Mehr Schutz für Gesetze außerhalb Europas
SecNumCloud Version 3.2 verdeutlicht die Schutzstandards gegenüber außereuropäischen Gesetzen. Diese Anforderungen stellen somit sicher, dass der Cloud-Anbieter und die von ihm verarbeiteten Daten nicht außereuropäischem Recht unterliegen können. SecNumCloud 3.2 bezieht auch Feedback aus den ersten Evaluierungen ein und definiert Anforderungen für die Implementierung von Penetrationstests während des gesamten Qualifizierungslebenszyklus. Für Lösungen, die bereits für SecNumCloud in Frage kommen, behalten sie ihr Sicherheitsvisum bei und ANSSI wird die beteiligten Unternehmen bei Bedarf unterstützen, um den Übergang sicherzustellen.
“Um eine schützende digitale Umgebung im Einklang mit technologischen Entwicklungen zu fördern, einschließlich der kritischsten Daten und Anwendungen, ist die Identifizierung vertrauenswürdiger Cloud-Dienste unerlässlich. Die SecNumCloud-Qualifikation trägt dazu bei, diesen Bedarf zu decken, indem sie ein sehr hohes Anforderungsniveau in Bezug auf nachweist digitale Sicherheit aus technischer, betrieblicher und rechtlicher Sicht“, umreißt Guillaume Poupard, Geschäftsführer von ANSSI.
SecNumCloud-Bewertungsstrategie
Alle Cloud-Dienste sind für die SecNumCloud-Qualifizierung berechtigt. Tatsächlich ist die Qualifizierung an verschiedene Angebote anpassbar: SaaS (Software as a Service), PaaS (Platform as a Service) und IaaS (Infrastructure as a Service) … Außerdem hängt die Qualifizierung eines SaaS-Angebots tatsächlich davon ab Die anerkannte SecNumCloud-Basis wird sich nur auf dienstspezifische Entwicklungen konzentrieren, wobei die öffentliche Arbeit genutzt wird, die auf dem Sicherheitsniveau der berechtigten Basis durchgeführt wird, wodurch die Bewertung und Zugänglichkeit erleichtert wird, auch für Spieler von bescheidener Größe.
Um eine objektive Bewertung der Lücke zwischen dem aktuellen System und dem für die SecNumCloud-Qualifikation erforderlichen Niveau zu erstellen, wird ANSSI Industriepartner unterstützen, mit denen es bereits enge Vertrauensbeziehungen unterhält, und die Zusammenarbeit mit zugelassenen Bewertungen von Zentren empfehlen.
Im Einklang mit den französischen Vorschlägen zum hohen Niveau des europäischen Akkreditierungssystems für Anbieter von Cloud-Diensten
Zur Vermeidung einer Marktsegmentierung und in Umsetzung des Cybersecurity Act 2019 werden Bewertungsmechanismen auf europäischer Ebene harmonisiert. Seit 2019 ist Frankreich maßgeblich an der Entwicklung des European Accreditation Scheme for Cloud Service Providers (EUCS) beteiligt. In diesem Zusammenhang ist SecNumCloud 3.2 voll kompatibel mit europäischen Arbeiten und dient als Referenz bei Arbeiten auf dem „hohen“ Niveau dieser zukünftigen Zertifizierung.
Entspricht den europäischen Anforderungen zum Schutz personenbezogener Daten und den Ergebnissen des „Schrems II“-Urteils
Das „Schrems II“-Urteil des Gerichtshofs der Europäischen Union bezog sich auf die Anforderung, einen Schutz zu gewährleisten, der dem der Datenschutz-Grundverordnung (DSGVO) gleichwertig ist, wenn personenbezogene Daten europäischer Bürger außerhalb der Europäischen Union (EU) übermittelt werden. . Darüber hinaus können, unabhängig von der Existenz von Übertragungen, einige externe Rechtsvorschriften, die kein Schutzniveau bieten, das im Wesentlichen dem von der Allgemeinen Datenschutzverordnung (DSGVO) garantierten entspricht, für Daten gelten, die von Cloud-Dienstanbietern innerhalb des Gebiets der Europäischen Union gespeichert werden . In dieser Hinsicht bietet SecNumCloud 3.2 starke Garantien in Bezug auf den Schutz vor außereuropäischen Rechtsvorschriften mit externem Geltungsbereich. Diese Sicherheitsvorkehrungen ermöglichen es berechtigten Cloud-Angebotskunden, ihre Einhaltung der Folgen der „Schrems II“-Bestimmung sicherzustellen und gleichzeitig das Risiko eines nicht DSGVO-konformen ausländischen Zugriffs zu eliminieren.
“Während die Entscheidung des EuGH eine Einzelfallanalyse erfordert, die komplex sein kann, bietet das SecNumCloud 3.2-Repository eine Antwort, die mit den gerichtlichen Anforderungen für den Datenschutz in der Cloud konform ist. Die CNIL empfiehlt die Verwendung dieses Standards für Datenverantwortliche, die dies wünschen um ein hohes Maß an Datenschutz zu gewährleisten”, bemerkt Mary Laurie Dennis, Vorsitzende der National Commission on Computing and Liberties (CNIL).