Issuu on Google+

Ist SaaS sicher? connecting business & technology


devoteam

Ist SaaS sicher?

Relevante Fragen Im Zusammenhang mit SaaS kommt immer wieder die Frage nach Sicherheit auf. Neben der Datensicherheit adressiert diese Frage auch das Thema Rechtssicherheit. Rechtssicherheit hinsichtlich Datenschutzrecht und/oder Compliance-Anforderungen.

Wie werden Kunden den Vorgaben des Datenschutzrechtes hinsichtlich der Übermittlung von Daten gerecht? Wenn personenbezogene Daten in der Cloud verarbeitet werden, die unter die EU- Datenschutzrichtlinie bzw. unter das Bundesdatenschutzgesetz (BDSG) fallen, ist der SaaSProvider Auftragsdatenverarbeiter im Sinne der §§ 9, 11 BDSG und des Art. 17 der EU-Datenschutzrichtlinie, denn der SaaS-Provider verarbeitet Daten im Auftrag des Kunden. Daher müssen für die Vertragsgestaltung die Vorgaben des BDSG

berücksichtigt werden. Der SaaSVertrag muss deshalb mindestens Klauseln enthalten, die dem § 11 Abs. 2 BDSG und dem Art. 17 EGDatenschutzrichtlinie entsprechen. Zusätzlich sollten Unternehmen auch den Speicher-und Verarbeitungsort ihrer Daten genau festlegen und Übermittlungsverbote ihrer Daten in unsichere Drittstaaten vereinbaren. ServiceNow schließt auf Wunsch entsprechende Verträge zur Auftragsdatenverarbeitung ab.

Der Begriff der personenbezogenen Daten ist im Bundesdatenschutzgesetz und in der EG-Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) definiert. Innerhalb einer IT-ServiceManagement-Lösung fallen immer personenbezogene Daten an (z.B. bei der Erstellung eines Tickets oder beim Speichern von E-Mails, die im Bearbeitungsprozess aufkommen).

Müssen die Services in deutschen Rechenzentren erbracht werden? Bei der Übermittlung personenbezogener Daten ins Ausland, sind besondere gesetzliche Bestimmungen zu beachten. Personenbezogene Daten dürfen in die Mitgliedstaaten der Europäischen Union unter den gleichen Voraussetzungen übermittelt werden wie innerhalb der Bundesrepublik Deutsch-

land. Ein Rechenzentrum innerhalb Deutschlands ist nicht erforderlich. Eine Datenübermittlung in das NichtEU-Ausland ist in einem engen rechtli­­ chen Rahmen möglich. Für ein unkompliziertes Verfahren empfiehlt es sich aber, diese per Vertrag auszuschließen.

ServiceNow bietet für Europa eigene Rechenzentrumsstandorte an und Kunden können so eine Übermittlung von Daten außerhalb der EU vertraglich ausschließen. Die datenschutzrechtliche Konformität eines SaaS-Angebots kann durch Zertifizierungen nachgewiesen bzw. bestätigt werden.

Welche Zertifikate sichern Kunden ab? Hierbei ist hinsichtlich der jeweiligen Zertifikate nach IT-Sicherheit oder Datenschutz zu unterscheiden, denn IT-Sicherheit bedeutet nicht Datenschutzkonformität und umgekehrt. Nach unserer Kenntnis gibt es derzeit keinen Standard für Datenschutz gemäß § 9a BDSG. Das Bundesdatenschutzgesetz sieht in § 9a das Verfahren eines Datenschutzaudits zwar vor, die näheren Anforderungen an die Prüfung und Bewertung des Verfahrens sowie die Auswahl und Zulassung der Gutachter müssen aber noch durch ein besonderes Gesetz geregelt werden.

3

Ein für IT-Sicherheit zertifizierter SaaS-Provider muss damit immer noch nicht zwingend auch die ComplianceAnforderungen für die in die Cloud ausgelagerten Prozesse für das Finanzberichtswesen der Kunden erfüllen. Unternehmen sollten davon ausgehen, dass innerhalb einer IT-ServiceManagement-Lösung früher oder später auch Finanzdaten vorgehalten werden. Relevante Zertifikate sind: • Datenschutz – noch durch den Gesetzgeber zu regeln • IT-Sicherheit – ISO 27001 / PCI DSS Level 2 • Compliance – SSAE16 SOC1 Type 1

Die Rechenzentren von ServiceNow haben alle diese Zertifikate. Die „Behördenrechenzentren“ in den USA werden zudem nach den strengen Richtlinien des Federal Information Security Management Act gemäß NIST 800-53 zertifiziert, um den Datensicherheits- und Datenschutzbedürfnissen der US-Amerikanischen Regierungsorganisationen zu entsprechen. Von den dafür notwendigen Sicherheitsmaßnahmen partizipieren alle Kunden von ServiceNow und das weltweit, denn alle Rechenzentren sind identisch aufgebaut.

devoteam

connecting business & technology


Ist SaaS sicher?

devoteam

Wie sind Daten gegen unberechtigten Zugriff geschützt? Die Sicherheit der Rechenzentrumsinfrastruktur und der Daten gehören zum Kerngeschäft von ServiceNow. Ergänzend zu den bereitgestellten Schutzmaßnahmen durch die zertifizierten Rechenzentrumsbetreiber sorgt ein dediziertes Expertenteam kontinuierlich für zusätzliche Sicherheit. Zu den Sicherheitsmaßnahmen gehören unter anderem SSL-PasswortVerschlüsselung, Zutrittskontrolle, tägliche Audits sowie ein Angriffserkennungs- und ein Sicherheitsüberwachungssystem.

Für Kunden mit höchsten Sicherheitsanforderungen stehen optionale Leistungen wie komplette Verschlüsselung der Datenbank oder dedizierte Hardware zur Verfügung. Da sich Hacker nahezu täglich neue Einbruchsmethoden einfallen lassen, führt ServiceNow zwischen 50 und 100 Penetration-Tests jährlich durch, um die Sicherheit Ihrer Daten auch gegen neue Angriffsmethoden sicherzustellen.

Diese Tests werden auf vier verschiedenen Wegen durch unterschiedliche Organisationen durchgeführt: • White Hat Security Development Testing (Dienstleister) • Hailstorm Development Testing (durch ServiceNow-Experten) • Annual Penetration Testing (Dienstleister) • Customer Penetration Testing (durch ServiceNow-Kunden) Kunden können im Rollen- und Rechtekonzept von ServiceNow bis auf Feldebene festlegen, wer innerhalb der Organisation Zugriff auf welche Daten erhält.

Wie verfügbar sind die Kunden-Daten? Um Systeme und Daten verfügbar zu halten, trifft ServiceNow die üblichen Schutzvorkehrungen gegen mögliche Ausfälle. Umgebungsbedingungen wie Feuchtigkeit, Temperatur oder Rauchentwicklung werden, ebenso wie das Heizungs-, Lüftungs- und Kühlungssystem, ständig überwacht. Zudem gibt es ein Frühwarnsystem gegen Brände. Die Stromversorgung wird stetig kontrolliert und durch zwei redundante, unterbrechungsfreie Stromversorgungen sowie ein Batteriebackupsystem sichergestellt. Zu jedem ServiceNow-Rechenzentrum existiert ein zugeordnetes „Backupzentrum“ in dem die KundenDaten in Near-Real-Time repliziert werden. Über einen Disaster-Recovery-Prozess wird bei Ausfall eines Rechenzentrums der Service in diesem Rechenzentrum aufrechterhalten.

Die beide Zentren sind hochverfügbar aufgebaut. Zusammen mit den Fail-over-Mechanismen des DisasterRecovery-Prozesses gibt es eine erweiterte Hochverfügbarkeit.

Zusätzlich wird die Datenbank in jedem der Rechenzentren einmal wöchentlich vollständig und täglich inkrementell gesichert. Es werden vier Kopien der Kunden-Daten in zwei räumlich getrennten Rechenzentren vorgehalten.

Konzept der Advanced High Availibility Vor HA failover Internet London RZ App

App

Nach HA failover Internet

DNS

DNS

Amsterdam RZ App

JDBC

London RZ

App

App

JDBC

App

JDBC

Amsterdam RZ App

App

JDBC

DB

DB

DB

DB

Passive (read-only)

Active (read-write)

Passive >> Active (read-write)

Aktive >> Passive (read-only)

Master-Master MySQL binlog replication

Master-Master MySQL binlog replication

Wie werden Kunden gegen Datenverlust geschützt? Die Kunden-Investitionen in spezifische Anpassungen sind ebenso schützenswert, wie die im Laufe der täglichen Arbeit mit den ServiceNowProzessen entstandenen Daten.

Zusätzlich zu den Schutzmaßnahmen in den Rechenzentren können Kunden Code Backups mithilfe von Update Sets nach Belieben vornehmen sowie zweimal im Jahr

Data Backups exportieren, um eine Sicherheitskopie im Unternehmen aufbewahren zu können.

Wie können Kunden die getätigten Investitionen absichern? Kunden können das Risiko soweit wie möglich minimieren, indem sie auf einen wirtschaftlich starken Partner mit großer Kundenbasis setzen. connecting business & technology

devoteam

Von namhaften Analysten wird ServiceNow als der führende Anbieter von ITSM-as-a-Service geführt. Der SaaS-Anbieter hat weltweit 1.500

Kunden, davon über 115 der 2.000 größten Unternehmen der Welt.

4


Wo gibt es weitere Informationen? http://www.bitkom.org/files/documents/20060418_Band__2_Auslandsgeschaeft_Uebermittlung_personenbezogener_Daten.pdf http://www.bitkom.org/files/documents/Mustervertragsanlage_zur_Auftragsdatenverarbeitung_v_3_0.pdf http://wiki.servicenow.com/index.php?title=Security Bundesdatenschutzgesetz EU Richtlinie 95/46/EG

Devoteam GmbH, Gutenbergstrasse 10, 64331 Weiterstadt. T: +49 (6151) 868-0 www.devoteam.de


Ist SaaS sicher?