Wir nehmen Sicherheit ernst.

Eine Cloud-Sicherheitslösung ist wichtiger Bestandteil Ihrer IT-Infrastruktur. Sie regelt, wie Mitarbeiter, Auftragsnehmer, Partner und Kunden auf Cloud-Dienste zugreifen. MVISION Cloud wurde dafür konzipiert, Sie von Grund auf bei Ihren Sicherheits- und Compliance-Anforderungen zu unterstützen und ein unternehmensgerechter Service zu sein, dem Sie vertrauen können.

McAfee hat in großem Stil investiert, um einen unternehmensgerechten Service bereitzustellen. Investiert haben wir unter anderem in:

  • SOC2 Type II
  • FedRAMP
  • ISO 27001
  • ISO 27017
  • ISO 27018
  • FIPS 140-2
  • CSA STAR
  • IRAP
  • Transparenz von Kontrollen und Compliance
  • Betrieb und Daten
  • Sicherheitskompetenz und Überwachung
  • Unabhängige Penetrations- und Schwachstellentests

Zertifizierungen

Im folgenden Abschnitt erhalten Sie einen Überblick über die Zertifizierungen von Drittanbietern und die Zertifizierungen nach Industrienormen, die für die Produkt-Suite von MVISION Cloud abgeschlossen sind oder derzeit durchgeführt werden.

SOC2 Type II

Der SOC 2 Type II-Bericht ist eine Bescheinigung für die Verwaltung der MVISION Cloud-Organisation, in der bestätigt wird, dass bestimmte Kontrollen vorhanden sind, um die SOC 2 Trust Services Criteria (TSC) des AICPA zu erfüllen.

Die entsprechenden TSC-Kriterien sind:

  • Sicherheit: Das System ist sowohl physisch als auch verschlüsselungstechnisch gegen unbefugte Zugriffe geschützt.
  • Verfügbarkeit: Das System steht wie zugesagt oder vereinbart für Betrieb und Nutzung zur Verfügung.
  • Verarbeitungsintegrität: Die Systemdatenverarbeitung ist vollständig, genau und autorisiert.
  • Vertraulichkeit: Als "vertraulich" eingestufte Daten werden gemäß Richtlinien oder Vereinbarungen geschützt.
  • Datenschutz: Personenbezogene Daten werden in Übereinstimmung mit den Bestimmungen in der Datenschutzerklärung des Unternehmens sowie mit den Kriterien, die in den vom AICPA herausgegebenen allgemein akzeptierten Datenschutzgrundsätzen festgelegt sind, erhoben, verwendet, aufbewahrt, offengelegt und vernichtet.

Der Bericht beinhaltet die Stellungnahme amtlich zugelassener Buchprüfer, der zufolge die Prüfer den Versicherungen der Geschäftsleitung zustimmen. Laut dieser Stellungnahme sind die geeigneten Kontrollen für die ausgewählten TSCs vorhanden, und die Kontrollen sind konzipiert (Type I-Bericht) bzw. konzipiert und funktionieren ordnungsgemäß (Type II-Bericht).

SOC2 Type II

FedRAMP

MVISION Cloud hat die Zertifizierung des Federal Risk and Authorization Management Program (FedRAMP) erhalten und kann Behörden daher in die Lage versetzen, die Cloud-Richtlinie der US-Regierung zu erfüllen, indem es ihnen ermöglicht, Software-as-a-Service-Lösungen (z. B. Office 365) einzuführen und gleichzeitig ihre Sicherheits-, Compliance- und Governance-Richtlinien lückenlos durchzusetzen. Diese Zertifizierung verlangt von Cloud-Anbietern die Einhaltung strenger Sicherheitsanforderungen, die für sämtliche Bundesbehörden verbindlich sind. Skyhigh (das heutige MVISION Cloud) ist der erste Cloud Access Security Broker (oder kurz CASB), der als "FedRAMP-konformes System" ausgewiesen wurde.

FedRAMP

ISO 27001

ISO 27001 ist eine der stärksten Zertifizierungen, die ein Cloud-Anbieter erhalten kann. Der Erhalt der ISO-Zertifizierung ist Ausdruck des Einsatzes von MVISION Cloud für funktionsübergreifende Sicherheit. Skyhigh (das heutige MVISION Cloud) ist stolz darauf, als erster CASB diese Zertifizierung erhalten zu haben und zu den lediglich 4 % der Cloud-Anbieter zu gehören, die dieses umfassende Validierungsverfahren durchlaufen haben. Die Konformität mit ISO 27001 beinhaltet eine verpflichtende Schulung und Prüfung sämtlicher Mitarbeiter zu allgemeinen IT-Sicherheitsfragen und Online-Bedrohungen. MVISION Cloud hat die Zertifizierung gemäß ISO 27001 erhalten, nachdem es sich mit der Normungsorganisation British Standards Institute (BSI) in Verbindung gesetzt und damit seinen Einsatz für offene Standards und Kontrollen sowie die Praxisreife seiner Kontrollen und Verfahren unter Beweis gestellt hat.

ISO 27001

ISO 27017

ISO 27017 ist eine ergänzende ISO-Norm, die zusätzliche Anleitungen zur Implementierung von Informationssicherheitskontrollen speziell für Anbieter von Cloud-Diensten bietet. Als einer der ersten CASBs erhielt MVISION Cloud die Zertifizierung nach ISO 27017 in den USA. Diese internationale Norm enthält Richtlinien zur Unterstützung der Umsetzung von Datensicherheitskontrollen für Kunden von Cloud-Diensten, die diese Kontrollen implementieren, sowie für Anbieter von Cloud-Diensten zur Unterstützung der Implementierung dieser Kontrollen. Außerdem regelt sie die Verantwortlichkeiten des Anbieters von Cloud-Diensten und des Kunden von Cloud-Diensten. Diese Zertifizierung, wie auch die Zertifizierung 27018, ermöglicht es den Kunden darüber hinaus, ihren eigenen Datenschutzverpflichtungen gemäß den örtlichen Vorschriften und Branchenbestimmungen nachzukommen.

ISO 27018

ISO 27018 ist die erste internationale Norm, die sich auf den Schutz personenbezogener Daten in der öffentlichen Cloud konzentriert und Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten, die in der öffentlichen Cloud gespeichert sind, festlegt. Skyhigh (das heutige MVISION Cloud) ist nicht nur der erste CASB, der die Zertifizierung nach ISO 27018 erhalten hat, sondern auch einer der ersten großen Anbieter von Cloud-Diensten, der diese Zertifizierung in den USA erhalten hat. Mit dieser Zertifizierung wird bestätigt, dass MVISION Cloud Sicherheitskontrollen zum Schutz personenbezogener Daten von Kunden integriert hat. Sie gewährleistet, dass MVISION Cloud die personenbezogenen Daten gemäß den Anweisungen des Kunden verarbeitet und die Transparenz darüber aufrechterhält, wie Informationen gespeichert, gelöscht und abgerufen werden, dass Kundendaten nicht zu Werbezwecken verwendet werden und dass den Kunden jegliche Anfragen von Strafverfolgungsbehörden bezüglich ihrer Daten offengelegt werden. Diese Zertifizierung ermöglicht es den Kunden ferner, ihren eigenen Datenschutzverpflichtungen gemäß den örtlichen Vorschriften und Branchenbestimmungen nachzukommen.

ISO 27018

FIPS 140-2

MVISION Cloud ist FIPS-zertifiziert. FIPS 140-2 ist auch über die US-Bundesregierung hinaus zum De-facto-Standard für Verschlüsselung geworden und wird außerhalb der Vereinigten Staaten als wichtiger Sicherheitsstandard anerkannt. Die Zertifizierung mit FIPS 140-2 bietet die Gewissheit, dass die Verschlüsselung von MVISION Cloud strengen Tests durch Dritte unterzogen wurde und Unternehmen ein Höchstmaß an Schutz bieten kann.

CSA STAR

CSA STAR ist ein Programm zur Gewährleistung der Sicherheit für Cloud-Anbieter, das von der Cloud Security Alliance (CSA), einer anerkannten Instanz für Cloud-Sicherheit, ins Leben gerufen wurde. STAR beinhaltet die Schlüsselprinzipien der Transparenz, strenger Audits, der Harmonisierung von Standards und der kontinuierlichen Überwachung auf der Grundlage der Cloud Controls Matrix (CCM) der CSA. Die CCM der CSA ist eine Reihe von Cloud-spezifischen Sicherheitskontrollen, die führenden Standards, bewährten Verfahren und Vorschriften entsprechen. MVISION Cloud ist von CSA STAR selbst bewertet , was die Übereinstimmung mit bewährten Verfahrensweisen im Bereich der Cloud-Sicherheit bestätigt und die Sicherheitslage des Cloud-Angebots bescheinigt. Den Konsensbewertungs-Initiativfragebogen (Consensus Assessments Initiative Questionnaire, CAIQ) von MVISION Cloud finden Sie unter https://cloudsecurityalliance.org/star/registry/mcafee/.

CSA STAR

IRAP

McAfee MVISION Cloud ist die erste Cloud Access Security Broker (CASB)-Plattform, die im Rahmen des australischen Information Security Registered Assessors Program (IRAP) eine Zertifizierung für die Sicherheitsklassifizierungsebene PROTECTED erhalten hat.

IRAP ist eine Initiative des Australian Signals Directorate (ASD), um der australischen Regierung hochqualitative Services zur Sicherheitsbewertung von Informations- und Kommunikationstechnologien (ITC) zur Verfügung zu stellen.

Auf Basis dieser abgeschlossenen Cloud-Sicherheitsbewertung erfüllt McAfee MVISION Cloud laut Zertifizierung die Kontroll- und Sicherheitsziele, die vom Framework für Cloud-Sicherheitsbewertung und -autorisierung des Australian Cybersecurity Centre (ACSC) definiert wurden. Die IRAP-Akkreditierung gemäß Sicherheitsklassifizierungsebene Protected bedeutet, dass McAfee nun für den Schutz sehr vertraulicher Daten und Infrastrukturen für die australische Regierung autorisiert ist.

IRAP

Transparenz von Kontrollen und Compliance

McAfee wurde mit dem Datenschutzsiegel TRUSTe Privacy Seal ausgezeichnet, was bedeutet, dass unsere Datenschutzrichtlinien und -praktiken den Anforderungen des TRUSTed Cloud-Programms und der Konformitätszertifizierung für die Safe-Harbor-Anforderungen der EU entsprechen. Unsere Kontrollen wurden auch zur Aufnahme in die Security, Trust and Assurance Registry (STAR) der Cloud Security Alliance eingereicht.

Betrieb und Daten

McAfee Operations arbeiten mit anerkannten Branchenführern wie AWS und XO Communications zusammen, um eine sichere, leistungsfähige und hochverfügbare Infrastruktur bereitzustellen. Der Zugang zu dieser Infrastruktur wird streng kontrolliert und ist auf vertrauenswürdige leitende Teammitglieder beschränkt. Zwei-Faktor-Authentifizierung und virtuelle private Netzwerke (VPNs) mit IPSec gewährleisten eine starke Authentifizierung und Verschlüsselung der Daten.

Sicherheitskompetenz und Überwachung

Aufgebaut wurde unser Service von einem Team mit nachweislicher Erfolgsbilanz im Bereich der Unternehmenssicherheit. Vor der Gründung von Skyhigh war das Team bei Cisco für Produkte zuständig, mit denen Kunden standardisierte, konsistente Zugriffsrichtlinien für IT-Stapel verwalten, durchsetzen sowie prüfen können. So entwickelte das Team mit der Identity Services Engine ein Produkt, das den begehrten Pioneer Award bei Cisco erhielt und als bahnbrechende Neuerung für Cisco gilt.

Unabhängige Penetrations- und Schwachstellentests

Obwohl wir uns ständig selbst überprüfen, beherzigen wir den Grundsatz von Richard Feynman: „Man darf sich nichts vormachen – und sich selbst kann man am leichtesten etwas vormachen.“ Dementsprechend werden größere Software-Releases mindestens viermal im Jahr von Kratos, einem externen Anbieter, intensiv geprüft.

Kostenlose Demo

Anfordern

Cloud-Audit

Erste Schritte