Cloud Security AUDITOR-Zertifizierung (7)

Cloud Security AUDITOR-Zertifizierung (7)

08/2019

 

Nr. 3 – Sicherstellung der Weisungsbefolgung

Kapitel II: Kriterien und Umsetzungsempfehlungen für die Auftragsverarbeitung

 

Rechte und Pflichten des Cloud-Anbieters

 

Nr. 3 – Sicherstellung der Weisungsbefolgung (Art. 28 Abs. 3 Satz 2 lit. a; 29 DSGVO)

 

Kriterium

 

Schutzklasse 1

  1. Der Cloud-Anbieter führt die Datenverarbeitung im Auftrag ausschließlich auf dokumentierte Weisung des Cloud-Nutzers aus.
  2. Der Cloud-Anbieter gewährleistet, dass die Verarbeitung der Daten des Cloud-Nutzers nur nach Maßgabe der Weisungen des Cloud-Nutzers erfolgt. Er schließt im Regelfall Abweichungen von den Weisungen aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter aus. Gegen vorsätzliche Manipulationen von Weisungen ist ein Mindestschutz vorzusehen, der diese erschwert.
  3. Im Rahmen von standardisierten Massengeschäften gewährleistet der Cloud-Anbieter die Einhaltung einer konkreten und nachvollziehbaren Dienstbeschreibung zu den von ihm technisch ausführbaren Dienstleistungen, sodass der Cloud-Nutzer den Cloud-Anbieter durch seine Auswahl für eine Auftragsverarbeitung anweisen kann. Zudem ermöglicht er dem Cloud-Nutzer, Weisungen mittels Softwarebefehlen zu erteilen, die automatisiert ausgeführt und dokumentiert werden.

Schutzklasse 2

  1. Die Kriterien von Schutzklasse 1 sind erfüllt.
  2. Der Cloud-Anbieter schließt ein Abweichen von den Weisungen durch zu erwartende vorsätzliche Eingriffe hinreichend sicher aus und stellt Eingriffe im Regelfall (nachträglich) fest.

 

Schutzklasse 3

  1. Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
  2. Der Cloud-Anbieter schließt Abweichungen von den Weisungen des Cloud-Nutzers hinreichend sicher aus, und protokolliert fortlaufend und umfassend Administratorenzugriffe.

 

Umsetzungshinweis
Der Cloud-Anbieter unterweist alle Mitarbeiter, deren Tätigkeiten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten stehen, in die vertraglich dokumentierten Weisungen (Art. 29 DSGVO) und stellt auch in einer etwaigen Datenverarbeitungskette die Weisungsbefolgung sicher. Der Cloud-Anbieter hat regelmäßig zu kontrollieren, ob die Weisungen des Cloud-Nutzers eingehalten werden.

In der Praxis werden Weisungen des Cloud-Nutzers insbesondere mittels Softwarebefehlen automatisiert ausgeführt (z.B. durch Interaktion mit einer graphischen Benutzeroberfläche oder über Kommandozeileneingabe), weshalb diese Nutzerinteraktionen auch automatisiert protokolliert oder dokumentiert werden sollten.

 

Nachweis
Der Cloud-Anbieter kann den Nachweis dadurch erbringen, dass er im Datensicherheitskonzept dokumentiert, wie er Weisungen des Cloud-Nutzers empfängt, umsetzt und dokumentiert. Bei Massengeschäften erbringt der Cloud-Anbieter den Nachweis über seine konkrete Dienstbeschreibung zu seinen technisch ausführbaren Dienstleistungen und den Nachweis zur Ausführbarkeit von Weisungen durch Softwarebefehle in Form einer technischen Dokumentation oder durch Dienstnutzung.

 

Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., & Teigeler, H. (2019)
AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9. Karlsruhe, Germany: KIT. DOI: 10.5445/IR/1000092273; 24.07.2019
www.auditor-cert.de

 

cyber security

 

Cyber Security


Schutz vor Cyber-Bedrohungen

 

Reagieren auch Sie früh genug und richtig auf die massiv zunehmenden Cyber-Bedrohungen und -Angriffe. Schützen Sie Ihr Unternehmen. Schützen Sie Ihre Informationen.

 

Kontaktieren Sie uns und überzeugen Sie sich von unserer Erfahrung und unserem Know-how im Bereich der Cyber Security. Wir beraten Sie gerne und unverbindlich. +41 41 984 12 12, infosec@infosec.ch

 

Mehr
Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung