Sicherheitszertifikate einfach erklärt

December 5, 2016 Andreas Eppler

SOC (Service Organisation Controls), auch bekannt als SSAE 16 (Statement on Standards für Attestation Engagements No. 16) wurden 2010 ins Leben gerufen. Die Vorgaben beschreiben dabei eine Serie von messbar nachvollziehbaren Standards, die einschlägige Informationen über Serviceunternehmen gewähren. SOC-Reports durchlaufen dabei einen ähnliches Prüfungsverfahren wie bei der ISO-Norm.

;

Unterschieden wird hier jedoch zwischen SOC 1 und SOC 2. Der SOC 1-Report überprüft daher ein Unternehmen auf die Sicherheit und vor allem Effektivität seines Kontrollsystems zu einem bestimmten Datum. Der SOC 2-Report ist besser, aber langwieriger und findet daher seltener Anwendung. Denn hier werden die eingesetzten Systeme über einen Zeitraum hinweg von mindestens einem halben Jahr geprüft, um eine bessere Evaluation zu generieren. Es ist nicht notwendig beide Reports nachzuweisen, da anders als bei der ISO-Unterscheidung hier auch SOC 1 als eine gute Maßeinheit betrachtet werden kann. Allerdings verspricht ein Nachweis über beide Reports besondere Sicherheit.

;

FedRAMP

;

Das FedRAMP (Federal Risk and Authorization Management Program) ist ein Prozess, der von US-Agenturen entwickelt wurde, um Sicherheit bei der Auskunft und den Vergleich geeigneter Anbieter von Cloud-Computing-Systemen zu generieren. Es basiert dabei auf Grundlage eines Programms der US-Regierung, dessen Prüfung und anschließende Zertifizierung Jahre in Anspruch nimmt. Wer dann aber über ein FedRAMP-Siegel verfügt, erfüllt sehr hohe Sicherheitskriterien, das Nonplusultra sozusagen. Da dieses Verfahren aber sehr auf die USA zugeschnitten ist, findet man es auch vornehmlich bei Anbietern aus Nordamerika. Eine Liste zeigt auf, welche Anbieter den Prozess durchlaufen und überstanden haben.

;

CSA CCM

;

Die CSA CCM (Cloud Security Alliance Cloud Controls Matrix) ist ebenfalls ein angesehenes Prüfungsverfahren. Die angebotene Matrix ist ein Grundgerüst, welches ebenfalls vom CSA konstruiert wurde und ist mit vielen anderen Sicherheitsstandards – die hier bereits erläutert wurden – vernetzt. Cloudanbieter müssen nicht über diesen Rahmen verfügen, aber wenn sie es tun, zeigt es, dass Ihnen Sicherheit am Herzen liegt und sie jeden Schritt einleiten, um dies nach außen hin zu kommunizieren.

;

PCI

;

PCI DSS (Payment Card Industry Data Security Standard) ist ein Regelwerk im Zahlungsverkehr, das sich hauptsächlich auf die Abwicklung von Kreditkartentransaktionen fokussiert. Handelsunternehmen und Dienstleister, die Kreditkarten-Transaktionen speichern oder abwickeln, müssen die vorgegebenen Regelungen erfüllen. Erfüllen sie diese Anforderungen nicht, können Strafgebühren verhängt werden oder ihnen wird letztlich die Akzeptanz von Kreditkarten untersagt.

;

Die Regelungen bestehen aus einer Liste von zwölf Anforderungen. PCI basiert auf dem Visa-Account-Information-Security-Programm, dem SDP, der Discover Information Security and Compliance (DISC) und den JCB-Sicherheitsregeln.

'>Andreas Eppler

Vorheriger Artikel
Drei Wege wie Sie Überflieger vor dem Wegfliegen bewahren
Drei Wege wie Sie Überflieger vor dem Wegfliegen bewahren

Sascha Grosskopf

Nächster Artikel
Sollten Mitarbeiter wie Kinder behandelt werden? Teil II
Sollten Mitarbeiter wie Kinder behandelt werden? Teil II

Andreas Eppler