Während der gesamten Planungsphase der Rechenzentrumsmigration sollte die Einhaltung von Vorschriften oberste Priorität haben. Die Liste der Standards, Richtlinien und Aufsichtsbehörden ist umfassend – und nicht zu vergessen kritisch. In der Regel unterliegen Gesundheitsorganisationen, Finanzinstitute und Technologieunternehmen den strengsten Compliance-Standards. Lassen Sie uns untersuchen, mit welchen Compliance-Standards diese Branchen konfrontiert werden.
SSAE 18 (Statement on Standards for Attestation Engagements)
SSAE 18, das die internen Kontrollen der Finanzberichterstattung regelt, gewährleistet Transparenz bei Geschäfts- und Compliance-Interaktionen. Es ist besonders wichtig für Dienstleistungsunternehmen und wird in der Regel im Rahmen eines SOC-1-Berichts überprüft.
SOC-Berichte
Service Organization Control (SOC) ist eine weit verbreitete Maßnahme zur Kontrolle der Sicherheit von Rechenzentren. Es gibt zwei Formen von SOC-Audits: Typ I bezieht sich auf die Wirksamkeit von Sicherheitskontrollen zu einem bestimmten Zeitpunkt. Typ-II-Audits bewerten die Wirksamkeit von Sicherheitskontrollen über einen festgelegten Zeitraum (in der Regel 6 bis 12 Monate).
- SOC 1: Bei dieser Bewertung wird die Wirksamkeit der internen Kontrollen einer Dienstleistungsorganisation in Bezug auf die Finanzberichterstattung bewertet, um Kundendaten zu schützen.
- SOC 2: Bei SOC 2 werden im Rahmen einer Prüfung die internen Kontrollen in Bezug auf die Sicherheit unter die Lupe genommen, wobei Aspekte wie Datenverfügbarkeit, Vertraulichkeit, Datenschutz und Verarbeitungsintegrität abgedeckt werden.
- SOC 3: Ähnlich wie bei SOC 2 wird bei SOC 3 die Angemessenheit der internen Sicherheitskontrollen überprüft. Der Unterschied besteht darin, dass ein Bericht erstellt wird, der keine spezifischen Details über die Systeme der Organisation preisgibt. Im Gegensatz zu SOC 1 und SOC 2 sind SOC 3-Berichte öffentlich zugänglich und dienen potenziellen Kunden als Mittel zur Beurteilung der Compliance, ohne dass geschäftskritische oder geschützte Informationen preisgegeben werden. Bemerkenswert ist, dass SOC 3-Berichte keine festgelegten Typ-I- oder Typ-II-Klassifizierungen haben.
ISO/IEC 27001: 2013 (Internationale Organisation für Normung/Internationale Elektrotechnische Kommission)
ISO/IEC 27001 ist ein wesentlicher Bestandteil des Risikomanagements im Zusammenhang mit privaten und sensiblen Daten und bewertet wie gut eine Organisation Risiken erkennt, Schwachstellen beim Zugriff und bei der Authentifizierung behebt und fortlaufende Schulungen zur Gewährleistung der Sicherheit von Kundendaten anbietet.
HIPAA/HITECH (Health Insurance Portability and Accountability Act/Health Information Technology for Economic and Clinical Health Act)
HIPAA/HITECH wurde zum Schutz personenbezogener Gesundheitsdaten entwickelt und ist für die digitalisierte Gesundheitsbranche von entscheidender Bedeutung, da es personenbezogene Daten und ePHI abdeckt. Die spezifischen Nachweise für diesen Compliance-Standard sind AT-C 105 & 205.
PCI DSS 4.0 (Payment Card Industry Data Security Standard)
PCI DSS 4.0 ist für jedes Unternehmen, das Kreditkartenzahlungen abwickelt oder Finanzdaten elektronisch speichert, unerlässlich.
DSGVO (Datenschutz-Grundverordnung)
Als umfassendes Datenschutz- und Sicherheitsgesetz wirkt sich die DSGVO seit 2018 auf Organisationen aus, die Geschäfte mit EU- und britischen Bürgern tätigen. Sie gewährt EU-Bürgern das Recht, die Verarbeitung ihrer Daten zu kontrollieren, einschließlich der Benachrichtigung bei der Datenerhebung und des „Rechts auf Vergessenwerden“. Rechenzentren müssen EU-Bürgern den Zugang zu Daten erleichtern und weltweit geltende Datensicherheitsanforderungen einhalten. Die Folgen einer Nichteinhaltung der Vorschriften sind auch nach der DSGVO immens.
Man denke nur an die kostspieligen Auswirkungen dieser Verstöße:
- Amazon: 877 Millionen US-Dollar DSGVO-Strafe
- Zoom: 85 Millionen US-Dollar Vergleich
- Niederländische Steuer- und Zollverwaltung: 4 Millionen US-Dollar DSGVO-Strafe
- WhatsApp: 244 Millionen US-Dollar an kombinierten Strafen von der DSGVO und der irischen Datenschutzkommission