netrics erreicht einen neuen Meilenstein in Sachen Sicherheit und Datenschutz in der Cloud: Diesen Oktober wurden der Cloud der netrics AG die ISO Zertifikate 27017 Cloud Security und 27018 Cloud Datenschutz verliehen. Zugleich wurden im Rahmen der Rezertifizierungsaudits auf Ebene des Gesamtunternehmens die ISO Zertifikate 9001 Qualitätsmanagement, 20000 IT Service Management und 27001 Information Security neu ausgestellt.
Die vor wenigen Jahren ins Leben gerufenen Zertifizierungen gehen weit über rein technische Standards hinaus. Sie sind ein Beleg dafür, dass Cloud-Anbieter wie netrics die Vereinbarkeit ihrer Cloud-Angebote mit datenschutzrechtlichen Anforderungen verlässlich und transparent nachweisen können. Davon profitieren insbesondere die Nutzer von Cloud-Diensten: Wenn die Normen eingehalten werden, können Kunden davon ausgehen, dass alle wesentlichen Punkte bezüglich der Sicherheit bei dem jeweiligen Service auch berücksichtigt werden. Wichtigstes Instrumentarium für die Umsetzung der Anforderungen ist das firmeninterne Sicherheitsmanagementsystem, bestehend aus einem umfangreichen Katalog aus Controls, welches so konzipiert ist, dass die Einhaltung der internationalen Standards jederzeit gewährleistet ist.
Die ISO 27017 beschäftigt sich mit der Informationssicherheit im Bereich des Cloud Computings. Sie ist damit eine Erweiterung und Konkretisierung der ISO 27001/27002 speziell bezogen auf Cloud Computing und zugeschnitten auf die Anbieter von Cloud-Diensten. Eine wesentliche Komponente ist die Einführung Cloud-spezifischer Steuerungsmechanismen und Verhaltenskodizes zur Gewährleistung der Informationssicherheit. Die ISO 27017 spezifiziert auch die Beziehung zwischen Kunden und Cloud-Anbietern und definiert, was Kunden von ihrem Anbieter erwarten können und welche Informationen der Anbieter für Kunden bereithalten muss.
Die ISO 27018 bezieht sich auf den Datenschutz persönlicher Daten in der Cloud. Die Norm dient als Leitfaden für die Implementierung von Steuerungsmechanismen von personenbezogenen Daten, durch die eine Person eindeutig identifiziert werden kann. Der Standard umfasst zudem Kontrollen und Richtlinien für die Schutzanforderungen von personenbezogenen Daten.
Wir sehen die Zertifizierung ISO 27018 auch im Hinblick auf die GDPR (General Data Protection Regulation) – die neue europäische Datenschutzgrundverordnung, die ab Mai 2018 umgesetzt werden muss – als sinnvoll an. Die Norm verlangt umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Cloud-Anbietern, die auch Gegenstand der GDPR sind. Unter anderem muss der Cloud Anbieter laut ISO 27018 geeignete Tools bereitstellen, die die Kunden bei ihrer Verpflichtung unterstützen, den Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können. Weitere wichtige Punkte: Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet. Die Implementierung von verbindlichen Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten, beispielsweise im Falle der Vertragsbeendigung. Die Unterstützung des Kunden bei der Wahrnehmung der Anzeigepflichten im Falle von Verstössen gegen die Datensicherheit. Regelmässige Sicherheitsprüfungen der Cloud-Dienstleistungen durch Dritte.
Informationssicherheit und Datenschutz sind im Bereich von Cloud Diensten enorm wichtig. Als Cloud-Anbieter betreuen wir Kunden aus streng regulierten Branchen, wie beispielsweise Finance, Healthcare, Government und Unternehmen, die in juristischen Bereichen tätig sind. Die Anforderungen an die Compliance sind hier besonders hoch. In der Praxis werden die strengen Normen beispielsweise durch klare Vereinbarungen umgesetzt. Diese definieren im Detail und auf formaler Ebene die Zusammenarbeit und die Prozessabläufe zwischen netrics und ihren Kunden sowie Partnern. Wenn ein Kunde die Cloud-Dienste von netrics in Anspruch nimmt, ist die Einhaltung eines hohen Sicherheitsstandards und des Datenschutzes, der allen gesetzlichen Anforderungen und den innerbetrieblichen Kodizes entspricht, durch das präzise Regelwerk bereits organisiert.
Die ISO 27018 schreibt unter anderem vor, dass personenbezogene Daten ausschliesslich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden dürfen. In der Praxis wird dies wie folgt sichergestellt: Herr Müller von der Musterbank ruft bei netrics an und meldet einen neuen Mitarbeiter. Herr Müller ist netrics jedoch unbekannt und im Agreement nicht als weisungsbefugte Person eingetragen. Die Weisungsbefugnis in diesem Bereich ist Herrn Schmidt zugeteilt. netrics fordert die direkte Kommunikation mit Herrn Schmidt und führt Datenänderungen nur aus, wenn sie von dieser akkreditierten Person verifiziert sind.
Aufgrund der wachsenden Compliance Anforderungen – was die Cloud-Dienste allgemein anbelangt und insbesondere was die Kunden aus regulierten Märkten angeht – hat netrics die Themen Sicherheit und Compliance zur Chefsache erklärt. Hans-Martin Oetiker ist zugleich Chief Compliance Officer und Mitglied der Geschäftsleitung der netrics AG. In seiner Funktion als Chief Compliance Officer kann er unabhängig vom Betrieb und wertneutral Regelwerke und Prozessdefinitionen erarbeiten und einführen. Diese entsprechen den Sicherheitsauflagen, die netrics sehr hoch angesetzt hat, und die laufend an neue Sicherheitsanforderungen angepasst werden. So kann netrics einen State-of-the-Art Sicherheits- und Qualitätsstandard garantieren.
Die Schaffung einer dedizierten Position auf Geschäftsleitungsebene, die für die Einhaltung von Sicherheit und Compliance verantwortlich zeichnet, ist Ausdruck für die Wertschätzung des Kundenbedürfnisses nach höchster Sicherheit. Zugleich entspricht es unserem Engagement, modernste effiziente Technologien und Dienstleistungen aus der Cloud für alle Märkte und Branchen nutzbar zu machen – ganz nach dem netrics Credo: sicher modern arbeiten!
Mit den zwei neuen Zertifizierungen ISO 27017 und 27018 sowie der Erneuerung unserer seit Jahren angewandten ISO-Standards 9001, 20000 und 27001, erreichen wir einen verbrieften Qualitätsstandard, welcher bei lokalen Anbietern so nicht zu finden ist. Damit stärken wir weiterhin das Vertrauen, das uns Kunden und Partner entgegenbringen.
Hinweis: Die Zertifikate für die neuen Zertifizierungen sind derzeit leider noch nicht verfügbar. Wir werden diese auf unserer Website abbilden, sobald der Ausstellungsprozess seitens des Ausstellers abgeschlossen ist.