MALL BW ("CODE OF CONDUCT") - VERPFLICHTENDE VERHALTENSREGELN FÜR DIE LISTUNG VON CLOUD-SERVICES IM SERVICEKATALOG VON CLOUD - Cloud Mall BW
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
ANLAGE 2
VERPFLICHTENDE VERHALTENSREGELN FÜR DIE LISTUNG
VON CLOUD-SERVICES IM SERVICEKATALOG VON CLOUD
MALL BW („CODE OF CONDUCT“)
- Stand 04/2020 (Version 2.0) -
Zu
den in Anlage 1 aufgeführten Cloud-Services
CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 1Inhalt
1 ALLGEMEINE TRANSPARENZANFORDERUNGEN ............................................................................. 4
1.1 Art der möglichen zu verarbeitenden Daten........................................................................... 4
1.2 Auditierbarkeit des Anwenders............................................................................................... 4
1.3 Angabe von Subunternehmen ................................................................................................ 4
2 VERTRAGSTRANSPARENZ ................................................................................................................ 4
2.1 Gerichtsstand .......................................................................................................................... 4
2.2 Service Level Agreements ....................................................................................................... 4
2.3 Preismodell .............................................................................................................................. 5
2.4 Change-Management .............................................................................................................. 5
2.5 Nutzungsrechte ....................................................................................................................... 5
2.6 Mitwirkungspflichten des Kunden .......................................................................................... 5
2.7 Leistungsstörungen ................................................................................................................. 5
2.8 Beendigung .............................................................................................................................. 5
3 SICHERHEITSANFORDERUNGEN ...................................................................................................... 6
3.1 Sicherheitsmanagement.......................................................................................................... 6
3.2 Sicherheitszertifikate ............................................................................................................... 7
4 DATENSCHUTZ ................................................................................................................................. 7
4.1 Technische und organisatorische Maßnahmen ...................................................................... 7
4.2 Formalanforderungen ............................................................................................................. 7
5 SERVICEMANAGEMENT ................................................................................................................... 8
5.1 Methodik ................................................................................................................................. 8
5.2 Beendigungsunterstützung ..................................................................................................... 8
CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 2Präambel Im Gemeinschaftsprojekt Cloud Mall Baden-Württemberg (Cloud Mall BW) werden Potenziale und Möglichkeiten von Cloud Computing für den Mittelstand in Baden-Württemberg identifiziert und ausgeschöpft. Kleinen und mittleren Cloud-Serviceanbietern und -anwendern wird ein Rahmen geboten, um untereinander Kooperationen zu schließen, das eigene Netzwerk zu stärken und dadurch aktiv Wettbewerbsvorteile auszubauen. Der Cloud Mall BW-Servicekatalog bietet eine Orientierung zu regionalen und vertrauenswürdigen Cloud-Services und zeigt auf, welche Dienste für den jeweiligen Bedarf geeignet sind. Vertrauen und Qualität stehen dabei im Vordergrund, weshalb eng mit dem Kooperationspartner Trusted Cloud zusammengearbeitet wird. Für die Prüfung der Services wurden geeignete Kriterien aus dem Trusted Cloud-Label identifiziert und für die Cloud Mall BW-Listung abgeleitet. Das Gemeinschaftsprojekt wird vom Ministerium für Wirtschaft, Arbeit und Wohnungsbau Baden- Württemberg gefördert. Beteiligt sind das Fraunhofer-Institut für Arbeitswirtschaft und Organisation (IAO), das Fraunhofer-Institut für Produktionstechnik und Automatisierung (IPA), sowie das Institut für Enterprise Systems an der Universität Mannheim (InES) und bwcon research GmbH (bwcon). Unter- auftragnehmer des Projekts sind Trusted Cloud und das Institut für Arbeitswissenschaften und Technologiemanagement (IAT) der Universität Stuttgart. Eines der Kernanliegen ist, besonders gegenüber der Zielgruppe der kleinen und mittelständischen Unternehmen Vertrauen in die gelisteten Cloud-Services (Cloud-Dienste) zu schaffen. Dies gilt speziell auch für den Fall der Verarbeitung personenbezogener Daten. Die Wahrung der rechtskonformen Verarbeitung, der Schutz der Privatsphäre sowie die Sicherheit der Datenverarbeitung sind für Cloud Mall BW zentrale Faktoren, um das notwendige Vertrauen der Anwender zu erreichen. Alle Prozesse zur Verarbeitung personenbezogener Daten müssen daher im Einklang mit den Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes stehen. Die in Cloud Mall BW gelisteten Unternehmen verpflichten sich darüber hinaus, den Grundsätzen der Transparenz, der sicheren Verarbeitung von Daten und der Kundenunterstützung in angemessener Weise nachzukommen. Hierzu hat Cloud Mall BW die folgenden Verhaltensregeln für die Erbringung von Cloud-Services aufgestellt. Die Verhaltensregeln sollen den Anwendern der auf Cloud Mall BW gelisteten Cloud-Services die Gewähr bieten, dass Datenschutz- und Datensicherheitsbelange bei der Gestaltung und dem Betrieb von Produkten und Dienstleistungen berücksichtigt werden. Da die Verhaltensregeln ein breites Spektrum gelisteter Cloud-Services abdecken müssen, sind sie möglichst allgemeingültig formuliert. Die dargestellten Regelungen stellen Minimalanforderungen im Rahmen der Cloud Mall BW dar; den Serviceanbietern ist selbstverständlich unbenommen, spezielle Regelungen zur Gewährleistung von Datensicherheit und Datenschutz zu treffen, die über die Festlegungen dieser Vereinbarungen hinausgehen. CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 3
1 ALLGEMEINE TRANSPARENZANFORDERUNGEN 1.1 Art der möglichen zu verarbeitenden Daten Für jeden gelisteten Service ist vom Serviceanbieter eindeutig in der Anlage 1 zu erklären, ob dieser Cloud-Service für die Verarbeitung personenbezogener Daten gemäß DSGVO geeignet ist. Diese Information wird auch im Cloud Mall BW-Servicekatalog veröffentlicht. 1.2 Auditierbarkeit des Anwenders Es ist zu erklären, ob und in welchem Umfang Audits des Anbieters durch den Anwender oder einen vom Anbieter benannten Dritten möglich sind. Diese Angaben sind auf der Website des Anbieters unter dem in Anlage 1 angegebenen Link einzusehen oder Bestandteil des Servicevertrages. 1.3 Angabe von Subunternehmen Der Anbieter verpflichtet sich, alle Subunternehmer, die im Rahmen des Cloud-Services an der Leistungserbringung beteiligt sind, zu benennen und diese durch die in Anlage 1 bezeichnete URL zugänglich zu machen. Als Subunternehmer sind die unmittelbar an der Service-Erbringung beteiligten Partner (z. B. Rechenzentren) und Partner zu verstehen, die aufgrund ihrer Funktion einen unmittelbaren Zugang zu den verwalteten Datenbereichen (Server, Festplatten, Archivierungen) erhalten. Die Liste ist laufend aktuell zu halten. 2 VERTRAGSTRANSPARENZ 2.1 Gerichtsstand Der Anbieter verpflichtet sich, dass der Vertrag dem anwendbaren Recht eines EU Mitgliedsstaates unterliegt. Der Gerichtsstand ist im jeweiligen Servicevertrag angegeben. 2.2 Service Level Agreements Der Anbieter verpflichtet sich, dass die Service Levels eines Dienstes im zugrundeliegenden Vertrag definiert sind und zumindest den in der Servicebeschreibung gemachten Angaben entsprechen. Ebenso sind die Rechtsfolgen beim Verstoß gegen diese Service Levels in diesem Vertrag beschrieben. CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 4
2.3 Preismodell Der Anbieter verpflichtet sich, die Angaben zu Preismodell, Mindestlaufzeit und Kündigungsfristen eines Dienstes öffentlich verfügbar zu machen und laufend zu aktualisieren. Die URL, unter der diese Informationen verfügbar sind oder unter der angegeben wird, wie Details dazu erhalten werden können, ist in Anlage 1 zu diesem Dokument angegeben und kann im Servicekatalog der Cloud Mall BW veröffentlicht werden. 2.4 Change-Management Der Anbieter verpflichtet sich, alle geplanten Änderungen des Servicevertrags oder anderer für den Service relevanten Vertragsbedingungen dem Kunden vorab mitzuteilen. Ebenso enthält der Vertrag klare Regelungen, nach denen die Vertragsparteien während der Vertragslaufzeit Änderungen vorschlagen und vereinbaren können. 2.5 Nutzungsrechte Der Anbieter verpflichtet sich, dem Kunden alle zur vertragsgemäßen Nutzung des Service erforderlichen Rechte wirksam zu übertragen und diesen ggf. von allen Ansprüchen Dritter im Rahmen der vertragsgemäßen Service-Nutzung vertraglich freizustellen. 2.6 Mitwirkungspflichten des Kunden Der Anbieter verpflichtet sich, alle etwaigen Beistellungen und Mitwirkungspflichten des Kunden im Vertrag zu beschreiben. Hierzu gehören auch Anforderungen an den Kunden, die bei Nichteinhaltung zu Vertragsbeendigung durch den Anbieter führen können. 2.7 Leistungsstörungen Der Anbieter verpflichtet sich, eindeutige Regelungen, die eine angemessene Rücküberführung von Daten im Fall einer Insolvenz oder außerordentlichen Beendigung des Vertrags oder Unterbrechung der Serviceleistung garantieren, im Vertrag festzuschreiben. 2.8 Beendigung Der Anbieter verpflichtet sich, die Regelungen zur Beendigungsunterstützung (Exit-Management), insbesondere die geordnete Rückübertragung der Kundendaten, vertraglich zu definieren. CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 5
3 SICHERHEITSANFORDERUNGEN
3.1 Sicherheitsmanagement
Der Anbieter verpflichtet sich, ein risikobasiertes Management der Informationssicherheit des
Dienstes gemäß einem anerkannten Vorgehen durchzuführen.
Hierbei sollte er sich an den in der ISO 27001 postulierten Zielen orientieren, insbesondere:
• Informationssicherheitsrichtlinien
Ein von der Geschäftsleitung getragener Satz von Informationssicherheitsrichtlinien ist
festgelegt und wurde allen Beschäftigten und relevanten externen Beteiligten
bekanntgemacht
• Organisation der Informationssicherheit
Einrichtung eines Rahmenwerks für die Umsetzung der Maßnahmen zur
Informationssicherheit, inkl. Festlegung von Rollen und Verantwortlichkeiten
• Personalsicherheit
Sorgfalt bei Personalauswahl für sicherheitsrelevante Bereiche, Sicherstellung von
Informationssicherheitsbewusstsein, -ausbildung und -schulung
• Asset Management
Der Anbieter trifft risikoangemessene Maßnahmen, die vom Kunden übertragenen Daten zu
handhaben
• Zugangssteuerung
Der Zugang zu informationsverarbeitenden Einrichtungen ist risikoangemessen
eingeschränkt, um sicherzustellen, dass nur befugte Benutzer Zugang erhalten
• Physische und umgebungsbezogene Sicherheit
Festlegung physischer Sicherheitsperimeter und physischer Zutrittssteuerung
• Betriebssicherheit
Gewährleistung des sicheren Betriebs, inkl. Maßnahmen zur Protokollierung von Abläufen,
Sicherungskopien, Redundanzen, Schutz vor Schadsoftware
• Kommunikationssicherheit
Gewährleistung von Netzwerksicherheit und sicherer Informationsübertragung, inkl.
Mandantentrennung, risikoangemessener Transportverschlüsselung etc.
• Sicherheit in Entwicklungs- und Weiterentwicklungsprozessen
Planung und Umsetzung von Informationssicherheit über den gesamten Lebenszyklus von
Diensten
• Lieferantenbeziehungen
Vereinbarung und Kontrolle eines angemessenen Niveaus von Informationssicherheit mit
externen Partnern
• Handhabung von Informationssicherheitsvorfällen
Es existiert eine konsistente und effiziente Vorgehensweise zum Management von
Informationssicherheitsvorfällen, inkl. Meldungen von Ereignissen und Verfahren zur
Reaktion auf Vorfälle
• Business Continuity Management
Die Aufrechterhaltung der Informationssicherheit ist Bestandteil des Business Continuity
Managements des Anbieters
CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 6Der Anbieter verpflichtet sich, die Einhaltung dieser Ziele durch adäquate Maßnahmen sicherzustellen
und dies zu dokumentieren.
3.2 Sicherheitszertifikate
Der Anbieter wird alle relevanten Sicherheitszertifikate für seinen Betrieb und eventuell in der
Leistungserbringung beteiligten Subunternehmer oder Rechenzentren in der Servicebeschreibung
angeben. Das Vorliegen dieser Zertifikate kann auch auf Cloud Mall BW publiziert werden. Sofern ein
Zertifikat durch Ablauf oder Widerruf seine Gültigkeit verliert, wird der Anbieter Cloud Mall BW
unverzüglich informieren.
4 DATENSCHUTZ
Sofern im Rahmen des Dienstes personenbezogene Daten durch den Anbieter verarbeitet werden bzw.
für den Fall, dass der Dienst vom Anbieter als für die Verarbeitung personenbezogener Daten geeignet
deklariert wurde, verpflichtet sich der Anbieter, sämtliche von DSGVO und Bundesdatenschutzgesetz
gesetzten Vorgaben einzuhalten.
4.1 Technische und organisatorische Maßnahmen
Der Anbieter verpflichtet sich, angemessene technische und organisatorische Maßnahmen zum Schutz
personenbezogener Daten unter Berücksichtigung der technischen Möglichkeiten, Implementierungs-
kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten
natürlicher Personen, zu treffen.
4.2 Formalanforderungen
Der Anbieter verpflichtet sich, die Maßnahmen zur Einhaltung der durch die DSGVO vorgeschriebenen
Formalanforderungen vertraglich zu dokumentieren.
Insbesondere sei auf Folgendes hingewiesen:
• Ein schriftlicher/elektronischer Vertrag zur Auftragsdatenverarbeitung wird gemäß Art.28 (3)
DSGVO angeboten
• Es wird vertraglich die Unterstützung bei einer Datenschutzfolgeabschätzung (DFA) zugesagt,
sofern diese für den Auftraggeber notwendig ist (z. B. "Datenverarbeitung in großem
Umfang", "Datentransfer außerhalb der EU" etc.)
• Es wird vertraglich die Unterstützung zur Umsetzung der Betroffenenrechte und bei der
Meldung von Verletzung des Schutzes personenbezogener Daten zugesichert
• Es wird im ADV-Vertrag eine Angabe des Auftraggebers zur Art der personenbezogenen
Daten sowie die Kategorien der betroffenen Personen abgefragt
CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 7• Es wird ein Verzeichnis zu den vom Kunden in Auftrag gegebenen Verarbeitungstätigkeiten
basierend auf Art. 30 (2) EU-DSGVO erstellt, sofern die Voraussetzungen des Art. 30 (5)
erfüllt sind
• Hosting und Administration können auf eine vom Kunden definierte Region (Deutschland,
EU, EWR) eingeschränkt werden
• Zusicherung der Verpflichtung aller an der Verarbeitung von Kundendaten beteiligten
Mitarbeiter auf das Datengeheimnis durch den Anbieter
• Schriftliche Nennung (mind. E-Mail) aller an der Verarbeitung beteiligten Subunternehmer,
Beauftragung von Subunternehmern nur mit Zustimmung des Auftraggebers (Art. 28 (2)
DSGVO), Datenschutzverpflichtung aller Subunternehmer gemäß Art. 24 (4) DSGVO
5 SERVICEMANAGEMENT
5.1 Methodik
Der Anbieter verpflichtet sich zur Durchführung eines effizienten Service-Managements zur
Gewährleistung der Service-Qualität.
Hierbei sei auf die Elemente
1. Service Delivery
z. B. Verfügbarkeits-, Kapazitäts- und Kontinuitätsmanagement
2. Service Support
z. B. Störungs-, Problem-, Änderungs-, Konfigurations- und Versionsmanagement
3. Application Management
z. B. Entwicklung, Test, Inbetriebnahme und Weiterentwicklung von Applikationen
4. Infrastructure Management
z. B. Deployment und Management von Infrastrukturkomponenten
hingewiesen.
5.2 Beendigungsunterstützung
Der Anbieter verpflichtet sich zu gewährleisten, dass jederzeit ein Datenexport der Kundendaten
angestoßen werden kann oder der Kunde über definierte APIs auf seine Daten zugreifen kann. Eine
Beschreibung der APIs, des Verfahrens der Datenrückübertragung und der Exportformate wird dem
Kunden zur Verfügung gestellt.
CMBW Anlage 2 „Code of Conduct“– Stand 04/2020 (Version 2.0) 8Sie können auch lesen
