connectIng busIness & technology

Ist saas sIcher?

3 devoteam connecting business & technology

devoteam Ist saas sIcher?

relevante Fragen

Wenn personenbezogene Daten in der Cloud verarbeitet werden, die unter die EU- Datenschutzrichtlinie bzw. unter das Bundesdatenschutz-gesetz (BDSG) fallen, ist der SaaS-Provider Auftragsdatenverarbeiter im Sinne der §§ 9, 11 BDSG und des Art. 17 der EU-Datenschutzrichtlinie, denn der SaaS-Provider verarbeitet Daten im Auftrag des Kunden.

Daher müssen für die Vertrags-gestaltung die Vorgaben des BDSG

berücksichtigt werden. Der SaaS-Vertrag muss deshalb mindestens Klauseln enthalten, die dem § 11 Abs. 2 BDSG und dem Art. 17 EG-Datenschutzrichtlinie entsprechen. Zusätzlich sollten Unternehmen auch den Speicher-und Verarbeitungsort ihrer Daten genau festlegen und Übermittlungsverbote ihrer Daten in unsichere Drittstaaten vereinbaren. ServiceNow schließt auf Wunsch entsprechende Verträge zur Auftrags-datenverarbeitung ab.

Der Begriff der personenbezoge-nen Daten ist im Bundesdatenschutz-gesetz und in der EG-Datenschutz-richtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) definiert. Innerhalb einer IT-Service-Management-Lösung fallen immer personenbezogene Daten an (z.B. bei der Erstellung eines Tickets oder beim Speichern von E-Mails, die im Bearbeitungsprozess aufkommen).

Hierbei ist hinsichtlich der jeweili-gen Zertifikate nach IT-Sicherheit oder Datenschutz zu unterscheiden, denn IT-Sicherheit bedeutet nicht Daten-schutzkonformität und umgekehrt.

Nach unserer Kenntnis gibt es der-zeit keinen Standard für Datenschutz gemäß § 9a BDSG. Das Bundesda-tenschutzgesetz sieht in § 9a das Verfahren eines Datenschutzaudits zwar vor, die näheren Anforderungen an die Prüfung und Bewertung des Verfahrens sowie die Auswahl und Zulassung der Gutachter müssen aber noch durch ein besonderes Gesetz geregelt werden.

Ein für IT-Sicherheit zertifizierter SaaS-Provider muss damit immer noch nicht zwingend auch die Compliance-Anforderungen für die in die Cloud ausgelagerten Prozesse für das Finanz-berichtswesen der Kunden erfüllen. Unternehmen sollten davon ausge-hen, dass innerhalb einer IT-Service-Management-Lösung früher oder später auch Finanzdaten vorgehalten werden.

Relevante Zertifikate sind:•Datenschutz–nochdurchden

Gesetzgeber zu regeln• IT-Sicherheit–ISO27001/PCIDSS

Level 2•Compliance–SSAE16SOC1Type1

Die Rechenzentren von ServiceNow haben alle diese Zertifikate.

Die „Behördenrechenzentren“ in den USA werden zudem nach den strengen Richtlinien des Federal Infor-mation Security Management Act ge-mäß NIST 800-53 zertifiziert, um den Datensicherheits- und Datenschutz-bedürfnissen der US-Amerikanischen Regierungsorganisationen zu entspre-chen. Von den dafür notwendigen Sicherheitsmaßnahmen partizipieren alle Kunden von ServiceNow und das weltweit, denn alle Rechenzentren sind identisch aufgebaut.

Wie werden Kunden den Vorgaben des Datenschutzrechtes hinsichtlich der Übermittlung von Daten gerecht?

Welche Zertifikate sichern Kunden ab?

Müssen die services in deutschen Rechenzentren erbracht werden?Bei der Übermittlung personen-

bezogener Daten ins Ausland, sind besondere gesetzliche Bestimmungen zu beachten. Personenbezogene Daten dürfen in die Mitgliedstaaten der Euro-päischen Union unter den gleichen Vo-raussetzungen übermittelt werden wie innerhalb der Bundesrepublik Deutsch-

land. Ein Rechenzentrum innerhalb Deutschlands ist nicht erforderlich.

Eine Datenübermittlung in das Nicht-

EU-Ausland ist in einem engen rechtli -chen Rahmen möglich. Für ein unkom-pliziertes Verfahren empfiehlt es sich aber, diese per Vertrag auszuschließen.

ServiceNow bietet für Europa eigene Rechenzentrumsstandorte an und Kunden können so eine Übermittlung von Daten außerhalb der EU vertraglich ausschließen. Die datenschutzrechtliche Konformität eines SaaS-Angebots kann durch Zertifizierungen nachgewiesen bzw. bestätigt werden.

Im Zusammenhang mit SaaS kommt immer wieder die Frage nach Sicherheit auf.Neben der Datensicherheit adressiert diese Frage auch das Thema Rechtssicherheit. Rechtssicherheit hinsichtlich Datenschutzrecht und/oder Compliance-Anforderungen.

connecting business & technology devoteam 4

ist saas sicher? devoteam

Wie sind Daten gegen unberechtigten Zugriff geschützt?

Wie verfügbar sind die Kunden-Daten?

Wie werden Kunden gegen Datenverlust geschützt?

Wie können Kunden die getätigten Investitionen absichern?

Die Sicherheit der Rechenzentrums-infrastruktur und der Daten gehören zum Kerngeschäft von ServiceNow. Ergänzend zu den bereitgestellten Schutzmaßnahmen durch die zerti-fizierten Rechenzentrumsbetreiber sorgt ein dediziertes Expertenteam kontinuierlich für zusätzliche Sicher-heit.

Zu den Sicherheitsmaßnahmen ge-hören unter anderem SSL-Passwort-Verschlüsselung, Zutrittskontrolle, tägliche Audits sowie ein Angriffser-kennungs- und ein Sicherheitsüber-wachungssystem.

Für Kunden mit höchsten Sicher-heitsanforderungen stehen optionale Leistungen wie komplette Verschlüs-selung der Datenbank oder dedizierte Hardware zur Verfügung.

Da sich Hacker nahezu täglich neue Einbruchsmethoden einfallen lassen, führt ServiceNow zwischen 50 und 100 Penetration-Tests jährlich durch, um die Sicherheit Ihrer Daten auch gegen neue Angriffsmethoden sicherzustellen.

Diese Tests werden auf vier verschie-denen Wegen durch unterschiedliche Organisationendurchgeführt:•WhiteHatSecurityDevelopment

Testing (Dienstleister)•HailstormDevelopmentTesting

(durch ServiceNow-Experten)•AnnualPenetrationTesting(Dienst-

leister)•CustomerPenetrationTesting

(durch ServiceNow-Kunden)Kunden können im Rollen- und

Rechtekonzept von ServiceNow bis auf Feldebene festlegen, wer inner-halbderOrganisationZugriffaufwelche Daten erhält.

Um Systeme und Daten verfügbar zu halten, trifft ServiceNow die üblichen Schutzvorkehrungen gegen mögliche Ausfälle. Umgebungsbedingungen wie Feuchtigkeit, Temperatur oder Rauch-entwicklung werden, ebenso wie das Heizungs-, Lüftungs- und Kühlungssys-tem, ständig überwacht. Zudem gibt es ein Frühwarnsystem gegen Brände.

Die Stromversorgung wird stetig kontrolliert und durch zwei redun-dante, unterbrechungsfreie Stromver-sorgungen sowie ein Batteriebackup-system sichergestellt.

Zu jedem ServiceNow-Rechenzent-rum existiert ein zugeordnetes „Back-upzentrum“ in dem die Kunden-Daten in Near-Real-Time repliziert werden. Über einen Disaster-Recove-ry-Prozess wird bei Ausfall eines Re-chenzentrums der Service in diesem Rechenzentrum aufrechterhalten.

Die beide Zentren sind hochverfüg-bar aufgebaut. Zusammen mit den Fail-over-Mechanismen des Disaster-Recovery-Prozesses gibt es eine erweiterte Hochverfügbarkeit.

Zusätzlich wird die Datenbank in jedem der Rechenzentren einmal wöchentlich vollständig und täglich inkrementell gesichert. Es werden vier Kopien der Kunden-Daten in zwei räumlich getrennten Rechenzentren vorgehalten.

Die Kunden-Investitionen in spe-zifische Anpassungen sind ebenso schützenswert, wie die im Laufe der täglichen Arbeit mit den ServiceNow-Prozessen entstandenen Daten.

Zusätzlich zu den Schutzmaßnah-men in den Rechenzentren können Kunden Code Backups mithilfe von Update Sets nach Belieben vornehmen sowie zweimal im Jahr

Data Backups exportieren, um eine Sicherheitskopie im Unternehmen aufbewahren zu können.

Kunden können das Risiko soweit wie möglich minimieren, indem sie auf einen wirtschaftlich starken Part-ner mit großer Kundenbasis setzen.

Von namhaften Analysten wird Ser-viceNow als der führende Anbieter von ITSM-as-a-Service geführt. Der SaaS-Anbieter hat weltweit 1.500

Kunden, davon über 115 der 2.000 größten Unternehmen der Welt.

Konzept der Advanced High Availibility

London RZ London RZAmsterdam RZ Amsterdam RZ

Vor HA failover

InternetDNS

JDBC JDBCJDBCJDBC

DNS

Nach HA failover

Internet

App App App App App App App App

Passive(read-only)

Active(read-write)

DBDB

Passive >> Active(read-write)

DB DB

Aktive >> Passive(read-only)

Master-Master MySQL binlog replication Master-Master MySQL binlog replication

Devoteam GmbH, Gutenbergstrasse 10, 64331 Weiterstadt. T: +49 (6151) 868-0 www.devoteam.de

Wo gibt es weitere Informationen?

http://www.bitkom.org/files/documents/20060418_Band__2_Auslandsgeschaeft_Uebermittlung_personenbezogener_Daten.pdf http://www.bitkom.org/files/documents/Mustervertragsanlage_zur_Auftragsdatenverarbeitung_v_3_0.pdfhttp://wiki.servicenow.com/index.php?title=SecurityBundesdatenschutzgesetzEU Richtlinie 95/46/EG