Sicherheitszertifikate
Name des Zertifikats
ISO/IEC 27001:2017
ISO/IEC 27017:2015
ISO/IEC 27018:2014
ISO/IEC 22301:2019
ISO/IEC 9001:2015
ISAE 3402 Typ II gemäß AICPA TSC und BSI C5
CHECK 28
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen, etc.
Claranet betreibt ein integriertes Managementsystem (IMS). Dabei handelt es sich um eine einheitliche Struktur aus verschiedenen Bereichen, die Methoden und Instrumente zur Einhaltung der Anforderungen der einzelnen Managementsysteme zusammenfasst. Das IMS von Claranet setzt sich aus Managementsystemen zur Informationssicherheit, Business Continuity, Qualität und Datenschutz zusammen. Claranet kann dadurch sowohl die Verantwortung für die Kundensysteme als auch für die eigenen Systeme übernehmen.
Dokumentierte Ziele und Vorgaben, die ein funktionierendes IMS unterstützen, wurden von der Geschäftsleitung, für alle Mitarbeitenden verbindlich, in Kraft gesetzt und veröffentlicht. Diese beinhalten unter anderem, dass die Vereinbarungen mit den Kunden in Bezug auf Qualität, Verfügbarkeit und Sicherheit bei allen von der Claranet GmbH angebotenen Services permanent eingehalten werden.
Claranet hat ein Informationssicherheits-Managementsystem (Information Security Management System - ISMS) eingeführt, welches die Anforderungen des internationalen Standards ISO/IEC 27001 erfüllt und die empfohlenen Sicherheitsmaßnahmen des „Code of Practice“ für Informationssicherheitsmanagement (ISO/IEC 27002), die internationalen IT-Sicherheitskontrollen in Bezug auf Cloud-Services (ISO/IEC 27017) und die internationalen Anwendungsregeln für den Schutz von personenbezogenen Daten (PII) in Public Clouds (ISO/IEC 27018) berücksichtigt.
Neben dem ISMS betreibt Claranet ein Business Continuity Management System (BCMS) nach den Anforderungen des internationalen Standard ISO/IEC 22301. Der Standard definiert Maßnahmen für die betriebliche Kontinuität, die Claranet vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt.
Ferner hat Claranet ein Qualitätsmanagementsystem (QMS) nach den Anforderungen des internationalen Standards ISO/IEC 9001 eingeführt. Das QMS legt die Mindestanforderungen fest, die Claranet erfüllen muss, um den Erwartungen interner und externer Interessengruppen (z. B. Mitarbeitende, Kunden, Behörden) gerecht werden zu können.
Die Compliance zum Standard ISO/IEC 27001 in Verbindung mit ISO/IEC 27017 und ISO/IEC 27018, zum Standard ISO/IEC 22301 und zum Standard ISO/IEC 9001 wird jedes Jahr durch ein externes Audit und anschließender Zertifizierung bestätigt.
Über das IMS hinaus bietet Claranet seinen Kunden einen Service Organization Controls (SOC) 2 Typ II Report an. Dieser Report dokumentiert die Anforderungen und Implementierungen der Informationssicherheit und des Datenschutzes bei Claranet. Der SOC 2 Bericht steht in voller Übereinstimmung mit den in „AT Section 101“ der AICPA festgelegten Richtlinien mit dem Titel „Reports on Controls at a Service Organization over Security, Availability, Processing, Integrity Confidentiality, or Privacy” sowie den „2017 Trust Services Criteria (TSC)“ und den Kriterienkatalog C5:2020 des BSI. Die Prüfung und Erstellung des SOC 2 Typ II Reports erfolgt nach dem International Standard on Assurance Engagements No. 3402 (ISAE 3402), „Assurance Reports on Controls at a Service Organization“ des International Auditing and Assurance Standards Board (IAASB) und nach dem vom Institut für Wirtschaftsprüfer in Deutschland e. V. verabschiedeten Prüfstandard IDW PS 951 (die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen).
Darüber hinaus wurde Claranet von einem externen Datenschutzbeauftragten (Mitglied des Fachverband Externe Datenschutzbeauftragte e.V.) für die erfolgreiche Umsetzung von technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit gemäß Art. 28 DSGVO nach der Methodik CHECK 28 zertifiziert.
Datenschutz
Geografischer Standort des Rechenzentrums
Datenschutzzertifizierung
ISO/IEC 27018:2014
Konformität nach Art. 28 DSGVO
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Claranet wurde von einem externen Datenschutzbeauftragten (Mitglied des Fachverband Externe Datenschutzbeauftragte e.V.) für die erfolgreiche Umsetzung von technischen und organisatorischen Maßnahmen zum Datenschutz und zur Datensicherheit gemäß Art. 28 DSGVO nach der Methodik CHECK 28 zertifiziert. Claranet hat ein Informationssicherheitsmanagementsystem (Information Security Management System - ISMS) eingeführt, welches die Anforderungen des internationalen Standards ISO/IEC 27001:2017 erfüllt, und die internationalen Anwendungsregeln für den Schutz von personenbezogenen Daten (PII) in Public Clouds (ISO/IEC 27018:2014) berücksichtigt.
Zertifizierung des Rechenzentrums und der technischen Infrastruktur
Weitere Details zum Zertifikat hinsichtlich Prüfumfang, Ausprägungen, Erweiterungen etc.
Neben dem ISMS betreibt Claranet ein Business Continuity Management System (BCMS) nach den Anforderungen des internationalen Standard ISO/IEC 22301:2019. Der Standard definiert Maßnahmen für die betriebliche Kontinuität, die Claranet vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt.
Audits
Durchführung von Audits auf Antrag durch den Anwender
Ja
Beschreibung
Nach Absprache und Voranmeldung können Kundenaudits beispielsweise nach den Verfahren „ISMS-Audits gemäß ISO 27001“ (zusätzliche Kosten entstehen) und „Datenschutz-Audits gemäß DSGVO“ durchgeführt werden.
Verfügbarkeit
Zugesicherte Ende-zu-Ende Service-Verfügbarkeit in Prozent / Jahr
Sonstiges
Maximale Downtime in Stunden
Störungspriorität 1: MTTR 2 bzw. 3 Stunden (inner-/außerhalb der Geschäftszeiten); Störungspriorität 2: MTTR 4 bzw. 6 Stunden (inner-/außerhalb der Geschäftszeiten); Störungspriorität 3: MTTR 8 bzw. 12 Stunden (inner-/außerhalb der Geschäftszeiten)
Support
Garantierte Antwortzeit des Kunden-Supports
4 Stunden
Durchschnittliche Zeit bis zur Problemlösung?
< 1 Arbeitstag
Verfügbarkeit des Kunden-Supports
24/7
Beschreibung der Supportleistungen
Die Leistungen der Claranet beinhalten eine Vielzahl an unterschiedlichen, mit den Kundenanforderungen abgestimmte Services, welche mit Hilfe übergeordneter Prozesse und Leistungen bereitgestellt werden.
Folgende Leistungen lassen sich unter dem Begriff Basisbetrieb zusammenfassen:
- Bereitstellung des Service
- Basis-Monitoring der am Service beteiligten Komponenten
- Incident Management im Störungsfall
- Problem-Management
- Installation von Patches und Updates (sofern relevant)
- Kapazitätsüberwachung
- Koordination von Changes
- Anlegen und Verwaltung von Nutzern
- Systemhärtung
- Eskalationsverfahren
Werden Trainings angeboten?
Ja
Trainingspartner
Technische Workshops werden standardmäßig im Rahmen des Service Managements organisiert. Darüber hinaus werden Trainings zu unterschiedlichen Themen wie Cloud, Microsoft oder SAP angeboten.
Auditierbarkeit
Ist es möglich, dass Audits vom Anwender zu Arbeitsprozessen und organisatorischen Abläufen in Bezug auf Datenschutz- und Sicherheit durchgeführt werden?
Durch den Anwender selbst
Serviceverfügbarkeit
Wie wird die rasche Wiederherstellung der Verfügbarkeit der Kundendaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall garantiert?
Claranet betreibt ein Business Continuity Management System (BCMS) nach den Anforderungen des internationalen Standard ISO/IEC 22301:2019. Der Standard definiert Maßnahmen für die betriebliche Kontinuität, die Claranet vor Störfällen schützt, die Wahrscheinlichkeit dieser Ereignisse verringert und sicherstellt.
Backups
Beschreibung der Backup-Optionen
Standardmäßig sichert Claranet alle Daten, die dazu erforderlich sind, ein System innerhalb der in den SLA definierten Zeit wieder voll funktionsfähig zur Verfügung zu stellen, für einen Tag. Auf Kundenwunsch kann die Aufbewahrungszeit der Backups auf 30 Tage ausgedehnt werden. Darüber hinaus sind spezifische Sicherungspläne für Kundenumgebungen möglich. Für jedes zu sichernde System wird, ausgehend vom Sicherungsplan, ein Sicherungskonzept erstellt und in der betrieblichen Dokumentation für das jeweilige System beschrieben.
Wie wird sichergestellt, dass die Anforderungen zur Wahrung der Vertraulichkeit sich auch auf die Backups erstreckt?
Systeme werden gemäß eines Systemstandards gehärtet und konfiguriert. Dies erstreckt sich ebenfalls auf die Backups.
Service Level Agreements
Wird vertraglich eine dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung zugesichert?
Nein
Wird die Verfügbarkeit und der Zugang der Daten sowie die rasche Wiederherstellung bei einem physischen oder technischen Zwischenfall vertraglich zugesichert?
Nein
Management von Sicherheitsvorfällen
Beschreibung des Prozesses zur Meldung von Datenpannen an den Auftraggeber
Das Incident Management von Claranet ist an ITIL angelehnt und hat zum Ziel, den vereinbarten Service gegenüber dem Business so schnell wie möglich wiederherzustellen. Ein Security Incident liegt bei der akuten Bedrohung bzw. bei einer Verletzung der Informationssicherheit vor. Bei einer Sicherheitsgefährdung ist entweder die Vertraulichkeit oder die Integrität der Daten beeinträchtigt. Mitarbeiter der Claranet, Kunden, Lieferanten und sonstige externe Dritte melden Security Incidents an den Claranet Service Desk, dieser erstellt ein Security Incident Ticket. Alle Incidents werden anhand definierter Kriterien klassifiziert und zur Behebung an die verantwortliche Fachabteilung weitergeleitet. Auf Grund ihrer besonderen Bedeutung wird das Anlegen eines Security Incident Tickets auch automatisch dem CISO und der Sicherheitsorganisation gemeldet. Sicherheitsvorfälle werden regelmäßig in einem Sicherheitsforum ausgewertet und besprochen.
Über den 24/7 verfügbaren Service Desk, können Security Incidents per E-Mail oder telefonisch an Claranet gemeldet werden:
https://www.claranet.de/support
Kunden haben bei Bedarf die Möglichkeit den Status eines Tickets über ein Online Portal einzusehen. Zusätzlich werden Änderungen am Ticket per E-Mail an einen bei Claranet hinterlegten Kontakt versendet. Bei Claranet initiierten Security Incidents erhalten betroffene Kunden ebenfalls Informationen über die genannten Kommunikationskanäle.
Verschlüsselung
Welche Verschlüsselungstechniken zur Verschlüsselung der Datenübertragung und -Speicherung können angewendet werden?
Auf der Managed Private Cloud geht Claranet auf die individuellen Wünsche des Kunden hinsichtlich Verschlüsselung ein. Vollverchlüsselung der VMs mittels Bitlocker oder LUKS oder die Verschlüsslung des Storage sind möglich. Der Zugriff auf die Systeme ist grundsätzlich über SSH oder IPsec verschlüsselt. Sämtliche Transportwege für die Kommunikation können ebenfalls über TLS/SSL verschlüsselt werden. Wenn es um sensitive Daten geht, wird dies von Claranet standardmäßig durchgeführt.
Optionen für das Key-Management
Encryption-Keys werden durch den Anbieter verwaltet
Identity- und Accessmanagement
Welches Rechte- und Rollenkonzept wird angewendet?
es wird ein unternehmensweites Rechte - und Rollenkonzept angewendet
Technische und organisatorische Maßnahmen
Wie erfolgt die angemessene Umsetzung der technischen und organisatorischen Maßnahmen laut DSGVO?
Umsetzung erfolgt durch Auftragsverarbeitungsvertrag (AVV) gem. Art. 28 DSGVO
Formale Datenschutzanforderungen
Wird ein ADV-Vertrag bzw. Rechtsakt basierend auf den EU-DSGVO Anforderungen mit dem Kunden vereinbart?
ein schriftlicher/elektronischer Vertrag wird gemäß Art.28 DSGVO angeboten
Wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt sofern diese für den Auftraggeber notwendig
ist? (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.)
Ja
Nachweispflichten
Welche der folgenden Nachweise können mit geeigneten Mitteln gemäß dem ADV-Vertrag dem Auftragsgeber zur Überprüfung zur Verfügung gestellt werden?
Zertifikat zu Datenschutz und/oder Informationssicherheit (z. B. ISO 27001)
Umsetzung der Betroffenheitsrechte
Wie wird sichergestellt, dass die Anforderungen aus der DSGVO zur Umsetzung der Betroffenheitsrechte, wie z.B. das Löschen von personenbezogenen Daten gewährleistet werden können?
Um auf die Anfragen eines Betroffenen angemessen reagieren zu können hat Claranet entsprechende Prozesse zur Wahrnehmung der Betroffenenrechte implementiert. Diese sind in der Sicherheitsrichtlinie - Security Prozesse beschrieben.
Wie wird sichergestellt, dass bei Vertragsende nicht nur die Daten gelöscht werden, sondern auch Links auf die betreffenden Daten und Datenkopien in der Cloud?
Bei der Nutzung der Managed Cloud von Claranet werden keine weiteren Links auf Daten und Datenkopien in der Cloud erzeugt. Die VMs werden dediziert für die Kunden bereitgestellt.
Mitarbeiter
Ist die Verpflichtung aller die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO vertraglich definiert?
Ja