EuroCloud Deutschland_eco e.V.
Das Gütesiegel für die Cloud:
EuroCloud Star Audit SaaS
EuroCloud Deutschland_eco e.V.
2
Das Gütesiegel für die Cloud
2
Das EuroCloud Star Audit SaaS2
Kurzvorstellung EuroCloud1
Inhalte der Zertifizierung3
Ablauf des Audits4
Geprüfte Sicherheit: Das Zertifikat5
EuroCloud Deutschland_eco e.V.
Das EuroCloud Netzwerk
Eurocloud Europe als europäischeDachorganisationEuroCloud ist in 28 Ländern präsent:
* Gründungsmitglieder EuroCloud Europe
* Belgium
Bulgaria
* Denmark
* Germany
* Finland
* France
* Greece
Ireland
* Italy
Luxembourg
* Netherlands
* Norway
Austria
Portugal
Russia
*Sweden
* Switzerland
Slovenia
Spain
* Turkey
Ukraine
Hungary
* United
Kingdom
Established Associations
Setup in Process
EuroCloud Deutschland_eco e.V.
4
Eurocloud Deutschland_eco e.V.
4
Expert Groups:
SaaS Gütesiegel Recht und Compliance Interoperabilität & Standards Cloud Managed Services
EuroCloud Deutschland_eco e.V.
5
Das Gütesiegel für die Cloud
5
Das EuroCloud Star Audit SaaS2
Kurzvorstellung EuroCloud1
Inhalte der Zertifizierung3
Ablauf des Audits4
Geprüfte Sicherheit: Das Zertifikat5
EuroCloud Deutschland_eco e.V.
Die EuroCloud Star Audit FamilieEuroCloud Star Audit SaaS
EuroCloud Star Audit
SaaS Ready
EuroCloud Star Audit PaaS (in 2011)
EuroCloud Star Audit IaaS (in 2011)
EuroCloud Star Audit
App Ready
eco / EuroCloud Datacenter Star Audit
EuroCloud Star Audit SaaSzertifiziert SaaS Anbieter mit1 bis 5 Sternen
eco / EuroCloud Datacenter Audit Zertfizierung der RZ-Infrastruktur wird berücksichtigt bzw. optional oder ergänzend angeboten
EuroCloud Star Audit SaaS Readyzertifiziert RZ-Anbieter mit4 bis 5 Sternen
EuroCloud Star Audit SaaS Apperlaubt SaaS Anbietern eine Zertifizierung mit 4 bis 5 Sernen, sofern die Applikation bei einem SaaS Ready zertifizierten RZ-Dienstleister betrieben wird
EuroCloud Deutschland_eco e.V.
Source KPMG the Netherlands, 2010
Bedenkenträger Nummer 1: Sicherheit
0% 10% 20% 30% 40% 50% 60% 70% 80%
Unausgereifte Technologie
Unzureichende Funktionalität
Unzureichende Performance
Ungenügend wirtschaftliche Vorteile
Lock In Situation
Verfügbarkeit
Integrationsaufwand
Datenschutz
Compliance
Rechtsfragen
Sicherheit
EuroCloud Deutschland_eco e.V.
Risikobereiche
Quelle: Jörg Asma, KPMG
http://www.kes.info/archiv/material/cloudsec2011/cloudsec2011.pdf
Isabel Münch – BSI:
80 % der Sicherheitsvorfälle kommen
aus dem Innenbereich
Quelle: WDR5 – Heiter bis wolkig 15.6.2011
•Prüfung der gesamten Cloud Lieferkette notwendig.
•Wo befinden sich die Daten und wer hat Zugriff?
•Nachvollziehbarkeit der technischen und
organisatorischen Maßnahmen in Bezug auf
Datensicherheit und Datenschutz
•Klar definierte Exit Regeln –
Die Daten gehören dem Kunden,
nicht dem Cloud Service Provider.
•Standardisierung und Interoperabilität
EuroCloud Deutschland_eco e.V.
Wir lichten den Nebel…
EuroCloud Deutschland_eco e.V.
…mit dem EuroCloud Star Audit SaaS
» Aussage zur Professionalität des Anbieters und der Zulieferer
» Prüfung der besonderen Vetragselemente hinsichtlich
» Auftragsdatenverarbeitung
» Datenschutzbestimmungen
» Buchhaltungsvorgaben
» Technischer Betrieb
» Lock-In-Situation and Wechselmöglichkeiten
» Training and Support
» Interoperabilität
EuroCloud Deutschland_eco e.V.
Expertise für die Kriterienerstellung
SecurityGuidance
Cloud Computing
ExpertengruppeRecht
Wirtschaftsprüfer
IT Prüfstandards
ISPRAT Studie Cloud Computing
ENISA Cloud Risk Report
SaaS Anbieter
Cloud Computing Sicherheit
Eckpunktepapier
EuroCloud Deutschland_eco e.V.
Auditierungsumfang
EuroCloud Star Audit SaaS
Anwendungs-Implementierung
BetriebsprozesseRechenzentrums-Infrastruktur
Datenschutz & Datensicherheit
Recht & Compliance
Unternehmens-profil
bis Trusted Cloud
bis Trusted CloudAdvanced
bis Trusted CloudHigh Available
EuroCloud Deutschland_eco e.V.
Ermittlung der eigenen Leistungsfähigkeit
Element der Qualitätssicherung Element der Kostenoptimierung bei
Leistungserbringung und im Vertriebsprozess
Schaffung einheitlicher Standards bei europaweitem Servicesangebot
Orientierungshilfe für Kunden und Interessenten
ergänzendes Marketing-Instrument
Objektiver Beleg für Qualität und
Sicherheit
Positive Positionierung im
Wettbewerb
Erleichterter und kosteneffizienter
Auswahlprozess
Reduzierter Aufwand im
Ausschreibungs- und
Einkaufsprozess
Erhöhte Markttransparenz
passgenaue Abstimmung von
Anforderungen und Angebot
Europaweit einheitliche Standards
EuroCloud Star Audit SaaSVorteile für Anbieter und Anwender
Vorteile für SaaS Anbieter Vorteile für SaaS Anwender
EuroCloud Deutschland_eco e.V.
14
Das Gütesiegel für die Cloud
14
Das EuroCloud Star Audit SaaS2
Kurzvorstellung EuroCloud1
Inhalte der Zertifizierung3
Ablauf des Audits4
Geprüfte Sicherheit: Das Zertifikat5
EuroCloud Deutschland_eco e.V.
Anforderungen:
Sterne Kategorie Einreichung Fokus
1 Vertrag & Compliance
Kündigungsregelungen Prüfen aller Kündigungsvereinbarungen
1 Vertrag & Compliance
Datenübergaberegelungen Prüfen des Datenübergabeprozesses mit Beispielen
1 Vertrag & Compliance
Datenschutzanforderung Analyse des gesamten Datenschutzbereiches
1 Vertrag & Compliance
Datenlöschung bei Beendigung
Prüfen des Datenlöschungsverfahrens
1 Betrieb Infrastruktur
Nachweis Minimalanforderungen RZ Betrieb
Analyse bestehender Zertifizierungen oder vor Ort Begutachtung
EuroCloud Deutschland_eco e.V.
Anforderungen:
Sterne Kategorie Einreichung Fokus
2 Vertrag & Compliance
SLA Review Prüfen der Servicezusagen
2 Betrieb Infrastruktur
Nachweis Minimalanforderungen RZ Betrieb Redundante Auslegung der Grundversorgung
Analyse der Risikobereiche oder vor Ort Begutachtung
2 Anwendung Schnittstellen, API, Exportformate
Analyse Exportformate hinsichtlich prinzipieller Migrationsfähigkeit
Alle Anforderungen der vorherigen Kategorie sind zu erfüllen
EuroCloud Deutschland_eco e.V.
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen
Sterne Kategorie Einreichung Fokus
3 Vertrag & Compliance
Wahlmöglichkeit des Gerichtstandes
Prüfung der Vertragsangaben
3 Implementierung Implementierungskonzept Anwendersupport für Erstnutzung und Schulungsangebote
3 Implementierung Bug Management Prüfung der Supportfunktionen
3 OnSite Audit Prüfung Service Level und Prozesse
Sonderprüfliste
EuroCloud Deutschland_eco e.V.
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen
Sterne Kategorie Einreichung Fokus
4 Vertrag & Compliance
Verfahrensdokumentation GdPDU
Valdierung der Dokumentation in Bezug auf GdPDU Anforderungen
4 Sicherheit Bereitstellung von VPN Zugängen
Analyse der VPN Infrastruktur
4 Sicherheit Verschlüsselung der Nutzerdaten auf Dateiebene
Analyse der End To End Verschlüsselungsmechanismen
4 Sicherheit Zugangsrichtlinien für Administratoren
Auswertung der Systemdokumentation und Protokollfunktionen
4 Sicherheit Rechte- u. Rollenvergabe durch den Kunden
Analyse des Rechtesystems der Anwendung
4 Betrieb Infrastruktur IX Infrastruktur Prüfung der IX Anbindung
4 Betrieb Infrastruktur Stromauslegung N+1 Prüfung der Stromauslegung
EuroCloud Deutschland_eco e.V.
Anforderungen: (Fortsetzung)
4 Betrieb Infrastruktur Kühlung N+1 Prüfung der Klimatisierung
4 Betriebsprozesse Endkundensupport Forum/KM Base
Prüfung der Supportforen
4 Betriebsprozesse Incident Mgmt System zwischen Anbieter und Betreiber
Auswertung Ticket System Betrieber und Bearbeitung von Anbieter Incidents
4 Betriebsprozesse Releasemanagement Auswertung Dokumentation Releasemanagement
4 Betriebsprozesse Capacity Management Auswertung Dokumentation Capacity Management
4 Betriebsprozesse Availability Management
Auswertung Dokumentation Availability Management
4 Betriebsprozesse Dashboard Service Reporting
Auswertung Funktionsumfang Dashboard Übersicht
EuroCloud Deutschland_eco e.V.
Anforderungen: Alle Anforderungen der vorherigen Kategorie sind zu erfüllen
Sterne Kategorie Einreichung Aufwand
5 Vertrag & Compliance
Best Price Option Prüfung des Preismodells
5 Sicherheit Durchführung von Penetrationstest
Auswertung der Testverfahren und Ergebnisse
5 Betrieb Infrastruktur Notfallarbeitsplätze Prüfung der Notfallarbeitsplätze
5 Betrieb Infrastruktur Verteilte Rechenzentren Prüfung der RZ Redundanz
5 Betriebsprozesse Notfallhandbuch Auswertung des gesamten Notfallplans
5 Betriebsprozesse Notfallübungen Auswertung der Dokumentation der letzten 2 Notfallübungen
EuroCloud Deutschland_eco e.V.
21
Das Gütesiegel für die Cloud
21
Das EuroCloud Star Audit SaaS2
Kurzvorstellung EuroCloud1
Inhalte der Zertifizierung3
Ablauf des Audits4
Geprüfte Sicherheit: Das Zertifikat5
EuroCloud Deutschland_eco e.V.
Der EuroCloud Star Audit Prozess
Workshop
j/n
OnSiteWorkshop
Ku
nd
en
Ende
Zertifizierung / Lizenz-Erteilung
Auftrag
Beantwortung des Audit Fragenkatalogs
Einreichung incl. Begleitdokumentation
2
Auditierung / OnSite Auditierung
Erstellung und Vorlage des Audit-Abschlußberichts1
NDA
Ziel: 6 – 8 Wochen (abhängig von der Beantwortung des Audit-Fragenkatalogs)
1
j/n
Laufzeit der Zertifizierungs-Lizenz: 2 Jahre ab Vorliegen des Audit-Berichts
Reauditierungs-Auftrag6 Monate vor Lizenz-Ende
Ende
Nachbesserungs-Audit
1
Entscheidung zur Nachbesserung: 4 Wochen nach Audit-AbschlußberichtNachbesserungsfrist: 6 Monate
j/n
Ende
2
z.B. private Clouds
EuroCloud Deutschland_eco e.V.
23
Das Gütesiegel für die Cloud
23
Das EuroCloud Star Audit SaaS2
Kurzvorstellung EuroCloud1
Inhalte der Zertifizierung3
Ablauf des Audits4
Geprüfte Sicherheit: Das Zertifikat5
EuroCloud Deutschland_eco e.V.
Geprüfte Sicherheit: Das Zertifikat
: Trusted Cloud ServiceDatenschutz, Datensicherheit, Vertrag, Exit, zuverlässiger Betrieb
: Trusted Cloud Service Advancedzusätzlich: Durchgängige Implementierung qualitätssichernder Prozesse
: Trusted Cloud Service High Availabilityzusätzlich:Hochverfügbarkeit durch redundante Rechenzentren
EuroCloud Deutschland_eco e.V.
Gezieltes Auditierungsangebotfür SaaS Betreiber (RZ-Dienstleister)
Geprüft werden: Alle Grundelemente des
technischen Betriebes und der Sicherheitsfunktionen
Verträge als Vorlieferant und Umsetzung Datenschutzanforderungen
Gezieltes Auditierungsangebot für SaaS Anbieter, welche RZ-Leistungen bei SaaS Ready-zertifiziertenRechenzentren in Anspruch nehmen
Softwareanbieter, die auf dieser Umgebung bereitstellen, müssen lediglich die zusätzlich individuellen Elemente des Star Audit SaaS zertifizieren
SaaS Ready Zertifizierung SaaS App Zertifierung
SaaS Ready: Das Zertifikat für Rechenzentren
EuroCloud Deutschland_eco e.V.
Die EuroCloud Star Audit SaaS
EuroCloud Star Audit SaaS
Anwendungs-Implementierung
Betriebsprozesse
Rechenzentrums-Infrastruktur
Datenschutz & Datensicherheit
Recht & Compliance
Datacenter Star Audit
EuroCloud Star Audit SaaS Ready
Betriebsprozesse
Rechenzentrums-Infrastruktur
Datenschutz & Datensicherheit
Recht & Compliance
Datacenter Star Audit
EuroCloud Star Audit SaaS App
Anwendungs-Implementierung
Recht & Compliance
= +
EuroCloud Deutschland_eco e.V.
Weiterführende Links» EuroCloud WebCast Cloud Infrastructure
• http://www.eurocloud.de/2010/09/28/27-10-brighttalk-webcast-cloud-infrastructure/
» Risikobetrachtung Virtualisierung• http://en.eurocloud.de/2011/02/23/23-02-webinar-from-server-to-domain-key-risks-by-virtualization/
» EuroCloud Star Audit• http://www.saas-audit.de/
» eco Data Center Star Audit und Data Center Expert Group• http://www.dcaudit.de/lang/de/dceg/
» EuroCloud Leitfaden Recht, Datenschutz und Compliance• http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/
» BSI Eckpunktepapier• https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2011/Mindestanforderungen-
Cloud-Computing-Dienste_10052011.html
» ENISA Cloud Risk• http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment• http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-
governmental-clouds
» BMWi – Trusted Cloud• http://www.trusted-cloud.de
EuroCloud Deutschland_eco e.V.EuroCloud Deutschland_eco e.V.
www.eurocloud.deLeitfaden Recht: [email protected]
Vielen Dank für Ihre Aufmerksamkeit
Noch Fragen?