Das Gütesiegel für die Cloud: EuroCloud Star Audit SaaS
Das Gütesiegel für die Cloud 1 Kurzvorstellung EuroCloud 2 Das EuroCloud Star Audit SaaS 3 Inhalte der Zertifizierung 4 Ablauf des Audits 5 Geprüfte Sicherheit: Das Zertifikat 2 2
Das EuroCloud Netzwerk Established Associations Setup in Process Eurocloud Europe als europäische Dachorganisation EuroCloud ist in 28 Ländern präsent: * Belgium Bulgaria * Denmark * Germany * Finland * France * Greece Ireland * Italy Luxembourg * Netherlands * Norway Austria Portugal Russia *Sweden * Switzerland Slovenia Spain * Turkey Ukraine Hungary * United Kingdom * Gründungsmitglieder EuroCloud Europe
Eurocloud Deutschland_eco e.v. Expert Groups: SaaS Gütesiegel Recht und Compliance Interoperabilität & Standards Cloud Managed Services 4
Das Gütesiegel für die Cloud 1 Kurzvorstellung EuroCloud 2 Das EuroCloud Star Audit SaaS 3 Inhalte der Zertifizierung 4 Ablauf des Audits 5 Geprüfte Sicherheit: Das Zertifikat 5 5
Die EuroCloud Star Audit Familie EuroCloud Star Audit App Ready EuroCloud Star Audit SaaS Ready EuroCloud Star Audit SaaS EuroCloud Star Audit PaaS (in 2011) EuroCloud Star Audit IaaS (in 2011) EuroCloud Star Audit SaaS zertifiziert SaaS Anbieter mit 1 bis 5 Sternen EuroCloud Star Audit SaaS Ready zertifiziert RZ-Anbieter mit 4 bis 5 Sternen EuroCloud Star Audit SaaS App erlaubt SaaS Anbietern eine Zertifizierung mit 4 bis 5 Sernen, sofern die Applikation bei einem SaaS Ready zertifizierten RZ- Dienstleister betrieben wird eco / EuroCloud Datacenter Star Audit eco / EuroCloud Datacenter Audit Zertfizierung der RZ-Infrastruktur wird berücksichtigt bzw. optional oder ergänzend angeboten
Bedenkenträger Nummer 1: Sicherheit Sicherheit Rechtsfragen Compliance Datenschutz Integrationsaufwand Verfügbarkeit Lock In Situation Ungenügend wirtschaftliche Vorteile Unzureichende Performance Unzureichende Funktionalität Unausgereifte Technologie 0% 10% 20% 30% 40% 50% 60% 70% 80% Source KPMG the Netherlands, 2010
Risikobereiche Isabel Münch BSI: 80 % der Sicherheitsvorfälle kommen aus dem Innenbereich Quelle: WDR5 Heiter bis wolkig 15.6.2011 Klar definierte Exit Regeln Die Daten gehören dem Kunden, nicht dem Cloud Service Provider. Standardisierung und Interoperabilität Prüfung der gesamten Cloud Lieferkette notwendig. Wo befinden sich die Daten und wer hat Zugriff? Nachvollziehbarkeit der technischen und organisatorischen Maßnahmen in Bezug auf Datensicherheit und Datenschutz Quelle: Jörg Asma, KPMG http://www.kes.info/archiv/material/cloudsec2011/cloudsec2011.pdf
Wir lichten den Nebel EuroCloud Deutschland_eco e.v.
mit dem EuroCloud Star Audit SaaS» Aussage zur Professionalität des Anbieters und der Zulieferer» Prüfung der besonderen Vetragselemente hinsichtlich» Auftragsdatenverarbeitung» Datenschutzbestimmungen» Buchhaltungsvorgaben» Technischer Betrieb» Lock-In-Situation and Wechselmöglichkeiten» Training and Support» Interoperabilität
Expertise für die Kriterienerstellung ENISA Cloud Risk Report Cloud Computing Sicherheit Eckpunktepapier Security Guidance Cloud Computing IT Prüfstandards ISPRAT Studie Cloud Computing Expertengruppe Recht Wirtschaftsprüfer SaaS Anbieter
EuroCloud Star Audit SaaS Auditierungsumfang bis Trusted Cloud High Available bis Trusted Cloud Advanced bis Trusted Cloud Unternehmensprofil Recht & Compliance Datenschutz & Datensicherheit Rechenzentrums- Infrastruktur Betriebsprozesse Anwendungs- Implementierung
EuroCloud Star Audit SaaS Vorteile für Anbieter und Anwender EuroCloud Deutschland_eco e.v. Vorteile für SaaS Anbieter Vorteile für SaaS Anwender Ermittlung der eigenen Leistungsfähigkeit Element der Qualitätssicherung Element der Kostenoptimierung bei Leistungserbringung und im Vertriebsprozess Schaffung einheitlicher Standards bei europaweitem Servicesangebot Orientierungshilfe für Kunden und Interessenten ergänzendes Marketing-Instrument Objektiver Beleg für Qualität und Sicherheit Positive Positionierung im Wettbewerb Erleichterter und kosteneffizienter Auswahlprozess Reduzierter Aufwand im Ausschreibungs- und Einkaufsprozess Erhöhte Markttransparenz passgenaue Abstimmung von Anforderungen und Angebot Europaweit einheitliche Standards
Das Gütesiegel für die Cloud 1 Kurzvorstellung EuroCloud 2 Das EuroCloud Star Audit SaaS 3 Inhalte der Zertifizierung 4 Ablauf des Audits 5 Geprüfte Sicherheit: Das Zertifikat 14 14
Anforderungen: Sterne Kategorie Einreichung Fokus 1 Vertrag & Compliance 1 Vertrag & Compliance 1 Vertrag & Compliance Kündigungsregelungen Datenübergaberegelungen Datenschutzanforderung Prüfen aller Kündigungsvereinbarungen Prüfen des Datenübergabeprozesses mit Beispielen Analyse des gesamten Datenschutzbereiches 1 Vertrag & Compliance 1 Betrieb Infrastruktur Datenlöschung bei Beendigung Nachweis Minimalanforderungen RZ Betrieb Prüfen des Datenlöschungsverfahrens Analyse bestehender Zertifizierungen oder vor Ort Begutachtung
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen Sterne Kategorie Einreichung Fokus 2 Vertrag & Compliance 2 Betrieb Infrastruktur SLA Review Nachweis Minimalanforderungen RZ Betrieb Redundante Auslegung der Grundversorgung Prüfen der Servicezusagen Analyse der Risikobereiche oder vor Ort Begutachtung 2 Anwendung Schnittstellen, API, Exportformate Analyse Exportformate hinsichtlich prinzipieller Migrationsfähigkeit
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen Sterne Kategorie Einreichung Fokus 3 Vertrag & Compliance Wahlmöglichkeit des Gerichtstandes Prüfung der Vertragsangaben 3 Implementierung Implementierungskonzept Anwendersupport für Erstnutzung und Schulungsangebote 3 Implementierung Bug Management Prüfung der Supportfunktionen 3 OnSite Audit Prüfung Service Level und Prozesse Sonderprüfliste
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen Sterne Kategorie Einreichung Fokus 4 Vertrag & Compliance Verfahrensdokumentation GdPDU 4 Sicherheit Bereitstellung von VPN Zugängen 4 Sicherheit Verschlüsselung der Nutzerdaten auf Dateiebene 4 Sicherheit Zugangsrichtlinien für Administratoren 4 Sicherheit Rechte- u. Rollenvergabe durch den Kunden Valdierung der Dokumentation in Bezug auf GdPDU Anforderungen Analyse der VPN Infrastruktur Analyse der End To End Verschlüsselungsmechanismen Auswertung der Systemdokumentation und Protokollfunktionen Analyse des Rechtesystems der Anwendung 4 Betrieb Infrastruktur IX Infrastruktur Prüfung der IX Anbindung 4 Betrieb Infrastruktur Stromauslegung N+1 Prüfung der Stromauslegung
Anforderungen: (Fortsetzung) 4 Betrieb Infrastruktur Kühlung N+1 Prüfung der Klimatisierung 4 Betriebsprozesse Endkundensupport Forum/KM Base Prüfung der Supportforen 4 Betriebsprozesse Incident Mgmt System zwischen Anbieter und Betreiber Auswertung Ticket System Betrieber und Bearbeitung von Anbieter Incidents 4 Betriebsprozesse Releasemanagement Auswertung Dokumentation Releasemanagement 4 Betriebsprozesse Capacity Management Auswertung Dokumentation Capacity Management 4 Betriebsprozesse Availability Management Auswertung Dokumentation Availability Management 4 Betriebsprozesse Dashboard Service Reporting Auswertung Funktionsumfang Dashboard Übersicht
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen Sterne Kategorie Einreichung Aufwand 5 Vertrag & Compliance Best Price Option 5 Sicherheit Durchführung von Penetrationstest Prüfung des Preismodells Auswertung der Testverfahren und Ergebnisse 5 Betrieb Infrastruktur Notfallarbeitsplätze Prüfung der Notfallarbeitsplätze 5 Betrieb Infrastruktur Verteilte Rechenzentren Prüfung der RZ Redundanz 5 Betriebsprozesse Notfallhandbuch Auswertung des gesamten Notfallplans 5 Betriebsprozesse Notfallübungen Auswertung der Dokumentation der letzten 2 Notfallübungen
Das Gütesiegel für die Cloud 1 Kurzvorstellung EuroCloud 2 Das EuroCloud Star Audit SaaS 3 Inhalte der Zertifizierung 4 Ablauf des Audits 5 Geprüfte Sicherheit: Das Zertifikat 21 21
Kunden EuroCloud Deutschland_eco e.v. Der EuroCloud Star Audit Prozess Ziel: 6 8 Wochen (abhängig von der Beantwortung des Audit-Fragenkatalogs) Workshop OnSite Workshop j/n 1 NDA Auftrag Beantwortung des Audit Fragenkatalogs Einreichung incl. Begleitdokumentation Auditierung / OnSite Auditierung Erstellung und Vorlage des Audit-Abschlußberichts 2 Ende 2 j/n Entscheidung zur Nachbesserung: 4 Wochen nach Audit-Abschlußbericht Nachbesserungsfrist: 6 Monate Nachbesserungs- Audit 1 Reauditierungs-Auftrag 6 Monate vor Lizenz-Ende 1 Zertifizierung / Lizenz-Erteilung j/n Ende z.b. private Clouds Laufzeit der Zertifizierungs-Lizenz: 2 Jahre ab Vorliegen des Audit-Berichts Ende
Das Gütesiegel für die Cloud 1 Kurzvorstellung EuroCloud 2 Das EuroCloud Star Audit SaaS 3 Inhalte der Zertifizierung 4 Ablauf des Audits 5 Geprüfte Sicherheit: Das Zertifikat 23 23
Geprüfte Sicherheit: Das Zertifikat : Trusted Cloud Service Datenschutz, Datensicherheit, Vertrag, Exit, zuverlässiger Betrieb : Trusted Cloud Service Advanced zusätzlich: Durchgängige Implementierung qualitätssichernder Prozesse : Trusted Cloud Service High Availability zusätzlich: Hochverfügbarkeit durch redundante Rechenzentren
SaaS Ready: Das Zertifikat für Rechenzentren EuroCloud Deutschland_eco e.v. SaaS Ready Zertifizierung SaaS App Zertifierung Gezieltes Auditierungsangebot für SaaS Betreiber (RZ-Dienstleister) Geprüft werden: Alle Grundelemente des technischen Betriebes und der Sicherheitsfunktionen Verträge als Vorlieferant und Umsetzung Datenschutzanforderungen Gezieltes Auditierungsangebot für SaaS Anbieter, welche RZ-Leistungen bei SaaS Ready-zertifizierten Rechenzentren in Anspruch nehmen Softwareanbieter, die auf dieser Umgebung bereitstellen, müssen lediglich die zusätzlich individuellen Elemente des Star Audit SaaS zertifizieren
Die EuroCloud Star Audit SaaS EuroCloud Star Audit SaaS Recht & Compliance EuroCloud Star Audit SaaS Ready Recht & Compliance EuroCloud Star Audit SaaS App Recht & Compliance Datenschutz & Datensicherheit Rechenzentrums- Infrastruktur Datacenter Star Audit = + Datenschutz & Datensicherheit Datacenter Star Audit Betriebsprozesse Betriebsprozesse Anwendungs- Implementierung Rechenzentrums- Infrastruktur Anwendungs- Implementierung
Weiterführende Links» EuroCloud WebCast Cloud Infrastructure http://www.eurocloud.de/2010/09/28/27-10-brighttalk-webcast-cloud-infrastructure/» Risikobetrachtung Virtualisierung http://en.eurocloud.de/2011/02/23/23-02-webinar-from-server-to-domain-key-risks-by-virtualization/» EuroCloud Star Audit http://www.saas-audit.de/» eco Data Center Star Audit und Data Center Expert Group http://www.dcaudit.de/lang/de/dceg/» EuroCloud Leitfaden Recht, Datenschutz und Compliance http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/» BSI Eckpunktepapier https://www.bsi.bund.de/contentbsi/presse/pressemitteilungen/presse2011/mindestanforderungen- Cloud-Computing-Dienste_10052011.html» ENISA Cloud Risk http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-ingovernmental-clouds» BMWi Trusted Cloud http://www.trusted-cloud.de
www.eurocloud.de Leitfaden Recht: leitfaden-recht@eurocloud.de Vielen Dank für Ihre Aufmerksamkeit Noch Fragen?