Sicherheitszertifikate
Name des Zertifikats
BSI C5 - ISAE 3000
ISO 22301:2020
ISO 45001:2018
ISO/IEC 27001:2017
ISO/IEC 27018:2019
SOC 1 - ISAE 3402
SOC 2
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Bei den Prüfungen und Zertifizierungen werden neben der Organisation und deren Prozesse insbesondere detaillierte Stichproben der Plattform Open Telekom Cloud kontrolliert. Dieser Vorgang erfolgt in einem jährlichen Turnus.
Datenschutz
Geografischer Standort des Rechenzentrums
Niederlande
Deutschland
Schweiz
Datenschutzzertifizierung
BSI C5 - ISAE 3000
CSA Star Level 2
ISO/IEC 27018:2019
Konformität zu §203 Strafgesetzbuch durch Vereinbarung zum Geheimnisschutz
Trusted Cloud Data Profile v1.0
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Die Open Telekom Cloud ist ISO 27018 zertifiziert.
Darüber hinaus hat die Open Telekom Cloud das BSI C5 Testat erfolgreich bestanden.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Bei den Prüfungen und Zertifizierungen werden neben der Organisation und deren Prozesse insbesondere detaillierte Stichproben der Plattform Open Telekom Cloud kontrolliert. Dieser Vorgang erfolgt in einem jährlichen Turnus.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Beschreibung
bspw. Datacenter Audits, ansonsten nach Absprache
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Verfügbarkeitsklasse 3 - 99,9 % ? 43:48 Minuten/Monat oder 8:45:58 Stunden/Jahr
Maximale Downtime in Stunden
Die Open Telekom Cloud ist redundant ausgelegt, damit Wartungsarbeiten an der Plattform grundsätzlich keine Unterbrechungen verursachen. Über Unterbrechungen durch Wartungsarbeiten wird die Telekom den Kunden informieren.
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
1 Arbeitstag
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
Die Ticketaufgabe ist in Deutsch und Englisch „7x24h“ möglich. Dazu stehen die folgenden Möglichkeiten zur Verfügung:
- Open Telekom Cloud Self Service Portal in MyWorkplace https://myworkplace.t-systems.com
- per E-Mail an: service@open-telekom-cloud.com
- telefonisch über: 0800 33 04477
Werden Trainings angeboten?
Ja
Trainingspartner
Tranings werden regelmäßig durchgeführt.
Trainingsnachweis kann auf Anfrage von T-Systems erbracht werden.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch Dritte
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Solange eines der beiden Rechenzentren aktiv ist, kann auch der Service der Open Telekom Cloud weiterhin dem Kunden angeboten werden. Die Kunden sind jedoch selber dafür zuständig ihre Anwendungen hoch verfügbar auf beide Rechenzentren zu verteilen. Für den Fall eines Ausfalls, existieren für die Rechenzentren Wiederanlaufpläne, um eine rasche Wiederherstellung der Dienste für den Kunden zu gewährleisten.
Backups
Beschreibung der Backup-Optionen
Auf Plattformebene werden für kritische Komponenten Rechenzentrumübergreifende Backups erstellt. Das heißt, dass für eine Komponente in Rechenzentrum 1 ein Backup in Rechenzentrum 2 existiert, welches bei einem Ausfall von Rechenzentrum 1 wiederhergestellt werden kann.
Zusätzlich bietet die Open Telekom Cloud ihren Kunden die Möglichkeit selber Backups von ihren Daten und Diensten zu erstellen. Auf Anwendungsebene sind die Kunden dafür allerdings selber verantwortlich.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Die Backups werden mittels FTPS verschlüsselt auf einen FTP Server übertragen. Die Open Telekom bietet den Kunden außerdem die Möglichkeit ihre Backups zu verschlüsseln.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Die Telekom informiert den Kunden ohne schuldhaftes Zögern über Fälle von schwerwiegenden Betriebsstörungen, bei Verdacht auf Datenschutzverletzungen und/oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten.
Meldungen werden an das BSI weitergegeben nach Vorgaben der Netzwerk- und Informationssicherheit (EU-NIS).
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Die Verschlüsselung der Datenübertragung erfolgt mit TLS 1.2, gespeicherte Daten können mithilfe von AES-256-XTS verschlüsselt werden.
Der Kunde kann dabei selber entscheiden, ob er die Verwaltung der Encryption Keys selber übernehmen möchte oder diese in die Hand der Open Telekom Cloud legen möchte.
Optionen für das Key-Management
Encryption-Keys werden durch den Anbieter verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Wie im Löschkonzept der Open Telekom Cloud festgehalten, werden sämtliche personenbezogenen Daten des Kunden mit Vertragsende unmittelbar gelöscht. Logfiles, welche IP Adressen enthalten können, werden nach spätestens 90 Tagen gelöscht.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Es existieren keine Links auf die personenbezogenen Daten.
Es werden lediglich Sicherheitskopien zur Gewährleistung der ordnungsgemäßen Verarbeitung der personenbezogenen Daten erstellt.
Diese Sicherheitskopien werden ebenfalls bei Beendigung des Vertragsverhältnisses gelöscht.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja