Compliance

Erkunden Sie unsere umfangreiche Dokumentation zur Einhaltung globaler Sicherheitsstandards durch Palo Alto Networks.

Compliance

ISO 27000-Reihe

Die ISO 27000-Reihe umfasst die Normen ISO 27001, ISO 27017, ISO 27018 und ISO 27701, die zusammen ein zuverlässiges Rahmenwerk für die Implementierung und Verwaltung von Informationssicherheitssystemen, Cloud-Sicherheit, Datenschutz in der Cloud und Systemen für das Management von Informationen zum Datenschutz darstellen. Diese von der Internationalen Organisation für Normung (ISO) erstellten Standards sind weltweit allgemein anerkannt und werden von Organisationen jeder Art umgesetzt.

SOC 2+

Service Organization Control 2 (SOC 2) ist ein branchenweit führender Standard zur Berichterstattung, der vom American Institute of Certified Public Accountants (AICPA) erstellt wurde. Zahlreiche Kunden und deren unabhängige Prüfer vertrauen auf diesen Standard, auch wegen seiner leichten Verständlichkeit. Ein SOC 2-Bericht dokumentiert die internen Kontrollmaßnahmen einer Serviceorganisation hinsichtlich ihrer Cloud-Umgebung, basierend auf den zentralen Säulen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und/oder Datenschutz. SOC 2 ist ein weltweit gültiges Compliancerahmenwerk für alle Unternehmen, die Kundendaten in der Cloud speichern.

PCI-DSS

Der weltweit anerkannte Payment Card Industry Data Security Standard (PCI-DSS) umfasst Richtlinien und Abläufe, die die Sicherheit von Kreditkartentransaktionen optimieren sollen. Der PCI-Standard gilt für alle Unternehmen, die Daten von Karteninhabern empfangen, übermitteln und speichern, unabhängig von der Unternehmensgröße und der Anzahl der von ihnen verwalteten Transaktionen. Ziele sind der Schutz sensibler Karteninhaberinformationen bei der Transaktionsabwicklung und die Verhinderung von Kreditkartenbetrug. In Abhängigkeit von der Anzahl der pro Jahr von einem Anbieter abgewickelten Transaktionen kann eine formelle Prüfung durch eine externe Partei erforderlich sein. Wo keine formelle Prüfung erforderlich ist, kann der Anbieter seine Compliance in Form eines Fragebogens zur Selbstauskunft (Self Assessment Questionnaire, SAQ) nachweisen. Es gibt verschiedene SAQs, je nach Geschäftsumgebung des Anbieters.<br/><br/>

Germany C5

Der C5 (Cloud Computing Compliance Criteria Catalogue) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellter Kriterienkatalog zu Compliancefragen rund um das Thema Cybersicherheit. Er richtet sich in erster Linie an deutsche und ausländische Cloud-Anbieter, die mit deutschen Kunden aus dem öffentlichen Sektor zusammenarbeiten wollen. Darüber hinaus erstreckt sich der Geltungsbereich des C5 auf deutsche Organisationen, die im deutschen öffentlichen Sektor Geschäfte tätigen. Der Kriterienkatalog definiert die Mindestanforderungen an Sicherheitsmaßnahmen, die Cloud-Anbieter einhalten müssen, um ein hohes Maß an Datensicherheit und Resilienz für deutsche Cloud-Organisationen sicherzustellen.

TISAX

Trusted Information Security Assessment Exchange (TISAX) ist ein Standard der europäischen Automobilindustrie zur Durchführung von Bewertungen zur Informationssicherheit (Information Security Assessment, ISA). Im Mittelpunkt stehen dabei wesentliche Aspekte der Informationssicherheit wie Datenschutz und Verbindungen zu Drittparteien. TISAX basiert zwar auf ISO 27001, wurde aber speziell für die Automobilindustrie erstellt und deckt sowohl On-Premises- als auch Cloud-Dienste ab. Definiert wird der Standard durch den Verband der Automobilindustrie (VDA) auf der Basis des ISA-Katalogs des VDA, der Sicherheits- und Zertifizierungsanforderungen enthält.<br/><br/>

FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Dienstleistungen bereitstellt. FedRAMP reguliert Cloud-Anbieter, die ihre Lösungen an Bundesbehörden in den USA verkaufen wollen, mit dem Ziel effektiver, reproduzierbarer Cloud-Sicherheit für die US-Regierung. Der Standard sieht strenge Anwendungsprozesse und -kriterien für Cloud-Anbieter vor, die von der Erstellung detaillierter Sicherheitsdokumentationen über das Implementieren und Testen zuverlässiger Kontrollmaßnahmen bis zur fortlaufenden Sicherheitsüberwachung reichen.

IRAP

Das Information Security Registered Assessors Program (IRAP) der australischen Informationssicherheitsbehörde ASD soll sicherstellen, dass Informations- und Kommunikationstechnologie (ICT) für den Einsatz im öffentlichen Sektor und in der Industrie nach strengen Kriterien auf Sicherheit geprüft wird. Qualifizierte und erfahrene Cybersicherheitsexperten, die die Vorgaben von IRAP erfüllen, sind dadurch befugt, gründliche Prüfungen durchzuführen, um die Sicherheit von Informations- und dazugehörigen Systemen im Industrie- und Regierungsbereich zu verbessern. Für diese unabhängigen Sicherheitsüberprüfungen definiert IRAP einen umfassenden Prozess, der sich an Richtlinien und Vorgaben der australischen Regierung orientiert, darunter das Information Security Manual (ISM). Außerdem soll IRAP gezielt die ICT-Infrastruktur zur Speicherung, Verarbeitung und Übermittlung nationaler, regionaler und lokaler Behördendaten und damit die Sicherheit australischer Behördensysteme allgemein sicherstellen.

ISMAP

Das Information System Security Management and Assessment Program (ISMAP) ist ein Bewertungsschema für den öffentlichen Sektor in Japan, das Cloud-Serviceanbieter zu einheitlichen Sicherheitsmaßnahmen verpflichtet. Anbieter sind vom Beschaffungsprogramm der japanischen Regierung für Cloud-Services ausgeschlossen, wenn sie sich nicht einem strengen Audit durch einen ISMAP-zertifizierten Prüfer unterziehen.

Common Criteria

Die Common Criteria for Information Technology Security Evaluation (kurz Common Criteria oder CC) sind ein internationaler Standard (ISO-IEC 15408) zur Prüfung und Bewertung von IT-Produkten und -Systemen. CC-Zertifizierungen dienen als Nachweis darüber, dass Sicherheitsmaßnahmen einem strengen, einheitlichen und reproduzierbaren Spezifikations-, Implementierungs- und Bewertungsprozess unterzogen wurden. Dem CC-Anerkennungsabkommen (CCRA) sind die nationalen Stellen von über 30 Staaten beigetreten, darunter das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische National Information Assurance Partnership (NIAP).

FIPS 140-2

Der Federal Information Processing Standard (FIPS) 140-2 ist ein von der US-Bundesregierung festgelegter Standard, der Sicherheitsanforderungen für Verschlüsselungssysteme zum Schutz sensibler Informationen enthält. Er gilt für Systeme, die an die US-Bundesregierung und bestimmte regulierte Branchen (z. B. Gesundheits- und Finanzwesen), die sensible Informationen handhaben, verkauft werden. FIPS 140-2 umfasst vier Sicherheitsstufen, wobei Stufe 1 den geringsten und Stufe 4 den strengsten Anforderungen entspricht. Der Standard dient weltweit als Maßstab für die Sicherheit kryptografischer Module im öffentlichen Sektor ebenso wie in den Branchen der Privatwirtschaft.<br/><br/>

Telecom Security Act Code of Practice

Der Telecom Security Act Code of Practice ist ein Compliancerahmen der britischen Regierung zur besseren Sicherung der Telekommunikationsnetze und -dienste des Landes. Er ist für alle öffentlichen elektronischen Kommunikationsnetze und -dienste in Großbritannien bindend. Als praktische Handlungsanleitung gibt er Sicherheitsanforderungen vor, die von Netzbetreibern und Serviceanbietern einzuhalten sind.<br/><br/>

NCSC Cloud Security Principles

Die National Cyber Security Centre (NCSC) Cloud Security Principles umfassen 14 Grundsätze für die sichere Nutzung von Cloud-Diensten, die von allen Organisationen in Großbritannien anzuwenden sind, die solche Dienste einsetzen wollen. Die NCSC-Grundsätze decken zahlreiche Aspekte der Cloud-Sicherheit ab, darunter Datensicherheit, Identitäts- und Zugriffskontrollen, sichere Nutzung und Betriebssicherheit.

Cyber Essentials Plus

Cyber Essentials Plus ist ein von der Regierung und der Wirtschaft des Vereinigten Königreiches unterstütztes Zertifizierungssystem, das den Schutz von Organisationen vor gängigen Cyberbedrohungen verbessern soll. Es gilt für alle in Großbritannien und Nordirland tätigen Organisationen unabhängig von deren Größe oder Branche. Geprüft wird auf die fünf Aspekte sichere Konfiguration, Perimeterfirewalls und Internetgateways, Zugriffskontrolle und administrative Rechteverwaltung, Patchmanagement und Malwareschutz. Anbieter, die ihre Dienste an staatliche Einrichtungen in Großbritannien und Nordirland verkaufen oder an Ausschreibungen der Zentralregierung teilnehmen wollen, müssen eine Cyber Essentials-Zertifizierung vorweisen können. Diese Zertifizierung dient als Nachweis, dass die wichtigsten Maßnahmen zum Schutz vor Cyberbedrohungen, wie Firewalls, sichere Konfiguration, Benutzerzugriffskontrolle, Malwareschutz und Patchmanagement, getroffen wurden. Es gibt zwei Zertifizierungsstufen: Cyber Essentials und Cyber Essentials Plus. Cyber Essentials Plus stellt höhere Ansprüche, da im Rahmen dieser Zertifizierung unter anderem Tests auf Sicherheitslücken durchgeführt werden müssen.

ANSSI CSPN Top-Level Certification

Die Certification de Sécurité de Premier Niveau (CSPN) der französischen Agentur für Sicherheit der Informationssysteme (Agence nationale de la sécurité des systèmes d’information, ANSSI) ist eine staatliche Produktzertifizierung im Bereich der Informationssicherheit. Sie wird von Behörden und wichtigen Betreibern in Frankreich anerkannt und soll ein hohes Maß an Sicherheit sicherstellen. Ihr Anwendungsbereich erstreckt sich auf Produkte und Systeme, die in Frankreich vertrieben werden.<br/><br/>

DODIN APL

Die Department of Defense Information Network Approved Products List (DoDIN APL) ist ein Compliancerahmen des US-Verteidigungsministeriums (DoD). In diese Liste werden genehmigte Produkte aufgenommen, die bestimmte Cybersicherheits- und Interoperabilitätsanforderungen erfüllen. Sie ist für Anbieter gedacht, die IT-Produkte an das DoD verkaufen wollen.

CSfC

Commercial Solutions for Classified (CSfC) ist ein Programm der US-Sicherheitsbehörde NSA, das es Organisationen ermöglicht, mithilfe kommerzieller Technologien wie Mobil- und Cloud-Systemen vertrauliche Informationen zu übermitteln. Es richtet sich vornehmlich an Ministerien und Einrichtungen der US-Regierung sowie an Auftragnehmer, die vertrauliche Informationen handhaben.

USGv6

U.S. Government IPv6 (USGv6) ist ein technisches Standardprofil für Internet Protocol v6 (IPv6), das die Beschaffung und Bereitstellung von IPv6-fähigen Produkten und Diensten bei Einrichtungen der US-Regierung regelt. Das Profil umfasst technische Standards, Tests und Einkaufsrichtlinien, die die Bereitstellung von IPv6 in der IT-Infrastruktur und in IT-Diensten der US-Regierung ermöglichen und beschleunigen sollen. Damit sollen die Nutzung und Integration von IPv6 in staatlichen Systemen gefördert werden.<br/><br/>

NEBS

Network Equipment Building System (NEBS) ist ein Industriestandard mit sicherheitsbezogenen, räumlichen und ökologischen Gestaltungsrichtlinien für Telekommunikationstechnik, der die Zuverlässigkeit und Kompatibilität von Netzwerken sicherstellen soll. NEBS umfasst drei Compliancestufen, wobei Stufe 1 den geringsten und Stufe 3 den strengsten Anforderungen entspricht.<br/><br/>

US Cloud Act

Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) ist ein US-Bundesgesetz, das die US-Regierung dazu ermächtigt, auf elektronische Daten zuzugreifen, die von Technologie-Unternehmen mit Sitz in den USA verwaltet werden. Dies gilt auch dann, wenn diese Daten auf Servern außerhalb der USA gespeichert sind. Das Gesetz berechtigt US-amerikanische Strafverfolgungsbehörden, Unternehmen zur Herausgabe von Daten zu zwingen, die in ihren Systemen – unabhängig vom physischen Standort – gespeichert sind. Der CLOUD Act hat somit weitreichende Folgen für Datenschutz und -sicherheit weltweit.

U.S Sec 508 VPAT

Das Dokument Voluntary Product Accessibility Template (VPAT) dient als Nachweis zur Einhaltung von § 508 des Amendment to the Rehabilitation Act. Dabei handelt es sich um ein US-Bundesgesetz mit Vorschriften hinsichtlich der Barrierefreiheit von ICT-Produkten (Software, Hardware, elektronische Inhalte).<br/><br/>