Microsoft erkennt immer mehr, dass Vertrauen in die angebotenen Dienste das A & O beim Einsatz in Unternehmen bedeutet. Deswegen absolviert Microsoft zwei neue ISO 27018 und HITRUST CSF Zertifizierungen für Office 365 und Azure. Die erste betrifft die Verwendung personenbezogener Daten durch den Office 365 und Azure Dienst (ISO 27018). Die HITRUST Zertifizierung garantiert das Sicherheitsmanagement mit personenbezogenen Daten in Unternehmen, speziell für den US-Gesundheitsbereich.
Was bringen die neuen Zertifizierungen für Kunden?
Die Zertifizierungen zielen beide auf den sicheren Umgang bei der Verarbeitung personenbezogener Daten in Office 365 und Azure ab. Interessant ist dies deshalb, weil dies unabhängige Organisationen zertifizieren, die dafür mit ihrem Namen stehen. Auch aConTech Kunden können sich deshalb darauf verlassen, dass ihre personenbezogenen Daten sicher in der Cloud gespeichert und verarbeitet werden.
Was ist die ISO 27018 compliance Zertifizierung?
Die ISO 27018 Zertifizierung ist eine neue Komponente der bekannten ISO 27001 Zertifizierung und wurde von der International Organization for Standardization (ISO) am 30. Juli 2014 verabschiedet.
Folgende Anforderungen werden an den Cloud Dienst gestellt:
- Zustimmung: Cloud Service Provider dürfen ohne ausdrückliche Zustimmung des Kunden die verarbeiteten und gespeicherten Daten keinesfalls für Werbe- oder Marketingzwecke verwenden
- Kontrolle: Kunden haben die Kontrolle, wie ihre Daten genutzt werden
- Transparenz: Cloud Service Provider müssen Kunden informieren, wo ihre Daten liegen, involvierte Subunternehmer offenlegen und klare Verpflichtungen abgeben, wie Daten verarbeitet werden.
- Kommunikation: Im Falle eines Verstoßes müssen Cloud Service Provider Kunden informieren und klare Aufzeichnungen über den Zwischenfall und die Antwort darauf bereithalten.
- Unabhängige und jährliche Überprüfungen: Ein erfolgreicher Audit, durchgeführt von einem unabhängigen Dritten, dem sich der Cloud Service Provider selbst stellen muss, ist Voraussetzung für die Zertifizierung.
Ein unabhängiger Zertifizierer und Prüfer bescheinigt dem Dienst dabei, dass er dem ISO 27018 Standard zum Schutz personenbezogener Daten in Public Clouds entspricht. Die drei wichtigsten Feststellungen für Office 365 und Azure sind:
- Office 365 und Azure sind werbefrei. Kunden müssen dabei nicht befürchten, dass ihre eingegebenen Daten zu Werbezwecken oder Marketingzwecken ausgewertet und verwendet werden. Die personenbezogenen Daten werden ausschließlich für die Bereitstellung der Dienste verwendet.
- Es gibt innerhalb von Microsoft definierte Richtlinien und Prozesse für das Zurückgeben, den Transfer und die Entsorgung personenbezogener Daten
- Microsoft teilt für Office 365 und Azure proaktiv und offen die Identitäten von Subunternehmern mit
Die beiden Dienste Office 365 und Azure sind damit laut Microsoft die ersten Public Cloud Dienste überhaupt, die die ISO 27018 Zertifizierung erhalten.
Hinweis: Diese Zertifizierung und Punkte gelten nicht für alle Microsoft Cloud-Dienste, insbesondere nicht für die kostenfreien Dienste für Privatkunden, die werbefinanziert sind.
Übrigens: Neben Office 365 und Azure haben die Zertifizierung ebenso die Dienste Dynamics CRM Online und Microsoft Intune erhalten.
Was bedeutet HITRUST konform?
HITRUST ist eine Vereinigung in den USA, die z.B. das Common Security Framework (CSF) bereitstellt. Das CSF kann von allen Organisationen verwendet werden, die persönliche Gesundheitsdaten oder Finanzdaten erheben, speichern, austauschen oder darauf zugreifen. HITRUST verwendet ein Rating Schema, mit dem das Sicherheitsmanagement einer Organisation bewertet wird.
Der unabhängige Prüfer hat Microsofts Sicherheitsmanagement mit fünf von fünf möglichen Sternen ausgezeichnet.
Hinweis: Weitere Informationen zum Common Security Framework finden Sie auf der Homepage von HITRUST.
aConTech setzt auf Microsoft Cloud Services, weil wir von deren Sicherheit, Stabilität, Verfügbarkeit und Zuverlässigkeit absolut überzeugt sind. Wenn Sie tiefer gehende Fragen zu Sicherheitsfunktionen und Richtlinien bei Microsoft intern haben, kommen Sie gerne auf uns zu!