EuroCloud SaaS Star Audit

Transkript

1 EuroCloud SaaS Star Audit Gütesiegel für Cloud Computing ZertiFA 2010 Andreas Weiss, Direktor EuroCloud Deutschland_eco e.v.

2 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 Prozess 5 Aktueller Status 2 2

3 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 Prozess 5 Aktueller Status 3 3

4 Das paneuropäische EuroCloud Netzwerk EuroCloud Deutschland_eco e.v. Foundation of Eurocloud Europe as European Roof Organization by 12 National Eurocloud Associations January 22nd 2010 in Paris Today, EuroCloud is present in 23 countries: * Belgium Bulgaria * Denmark * Germany * Finland * France * Greece Ireland * Italy Luxembourg * Netherlands * Norway Austria Portugal Russia *Sweden * Switzerland Slovenia Spain * Turkey Ukraine Hungary * United Kingdom * Founding Members EuroCloud Europe National Association established Founding in process 4

5 eco und Eurocloud Deutschland_eco im europäischen Kontext Euro-IX EuroISPA EuroCloud eco e.v. EuroCloud Deutschland_eco e.v. de-cix GmbH eco Service GmbH eco IT Service & Beratung GmbH Frankfurt Köln Berlin 5

6

7

8

9 Eurocloud Deutschland_eco e.v. Expert Groups: SaaS Quality Seal Law and Compliance Interoperability & Standards Cloud Managed Services 9

10 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 5 Prozess Aktueller Status 10 10

11 Hindernisse bei Cloud Computing Statement: Sicherheitsbedenken ist das Hauptargument gegen Cloud Computing 16% 7% 14% 14% 49% Stimme voll zu Stimme zu Unentschieden Stimme nicht zu Stimme gar nicht zu The biggest issue for me when it comes to cloud computing is obscurity. It not exactly about the lack of security measures, but the total lack of transparency. All we got was SAS70 report which did not comply with our security controls. Additional security audits were not permittet by the vendor so we decided to depend on our internal IT for the time being. Our internal IT is far from perfect but at least I know what out weaknesses are. CISO of a firm in the industrial markets sector Source KPMG the Netherlands, 2010

12 Hauptbedenken bei der Nutzung von Cloud Services EuroCloud Deutschland_eco e.v. Sicherheit Rechtsfragen Compliance Datenschutz Integrationsaufwand Verfügbarkeit Lock In Situation Ungenügend wirtschaftliche Vorteile Unzurecihende Performance Unzureichende Funktionalität Unausgereifte Technologie 0% 10% 20% 30% 40% 50% 60% 70% 80% Source KPMG the Netherlands, 2010

13 Hauptrisiken gemäß ENISA Report List of Contributors: Symantec IBM Kaspersky RSA Cloudsecurity.org British Telecom National Health Service (NHS) UK Google Microsoft

14 ENISA Report Cloud Security ENISA benennt : 35 Riskobereichen davon 8 Bereiche mit hohem Risiko In organistorischen technischen rechtlichen und cloud unspezifischen Bereichen.

15 ENISA R.1 Vendor Lock In R.1 LOCK-IN Wahrscheinlichkeit Hoch Vergleich Standard IT: Höher Auswirkung Mittel Vergleich Standard IT: Gleich Schwachstellen Bertroffene Bereiche Risiko V13. Unzureichende Standards V46. Unzureichender Anbieterauswahl V47. Geringe Anzahl vergleichbarer Anbieter V31. Unvollständige und intransparente Nutzungsvereinbarungen A1. Firmenreputation A5. Personenbezogene Daten mit besonders schutzbedürftigen Attributen A6. Personenbezogene Daten A7. Kritische Daten A9. Serviceerbringung Echtzeit A10. Serviceerbringung generell Hoch

16 ENISA R.2 Governance R.2 LOSS OF GOVERNANCE Probability VERY HIGH Comparative: Higher Impact VERY HIGH (depends on organization) (IaaS VERY HIGH, SaaS Low) Comparative: Equal Vulnerabilities V34. Unclear roles and responsibilities V35. Poor enforcement of role definitions V21. Synchronizing responsibilities or contractual obligations external to cloud V23. SLA clauses with conflicting promises to different stakeholders V25. Audit or certification not available to customers V22. Cross-cloud applications creating hidden dependency V13. Lack of standard technologies and solutions V29. Storage of data in multiple jurisdictions and lack of transparency about THIS V14. No source escrow agreement V16. No control on vulnerability assessment process V26. Certification schemes not adapted to cloud infrastructures V30. Lack of information on jurisdictions V31. Lack of completeness and transparency in terms of use V44. Unclear asset ownership

17 ENISA Risiken Zusammenfassung» Unzureichende Service Level Garantien» Providerabhängigkeit» Unzureichende Datenabgrenzung» Probleme bei der Einhaltung von Compliance Vorgaben» Unzureichende Absicherung der Administrationsfunktionen» Datenschutzverletzungen» Unzureichende Datenlöschung auf Kundenanforderung» Angriff von innen durch nicht vertrauenswürdige Personen

18 ENISA - Empfehlungen Zu prüfen sind» Schnittstellen und Datenexportfunktionen» Vertragliche Regelung von Kontrollfunktionen» Vereinbarung zur Einhaltung von Compliance Vorgaben und Auditanforderungen mit Nachweisen» Einhaltung der datenschutzrechtlichen Bestimmungen» Benennung und Zusicherung der Datenlokationen» Anzuwendendes Recht

19 Wie erlangt man eine qualitative Vergleichbarkeit? Most of the current and future SaaS customer do not have the resources and skills to perform a full assessment for each potential SaaS Provider in terms of security, compliance, contract, service reliability, use of open standards,

20 Zielsetzung der SaaS Star Audit» Aussage zur Professionalität des Anbieters und der Zulieferer» Prüfung der besonderen Vetragselemente hinsichtlich» Auftragsdatenverarbeitung» Datenschutzbestimmungen» Buchhaltungsvorgaben» Technischer Betrieb» Lock In Situation and Wechselmöglichkeiten» Training and Support» Interoperabilität

21 Ein Blick hinter den Browser?? SaaS Provider A Provider B Data Center Developers Support Consulting Training Backup Developement Support...

22 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 Prozess 5 Aktueller Status 22 22

23 EuroCloud SaaS Star Audit Profil Recht & Compliance Implementierung Basis Gesamtwertung 3 Standard Sicherheit und Datenschutz 3 4 Anwendung 5 Premium 1 2 Betrieb Rechenzentrum Betriebsprozese

24 Themenbereiche im SaaS Gütesiegel» Anbieterprofil (Freie Selbstangaben)» Vertrag & Compliance (Nutzunggsvertrag, AGB)» Sicherheit (Technische- und Datensicherheit)» Betrieb Infrastruktur (RZ Betrieb)» Betriebsprozesse (ITIL, ISO)» Anwendung (Standards, Releasestrategie, API, Lokalisierung)» Implementierung (Demo, Implementierung, Schulung)» Es erfolgt keine funktionale Bewertung der Anwendung, da dies wegen die Vielfältigkeit der möglichen Anforderungen keine objektive Bewertung zulässt 24

25 Profil» Allgemeine Angaben zum Unternehmen» Welche Cloud Services werden angeboten» Anbietertyp (ISV, Reseller, Hoster)» Basiszertifizierungen Mindestanforderung Eingetragen im EU Handelsregister Pflichtangabe Anzahl Kunden und Benutzer

26 Vertrag + Compliance» Vertragsgestaltung» Datenschutz» Subunternehmervereinbarungen» Compliancezusagen» Exit Klauseln Mindestanforderung Gerichtsstand wählbar im Land des Nutzers Dienstangebot konform zum BDSG,95/46/EC Vertragszusagen auch durch Subunternehmer garantiert Eindeutige Regelungen für Datenrückgabe

27 Sicherheit» IT Sicherheit» Datenverschlüsselung» Identity- und Rollenmanagement Mindestanforderung Sicherheitskonzept Verschlüsselung zwischen Anwender und gesicherter Zone des Anbieters Recht und Rollenmanagement

28 Betrieb + Infrastruktur» Arealsicherheit» Gebäudesicherheit» Brandschutz» Verfügbarkeit» Konnektivität» DC Zertifizierungen» Betriebs- und Notfallpläne

29 Betriebsprozesse» Störungsmanagement» Kapazitätsmanagement» Überwachung und Reporting» Sicherheitsprozesse» Zugangsregelungen» Datensicherung und Backupprozesse» Personal und Mitarbeiterqualifikation

30 Anwendung» Standards» Lokalisierung» Browserfähigkeit» API und Schnittstellen» Release Strategie» Fehlerbearbeitung

31 Implementierung» Demo-Version» Implementierungskonzept» Schulungskonzept

32 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 Prozess 5 Aktueller Status 32 32

33 Audit Ablauf Briefing Einleitender Workshop: Erläuterung der Anforderungen Generelle Vertragsvereinbarung NDA ECD/SaaS Anbieter Startpaket: Audit Vertrag Fragebogen und Einreichungsanforderung Begleitender Leitfaden Lizenzvereinbarung Preisvereinbarung Vertragsunterzeichnung Einrichtung sicherer Dokumentencontainer Zuweisung der Auditoren Festlegung Terminplan Audit Rückmeldung SaaS Anbieter: Firmennachweis Nutzungsvereinbarung SLA/SSLA Zertifikate Prozessdokumentationen Prüfung der Einreichungen Bearbeiten der Checklisten Vereinbarung der vor-ort Prüfung Vor-Ort RZ oder SaaS Administration SLA Monitoring Incident Mgmt Data Sicherung /Backup Ausgewählte Sonderprüfungen Debriefing Bereich vor-ort Prüfung Bericht der jew. Fachauditoren Zusammenfassung und Festlegung der Gütestufe Ergebnissbericht und Verbesserungsvorschläge Abschlusspräsentation Anbieter Entscheidung: Nachbesserung und Auditwiederholung Vergabe Gütesigel Unterzeichnung Lizenzbedingugnen Auf Wunsch Ergebnisveröffentlichung durch EuroCloud

34 Cloud Computing 1 Kurzvorstellung EuroCloud 2 SaaS Star Audit 3 Kategorien 4 Prozess 5 Aktueller Status 34 34

35 SaaS Star Audit Aktuell» Derzeit Proof of Concept:» ERP, Web Prototyping, Kampagnen, Bürosoftware, Kollaboration, Einkaufsportal, Supply Chain» ISV/Hoster, ISV + Co-Location, ISV + RZ Betreiber, RZ Betreiber + Standard SaaS» Abschluss bis Mitte Januar 2011» 1. Workshop für konkrete Zertifizierung am 25. Jan 2011 in Köln» Einbindung D-A-CH in Q1 / 2011» Übersetzung nach EN/FR und weitere Ausweitung EuroCloud Europe

36 Vielen Dank für Ihre Aufmerksamkeit Noch Fragen?