8. Compliance-Anforderung in SLAs gießen

Die regulatorischen Anforderungen des Kunden an den Managed Service Provider sollten im Vorfeld geklärt und festgeschrieben sein, unter anderem im Hinblick auf den Umgang mit Daten und deren Speicherung in bestimmten Regionen.

9. Nur messbaren Kriterien in SLAs festschreiben

Für sicherheitsrelevante Kriterien sollen nur solche Service Level Agreements (SLAs) vereinbart werden, die gemessen werden können. Die vorgeschlagene Messmethode muss sorgfältig geprüft werden.

10. Exit-Bedingungen

Wenn der Kunde imVorfeld Exit-Bedingungen festlegt, ist ein Wechsel des Managed Service Provider vor Ablauf der Vertragszeit schwierig.

Wie aufwändig die Prozesse rund um Cloud-Security werden, hängt vom spezifischen Dienst ab. Tendenziell erlaubt es das SaaS-Modell (Software as a Service) am ehesten, mit überschaubarem Aufwand ein hohes Sicherheitsniveau zu erreichen. Bei SaaSSaaS ist die Schnittstelle zwischen Provider und Kunde in der Regel sehr gut beschrieben, da der Zugriff über einen Webbrowser erfolgt und für die Verschlüsselung der Übertragungsstrecke SSL/TLS als Standard gesetzt ist. Der Anbieter kümmert sich komplett um die Sicherheitsmaßnahmen in seiner Cloud-Infrastruktur. Allerdings sollte der Kunde im Vorfeld Fragen rund um ComplianceCompliance, Reporting und Auditierung aus der SaaS-Anwendung heraus sowie Backup und e-Discovery klären. Außerdem müssen die Anforderungen an das Identitäts- und Zugriffsmanagement beim Kunden eingehend geprüft werden. Alles zu Compliance auf CIO.de Alles zu SaaS auf CIO.de