1. Zurück
  1. Alibaba
  2. DSGVO_Anklickbar
csa

CSA STAR

Die CSA STARZertifizierung ist ein neues und zielgerichtetes internationales professionelles Zertifizierungsprogramm von den Begründern globaler Standards - der British Standards Institution (BSI) und der internationalen Cloud Security Alliance (CSA), das auf die Bewältigung spezifischer Probleme im Zusammenhang mit der Cloud-Sicherheit abzielt.

Auf der Grundlage der ISO/IEC 27001-Zertifizierung und in Kombination mit den Anforderungen der Cloud Controls Matrix (CCM) nutzt CSA STAR das Reifegradmodell und die Bewertungsansätze des BSI, um das Cloud-Sicherheitsmanagement und die technischen Fähigkeiten jeder Organisation, die Cloud Computing-Dienste anbietet und nutzt, umfassend zu bewerten und schließlich unabhängige Prüfungsergebnisse von Dritten zu liefern.

Alibaba Cloud ist das erste Unternehmen weltweit, das die CSA STAR-Goldmedaillen-Zertifizierung erhalten hat, die unser Engagement und unsere Führungsrolle im Bereich Cloud-Sicherheit bestätigt.

CSA STAR-zertifizierte Cloud-Anbieter stellen ihre Dienstleistungen transparent zur Verfügung, so dass Kunden beim Kauf und bei der Nutzung von Dienstleistungen fundiertere Entscheidungen treffen können. Sein Wert spiegelt sich auch darin wider, dass mehr Nutzer Cloud-Computing-Diensten vertrauen und diese ausprobieren, sodass sie mithilfe der Cloud eine rasche Entwicklung und geschäftliche Innovation erreichen können.

Darüber hinaus hat Alibaba Cloud auch eine Selbsteinschätzung des CSA Consensus Assessment Initiative Questionnaire (CAIQ) durchgeführt, um unsere Einhaltung der von der CSA herausgegebenen Best Practices zu beschreiben und unseren Kunden zu verdeutlichen, wie Alibaba Cloud diese Anforderungen erfüllt. Unseren ausgefüllten CAIQ finden Sie unter hier .

Herunterladen

27001

ISO/IEC 27001

ISO/IEC 27001ist der weltweit bekannteste Standard für Informationssicherheits-Managementsysteme (ISMS). ISO/IEC 27001 fördert einen ganzheitlichen Ansatz für die Informationssicherheit: Überprüfung von Menschen, Richtlinien und Technologie. Ein nach diesem Standard implementiertes Informationssicherheits-Managementsystem ist ein Instrument für Risikomanagement, Cyber-Resilienz und operative Exzellenz.

Die Norm ISO/IEC 27001 bietet Unternehmen jeder Größe und aller Branchen eine Anleitung für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems.

Die Konformität mit ISO/IEC 27001 bedeutet, dass eine Organisation oder ein Unternehmen ein System zum Management von Risiken im Zusammenhang mit der Sicherheit von Daten, die sich im Besitz des Unternehmens befinden oder von ihm verarbeitet werden, eingerichtet hat und dass dieses System alle in dieser internationalen Norm verankerten bewährten Verfahren und Grundsätze berücksichtigt.

Herunterladen

200001

ISO/IEC 20000-1

ISO/IEC 20000-1ist ein Standard für Service-Management-Systeme (SMS). Es legt die Anforderungen an den Dienstleister fest, ein SMS zu planen, einzurichten, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, zu pflegen und zu verbessern. Die Anforderungen umfassen die Entwicklung, Umstellung, Bereitstellung und Verbesserung von Diensten, um die vereinbarten Serviceanforderungen zu erfüllen.

Herunterladen

22301

ISO 22301

ISO 22301ist der internationale Standard für Business Continuity Management Systeme (BCMS). Es bietet einen Rahmen für Organisationen, um ein dokumentiertes Managementsystem zu planen, einzurichten, zu implementieren, zu betreiben, zu überwachen, zu überprüfen, aufrechtzuerhalten und kontinuierlich zu verbessern, um sich vor Störfällen zu schützen, die Wahrscheinlichkeit von Störfällen zu verringern und die Wiederherstellung nach Störfällen sicherzustellen.

Die ISO 22301 ist für Organisationen von entscheidender Bedeutung, um ihre Widerstandsfähigkeit gegen verschiedene unvorhergesehene Störungen zu verbessern und die Kontinuität von Abläufen und Dienstleistungen zu gewährleisten. Es hilft dabei, Risiken zu erkennen, sich auf Notfälle vorzubereiten und die Wiederherstellungszeit zu verkürzen.

Herunterladen

9001

ISO 9001

ISO 9001ist ein weltweit anerkannter Standard für das Qualitätsmanagement. Es hilft Organisationen aller Größen und Branchen, ihre Leistung zu verbessern, die Erwartungen ihrer Kunden zu erfüllen und ihr Engagement für Qualität zu demonstrieren. Die Anforderungen definieren, wie ein Qualitätsmanagementsystem (QMS) einzurichten, umzusetzen, aufrechtzuerhalten und kontinuierlich zu verbessern ist.

Die Umsetzung von ISO 9001 bedeutet, dass die Organisation effektive Prozesse und geschulte Mitarbeiter eingesetzt hat, um immer wieder einwandfreie Produkte oder Dienstleistungen zu liefern.

Herunterladen

27017

ISO/IEC 27017

ISO/IEC 27017enthält Richtlinien für Informationssicherheitskontrollen, die für die Bereitstellung und Nutzung von Cloud-Diensten gelten, indem sie diese bereitstellen:

- zusätzliche Umsetzungshinweise für relevante Maßnahmen, die in ISO/IEC 27002 spezifiziert sind;

- zusätzliche Kontrollen mit Umsetzungsrichtlinien, die sich speziell auf Cloud-Dienste beziehen.

Herunterladen

27018

ISO/IEC 27018

ISO/IEC 27018legt allgemein anerkannte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (PII) in Übereinstimmung mit den Datenschutzprinzipien der ISO/IEC 29100 für die öffentliche Cloud-Computing-Umgebung fest.

Insbesondere spezifiziert ISO/IEC 27018:2019 Richtlinien, die auf ISO/IEC 27002 basieren, unter Berücksichtigung der regulatorischen Anforderungen für den Schutz von PII, die im Kontext der Informationssicherheits-Risikoumgebung(en) eines Anbieters von Public Cloud Services anwendbar sein könnten.

Herunterladen

27701

ISO/IEC 27701

ISO/IEC 27701ist eine Erweiterung von ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement im Kontext der Organisation. Sie hat die Zuordnung von GDPR-Klauseln und anderen datenschutzbezogenen Standards von Anfang an berücksichtigt. Ein verbindlicher Leitfaden für den Aufbau eines Datenschutzmanagementsystems. ISO/IEC 27701 bietet Richtlinien für den Schutz personenbezogener Daten und ergänzt zusätzliche gesetzliche Anforderungen zur Einführung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung des Datenschutzmanagements im Rahmen des ISMS, um die Risiken für private Daten zu verringern.

Herunterladen

29151

ISO/IEC 29151

ISO/IEC 29151legt Kontrollziele, Kontrollen und Richtlinien für die Implementierung von Kontrollen fest, um die Anforderungen zu erfüllen, die durch eine Risiko- und Folgenabschätzung im Zusammenhang mit dem Schutz von personenbezogenen Daten (PII) ermittelt wurden.

Insbesondere spezifiziert ISO/IEC 29151 Richtlinien, die auf ISO/IEC 27002 basieren und die Anforderungen für die Verarbeitung von PII berücksichtigen, die im Kontext der Informationssicherheitsrisiken einer Organisation anwendbar sein können.

Herunterladen

27799

ISO 27799

ISO 27799:2016gibt Richtlinien für organisatorische Informationssicherheitsstandards und Informationssicherheitsmanagementpraktiken, einschließlich der Auswahl, Implementierung und Verwaltung von Kontrollen unter Berücksichtigung der Informationssicherheitsrisikoumgebung(en) der Organisation. Es definiert Richtlinien zur Unterstützung der Interpretation und Implementierung von ISO/IEC 27002 in der Gesundheitsinformatik und ist eine Ergänzung zu dieser internationalen Norm.

ISO 27799:2016bietet eine Implementierungsanleitung für die in ISO/IEC 27002 beschriebenen Kontrollen und ergänzt diese, wo nötig, so dass sie effektiv für das Management der Sicherheit von Gesundheitsinformationen eingesetzt werden können. Durch die Umsetzung der ISO 27799:2016 können Gesundheitsorganisationen und andere Verwahrer von Gesundheitsdaten ein Mindestmaß an Sicherheit gewährleisten, das den Gegebenheiten ihrer Organisation angemessen ist und die Vertraulichkeit, Integrität und Verfügbarkeit der von ihnen verwalteten persönlichen Gesundheitsdaten sicherstellt.

Herunterladen

27040

ISO/IEC 27040

ISO/IEC 27040:2024 enthält detaillierte technische Anforderungen und Anleitungen dazu, wie Organisationen ein angemessenes Maß an Risikominderung erreichen können, indem sie einen bewährten und konsistenten Ansatz für die Planung, Gestaltung, Dokumentation und Implementierung der Sicherheit von Datenspeichern anwenden. Die Speichersicherheit bezieht sich auf den Schutz von Daten sowohl während der Speicherung in Informations- und Kommunikationstechnologiesystemen (IKT) als auch während der Übertragung über die mit der Speicherung verbundenen Kommunikationsverbindungen. Speichersicherheit umfasst die Sicherheit von Geräten und Medien, Verwaltungsaktivitäten im Zusammenhang mit Geräten und Medien, Anwendungen und Diensten sowie die Kontrolle oder Überwachung von Benutzeraktivitäten während der Lebensdauer von Geräten und Medien und nach dem Ende der Nutzung oder dem Ende der Lebensdauer.

Herunterladen

10012

BS 10012

BS 10012legt die Anforderungen an ein System zur Verwaltung persönlicher Daten fest. Es stellt sicher, dass Unternehmen die Risiken für personenbezogene Daten erkennen und durch die Implementierung geeigneter Kontrollen abmildern. BS 10012 ist so geschrieben, dass es mit den Anforderungen der EU GDPR übereinstimmt. Der Erhalt dieser Zertifizierung hilft Unternehmen, den Grad der Einhaltung der DSGVO nachzuweisen.

Herunterladen

3ds

PCI 3DS

Three-Domain Secure (3DS oder 3-D Secure) ist ein Protokoll, das entwickelt wurde, um eine zusätzliche Sicherheitsebene für Transaktionen mit nicht-gegenwärtigen Karten (CNP) zu schaffen und die Wahrscheinlichkeit der betrügerischen Verwendung von Zahlungskarten zu verringern, indem es Fähigkeiten zur Authentifizierung von Karteninhabern bei Kartenausstellern bietet. Die drei Domänen bestehen aus der Acquirer-Domäne, der Issuer-Domäne und der Interoperabilitäts-Domäne (z.B. Zahlungssysteme). EMVCo hat eine neue Branchenspezifikation, EMV 3-D Secure, entwickelt, die neben den traditionellen browserbasierten E-Commerce-Transaktionen auch neue Zahlungskanäle wie App-basierte Transaktionen unterstützt.

PCI 3DS ist ein zentraler Sicherheitsstandard, der vom PCI Security Standards Council (PCI SSC) festgelegt wurde. Er bietet einen Rahmen für drei kritische EMV 3DS-Komponenten - Access Control Server (ACS), Directory Server (DS) und 3DS Server (3DSS) - um physische und logische Sicherheitskontrollen zur Unterstützung der Integrität und Vertraulichkeit des 3DS-Transaktionsprozesses zu implementieren. Der PCI 3DS-Kernsicherheitsstandard setzt sich aus grundlegenden Sicherheitsanforderungen und 3DS-Sicherheitsanforderungen zusammen, um 3DS-Daten, -Technologien und -Prozesse zu schützen.

Alibaba Cloud hat die Einhaltung der geltenden PCI 3DS-Anforderungen anhand der angebotenen Cloud Computing-Produkte/Dienstleistungen nachgewiesen. Detaillierte Informationen finden Sie in der 3DS Konformitätsbescheinigung (AOC). Durch die Einhaltung des PCI 3DS-Kernsicherheitsstandards garantiert Alibaba Cloud seinen Kunden die Bereitstellung einer Cloud-Infrastruktur und von Cloud-Produkten, die sie beim Aufbau einer sicheren Umgebung unterstützen können, in der ACS-, DS- und/oder 3DSS-Funktionen ausgeführt werden.

Weitere Informationen finden Sie unterPCI 3DS Core Security Standard.

Herunterladen

soc1

SOC1

Alibaba CloudSystem and Organization's Controls (SOC)Berichte sind Berichte unabhängiger Dritter über die internen Kontrollen der von Alibaba Cloud als Serviceorganisation angebotenen Dienste. Die SOC-Berichte sind wertvolle Ressourcen für die Kunden von Alibaba Cloud und ihre Wirtschaftsprüfer, um die Kontrollen der Organisation zu verstehen und die Risiken im Zusammenhang mit ihren ausgelagerten Dienstleistungen zu bewerten. Die Kunden von Alibaba Cloud können unsere System- und Organisationskontrollen überprüfen, indem sie den folgenden SOC-Bericht aufrufen:

SOC 1 Typ 2 Bericht: Dies ist ein unabhängiger Prüfungsbericht, der gemäß dem Abschnitt AT-C der SSAE Nr. 18 Attestation Standards in 320 mit dem TitelReporting on an Examination of Controls at a Service Organization Relevant to User Entities' Internal Control Over Financial Reportingüber die internen Kontrollen zur Erreichung der von Alibaba Cloud definierten Kontrollziele erstellt wurde.

Alibaba Cloud veröffentlicht zweimal im Jahr SOC-Berichte mit einem Berichtszeitraum von 12 Monaten auf fortlaufender Basis (1. April bis 31. März und 1. Oktober bis 30. September). Die neuesten SOC-Berichte sind jedes Jahr im Mai und November verfügbar.

Alibaba Cloud SOC-Berichte sind für Alibaba Cloud-Kunden unterAlibaba Cloud Compliance Repositoryverfügbar.

Herunterladen

soc2

SOC2

Alibaba CloudSystem and Organization's Controls (SOC)Berichte sind Berichte unabhängiger Dritter über die internen Kontrollen der von Alibaba Cloud als Serviceorganisation angebotenen Dienste. Die SOC-Berichte sind wertvolle Ressourcen für die Kunden von Alibaba Cloud und ihre Wirtschaftsprüfer, um die Kontrollen der Organisation zu verstehen und die Risiken im Zusammenhang mit ihren ausgelagerten Dienstleistungen zu bewerten. Die Kunden von Alibaba Cloud können unsere System- und Organisationskontrollen überprüfen, indem sie den folgenden SOC-Bericht aufrufen:

SOC 2 Typ 2 Bericht: Dieser Bericht beschreibt die internen Kontrollen von Alibaba Cloud basierend auf den spezifischen Kriterien, die im DC-Abschnitt 200 mit dem Titel "Beschreibungskriterien für eine Beschreibung des Systems einer Dienstleistungsorganisation in einem SOC 2®-Bericht" dargelegt sind, mit einer Stellungnahme des unabhängigen Wirtschaftsprüfers, um zu bestätigen, dass die Kontrollen wirksam konzipiert und durchgeführt wurden, um die AICPA Trust Services Kriterien in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit zu erfüllen, die im TSP-Abschnitt 100 mit dem Titel "Trust Services Kriterien für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz" beschrieben sind.

Alibaba Cloud veröffentlicht zweimal im Jahr SOC-Berichte mit einem Berichtszeitraum von 12 Monaten auf fortlaufender Basis (1. April bis 31. März und 1. Oktober bis 30. September). Die neuesten SOC-Berichte sind jedes Jahr im Mai und November verfügbar.

Alibaba Cloud SOC-Berichte sind für Alibaba Cloud-Kunden unterAlibaba Cloud Compliance Repositoryverfügbar.

Herunterladen

soc3

SOC3

Alibaba CloudSystem and Organization's Controls (SOC)Berichte sind Berichte unabhängiger Dritter über die internen Kontrollen der von Alibaba Cloud als Serviceorganisation angebotenen Dienste. Die SOC-Berichte sind wertvolle Ressourcen für die Kunden von Alibaba Cloud und ihre Wirtschaftsprüfer, um die Kontrollen der Organisation zu verstehen und die Risiken im Zusammenhang mit ihren ausgelagerten Dienstleistungen zu bewerten. Die Kunden von Alibaba Cloud können unsere System- und Organisationskontrollen überprüfen, indem sie den folgenden SOC-Bericht aufrufen:

SOC 3 Bericht: Dies ist ein unabhängiger Prüfbericht, der allgemein die Serviceverpflichtungen und Systemanforderungen von Alibaba Cloud beschreibt, die gemäß den Kriterien für Vertrauensdienste in Bezug auf Sicherheit, Verfügbarkeit und Vertraulichkeit entwickelt und betrieben wurden, die in TSP Abschnitt 100 mit dem TitelTrust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy (AICPA, Trust Services Criteria) beschrieben sind Der Bericht ist eine Zusammenfassung des SOC 2-Berichts und kann unterhierheruntergeladen werden.

Alibaba Cloud veröffentlicht zweimal im Jahr SOC-Berichte mit einem Berichtszeitraum von 12 Monaten auf fortlaufender Basis (1. April bis 31. März und 1. Oktober bis 30. September). Die neuesten SOC-Berichte sind jedes Jahr im Mai und November verfügbar.

Alibaba Cloud SOC-Berichte sind für Alibaba Cloud-Kunden unterAlibaba Cloud Compliance Repositoryverfügbar.

Herunterladen

c5

C5

Das Engagement von Alibaba Cloud für die Anwendung höchster Compliance-Standards bei Kontrollen und Sicherheit zeigt sich in der Erfüllung des C5-Standards, der nicht nur als Maßstab für den deutschen Markt, sondern zunehmend auch als Benchmark für Institutionen in ganz Europa dient. Mit der Bescheinigung können Kunden in deutschen Bundesländern die geleistete Arbeit nutzen, um die strengen lokalen Anforderungen zu erfüllen und sichere Workloads mit Alibaba Cloud Services zu betreiben.

C5 richtet sich in erster Linie an professionelle Cloud-Service-Anbieter, deren Prüfer und Kunden der Cloud-Service-Anbieter. Es enthält 17 verschiedene Kontrollanforderungen, die die Cloud-Anbieter entweder erfüllen oder definierte Mindeststandards einhalten müssen. Es ist eine obligatorische Bewertung für die Arbeit mit dem öffentlichen Sektor in Deutschland und wird zunehmend auch vom privaten Sektor übernommen. Die Philosophie hinter C5 ist es, die derzeit fragmentierte Zertifizierung von Cloud-Angeboten zu vereinheitlichen.

Der Alibaba Cloud C5-Bericht ist für Alibaba Cloud-Kunden unterAlibaba Cloud Compliance Repositoryverfügbar.

Herunterladen

aic4

AIC4

Katalog der Kriterien für die Einhaltung von AI-Cloud-Diensten (AIC4)

Der KI-Cloud-Service-Compliance-Kriterienkatalog bietet KI-spezifische Kriterien, die eine Bewertung der Sicherheit eines KI-Dienstes über seinen Lebenszyklus hinweg ermöglichen. Die Kriterien legen ein grundlegendes Sicherheitsniveau fest, das von unabhängigen Prüfern zuverlässig bewertet werden kann. Der Katalog wurde für KI-Dienste entwickelt, die auf Standardmethoden des maschinellen Lernens basieren und ihre Leistung durch die Verwendung von Trainingsdaten iterativ verbessern.

Alibaba Cloud hat offiziell das deutsche AIC4-Audit bestanden und ist der erste asiatische Cloud-Service-Anbieter, der ein solches Zertifikat erhalten hat.

Für weitere Informationen über die AIC4 besuchen Sie bitte:https://www.bsi.bund.de.

Herunterladen

Vertrauenswürdige_Cloud

Vertrauenswürdige Cloud

Das Trusted Cloud-Siegel wird vom Trusted Cloud Competence Network vergeben. Es wird an vertrauenswürdige Cloud-Dienste vergeben, die die Mindestanforderungen in Bezug auf Transparenz, Sicherheit, Qualität und Rechtskonformität erfüllen.

Für weitere Informationen über den Trusted Cloud Standard und das Label besuchen Sie bitte: https://www.trusted-cloud.de/en

Herunterladen

TISAX

TISAX

DieTISAX(Trusted Information Security Assessment Exchange) Zertifizierung der europäischen Automobilindustrie ist eine gegenseitig akzeptierte Bewertung der Informationssicherheitsbewertung der Automobilindustrie und bietet einen gemeinsamen Bewertungs- und Austauschmechanismus. Alle relevanten Unternehmen in der europäischen Automobilindustrie sind an dem Einfluss der TISAX-Zertifizierung in der Branche interessiert. TISAX wurde vom Verband der Automobilindustrie (VDA) gegründet (deutsch: Verband der Automobilindustrie e. V.) und wird von der European Network Exchange (ENX) reguliert.

Alibaba Cloud wurde mit der höchsten Stufe, Stufe 3, ausgezeichnet. Die meisten Unternehmen der europäischen Automobilindustrie sind bereits im ENX-Netzwerk vertreten. Wenn Sie Mitglied dieses Netzwerks sind, müssen Sie nur die Teilnehmer-ID angeben, damit wir unsere Zertifizierungsergebnisse direkt im ENX-System freigeben können.

Weitere Informationen über TISAX finden Sie auf der WebsiteTISAX.

Herunterladen

Cloud_COC

EU Cloud COC

Alibaba Cloud wurde auf die Einhaltung desEU Cloud Code of Conductvon SCOPE Europe, der unabhängigen Überwachungsstelle des Kodex, überprüft. Diese Verifizierung unterstreicht die strengen Maßnahmen, die Alibaba Cloud ergriffen hat, um die Anforderungen der General Data Protection Regulation (GDPR) zu erfüllen und seinen Kunden einen sicheren Datenschutz zu bieten.

Diese Überprüfung ist das Ergebnis engagierter Bemühungen, um sicherzustellen, dass die Alibaba Cloud-Dienste die in Europa festgelegten Transparenz- und Datenschutzstandards erfüllen. Dies ist ein wichtiger Meilenstein auf dem Weg von Alibaba Cloud zur nachweislichen Einhaltung der GDPR-Vorschriften. Die Cloud-Dienste, deren Übereinstimmung mit dem Verhaltenskodex bestätigt wurde, sind im öffentlichen Register aufgeführt, zusammen mit einem öffentlich zugänglichen Prüfbericht.

Die Überprüfung der Einhaltung des EU Cloud Code of Conduct durch die Alibaba Cloud Services wird von Verification-ID durchgeführt: 2020LVL02SCOPE013. Ausführlichere Informationen finden Sie im öffentlichen Register unterhier.

Herunterladen