225
entsprechen den normalen IT‐Sicherheitsanforderungen.
Schutzmaßnahmen gegen externe Angriffe sind vorhanden und
entsprechen zum Zeitpunkt der Auditierung den Anforderungen der
ISO 27001.
Die direkten Zugriffe durch Administratoren sind eingeschränkt, und
für Einzelzugriffe erfolgt eine Anonymisierung von
Transaktionsdaten gegenüber den Benutzerprofilen. Hierzu
bestehen auch entsprechende Verfahrensdokumentationen, die
dem Kunden bei Bedarf zur Verfügung gestellt werden.
Sofern nicht durch andere Maßnahmen die Langzeitarchivierung von
Kundendaten im Sinne der Grundsätze zum Datenzugriff und der
Prüfbarkeit digitaler Unterlagen umgesetzt wird, werden durch den
Anbieter die Archivierungs‐ und Bereitstellungsfunktionen von
Kundendaten im Umfang der gesetzlichen Anforderungen erfüllt.
Fünf‐Sterne‐Zertifizierung
Ergänzend zu den vorgenannten Anforderungen sind folgende
Pflichtkriterien erfüllt:
Der Anbieter verfügt über eine redundante Bereitstellung des
Serviceangebotes über mindestens zwei Rechenzentren mit einer
Verfügbarkeit von 99,99 Prozent und einer hochausfallsicheren
Infrastruktur.
Es werden regelmäßig (mindestens einmal pro Jahr) Notfallübungen
gemäß BS 25999 durchgeführt und dokumentiert.
Es werden regelmäßig (mindestens einmal pro Jahr)
Penetrationstests zum Nachweis der Sicherheitsfunktionen
durchgeführt und dokumentiert.
Der Anbieter verfügt über ein variables Preismodell und erlaubt auch
im laufenden Vertrag den Wechsel in ein allgemein angebotenes,
günstigeres Vertragsmodell zu den jeweiligen Laufzeitkonditionen
(
Best‐Price‐Option).
EuroCloud Star Audit
Die vorgenannte Zertifizierung ist ein Best‐Practice‐Ansatz, um die wichtigen
Managementfragen bei der Auswahl eines geeigneten Cloud‐Anbieters zu
beantworten. In Abgrenzung zu reinen Sicherheits‐ oder
Datenschutzzertifizierungen wird hier der gesamte Bereich berücksichtigt