Rufen Sie uns an: +41 (0)43 430 3940
 
 

Sicherheit und Compliance

Sicherheit

Physische Security

Physische Sicherheit umfasst die Kontrolle und Protokollierung jedes physischen Zugangs zu unserem Rechenzentrum.
 

  • Zugang zum Rechenzentrum nur für autorisierte Mitarbeiter
  • Ausweise und biometrische Erkennungsverfahren für kontrollierten Zugang zum Rechenzentrum
  • Überwachung aller Rechenzentren mit Sicherheitskameras
  • Speicherung der Zugangs- und Videoüberwachungsprotokolle
  • Zusätzlicher Schutz gegen nicht autorisierten Zutritt durch Mitarbeiter vor Ort – 24 Stunden, 7 Tage die Woche
  • Nicht gekennzeichnete Einrichtungen, um nicht besonders aufzufallen
  • Jährliche Prüfung der physischen Sicherheit durch unabhängige Unternehmen

 

Netzwerk-Infrastruktur

Die Netzwerk-Infrastruktur bietet die Verfügbarkeitsgarantie, die von strengen SLAs gestützt wird.

  • Leistungsstarke Bandbreite von mehreren Netzwerkanbietern
  • Eliminierung einzelner Fehlerstellen in der gemeinsam genutzten Netzwerk-Infrastruktur
  • Sorgfältig gebündelte und gesicherte Kabel
  • Überwachung der Routeneffizienz des Netzwerks durch proaktiven Ansatz des Netzwerkmanagements
  • Echtzeit-Topologie und Konfigurationsverbesserungen, um Normabweichungen auszugleichen
  • Von Service Level Agreements gestützte Netzwerkverfügbarkeit
  • Netzwerkmanagement ausschließlich durch autorisierte Mitarbeiter

 

Personal

Die Personalabteilung bietet Mitarbeitern von Rackspace ein Schulungsprogramm, um zu gewährleisten, dass sie ihre Aufgaben und Verantwortlichkeiten in Hinblick auf Informationssicherheit verstehen.

  • Referenzprüfungen jedes Mitarbeiters mit Zugriff auf Kundenkonten
  • Von Mitarbeitern zu unterzeichnende Verschwiegenheits- und Vertraulichkeitserklärungen
  • Obligatorische Sicherheitsschulung bei Einstellung und anschließend im jährlichen Rhythmus

Betriebssicherheit

Betriebssicherheit umfasst die Entwicklung von Geschäftsprozessen und -richtlinien, die bewährten Sicherheitsverfahren entsprechen, um Zugriff auf vertrauliche Informationen einzuschränken und dauerhaft für höchste Sicherheit zu sorgen.

  • Jährliche Überprüfung der Richtlinien gemäß ISO 27001/2
  • Dokumentierte Verfahren des Infrastruktur-Änderungsmanagements
  • Sichere Dokumenten- und Medienvernichtung
  • Incident-Management-Funktion
  • Plan für Business Continuity mit Fokus auf der Verfügbarkeit der Infrastruktur
  • Unabhängige Überprüfungen durch Dritte
  • Kontinuierliche Überwachung und Verbesserung des Sicherheitsprogramms


Umgebungskontrollen

Es wurden Umgebungskontrollen eingeführt, um die Risiken einer Serviceunterbrechung durch Feuer, Überschwemmung und andere Formen von Naturkatastrophen zu minimieren.

  • Doppelte Stromversorgungsleitung in die Einrichtungen
  • Unterbrechungsfreie Stromversorgung (Minimum N+1)
  • Diesel-Generatoren (Minimum N+1)
  • Leistungsverträge mit Kraftstofflieferanten
  • Klimaanlagensysteme (Minimum N+1)
  • Rauchmelder
  • Überflutungserkennung
  • Kontinuierliche Überwachung der Einrichtung

 

Sicherheitsorganisation

Die Sicherheitsorganisation umfasst den Aufbau eines weltweiten Sicherheitsteams zur Überwachung der Betriebsrisiken durch ein Informationsmanagement, das auf der ISO-Norm 27001 basiert.

  • Verantwortung für Sicherheitsmanagement bei weltweitem Sicherheitsteam
  • Überwachung von Sicherheitsbetrieb und -steuerung, Risiken und Compliance durch den Chief Security Officer
  • Direkte Einbeziehung von Incident Management, Change Management und Business Continuity

 

ISO/IEC 27001:2005

ISO/IEC 27001:2005 (Informationssicherheits­managementsystem)

Rackspace Ltd. ist seit 2009 nach diesem Standard zertifiziert.
 

Was ist ISO 27001?

Die vollständige Bezeichnung lautet ISO/IEC 27001:2005 – Information technology – Security techniques – Information security management systems – Requirements. Es handelt sich um einen freiwilligen international anerkannten Standard, der für die Verwaltung von Verantwortlichkeiten im Sicherheitsbereich einen Rahmen vorgibt. Er sichert die Effektivität der betrieblichen Security Controls in unserer Arbeitsumgebung von außen ab.

Die Anforderungen dieses Standards werden durch unser Rackspace-Sicherheits-Managementsystem verwaltet.

ISO 27001 richtet sich nach den bewährten in ISO 27002 dokumentierten Kontrollen.
 

Was bedeutet dies für unsere Kunden?

Unser ISO 27001-zertifiziertes Sicherheitsmanagementsystem manifestiert unseren Anspruch, unsere Rechenzentren sicher und verantwortlich zu betreiben. Wir gleichen es an andere vergleichbare Sicherheitsstandards und -erfordernisse an, wie PCI-DSS (vgl. PCI-DSS-Tab) und unsere ISAE 3402-Kontrollen (vgl. ISAE 3402-Tab), damit unsere Sicherheitsaspekte mehrfach transparent sind.
 

Um welchen Zertifizierungsbereich handelt es sich?

Unsere Rechenzentren im Vereinigten Königreich (vier EDV-Räume in drei Anlagen) und Hongkong (ein Raum) sind im Bereich „Die Sicherheit des Informationsmanagements bei Design, Implementierung und Support von Hosting-Lösungen für unsere Rechenzentren im Vereinigten Königreich (LON1 und LON3), Australien und Hongkong“ nach ISO 27001 zertifiziert.
 

Welche Stelle führt die Zertifizierung durch und wie oft werden Sie beurteilt?

Wir haben Certification Europe zu unserer externen Prüfstelle ernannt und wir werden mindestens zweimal pro Jahr nach einem Dreijahres-Prüfplan geprüft.
 

Können Kunden Kopien des ISO 27001-Zertifikats erhalten?

Ja, bitte hier klicken

PCI-DSS

PCI-DSS (Payment Card Industries - Data Security Standard)

Was ist PCI-DSS?

PCI-DSS ist ein obligatorischer, international anerkannter Informationssicherheitsstandard für Organisationen, die Daten von Karteninhabern der wichtigsten Kredit- und Debitkarten verarbeiten. Sein Ziel ist die Eindämmung von Zahlungskartenbetrug.
 

Die Regeln dieses Standards werden vom Payment Card Industries Security Standards Council festgelegt und von einem externen, qualifizierten Sicherheitsgutachter (QSA) bewertet und validiert. Diese Validierung wird durch ein jährlich erstelltes Compliance-Attest (AoC) und einen Bericht zur Compliance (RoC) bestätigt.
 

Organisationen werden entsprechend dem Umfang ihrer durchgeführten Transaktionen verschiedenen Kategorien zugeordnet. Rackspace ist wegen der dreihunderttausend Transaktionen pro Jahr ein Serviceanbieter mit Stufe 1.
 

Die für diesen Standard erforderlichen Kontrollziele werden durch unser Rackspace Sicherheitsmanagementsystem verwaltet.
 

Was bedeutet dies für unsere Kunden?

Unser Sicherheitsmanagementsystem ist so konfiguriert, dass wir einen stabilen, sicheren und regelkomformen Mechanismus für die Verarbeitung von Bezahlkarteninformationen anbieten können. Wir haben es an unsere anderen vergleichbaren Sicherheitsstandards und -erfordernisse angepasst (ISO 27001 und ISAE 3402-Kontrollen). So sind unsere Sicherheitsaspekte mehrfach transparent.
 

Um welchen Zertifizierungsbereich handelt es sich?

Rackspaces PCI-Zertifizierung deckt folgende Bereiche ab:
 

  • Physisches Sicherheitsumfeld der Rackspace-Rechenzentren
  • Kontrollierter Zugang zu den von Kunden gehosteten Umgebungen durch Rackspace
  • Sicherheit der Netzwerkinfrastruktur (Switches und Router)
  • Sicherheit des drahtlosen Netzwerks
     

Für folgende Orte
 

  • Alle Büros in den USA und im VK
  • Alle Rechenzentren im VK
  • Rechenzentren in Hongkong
  • Rechenzentrum Sydney
  • Rechenzentren in den USA (DFW1/2, SAT2, ORD1 und IAD1/2)
     

Wer ist der QSA?

Trustwave Inc.
 

Können Kunden Kopien des Aoc und/oder RoC? erhalten?

Kunden können eine Kopie des Compliance-Attest (AoC) erhalten, der Report of Compliance (RoC) ist jedoch nur Rackspace zugänglich. Auf Wunsch stellt Ihnen Rackspace das „Spheres of Responsibility"-Dokument, das auf den Ergebnissen des RoC beruht, zur Verfügung. Wenden Sie sich bitte an Ihren Kundenbetreuer oder Verkaufsberater, wenn Sie eine Kopie der AoC- oder einer anderen PCI-Dokumentation wünschen.

ISAE 3042

International Standards for Assurance Engagements (ISAE) No. 3402

Was ist ISAE 3042?

Die vollständige Bezeichnung lautet International Standards for Assurance Engagements (ISAE) No. 3402, Sicherheitsberichte über Kontrollen bei einer Dienstleistungsorganisation Es handelt sich um einen international anerkannten Prüfstandard für die Bewertung eingerichteter Kontrollen durch eine dritte Dienstleistungsorganisation.

ISAE 3402 ist die internationale Version der nordamerikanischen SSAE 16. Zusammen ersetzten sie den Prüfstandard SAS 70.

Ein SOC (Service Organization Controls)-Bericht wird erstellt, um Kunden extern validierte und unvoreingenommene Informationen über die bei der Organisation eingerichteten Betriebskontrollen zu liefern.

Es gibt zwei Arten von SOC-Berichten: Type I und Typ II. Bei einem Bericht vom Typ I bewertet der Prüfer die Kontrolleinrichtungen einer Organisation zum Zeitpunkt des Prüfverfahrens um Fehlbuchungen und Falschinterpretationen zu vermeiden. Der Prüfer bewertet auch die Wahrscheinlichkeit, dass diese Kontrolleinrichtungen das gewünschte Ergebnis bewirken. Ein Typ II-Bericht enthält die selben Informationen wie in Typ I, versucht aber außerdem die Effektivität der Kontrolleinrichtungen seit Ihrer Implementierung zu ermitteln. Typ II verwendet typischerweise Daten, die in einem Zeitraum von sechs Monaten gesammelt wurden. Ein globaler Typ II SOC1-Bericht wird über die bei Rackspace installierten Kontrolleinrichtungen erstellt.
 

Was bedeutet dies für unsere Kunden?

Die Rackspace Typ II SOC-Berichte erfüllen die ISAE 3402- und SSAE 16-Standards. Dieser Bericht enthält eine Beschreibung der von uns eingerichteten Kontrollen und die Expertenmeinung des Prüfers zu ihrer Effektivität während des Prüfungszeitraums. Die Prüfperiode für Rackspace erstreckt sich jedes Jahr vom 1. Oktober bis zum 30. September. Wir haben sie an unsere anderen vergleichbaren Sicherheitsstandards und -erfordernisse angepasst (ISO 27001 und PCI-DSS Controls). So sind unsere Sicherheitsaspekte mehrfach transparent.
 

Welche Bereiche deckt der Bericht ab?

Alle Rechenzentren in den USA, im VK und in Hong Kong.
 

Wer führt das Audit durch?

Ernst & Young LLP.
 

Können Kunden Kopien des Rackspace ISAE3402 Type II SOC1, SOC2 und SOC3 erhalten?

Kunden haben über das Portal MyRackspace Zugriff auf diese Dokumente. Oder Sie wenden sich bitte an Ihren Kundenbetreuer oder Verkaufsberater, wenn Sie ein Exemplar wünschen.

Haben Sie Fragen? Kontaktieren Sie uns.

Anrufen E-Mail schicken Chat öffnen