gegenüber staatlichen Stellen bereitzustellen.

FACT

(Federation Against Copyright Theft)

Die FACT-Zertifizierung basiert auf ISO/IEC 27001. Im Mittelpunkt stehen physische und digitale Sicherheit, Überprüfung und Schulung des Personals sowie Zugriffssteuerung. Das FACT Content Protection and Security Program zieht Fachkompetenz von Justizbehörden, Technologiepartnern und Industrieverbänden heran, um den Verstoß gegen

(13)

Urheberrecht und den Diebstahl von Inhalten zu bekämpfen, wie Peer-to-Peer Sharing, illegale Datenträgerduplizierung und Signaldiebstahl.

FINMA-Konform

(Eidgenössische Finanzmarktaufsicht)

Als unabhängige Behörde über den schweizerischen Finanzmarkt hat die FINMA hoheitliche Befugnisse über Banken, Versicherungen, Börsen, Effektenhändler, kollektive Kapitalanlagen, deren Vermögensverwalter und Fondsleitungen sowie Vertriebsträger und Versicherungsvermittler. Die FINMA setzt sich für den Schutz der Gläubiger, Anleger und Versicherten sowie für den Schutz der Funktionsfähigkeit der Finanzmärkte ein. Die FINMA definiert die risikobasierten Aufsichtsanforderungen für Outsourcing-Lösungen bei

Banken, Wertpapierhändler und

Versicherungsgesellschaften.

General Data Protection Regulation (GDPR, Datenschutz-Grundverordnung - DSGVO)

Bei der GDPR handelt es sich um ein europäisches Datenschutzgesetz, das im Mai 2018 in Kraft getreten ist. Es enthält vereinheitlichte Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

ISO 22301

(Gesellschaftliche Sicherheit - Business Continuity Management-Systeme - Anforderungen)

Die internationale Norm spezifiziert die Anforderungen,

um ein dokumentiertes

Kontinuitätsmanagementsystem zu planen, einzurichten, realisieren, betreiben, überwachen, überprüfen, unterhalten und kontinuierlich zu verbessern, um sich auf Betriebsunterbrechungen präventiv vorzubereiten, auf diese zu reagieren oder

um sich als Unternehmen von

Betriebsunterbrechungen zu erholen.

ISO 9001

(Qualitätsmanagement)

Ist eine internationale Norm, welche die Kriterien für ein Qualitätsmanagementsystem festlegt. Der Standard basiert auf mehreren Prinzipien des Qualitätsmanagements. Dazu gehören ein klarer Fokus auf die Erfüllung der Kundenanforderungen, eine starke Unternehmensführung und das Bekenntnis der Führungskräfte zu Qualitätszielen, ein prozessorientierter Ansatz zur Erreichung der Ziele und der Fokus auf kontinuierliche Verbesserung. ISO 9001 hilft Unternehmen, die Kundenzufriedenheit zu verbessern, indem sie sich auf die Konsistenz und

(14)

Seite 14

werden.

ISO/IEC 20000-1 (Service Management Systemanforderungen)

Die internationale Norm für IT-Service-Management definiert Anforderungen an die Entwicklung, Implementierung, Überwachung, Wartung und Verbesserung eines IT-Service-Management-Systems.

Weitere Standards wurden anschließend veröffentlicht, darunter Leitlinien zur Anwendung von Service- Management-Systemen sowie Leitlinien zur Anwendung von ISO/IEC 20000-1 auf Cloud-Dienste.

Die ISO/IEC 20000-1 zeigt, dass ein Cloud-Service- Provider die richtigen IT-Service-Management- Verfahren implementiert hat, um effiziente und zuverlässige IT-Services bereitzustellen, die regelmäßig überwacht, überprüft und verbessert werden.

ISO/IEC 27001

(Informationssicherheits-

Managementsysteme - Anforderungen)

Die internationale Norm spezifiziert die Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung des Kontexts einer Organisation.

Darüber hinaus beinhaltet die Norm Anforderungen für die Beurteilung und Behandlung von Informationssicherheitsrisiken entsprechend den individuellen Bedürfnissen der Organisation. Hierbei werden sämtliche Arten von Organisationen (z. B.

Handelsunternehmen, staatliche Organisationen, Non- Profitorganisationen) berücksichtigt. Die Norm wurde auch als DIN-Norm veröffentlicht und ist Teil der ISO/IEC 2700x-Familie.

ISO/IEC 27017 (Verhaltenskodex für

Informationssicherheitskontrollen auf Basis von ISO/IEC 27002 für Cloud- Dienste)

Die internationale Norm bietet zusätzliche Cloud- spezifische Implementierungsleitfäden auf der Basis von ISO/IEC 27002 und bietet zusätzliche Kontrollen, um den Bedrohungen und Risiken der Cloud- spezifischen Informationssicherheit zu begegnen. Der Verhaltenskodex ist so konzipiert, dass er als Referenz für die Auswahl von Informationssicherheitskontrollen für Cloud-Services verwendet werden kann, wenn ein Cloud-Computing-Informationssicherheits-

Managementsystem auf der Grundlage von ISO/IEC 27002 implementiert wird. Sie kann auch von Cloud- Dienstleistern als Leitdokument für die Umsetzung allgemein akzeptierter Schutzkontrollen genutzt werden.

ISO/IEC 27018

(Verhaltenskodex für den Schutz von personenbezogenen Daten (PII) in öffentlichen Clouds, die als PII-

Die internationale Norm legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen,

(15)

Prozessor fungieren) die den Schutz personenbezogener Daten (Personally Identifiable Information - PII) in einer Cloud- Umgebung sicherstellen sollen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des Cloud-Computing an.

ISO/IEC 27701

(Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das

Datenschutzmanagement - Anforderungen und Leitfaden)

Die ISO/IEC 27701 ist eine Erweiterung der Datenschutzerklärung zu ISO/IEC 27001 Informationssicherheits-Managementsysteme und ISO/IEC 27002 Informationssicherheitsmaßnahmen mit dem Ziel, dass bestehende Informationssicherheits- Managementsystem um zusätzliche Anforderungen zu erweitern, um ein Privacy Information Management System (PIMS) einzurichten, zu implementieren, zu warten und kontinuierlich zu verbessern. Der Standard umschreibt einen Rahmen für die Verarbeitung personenbezogener Daten (PII), um das Risiko für die Datenschutzrechte von Einzelpersonen zu verringern.

IT-Grundschutz (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt die IT-Grundschutz- Methodik zur Verfügung, bestehend aus einem ISO/IEC 27001-kompatiblen Informationssicherheits- Managementsystem (BSI-Standard 200-1), der IT- Grundschutz-Methodik (BSI-Standard 200-2), einer speziellen Risikoanalyse-Methode (BSI-Standard 200- 3) sowie die IT-Grundschutz-Kataloge, ein Standardset von Bedrohungen und Sicherheitsvorkehrungen für typische Geschäftsumgebungen. Dabei ist der IT- Grundschutz durch seine Kompatibilität zu ISO/IEC 27001 auch international angesehen.

SOC 1 Type 2 Das American Institute of Certified Public Accountants (AICPA) hat drei Berichtsoptionen (Rahmenwerke) für die Service Organization Controls (SOC 1, SOC 2 und SOC 3) eingerichtet, um CPAs bei der Prüfung und Berichterstattung über die Kontrollen einer Serviceorganisation zu unterstützen. Die SOC 1 Type 2- Bescheinigung basiert auf der regulatorischen Vorgabe SSAE 18 der AICPA und dem International Standard on Assurance Engagements Nr. 3402 (ISAE 3402). Ein SOC 1 Typ-2-Bericht enthält die Stellungnahme des Prüfers zur Wirksamkeit der Kontrolle, um die entsprechenden Kontrollziele während des festgelegten Überwachungszeitraums zu erreichen.

(16)

Seite 16

und die Adäquatheit der internen Kontrollen anhand von Normvorgaben und entsprechenden Kontrollparametern für Sicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität und Datenschutz. SOC-2-Aufträge werden gemäß den Grundsätzen und Kriterien vertrauenswürdiger Services sowie den Anforderungen des AICPA-Standards ausgeführt.

SOC 3 Ein SOC 3 Bericht ist eine kurze, öffentlich zugängliche Version des SOC 2 Type 2 Attestierungsberichts für Nutzer, die sich über die Steuerelemente des Cloud- Service-Providers versichern möchten, jedoch keinen vollständigen SOC 2-Bericht benötigen.

(17)