Datensicherheit im Cloud-Umfeld

Transkript

1 Datensicherheit im Cloud-Umfeld Jens Roenker, SAP (Schweiz) AG HCM Solution Advisor, Datenschutzbeauftragter (DSB-TÜV) HR Transformation Workshop, Regensdorf, 26. Oktober 2017

2 Agenda Compliance Vertragliche Verankerung von Datenschutz und Sicherheit in der Cloud Aspekte der Sicherheitsarchitektur 2

3 Agenda Compliance Vertragliche Verankerung von Datenschutz und Sicherheit in der Cloud Aspekte der Sicherheitsarchitektur 3

4 Ist der Service erlaubt? Rechtliche Grundlage Ist der Service sicher? Technische und Organisatorische Maßnahmen Ist der Service zuverlässig? Unabhängige Kontrollen Ein Cloud Service, der Personenbezogene Daten verarbeitet, muss einen vertraglichen Rahmen bieten, welcher anwendbare lokale Datenschutzgesetze und vorgaben reflektiert, angemessene Technische und Organisatorische Maßnahmen (TOMs) umsetzen und weiterentwickeln, regelmäßig unabhängige Kontrollen durchführen und Transparenz sicherstellen. 4

5 Vertraglicher Rahmen Order Form (Vertrag) Geschäftsbedingungen (Allgemeine & Ergänzende) Support Modell Service Level Agreement Vereinbarung zur Auftragsdatenverarbeitung Auftraggeber & Auftragnehmer, Beginn & Ende der Auftragsdatenverarbeitung, Kontakte (Administratoren), Nutzungsrechte, Verantwortlichkeiten & Pflichten, Gewährleistungen, Vergütung, Haftung, Support Inhalte, Kanäle, Sprachen, Antwortzeiten Systemverfügbarkeit, Wartungsfenster Geltung der EU-Standardvertragsklauseln, Leistungspflichten, Unterauftragsverarbeiter, EU-Access, Zertifikate & Audits, TOMs, 5

6 Vertraglicher Rahmen Order Form (Vertrag) Geschäftsbedingungen (Allgemeine & Ergänzende) Support Modell Service Level Agreement Vereinbarung zur Auftragsdatenverarbeitung Auftraggeber & Auftragnehmer, Beginn & Ende der Auftragsdatenverarbeitung, Kontakte (Administratoren), Nutzungsrechte, Verantwortlichkeiten & Pflichten, Gewährleistungen, Vergütung, Haftung, Support Inhalte, Kanäle, Sprachen, Antwortzeiten Systemverfügbarkeit, Wartungsfenster Geltung der EU-Standardvertragsklauseln, Leistungspflichten, Unterauftragsverarbeiter, EU-Access, Zertifikate & Audits, TOMs, 6

7 Technische und Organisatorische Maßnahmen (TOMs) Security Patch Management Malware Management Process Multi-tenancy Separate system landscapes Access restrictions Video and sensor surveillance Access logging Intruder alarm systems Daten Integritäts- Kontrolle Daten Trennungs- Kontrolle Business Continuity management Disaster Recovery plans / testing Physische Zutritts- Kontrolle Verfügbarkeits- Kontrolle System Zugriffs- Kontrolle Daten Eingabe- Kontrolle Auftrags- Kontrolle Password policy Strong authentication Access management tool Daten Übertragungs- Kontrolle Segregation of duties Subcontractor compliance /certification Daten Zugriffs- Kontrolle Authorization Concepts SAP Security Policies and Standards Security checks and penetration tests SAP Security Policy (Confidentiality) Network Security Encryption Security Incident Management 24 x 7 Security Monitoring Center SIEM 7

8 Unabhängige Kontrollen Internationale Standards und bewährte Verfahren Transparenz Certification ISO 27001* ISO 22301*, ISO 9001*, BS Financial Controls SOC 1 (ISAE 3402 / SSAE 16) Operations and Compliance SOC 2 (Trust Principles) Datenschutz Data Protection BS ISO Data Privacy BDSG EU Directive 95/46/EC Sicherheit bewährte Verfahren (Auszug) Quality Management ISO 9000 ISO25010 Service Delivery ISO Business Continuity ISO Application Security ISO OWASP Hardening Guidelines SANs, ISO CERT, NIST Destruction of Media ISO Incident Management ISO Grundlage Code of Practice ISO *) Component of the Integrated Information Security Management System (IISMS) of SAP 8

9 Agenda Compliance Vertragliche Verankerung von Datenschutz und Sicherheit in der Cloud Aspekte der Sicherheitsarchitektur 9

10 SAP SuccessFactors Rechenzentren Ontario, CAN Chandler, AZ Ashburn, VA Newtown Square, PA Amsterdam NL St. Leon-Rot, D Moscow, RU Shanghai, CN Sao Paulo, BR Sydney 10

11 SAP SuccessFactors Rechenzentren EU Access EU Access Ontario, CAN Chandler, AZ Ashburn, VA Newtown Square, PA Amsterdam NL St. Leon-Rot, D Moscow, RU Shanghai, CN Sao Paulo, BR Entscheidet sich ein Kunde für «EU Access», dann werden Personenbezogene Daten ausschliesslich in unseren Europäischen Rechenzentren verarbeitet. wird Service & Support ausschließlich durch Personal mit Sitz im Europäischen Wirtschaftraum und der Schweiz erbracht. Sydney Das bedeutet: Kein Daten-Export z.b. nach Amerika oder Asien 11

12 SAP Cloud Rechenzentren: Physische Sicherheit entspricht TIER IV Rating (gemäß ANSI/TIA-942) Stahlbetonkonstruktion Mehrere hundert Überwachungskameras mit digitaler Aufnahme Überwachungsmechanismen für Türen und Schließanlagen Zehntausende Sensoren zur Überwachung der Umgebung Sicherheits- und Gebäudeinstandhaltungsdienst Vor Ort 24x7x365 Biometrische Kontrollen oder Kartenleser für Sicherheitsbereiche Mehrere redundant-ausgelegte Internetleitungen von verschiedenen Netzanbietern Redundante Energieversorgung Mehrere unterbrechungsfreie Stromversorgungen mit Kapazitäten von jeweils ca. 20 Min. Zusätzliches, erweiterbares Dieselaggregat ist in wenigen Minuten einsatzbereit Dieseltanks sind für den Betrieb von 48 Stunden ausgelegt (ohne Tankvorgang) Verträge mit externen Kraftstoff-Lieferanten garantieren laufenden Betrieb Feuer- und Überflutungsschutz Umweltfreundliche, redundante Inergen-Löschanlagen Mehrere tausend Sensoren für Feuer und Wasser Hochverfügbare Klimaanlage Kapazitäten für zusätzliche Kühlung 12

13 13

14 Schutz der Infrastruktur Defense in Depth Ansatz zum Schutz der Kundendaten Penetration Tests 3 rd party Ethical Hacker Penetration Tests 3 rd party Ethical Hacker Security Implementation Audit & Security Reviews DMZ - External Intrusion Prevention Perimeter Firewall & Router ACL Protection Data Center Internal Administration Network Internal Intrusion Detection Admin VPN / WTS Access Control & Logging Internet Customer A Data Customer B Data Customer C Data IPS Multi-Factor Authentication Operations SMC / SIEM IPS = Network Intrusion Prevention System SMC = Security Monitoring Center (7*24) SIEM = Security Information and Event Management 14

15 Regelungsbereiche Aktive Sicherheitsprozesse Cyber-Security & Datenschutz Regelungsbereiche Technologie Prozesse Personal Cyber-Security und Datenschutz Technologie Vertraulichkeit, Integrität, Verfügbarkeit Datenschutz Schutz von geistigem Eigentum Prozesse Anforderungen & Maßnahmen Durchsetzung und Nachweis Überwachung Audits Menschen SAP setzt auf einen holistischen Ansatz, um Datenschutz und Datensicherheit auf neuestem Stand der Technik zu gewährleisten und weiter zu entwickeln. 15

16 16

17 17

18 Danke. Kontakt: Jens Roenker HCM Solution Advisor, Datenschutzbeauftragter (DSB-TÜV)