Das Gütesiegel für die Cloud: EuroCloud Star Audit · PDF fileEuroCloud...

EuroCloud Deutschland_eco e.V.

Das Gütesiegel für die Cloud:

EuroCloud Star Audit SaaS


2

Das Gütesiegel für die Cloud

2

Das EuroCloud Star Audit SaaS2

Kurzvorstellung EuroCloud1

Inhalte der Zertifizierung3

Ablauf des Audits4

Geprüfte Sicherheit: Das Zertifikat5


Das EuroCloud Netzwerk

Eurocloud Europe als europäischeDachorganisationEuroCloud ist in 28 Ländern präsent:

* Gründungsmitglieder EuroCloud Europe

* Belgium

Bulgaria

* Denmark

* Germany

* Finland

* France

* Greece

Ireland

* Italy

Luxembourg

* Netherlands

* Norway

Austria

Portugal

Russia

*Sweden

* Switzerland

Slovenia

Spain

* Turkey

Ukraine

Hungary

* United

Kingdom

Established Associations

Setup in Process


4

Eurocloud Deutschland_eco e.V.

4

Expert Groups:

SaaS Gütesiegel Recht und Compliance Interoperabilität & Standards Cloud Managed Services

http://www.eurocloud.de/2010/10/15/11-11-koeln-localtalk-cloudcomputing/


5


5




Ablauf des Audits4



Die EuroCloud Star Audit FamilieEuroCloud Star Audit SaaS

EuroCloud Star Audit

SaaS Ready

EuroCloud Star Audit PaaS (in 2011)

EuroCloud Star Audit IaaS (in 2011)

EuroCloud Star Audit

App Ready

eco / EuroCloud Datacenter Star Audit

EuroCloud Star Audit SaaSzertifiziert SaaS Anbieter mit1 bis 5 Sternen

eco / EuroCloud Datacenter Audit Zertfizierung der RZ-Infrastruktur wird berücksichtigt bzw. optional oder ergänzend angeboten

EuroCloud Star Audit SaaS Readyzertifiziert RZ-Anbieter mit4 bis 5 Sternen

EuroCloud Star Audit SaaS Apperlaubt SaaS Anbietern eine Zertifizierung mit 4 bis 5 Sernen, sofern die Applikation bei einem SaaS Ready zertifizierten RZ-Dienstleister betrieben wird


Source KPMG the Netherlands, 2010

Bedenkenträger Nummer 1: Sicherheit

0% 10% 20% 30% 40% 50% 60% 70% 80%

Unausgereifte Technologie

Unzureichende Funktionalität

Unzureichende Performance

Ungenügend wirtschaftliche Vorteile

Lock In Situation

Verfügbarkeit

Integrationsaufwand

Datenschutz

Compliance

Rechtsfragen

Sicherheit


Risikobereiche

Quelle: Jörg Asma, KPMG

http://www.kes.info/archiv/material/cloudsec2011/cloudsec2011.pdf

Isabel Münch – BSI:

80 % der Sicherheitsvorfälle kommen

aus dem Innenbereich

Quelle: WDR5 – Heiter bis wolkig 15.6.2011

•Prüfung der gesamten Cloud Lieferkette notwendig.

•Wo befinden sich die Daten und wer hat Zugriff?

•Nachvollziehbarkeit der technischen und

organisatorischen Maßnahmen in Bezug auf

Datensicherheit und Datenschutz

•Klar definierte Exit Regeln –

Die Daten gehören dem Kunden,

nicht dem Cloud Service Provider.

•Standardisierung und Interoperabilität


Wir lichten den Nebel…


…mit dem EuroCloud Star Audit SaaS

» Aussage zur Professionalität des Anbieters und der Zulieferer

» Prüfung der besonderen Vetragselemente hinsichtlich

» Auftragsdatenverarbeitung

» Datenschutzbestimmungen

» Buchhaltungsvorgaben

» Technischer Betrieb

» Lock-In-Situation and Wechselmöglichkeiten

» Training and Support

» Interoperabilität


Expertise für die Kriterienerstellung

SecurityGuidance

Cloud Computing

ExpertengruppeRecht

Wirtschaftsprüfer

IT Prüfstandards

ISPRAT Studie Cloud Computing

ENISA Cloud Risk Report

SaaS Anbieter

Cloud Computing Sicherheit

Eckpunktepapier

http://www.fokus.fraunhofer.de/de/index.html


Auditierungsumfang


Anwendungs-Implementierung

BetriebsprozesseRechenzentrums-Infrastruktur

Datenschutz & Datensicherheit

Recht & Compliance

Unternehmens-profil

bis Trusted Cloud

bis Trusted CloudAdvanced

bis Trusted CloudHigh Available


Ermittlung der eigenen Leistungsfähigkeit

Element der Qualitätssicherung Element der Kostenoptimierung bei

Leistungserbringung und im Vertriebsprozess

Schaffung einheitlicher Standards bei europaweitem Servicesangebot

Orientierungshilfe für Kunden und Interessenten

ergänzendes Marketing-Instrument

Objektiver Beleg für Qualität und

Sicherheit

Positive Positionierung im

Wettbewerb

Erleichterter und kosteneffizienter

Auswahlprozess

Reduzierter Aufwand im

Ausschreibungs- und

Einkaufsprozess

Erhöhte Markttransparenz

passgenaue Abstimmung von

Anforderungen und Angebot

Europaweit einheitliche Standards

EuroCloud Star Audit SaaSVorteile für Anbieter und Anwender

Vorteile für SaaS Anbieter Vorteile für SaaS Anwender


14


14




Ablauf des Audits4



Anforderungen:

Sterne Kategorie Einreichung Fokus

1 Vertrag & Compliance

Kündigungsregelungen Prüfen aller Kündigungsvereinbarungen


Datenübergaberegelungen Prüfen des Datenübergabeprozesses mit Beispielen


Datenschutzanforderung Analyse des gesamten Datenschutzbereiches


Datenlöschung bei Beendigung

Prüfen des Datenlöschungsverfahrens

1 Betrieb Infrastruktur

Nachweis Minimalanforderungen RZ Betrieb

Analyse bestehender Zertifizierungen oder vor Ort Begutachtung


Anforderungen:



SLA Review Prüfen der Servicezusagen

2 Betrieb Infrastruktur

Nachweis Minimalanforderungen RZ Betrieb Redundante Auslegung der Grundversorgung

Analyse der Risikobereiche oder vor Ort Begutachtung

2 Anwendung Schnittstellen, API, Exportformate

Analyse Exportformate hinsichtlich prinzipieller Migrationsfähigkeit

Alle Anforderungen der vorherigen Kategorie sind zu erfüllen


Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen



Wahlmöglichkeit des Gerichtstandes

Prüfung der Vertragsangaben

3 Implementierung Implementierungskonzept Anwendersupport für Erstnutzung und Schulungsangebote

3 Implementierung Bug Management Prüfung der Supportfunktionen

3 OnSite Audit Prüfung Service Level und Prozesse

Sonderprüfliste





Verfahrensdokumentation GdPDU

Valdierung der Dokumentation in Bezug auf GdPDU Anforderungen

4 Sicherheit Bereitstellung von VPN Zugängen

Analyse der VPN Infrastruktur

4 Sicherheit Verschlüsselung der Nutzerdaten auf Dateiebene

Analyse der End To End Verschlüsselungsmechanismen

4 Sicherheit Zugangsrichtlinien für Administratoren

Auswertung der Systemdokumentation und Protokollfunktionen

4 Sicherheit Rechte- u. Rollenvergabe durch den Kunden

Analyse des Rechtesystems der Anwendung

4 Betrieb Infrastruktur IX Infrastruktur Prüfung der IX Anbindung

4 Betrieb Infrastruktur Stromauslegung N+1 Prüfung der Stromauslegung


Anforderungen: (Fortsetzung)

4 Betrieb Infrastruktur Kühlung N+1 Prüfung der Klimatisierung

4 Betriebsprozesse Endkundensupport Forum/KM Base

Prüfung der Supportforen

4 Betriebsprozesse Incident Mgmt System zwischen Anbieter und Betreiber

Auswertung Ticket System Betrieber und Bearbeitung von Anbieter Incidents

4 Betriebsprozesse Releasemanagement Auswertung Dokumentation Releasemanagement

4 Betriebsprozesse Capacity Management Auswertung Dokumentation Capacity Management

4 Betriebsprozesse Availability Management

Auswertung Dokumentation Availability Management

4 Betriebsprozesse Dashboard Service Reporting

Auswertung Funktionsumfang Dashboard Übersicht



Sterne Kategorie Einreichung Aufwand


Best Price Option Prüfung des Preismodells

5 Sicherheit Durchführung von Penetrationstest

Auswertung der Testverfahren und Ergebnisse

5 Betrieb Infrastruktur Notfallarbeitsplätze Prüfung der Notfallarbeitsplätze

5 Betrieb Infrastruktur Verteilte Rechenzentren Prüfung der RZ Redundanz

5 Betriebsprozesse Notfallhandbuch Auswertung des gesamten Notfallplans

5 Betriebsprozesse Notfallübungen Auswertung der Dokumentation der letzten 2 Notfallübungen


21


21




Ablauf des Audits4



Der EuroCloud Star Audit Prozess

Workshop

j/n

OnSiteWorkshop

Ku

nd

en

Ende

Zertifizierung / Lizenz-Erteilung

Auftrag

Beantwortung des Audit Fragenkatalogs

Einreichung incl. Begleitdokumentation

2

Auditierung / OnSite Auditierung

Erstellung und Vorlage des Audit-Abschlußberichts1

NDA

Ziel: 6 – 8 Wochen (abhängig von der Beantwortung des Audit-Fragenkatalogs)

1

j/n

Laufzeit der Zertifizierungs-Lizenz: 2 Jahre ab Vorliegen des Audit-Berichts

Reauditierungs-Auftrag6 Monate vor Lizenz-Ende

Ende

Nachbesserungs-Audit

1

Entscheidung zur Nachbesserung: 4 Wochen nach Audit-AbschlußberichtNachbesserungsfrist: 6 Monate

j/n

Ende

2

z.B. private Clouds


23


23




Ablauf des Audits4



Geprüfte Sicherheit: Das Zertifikat

: Trusted Cloud ServiceDatenschutz, Datensicherheit, Vertrag, Exit, zuverlässiger Betrieb

: Trusted Cloud Service Advancedzusätzlich: Durchgängige Implementierung qualitätssichernder Prozesse

: Trusted Cloud Service High Availabilityzusätzlich:Hochverfügbarkeit durch redundante Rechenzentren


Gezieltes Auditierungsangebotfür SaaS Betreiber (RZ-Dienstleister)

Geprüft werden: Alle Grundelemente des

technischen Betriebes und der Sicherheitsfunktionen

Verträge als Vorlieferant und Umsetzung Datenschutzanforderungen

Gezieltes Auditierungsangebot für SaaS Anbieter, welche RZ-Leistungen bei SaaS Ready-zertifiziertenRechenzentren in Anspruch nehmen

Softwareanbieter, die auf dieser Umgebung bereitstellen, müssen lediglich die zusätzlich individuellen Elemente des Star Audit SaaS zertifizieren

SaaS Ready Zertifizierung SaaS App Zertifierung

SaaS Ready: Das Zertifikat für Rechenzentren


Die EuroCloud Star Audit SaaS



Betriebsprozesse

Rechenzentrums-Infrastruktur


Recht & Compliance

Datacenter Star Audit

EuroCloud Star Audit SaaS Ready

Betriebsprozesse

Rechenzentrums-Infrastruktur


Recht & Compliance

Datacenter Star Audit

EuroCloud Star Audit SaaS App


Recht & Compliance

= +


Weiterführende Links» EuroCloud WebCast Cloud Infrastructure

• http://www.eurocloud.de/2010/09/28/27-10-brighttalk-webcast-cloud-infrastructure/

» Risikobetrachtung Virtualisierung• http://en.eurocloud.de/2011/02/23/23-02-webinar-from-server-to-domain-key-risks-by-virtualization/

» EuroCloud Star Audit• http://www.saas-audit.de/

» eco Data Center Star Audit und Data Center Expert Group• http://www.dcaudit.de/lang/de/dceg/

» EuroCloud Leitfaden Recht, Datenschutz und Compliance• http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/

» BSI Eckpunktepapier• https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Mindestanforderungen-

Cloud-Computing-Dienste_10052011.html

» ENISA Cloud Risk• http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment• http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-

governmental-clouds

» BMWi – Trusted Cloud• http://www.trusted-cloud.de

http://www.eurocloud.de/2010/09/28/27-10-brighttalk-webcast-cloud-infrastructure/












http://en.eurocloud.de/2011/02/23/23-02-webinar-from-server-to-domain-key-risks-by-virtualization/






















http://www.saas-audit.de/




http://www.dcaudit.de/lang/de/dceg/

http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/









https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Mindestanforderungen-Cloud-Computing-Dienste_10052011.html







http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment







http://www.trusted-cloud.de/



EuroCloud Deutschland_eco e.V.EuroCloud Deutschland_eco e.V.

www.eurocloud.deLeitfaden Recht: [email protected]

Vielen Dank für Ihre Aufmerksamkeit

Noch Fragen?

http://www.eurocloud.de/

Das Gütesiegel für die Cloud: EuroCloud Star Audit · PDF fileEuroCloud...

Documents

Transcript of Das Gütesiegel für die Cloud: EuroCloud Star Audit · PDF fileEuroCloud...