Herstellen von branchenübergreifendem Vertrauen mit PCI DSS, TISAX, HIPAA, FedRAMP und mehr

Je größer das Datenvolumen wird und je stärker sich die Welt durch Technologie vernetzt, desto größer wird auch der Bedarf an Anleitung und Schutz sensibler Informationen.

Verantwortliche für Informationssicherheit aus allen Branchen sind fortwährend damit beschäftigt, neue Möglichkeiten zum Schutz von Kund:innen, Unternehmen und öffentlichen Einrichtungen durch moderne Regulierungsvorgaben und Compliance-Standards zu eruieren. Wenn Organisationen nicht in der Lage oder willens sind, Best Practices und Compliance-Maßnahmen für den Datenschutz umzusetzen, und es dadurch zum Missbrauch oder zur Vernachlässigung des Schutzes sensibler Informationen kommt, kann sich dies in Form von Rufschädigung, Kundenabwanderung und natürlich auch empfindlichen Strafen auswirken.

Ob es darum geht, medizinische Informationen oder die finanzielle Lage von Kund:innen zu schützen, ob Sie behördliche Informationen verteidigen müssen oder ob es Ihre Aufgabe ist, den Informationsaustausch in der Automobilbranche sicherzustellen – jede Branche hat ihre Eigenheiten, die es individuell zu beachten gilt. Diese Erkenntnis ist mittlerweile sowohl im privaten als auch im öffentlichen Sektor angekommen, sodass bei der Auswahl von Anbietern und Partnern darauf geachtet wird, dass diese die spezifischen Compliance-Standards der jeweiligen Branche erfüllen und übererfüllen.

Bei der Entwicklung der gehosteten und selbstverwalteten Produkte von Elastic war Security eine der Hauptprioritäten. Die Produkte enthalten Funktionen, die darauf ausgerichtet sind, die Sicherheit von Kunden- und Organisationsinformationen aufrechtzuerhalten. Wir arbeiten eng mit Branchenexperten und Regulierern zusammen, um die Einhaltung aller sektorspezifischen Vorschriften sicherzustellen. Unsere Dienste werden unabhängig auditiert und die Einhaltung der Datenschutz- und Compliance-Standards wird durch unsere Zertifizierungen und Testate belegt. Elastic erfüllt unter anderem die folgenden Branchenstandards:

PCI DSS

Elastic ist als „PCI DSS Level 1 Service Provider“ zertifiziert.

PCI DSS (Payment Card Industry Data Security Standard) gilt als „Gold Standard“ in der Zahlungsindustrie. Der Standard wird vom PCI Security Standards Council (PCI SSC) verwaltet und beinhaltet Sicherheitsnormen für jede Organisation, die Daten von Karteninhaber:innen akzeptiert, überträgt oder speichert. Das Modell gibt vor, dass Anbieter ein Vulnerability-Management-Programm unterhalten, wirksame Zugangsbeschränkungen implementieren, Netzwerke regelmäßig überwachen und testen und andere Standards befolgen müssen, die technische und operative Systemkomponenten betreffen. Weitere Informationen

TISAX

Elastic verfügt über eine TISAX-Zertifizierung als vertrauenswürdiger Partner mit der Schutzebene „Hoch“ in den Bereichen Informationssicherheit und Datenschutz.

TISAX (Trusted Information Security Assessment Exchange) ist ein vom deutschen Verband der Automobilindustrie (VDA) und der European Network Exchange (ENX) geschaffener Mechanismus, der die Basis für eine gemeinsame Bewertung der Informationssicherheit für die interne Analyse, die Evaluierung von Lieferanten und den Informationsaustausch bildet. Damit ermöglicht TISAX den Aufbau eines zuverlässigen Ökosystems aus Anbietern, Herstellern, Subkontraktoren, Lösungsanbietern, OEMs und Autoherstellern für die gesamte Branche. Weitere Informationen

HIPAA

Elastic ist uneingeschränkt HIPAA-konform.

Der US-amerikanische „Health Insurance Portability and Accountability Act“ von 1996 (HIPAA) vereint in sich Datenschutzvorgaben und Datenstandards, die den Umgang mit sensiblen Patientendaten regeln. Das Gesetz gilt für Gesundheitsdienstleister, Krankenkassen, Abrechnungsdienstleister im Gesundheitswesen und deren Geschäftspartner. Zur Einhaltung der vom HIPAA vorgegebenen Sicherheitsstandards müssen diese Anbieter und Unternehmen die Vertraulichkeit, Integrität und Verfügbarkeit aller geschützten elektronischen Gesundheitsinformationen sicherstellen. Daten müssen vor voraussehbaren Sicherheitsbedrohungen oder unbefugter Nutzung geschützt werden und die Beschäftigten müssen die Einhaltung der Vorgaben zertifizieren.

FedRAMP

Elastic Cloud ist mit der Einstufung „Moderate Impact“ für das „Federal Risk and Authorization Management Program“ der US-Regierung zugelassen.

FedRAMP bietet eine standardisierte Herangehensweise an Sicherheitszulassungen für Cloud-Dienst-Angebote in den USA. Das Programm wurde 2011 ins Leben gerufen, um eine kostengünstige, risikobasierte Herangehensweise an die Nutzung von Cloud-Diensten durch US-Regierungsbehörden zu ermöglichen. FedRAMP standardisiert Sicherheitsanforderungen für die Genehmigung und kontinuierliche Cybersicherheit von Cloud-Diensten gemäß den Vorgaben von FISMA, von OMB Circular A-130 und der FedRAMP-Richtlinien.

Compliance ist erst der Anfang

Unser erfahrenes Team von Security-Practitionern ist interdisziplinär aufgestellt, um ein erstklassiges Security-Niveau für unsere Technologie und unser Unternehmen sicherzustellen. Wir prüfen jeden unserer Lieferanten und jedes von uns eingesetzte Open-Source-Projekt sehr genau, um sicherzustellen, dass sie die von uns zu befolgenden Standards und Compliance-Anforderungen einhalten. Darüber hinaus arbeiten wir mit ausgewählten Infrastructure-as-a-Service(IaaS)-Anbietern zusammen, die sich zur Prüfung der Sicherheit ihrer Dienste regelmäßig unabhängigen Audits unterziehen.

Informieren Sie sich über die Compliance von Elastic sowie über Informationssicherheitsstandards der Branchen wie CSA STAR, ISAE 3000, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, SOC 2 und SOC 3. Auf unserer Seite „DSGVO-Anforderungen und Elasticsearch“ finden Sie Informationen dazu, wie Sie Ihre Elasticsearch-Daten DSGVO-konform machen können.