Die Evolve IP Compliance CloudTM

Zusätzlich zur Einhaltung der Compliance-Anforderungen gemäß SSAE- 16 SOC II wurde Evolve IP streng geprüft und kann auf die Einhaltung der Standards der Sektoren Massenkundengeschäft und Finanzdienstleistungen (Retail & Finance – PCI) und Gesundheitswesen (HIPAA) verweisen. Das Unternehmen verfügt auch über die umfassendsten Zertifizierungen als Anbieter von Cloud-Diensten in den Vereinigten Staaten, u.a.: VMware, Cisco, EMC, Microsoft, Citrix und Polycom.

Zusätzlich zur Cloud-Sicherheit unterstützt Evolve IP die IT-Abteilungen unsere Kunden dabei, das Risiko, die Komplexität und damit letztlich die Kosten für die Verwaltung von Unternehmensdaten, insbesondere bei der E-Mail-Kommunikation, zu minimieren. Evolve IP stellt Lösungen bereit, die Unternehmen beim Schutz der die Sicherheit, Integrität und Verfügbarkeit ihrer Informationen in unterstützen.

Erfahren Sie mehr über die Sicherheit, Archivierung und Kontinuität Ihrer E-Mail-Kommunikation.

General Data Protection Regulation/Datenschutzgrundverordnung (GDPR/DSGVO)

Ab dem 25. Mai 2018 müssen Unternehmen die Anforderungen der General Data Protection Regulation (GDPR/DSGVO) erfüllen. Die GDPR führt neue Regeln ein, die für alle Länder der Europäischen Union gültig sind. Dieses Gesetz betrifft den Schutz und die Verwaltung von personenbezogenen Daten.

Im Rahmen der GDPR werden drei Rollen unterschieden: betroffene Person (Data Subject), Verantwortliche (Data Controller) und Datenverarbeiter (Data Processor). Als Anbieter erfüllt Evolve IP EU in Bezug zu seinen Kunden die Rolle des Datenverarbeiters. Die Kunden von Evolve IP EU sind Verantwortliche. Evolve IP EU wird auf Grundlage seiner Verantwortung als Verarbeiter sämtliche Maßnahmen ergreifen, um dafür zu sorgen, dass auch seine Kunden die Regeln bezüglich der an Evolve IP EU in Auftrag gegebenen Dienstleistungen erfüllen können. Alle Kontrollen und Richtlinien, die im Statement of Applicability der ISO-27001-Zertifizierung festgelegt sind, wurden in den vergangenen Jahren aufgrund der Überzeugung entwickelt und/oder gehandhabt, dass sie mit der neuen europäischen Datenschutzverordnung übereinstimmen sollten. Evolve IP EU hat beispielsweise umgehend nach Inkrafttreten des niederländischen Gesetzes zur Meldepflicht von Datenpannen („Wet Meldplicht Datalekken“ – 1. Januar 2016) eine Richtlinie eingeführt, mit der gewährleistet wird, dass Kunden Datenpannen rechtzeitig und angemessen bei der niederländischen Datenschutzbehörde melden können. Auch Aspekte, die in der neuen GDPR konkret aufgeführt werden, wie zum Beispiel der eingebaute Datenschutz („Privacy-by-Design“) und die datenschutzfreundlichen Voreinstellungen („Privacy by-Default“), wurden bereits in die ISO-27001-Zertifizierung aufgenommen.

Zur Vorbereitung auf die Umsetzung der GDPR ab Mai 2018 hat sich Evolve IP EU 2017 von verschiedenen Juristen und Datenschutzexperten über den Inhalt und die Auswirkungen des neuen Datenschutzgesetzes informieren lassen, um die Rolle von Evolve IP EU in diesem Rahmen abzuklären. Darüber hinaus wurde ebenfalls im Jahr 2017 eine Lückenanalyse durchgeführt, um beurteilen zu können, welche weiteren Maßnahmen ergriffen werden müssen, um die Vorgaben der GDPR zu erfüllen. Als Grundlage für diese Analyse diente unter anderem ein von der niederländischen Datenschutzbehörde entwickelter 10-Stufenplan zur Vorbereitung auf die GDPR/DSGVO („10-stappenplan om klaar te zijn voor de GDPR/AVG“). Ausgehend von den Ergebnissen dieser Untersuchung wurden/werden bei Evolve IP EU verschiedene Projekte für die Umsetzung folgender Ziele ins Leben gerufen: Bewusstseinsbildung bei den Mitarbeitern, Erstellung einer neuen Vorlage für Verarbeitungsverträge und Verträge mit Unterauftragnehmern, Aufstellung einer Verarbeitungsübersicht. In dieses Verarbeitungsregister werden auch die Maßnahmen aufgenommen, die in jedem Teilbereich ergriffen werden (müssen), um die Rechte der Betroffenen zu berücksichtigen, wie beispielsweise das Recht auf Einsichtnahme, Korrektur und Löschung sowie das Recht auf Datenportabilität.

Eine der möglichen Folgen der GDPR ist die verpflichtete Durchführung einer Datenschutzfolgeabschätzung („Data Protection Impact Assessment – DPIA“). Evolve IP EU selbst erfüllt die Voraussetzungen für die vorherige Erstellung einer solchen Übersicht über die Datenschutzrisiken einer Datenverarbeitung nicht. Sollten unsere Kunden in ihrer Eigenschaft als Verantwortliche jedoch eine Datenschutzfolgeabschätzung liefern müssen, wird Evolve IP EU nach Kräften kooperieren.Bei Evolve IP EU wurden zwei Sicherheitsbeauftragte für die Vorbereitungen auf das neue Datenschutzgesetz abgestellt. Darüber hinaus stellen sowohl Evolve IP EU als auch Evolve IP US Datenschutzexperten Informationen und Kenntnisse über die Datensicherung zur Verfügung. Evolve IP EU will bis Mai 2018 für die GDPR bereit sein, damit Kunden unsere Dienstleistungen auch weiterhin ganz beruhigt nutzen können.

ISO27001

Evolve IP EU ist bereits seit 2013 nach ISO 27001 zertifiziert und das Zertifikat wurde 2017 ohne jegliche Beanstandung erneuert. Die jährlich stattfindende externe Prüfung sowie die dreijährliche Neuzertifizierung garantieren, dass unsere Sicherheitsmanagement- und Verwaltungsprogramme korrekt eingerichtet sind und die Kontrollen zum Schutz der Daten unserer Kunden einwandfrei arbeiten. Unsere Kunden können von den Vorteilen der Cloud profitieren und dürfen sich darauf verlassen, dass sämtliche Verfahren, Technologien und Kontrollmechanismen so funktionieren, dass sie ein Höchstmaß an Schutz und Regelerfüllung bezüglich der Sicherung, Bearbeitung und Speicherung aller Arten von sensiblen Daten gewährleisten.

SSAE 16 Service Organization Control II (SOC 2)

Evolve IP hat einen SSAE 16 SOC 2 Typ II Bericht über unsere internen Kontrollen erhalten, der behandelt, wie wir die potenziellen Risiken bewerten und behandeln, die mit der Sicherheit, Verfügbarkeit und Vertraulichkeit nicht nur der von uns bereitgestellten Cloud-basierten Dienste, sondern auch unserer physischen und logischen Infrastruktur zusammenhängen. Evolve IP arbeitet mit der Wirtschaftsprüfungsgesellschaft Grant Thornton zusammen, um die jährliche Prüfung und Bescheinigung in Übereinstimmung mit den von der AICPA veröffentlichten Statements on Standards for Attestation Engagements No. 16 und den damit verbundenen Trust Services Principles durchzuführen, welche die Wirksamkeit der Kontrollen der Serviceorganisationen von Evolve IP zu bewerten.

Health Insurance Portability & Accountability Act (HIPAA)

Die Datenschutzbestimmungen des U.S. Health Insurance Portability and Accountability Act (HIPAA) verlangen von Dienstleistern und Organisationen im Gesundheitswesen und ihren Geschäftspartnern, Verfahren zu entwickeln und einzuhalten, welche die Vertraulichkeit und Sicherheit von geschützten Gesundheitsinformationen (PHI) bei der Übertragung, dem Empfang, der Verarbeitung oder dem Austausch gewährleisten. Dies gilt für alle Formen der PHI – schriftlich auf Papier, mündlich, elektronisch, usw. Diejenigen, die sich nicht an die HIPAA-Vorschriften halten, können mit hohen Geldbußen belegt werden, die sich bei schweren Verstößen in Millionenhöhe bewegen können.

Die Compliance Cloud™ ermöglicht es den beteiligten Unternehmen und ihren Geschäftspartnern, die den HIPAA-Vorschriften unterliegen, eine sichere Umgebung für die Verarbeitung, Pflege und Aufbewahrung geschützter Gesundheitsinformationen (PHI), die unter anderem mit Kontrollen ausgestattet sind, zu nutzen.

  • Militärtaugliche Datenverschlüsselung während der Übertragung und im Ruhezustand
  • Passwortgeschützter Zugriff auf Backups
  • Redundante, sichere Rechenzentren

Laden Sie eine auf die Anforderungen der HIPAA fokussierte Darstellung unseres Cloud-Produkts herunter, um mehr darüber zu erfahren, wie The Evolve IP Compliance CloudTM die Compliance-Anforderungen für die Übertragung, Verarbeitung und Speicherung von geschützten Patientendaten (Protected Health Information – PHI) erfüllt und in vielen Fällen übertrifft.

HITRUST Common Security Framework (CSF)

Das HITRUST Common Security Framework (CSF) wurde entwickelt, um die zahlreichen Sicherheits-, Datenschutz- und regulatorischen Herausforderungen zu erfüllen, mit denen Organisationen im Gesundheitswesen konfrontiert sind. Das HITRUST CSF wurde von Spezialisten aus dem Gesundheitswesen und der IT-Branche entwickelt, um einen effizienten und verbindlichen Rahmen für die Steuerung der mit HIPAA verbundenen Sicherheitsanforderungen zu schaffen. Das HITRUST CSF fasst die für das Gesundheitswesen maßgeblichen Vorschriften und Normen zu einem einzigen übergreifenden Sicherheitsrahmen zusammen. Ein wichtiger Teil der Antwort auf „Was ist HITRUST“ ist das Verständnis, dass das CSF Risiko- und Compliance-basiert ist, so dass Unternehmen die von ihnen befolgten Sicherheitskontroll- und Lieferantenmanagementprogramme auf Grundlage der spezifischen Typen, Größen, Systeme und gesetzlichen Anforderungen ihrer Organisation anpassen können.

Payment Card Industry Data Security Standard (PCI DSS)/Datensicherheitsstandard der Zahlungskartenbranche

Evolve IP hat die Konformität mit dem Datensicherheitsstandard der Zahlungskartenbranche (Payment Card Industry Data Security Standard – PCI DSS) in allen Bereichen des Standards erreicht. Der PCI-Datensicherheitsstandard ist ein umfassendes Bündel von Anforderungen, der Händler und Dienstleistern, die Kundenzahlungskartendaten speichern, verarbeiten oder übertragen, zu strengen Kontrollen und Verfahren der Informationssicherheit verpflichtet. Dieser Standard wurde von den Gründermarken des PCI Security Standards Council, zu denen American Express, Discover Financial, JCB International, MasterCard Worldwide und Visa Inc. Gehören, entwickelt.

Mit der Validierung entspricht Evolve IP den folgenden PCI DSS-Konformitätszielen:

  • Installation und Pflege eines sicheren Netzwerks
  • Schutz der gespeicherten Daten von Kreditkarteninhabern
  • Programm zum Umgang mit sensiblen Daten
  • Umsetzung strenger Zugangskontrollen
  • Regelmäßige Prüfungen der Netzwerke
  • Einhaltung von Richtlinien in Bezug auf Informationssicherheit

Die PCI DSS-Validierung von Evolve IP umfasst physische Sicherheit, Betriebskontrollen und die damit verbundenen Richtlinien. Die Bewertung wurde von einem akkreditierten QSA (Qualified Security Assessor)-Unternehmen durchgeführt, das Sicherheits- und Compliance-Dienstleistungen für globale Unternehmen erbringt. Der Prüfungsumfang umfasste die geltenden Anforderungen der Version 3.1 des PCI Data Security Standards zur Validierung der Konformität von „Level 1“-Dienstleistern. Als Nachweis der Konformität von Evolve IP mit dem PCI Data Security Standard wurde eine Bescheinigung (Attestation of Compliance – AOC) erstellt. Dieser Bericht steht unseren Kunden auf Anfrage zur Verfügung.

Laden Sie eine auf die Anforderungen der PCI-Standards fokussierte Kurzdarstellung zu unserem Cloud-Angebot herunter. Hier erfahren Sie mehr darüber, wie unsere Kunden ihre eigene Umgebung für Karteninhaberdaten (Cardholder Data Environment – CDE) einrichten können, in der Karteninhaberdaten mit The Evolve IP Compliance Cloud™ gespeichert, übertragen oder verarbeitet werden können.

CSA STAR – Participating Member

Evolve IP ist auch ein registriertes und teilnehmendes Mitglied der CSA Security, Trust & Assurance Registry (STAR). Die CSA wurde zur Förderung der Transparenz von Sicherheitspraktiken bei Cloud-Anbietern gegründet. Es handelt sich um ein kostenloses, öffentlich zugängliches Register, das die Sicherheitskontrollen verschiedener Cloud-Computing-Angebote dokumentiert, um Anwender bei der Beurteilung der Sicherheit von Cloud-Anbietern zu unterstützen, die sie bereits nutzen oder mit denen sie eine Geschäftsbeziehung eingehen wollen. CSA STAR steht allen Cloud-Anbietern offen und ermöglicht es ihnen, Bewertungsberichte vorzulegen, die ihre Konformität mit den von CSA veröffentlichten Best Practices dokumentieren. Das durchsuchbare Register ermöglicht es an der Cloud interessierten Kunden, die Sicherheitspraktiken von Anbietern zu überprüfen, ihre Due-Diligence-Untersuchungen zu beschleunigen und führen zu hochwertigeren Beschaffungserfahrungen. CSA STAR ist ein wesentlicher Fortschritt in Sachen Branchentransparenz und ermutigt Anbieter, Sicherheitsfunktionen zu einem Unterscheidungsmerkmal im Wettbewerb zu machen.

Die Mitarbeiter von Evolve IP arbeiten ständig an der Erweiterung ihrer Kenntnisse. Unsere Mitarbeiter verfügen über mehrere der folgenden Zertifizierungen:

Cisco

  • Cisco SMB
  • Cisco SMB Engineer
  • CCNA
  • CCNP
  • CCNET

Microsoft

  • MCP
  • MCSA
  • MCTS
  • MS 365
  • Windows 7

VMware

  • VCP-DCV
  • VCP6-DTM
  • VMware VSP5
  • VCA-DCM
  • VMware VTSP
  • VOP CP

Branchenzertifizierungen und Zertifizierungen anderer Anbieter

  • CISSP
  • Six Sigma
  • ITIL
  • PMP
  • SSCA-SIP
  • Citrix
  • LINUX
  • Red Hat
  • Veeam
  • HP
  • Apple
  • Broadsoft
  • Polycom
  • Intronis
  • Zerto

Praktiken für sichere Datensouveränität und Sicherheitsmanagement bei Evolve IP

Bereits bei der Gründung war es Evolve IP klar, dass Sicherheitsmanagement und Datenintegrität nicht nur wichtige Merkmale und optionale Praktiken, sondern kritische Erfordernisse von Unternehmen und anderen sind, für die offiziellen Compliance-Vorschriften gelten.

Erfahrungen, auf die Sie bauen können

Evolve IP ist ein Anbieter von verwalteten Sicherheitsdienstleistungen (Managed Security Services Provider – MSSP) mit langjähriger Erfahrung im Bereich Schutz, Berichtswesen und Auditierung von professionellen Kundennetzwerken. Unser Produkt- und Dienstangebot reicht von Perimetersicherheit (standortbezogen oder in der Cloud) bis hin zu kontinuierlichen Schwachstellenanalysen und deren Behebung.

Diese Berichte stellen wir qualifizierten Kunden zur Verfügung, um sie bei Audits, Prozessgestaltung und Kompetenzbewertungen von Anbietern zu unterstützen. Diese Berichte belegen, dass unser Sicherheitsmanagement- und Kontrollprogramm konform konzipiert ist und die zum Schutz der Kundendaten definierten Kontrollen im Zeitablauf effektiv funktionieren. Damit können unsere Kunden zum einen die Leistungsfähigkeit der Cloud nutzen und sich dabei auch darauf verlassen, dass die erforderlichen Verfahren, Technologien und Kontrollen vorhanden sind, um das höchste Maß an Schutz und Konformität bei der Sicherung, Verarbeitung und Speicherung aller Arten von sensiblen Daten gewährleistet ist. Dazu zählen Finanzberichtsdaten, Patientendaten (PHI, ePHI) im Sinne des HIPAA und Kreditkartenverarbeitung im Sinne von PCI DSS 2.0.

Durch diese Berichte, Zertifizierungen und Mitgliedschaften unterscheidet sich Evolve IP von anderen Dienstanbietern, weil sie zeigen, dass wir die Risiken in unserer Umgebung (und damit auch in den Umgebungen unserer Kunden) verstehen und mindern, indem wir proaktiv geprüfte und zertifizierte Technologien, Verfahren und geeignete Kontrollen verwenden. Aus diesen Gründen ist Evolve IP Marktführer im Bereich der Sicherheit von Cloud-Diensten.