Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel

Transkript

1 Cloud Computing und SaaS - Transparenz und Sicherheit durch das EuroCloud SaaS Gütesiegel Andreas Weiss Direktor EuroCloud Deutschland

2 Netzwerken auf Europäisch. + = EuroCloud SaaS Gütesiegel 2

3 Partner für Deutschland: EuroCloud Deutschland_eco e.v.» gegründet am » als eigenständiger Verein dem eco e.v. angegliedert» Bernd Becker Vorstandsvorsitzender EuroCloud Deutschland Vizepräsident EuroCloud Europe EuroCloud Deutschland_eco e.v.» Andreas Weiss Direktor EuroCloud Deutschland EuroCloud SaaS Gütesiegel 3

4 Netzwerken auf Europäisch» Partner in 12 Ländern» weitere 4 in Planung Gründung am 29.Januar in Paris EuroCloud SaaS Gütesiegel 4

5 EuroCloud Deutschland / Europa oud.org EuroCloud SaaS Gütesiegel 5

6 Definition SaaS» Software as a Service zeichnet sich aus durch Bereitstellung als Mietservice durch einen externen Dienstleister Multimandantenfähigkeit Nutzung mittels Web Browser (zum Teil durch dynamisches Nachladen von PlugIns)» ASP als SaaS vermarktet Meistens klassische Applikation extern betrieben mit Zugriff über Remotedesktop als Übergangslösung EuroCloud SaaS Gütesiegel 6

7 Eine Vielzahl von Lösungen am Markt EuroCloud SaaS Gütesiegel 7

8 Warum ein SaaS Gütesiegel?» Besondere Anforderungen hinsichtlich Vertragsrecht und Compliance 11 Auftragsdatenverarbeitung Bundesdatenschutzgesetz GdPDU und GoB» Der Anwender ist verpflichtet die ordnungsgemäße Datenverarbeitung bei einem Dienstleister zu gewährleisten und steht in der Haftung» Bedenken wegen möglichem Kontrollverlust EuroCloud SaaS Gütesiegel 8

9 Warum EuroCloud als Auditor?» EuroCloud ist eine non profit Organisation und bündelt die Expertise rund um Cloud Computing» EuroCloud besitzt über den eco Verband schon langjährige Zertifizierungserfahrung, z.b. bei Data Center Star Audit» EuroCloud koordiniert die Anforderungen mit den europäischen Partnern für eine einheitliche Zertifizierung in der EU» EuroCloud ist im engen Dialog mit dem BMWI und BSI zu Klärung der rechtlichen Rahmenbedingungen EuroCloud SaaS Gütesiegel 9

10 Grundanforderungen SaaS Gütesiegel» Aussagefähiges Testat für den Anwender zur Auswahlentscheidung» Fokus auf echte SaaS Lösungen (kein ASP)» Audit in Teilstufen von Einstieg bis Premium» Aufwand und Kosten müssen auch für Start-Ups zu bewältigen sein» Neutrale Vergleichbarkeit innerhalb der Kriterien zwischen verschiedenen Anbietern EuroCloud SaaS Gütesiegel 10

11 Prüfkriterien» Betriebssicherheit des Services (Hosting, Drittanbieter, Pro Actives Monitoring, Verfügbarkeit, Datenhaltung und Datenzugriff)» Vertragsgestaltung (Garantien, Compliance, Einstiegs- und Austiegsklauseln, Besitzrechte an Daten)» Kundenakzeptanz (Anzahl Kunden, Kundenfeedback, Nutzungsbreite)» Rahmenbedingungen (Support, Interoperabilität, Evaluationsoptionen, Training, weitere Basiszertifizierungen) EuroCloud SaaS Gütesiegel 11

12 Typische Fragen der Anwender» Hintergrund/Expertise des Anbieters Über welchen IT-Hintergrund verfügt der Anbieter ISV mit um SaaS-Angebot erweiterten Produkt-Portfolio Reiner SaaS-Anbieter Reseller (z.b. vivio.de, SaaS-Distribution) Welche Erfahrung hat der Anbieter mit seiner Lösung in meinem Geschäftsumfeld gibt es Praxisberichte und Anwender mit denen ich mich unterhalten kann? EuroCloud SaaS Gütesiegel 12

13 Fragen zur Standardisierung» Handelt es sich bei der Anwendung um eine wirkliche SaaS-Anwendung? (Mandantenfähig, Zugriff über Internet)» Welche Einrichte-Prozesse sind notwendig» Wie lange dauert es von der Bestellung bis zum Einsatz der Anwendung» Wie weit verpflichte ich mich dem Anbieter sobald ich meine Betriebsabläufe auf die SaaS Anwendung verlagert habe ( vendor lock in )» Je nach Einsatzbereich: Verfügt die Lösung über Standard-Schnittstellen? (z.b. XML-Export bei E-Commerce, Datev bei FIBU, o.ä.)» Wie sieht die Exit Strategie aus? EuroCloud SaaS Gütesiegel 13

14 Fragen zur Datenlokation» Örtlichkeit und Vertragsgestaltung im Innenverhältnis Betreibt der Anbieter ein eigenes Rechenzentrum oder wird das Rechenzentrum von einem Dritten betrieben? Im zweiten Fall, von wem? Wo werden die Daten örtlich gehalten und ist die Einhaltung der rechtlichen Vorgaben auch mit Drittanbietern geregelt? EuroCloud SaaS Gütesiegel 14

15 Fragen zur Betriebssicherheit» Welche Service Level sind garantiert?» Gibt es einen durchgängigen Support? Welche Art von Support wird geboten? (Telefon-Hotline, Online-Support, direkter Ansprechpartner)» Wie wird die Verfügbarkeit gewährleistet?» Wie sehen die Notfallpläne bei einem Ausfall aus? Bei drittem RZ-Betreiber, welcher Einfluss ist bei Ausfall überhaupt möglich? EuroCloud SaaS Gütesiegel 15

16 Fragen zur Datensicherheit» Wer hat Zugriff auf die Daten?» Interne Datenschutzrichtlinien und Policies» Datenschutzbeauftragter» Welche Verschlüsselung für die Übertragung und die Datenhaltung wird eingesetzt?» Wie sind die internen Prozesse zur Einhaltung des Datenschutzes?» Über welche Zertifizierungen verfügt das Rechenzentrum» Wie sieht es mit einem Offline-Backup der Anwendungen und meiner Daten aus? In welchem Zeitabstand werden Backups erstellt? Wie erhalte ich offline Zugriff auf meine Daten? EuroCloud SaaS Gütesiegel 16

17 Fragen zur Compliance» Compliance Wie werde ich vom Anbieter bei der Einhaltung von Compliance Anforderungen unterstützt? Ansprechpartner Absicherung bei Einsatz von Drittanbietern Interne Auditprozesse und Zertifizierungen Datenschutzbeauftragter EuroCloud SaaS Gütesiegel 17

18 Grundlagen des Auditprozesses» Drei mögliche Audit Stufen: Bronze: Prüfung der Elementarkriterien Silber: zusätzliche detaillierte Vertragsanalyse Gold: zusätzlicher Nachweis der internen Maßnahmen zum Betrieb und Datenschutz» EuroCloud erarbeitet einen Self Assessment Fragebogen und stellt Auditoren für Vertragsrecht und technischen Betrieb EuroCloud SaaS Gütesiegel 18

19 Beispiel Data Center Star Audit EuroCloud SaaS Gütesiegel 19

20 Prozessablauf Data Center Star Audit EuroCloud SaaS Gütesiegel 20

21 Nächste Schritte» EuroCloud Open Workshop SaaS Gütesiegel Termin 28. April 2010 Ort: Köln, Vulkangelände Anmeldung über Events» Darauf aufbauend Erstellen der Detailkriterien und Ausarbeitung eines Entwurfs für das Self Assessment Gewichtung der Kriterien für die Gütesiegelstufen und Spezifikation der Zusatzaudits und Ersatzzertifizierungen Erstellen Kompendium zur Erläuterung der Fragenstellung und Bewertungsansätze Pilotzertifizierungen ab Q4/ EuroCloud SaaS Gütesiegel 21

22 Weitere Termine» EuroCloud Open WorkShop am 5. Mai 2010 Grundlagen der betrieblichen Compliance beim Einsatz von SaaS und Cloud Computing im Unternehmen: Fokus Datenschutz» EuroCloud Open Workshop 22. Juni 2010 Cloud Managed Services: Subscription Monitoring Billing Lösungsansätze für automatisierte Anmeldung und Abrechnung EuroCloud SaaS Gütesiegel 22

23 Weitere Fragen? EuroCloud SaaS Gütesiegel 23