Sicherheitszertifikate
Name des Zertifikats
ISO/IEC 27001:2013
ISO/IEC 27017:2015
ISO/IEC 27018:2014
Konformität nach §11 BDSG
SOC 2 Typ II Report nach ISAE 3402 und IDW PS 951
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Claranet hat ein Informationssicherheitsmanagementsystem (Information Security Management System - ISMS) eingeführt, welches die Anforderungen des internationalen Standards ISO/IEC 27001:2013 erfüllt, und die empfohlenen Sicherheitsmaßnahmen des „Code of Practice“ für Informationssicherheitsmanagement (ISO/IEC 27002:2013), die internationalen IT-Sicherheitskontrollen in Bezug auf Cloud-Services (ISO/IEC 27017:2015) und die internationalen Anwendungsregeln für den Schutz von Personenbezogenen Daten (PII) in Public Clouds (ISO/IEC 27018:2014) berücksichtigt.
Der zertifizierte Scope der Claranet ist ungewöhnlich breit gefasst und beinhaltet folgende Bereiche: „Managed Private Cloud, Managed Public Cloud (AWS, Google Cloud Platform, Azure), Managed Hybrid Cloud, IaaS (Virtual Data Centre, vCloud), Managed Applications Hosting, Managed VPN, Managed Access, Managed Security“. Im Scope enthalten sind die Büroräume und das Rechenzentrum in Frankfurt am Main, Hanauer Landstraße 196, die Backup Facility in der Hanauer Landstraße 184 und die Rechenzentrumsflächen von Interxion in Frankfurt am Main. Alle im Scope des ISMS und BCMS liegenden Prozesse werden an diesen Standorten erbracht. Der Scope enthält den kompletten Lifecycle der von Claranet angebotenen Lösungen im Managed Cloud Hosting.
Die Compliance zum Standard ISO/IEC 27001 i.V.m. ISO/IEC 27017, ISO/IEC 27018 und zum Standard ISO/IEC 22301 wird jedes Jahr durch ein externes Audit und anschließender Zertifizierung bestätigt.
Ferner bietet Claranet seinen Kunden einen Service Organization Controls (SOC) 2 Typ II Report an. Dieser Report dokumentiert die Anforderungen und Implementierungen der Informationssicherheit und des Datenschutzes bei Claranet. Der SOC 2 Bericht steht in voller Übereinstimmung mit den in „AT Section 101“ der AICPA festgelegten Richtlinien mit dem Titel „Reports on Controls at a Service Organization over Security, Availability, Processing, Integrity Confidentiality, or Privacy” sowie den „Trust Services Principles and Criteria (TSPC)”. Die Prüfung und Erstellung des SOC 2 Typ II Reports erfolgt nach dem International Standard on Assurance Engagements No. 3402 (ISAE 3402), “Assurance Reports on Controls at a Service Organization“ des International Auditing and Assurance Standards Board (IAASB).
Darüber hinaus wurde Claranet von einem externen Datenschutzbeauftragten (Mitglied der Gesellschaft für Datenschutz und Datensicherheit) für die erfolgreiche Umsetzung von technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit nach der Methodik CHECK 11 der GDD zertifiziert.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
ISO/IEC 27018:2014
Konformität nach §11 BDSG
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Claranet wurde von einem externen Datenschutzbeauftragten (Mitglied der Gesellschaft für Datenschutz und Datensicherheit) für die erfolgreiche Umsetzung von technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit nach der Methodik CHECK 11 der GDD zertifiziert.
Claranet hat ein Informationssicherheitsmanagementsystem (Information Security Management System - ISMS) eingeführt, welches die Anforderungen des internationalen Standards ISO/IEC 27001:2013 erfüllt, und die internationalen Anwendungsregeln für den Schutz von Personenbezogenen Daten (PII) in Public Clouds (ISO/IEC 27018:2014) berücksichtigt.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Die Housing Services von Claranet wurden zusätzlich nach den Vorgaben des „Payment Card Industry Data Security Standard (PCI DSS)“ in der Version 3.2 zertifiziert. PCI DSS ist der gemeinsame, weltweit gültige IT-Sicherheitsstandard der führenden Kreditkartenunternehmen.
Neben dem ISMS betreibt Claranet ein Business Continuity Management System (BCMS) nach den Anforderungen des internationalen Standard ISO/IEC 22301:2012. Der Standard definiert Maßnahmen für die betriebliche Kontinuität, die Claranet vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Beschreibung
Nach Absprache und Voranmeldung können Kundenaudits beispielsweise nach den Verfahren „ISMS-Audits gemäß ISO 27001“ und „Datenschutz-Audits gemäß DSGVO“ durchgeführt werden.
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Sonstiges
Maximale Downtime in Stunden
Störungspriorität 1: MTTR 2 bzw. 3 Stunden (inner-/außerhalb der Geschäftszeiten); Störungspriorität 2: MTTR 4 bzw. 6 Stunden (inner-/außerhalb der Geschäftszeiten); Störungspriorität 3: MTTR 8 bzw. 12 Stunden (inner-/außerhalb der Geschäftszeiten)
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
< 1 Arbeitstag
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
Die Leistungen der Claranet beinhalten eine Vielzahl an unterschiedlichen, mit den Kundenanforderungen abgestimmte Services, welche mit Hilfe übergeordneter Prozesse und Leistungen bereitgestellt werden.
Folgende Leistungen lassen sich unter dem Begriff Basisbetrieb zusammenfassen:
- Bereitstellung des Service
- Basis-Monitoring der am Service beteiligten Komponenten
- Incident Management im Störungsfall
- Problem-Management
- Installation von Patches und Updates (sofern relevant)
- Kapazitätsüberwachung
- Koordination von Changes
- Anlegen und Verwaltung von Nutzern
- Systemhärtung
- Eskalationsverfahren
Werden Trainings angeboten?
Ja
Trainingspartner
Technische Workshops werden standardmäßig im Rahmen des Service Managements organisiert.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
By the user himself
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Claranet betreibt ein Business Continuity Management System (BCMS) nach den Anforderungen des internationalen Standard ISO/IEC 22301:2012. Der Standard definiert Maßnahmen für die betriebliche Kontinuität, die Claranet vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt.
Backups
Beschreibung der Backup-Optionen
Standardmäßig sichert Claranet alle Daten, die dazu erforderlich sind, ein System innerhalb der in den SLA definierten Zeit wieder voll funktionsfähig zur Verfügung zu stellen, für einen Tag. Auf Kundenwunsch kann die Aufbewahrungszeit der Backups auf 30 Tage ausgedehnt werden. Darüber hinaus sind spezifische Sicherungspläne für Kundenumgebungen möglich. Für jedes zu sichernde System wird, ausgehend vom Sicherungsplan, ein Sicherungskonzept erstellt und in der betrieblichen Dokumentation für das jeweilige System beschrieben.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Systeme werden gemäß der Vertraulichkeit und dem Datenschutz der Informationen, die auf den Systemen abgelegt sind, klassifiziert. Basierend auf dieser Klassifikation werden die Systeme dann konfiguriert und gehärtet.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Ja
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Ja
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Das Incident Management von Claranet ist an ITIL angelehnt und hat zum Ziel, den vereinbarten Service gegenüber dem Business so schnell wie möglich wiederherzustellen. Ein Security Incident liegt bei der akuten Bedrohung bzw. bei einer Verletzung der Informationssicherheit vor. Bei einer Sicherheitsgefährdung ist entweder die Vertraulichkeit oder die Integrität der Daten beeinträchtigt. Mitarbeiter der Claranet, Kunden, Lieferanten und sonstige externe Dritte melden Security Incidents an den Claranet Service Desk, dieser erstellt ein Security Incident Ticket. Alle Incidents werden anhand definierter Kriterien klassifiziert und zur Behebung an die verantwortliche Fachabteilung weitergeleitet. Auf Grund ihrer besonderen Bedeutung wird das Anlegen eines Security Incident Tickets auch automatisch dem CISO und der Sicherheitsorganisation gemeldet. Sicherheitsvorfälle werden regelmäßig in einem Sicherheitsforum ausgewertet und besprochen.
Über den 24/7 verfügbaren Service Desk, können Security Incidents per E-Mail oder telefonisch an Claranet gemeldet werden:
https://www.claranet.de/support
Kunden haben bei Bedarf die Möglichkeit den Status eines Tickets über ein Online Portal einzusehen. Zusätzlich werden Änderungen am Ticket per E-Mail an einen bei Claranet hinterlegten Kontakt versendet. Bei Claranet initiierten Security Incidents erhalten betroffene Kunden ebenfalls Informationen über die genannten Kommunikationskanäle.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Auf der Managed Private Cloud geht Claranet auf die individuellen Wünsche des Kunden hinsichtlich Verschlüsselung ein. Vollverchlüsselung der VMs mittels Bitlocker oder LUKS oder die Verschlüsslung des Storage sind möglich. Der Zugriff auf die Systeme ist grundsätzlich über SSH oder IPsec verschlüsselt. Sämtliche Transportwege für die Kommunikation können ebenfalls über TLS/SSL verschlüsselt werden. Wenn es um sensitive Daten geht, wird dies von Claranet standardmäßig durchgeführt.
Optionen für das Key-Management
Encryption keys are managed by the provider
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
a company-wide rights and roles concept is applied
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Vertrag zur Auftragsdatenvereinbarung gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
a written / electronic contract is offered in accordance with Art 28 DSGVO
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Yes
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Certificate on data protection and / or information security (eg ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Um auf die Anfragen eines Betroffenen angemessen reagieren zu können hat Claranet entsprechende Prozesse zur Wahrnehmung der Betroffenenrechte implementiert. Diese sind in der Sicherheitsrichtlinie - Security Prozesse beschrieben.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Bei der Nutzung der Managed Cloud von Claranet werden keine weiteren Links auf Daten und Datenkopien in der Cloud erzeugt. Die VMs werden dediziert für die Kunden bereitgestellt.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Yes