Skip to main content

Compliance ist ein integraler Bestandteil der Sicherheit der Appian Cloud

Unternehmen sehen sich zunehmend mit der schwierigen Aufgabe konfrontiert, ihre Compliance sicherzustellen und gleichzeitig wettbewerbsfähige Innovationen voranzutreiben. Dank seines umfassenden Sicherheits- und Compliance-Programms lässt Appian Cloud diese Aufgabe kinderleicht erscheinen.

Appian Cloud Compliance-Programm

Erfüllt die strengsten globalen Branchenstandards.

Wird regelmäßigen Sicherheitsaudits unterzogen.

Stellt sicher, dass Kontrollen den Schutz Ihrer Daten gewährleisten.

Bietet fortschrittliche Governance-Fähigkeiten.

Die Air Force ist stets bestrebt, die bestehenden Geschäftssysteme kosteneffizient zu modernisieren. Aus diesem Grund implementieren wir erweiterbare, skalierbare Cloud-Technologien, wie beispielsweise die von Branchenpartnern wie Appian bereitgestellten Geschäftsprozessmanagement-Funktionen.

Richard T. Aldridge
Program Executive Officer für Geschäfts- und Unternehmenssysteme und Mitglied des Senior Executive Service der U.S. Air Force

SOC 1/ISAE 3402

SOC-Berichte (Service Organization Controls), zuvor als SAS-70-Berichte bekannt, sollen Betreibern und Anbietern von Informationssystemen dabei helfen, Vertrauenswürdigkeit und Zuverlässigkeit ihrer Serviceprozesse und ‑kontrollen zu belegen.

Appian veröffentlicht einen SOC-1-Bericht vom Typ II sowie einen ISAE-3402-Bericht (International Standards for Assurance Engagements). Diese Prüfung wird von einem unabhängigen Buchhalter (Certified Public Accountant, CPA) durchgeführt und untersucht die internen Kontrollen einer Dienstleistungsorganisation über einen bestimmten Zeitraum hinweg, die sich auf das Finanzberichtswesen von Kunden, die entsprechende Leistungen in Anspruch nehmen, auswirken könnten. Diese Berichte sind häufig wichtige Komponenten von Kundenevaluierungen der eigenen internen Kontrollprozesse in Bezug auf Finanzberichte, um die Finanzprüfungserklärung und die Compliance-Anforderungen von Kunden zu unterstützen.

Bei Untersuchungen vom Typ II geht es um die Angemessenheit bzw. den Wahrheitsgehalt der Beschreibung, die das Management für das System einer Dienstleistungsorganisation abgibt, sowie die Angemessenheit des Konzeptes und der betrieblichen Leistung von Kontrollen bei der Erreichung der in der Beschreibung aufgeführten Ziele über einen bestimmten Zeitraum hinweg, nicht nur zu einem bestimmten Zeitpunkt.

SOC 2

SOC-2-Berichte richten sich an eine Vielfalt von Benutzern, welche die internen Kontrollmechanismen eines Dienstleisters verstehen können müssen. Konkret geht es dabei um die geltenden „Trust Services Principles and Criteria“ (Vertrauensdienstprinzipien und ‑kriterien). Zu diesen gehören Grundsätze in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

In Berichten vom Typ II werden die Zuverlässigkeit der Beschreibung, die das Management eines Dienstleisters für das eigene System abgibt, sowie die Ordnungsmäßigkeit des Designs und der Effektivität von Kontrollen über einen bestimmten Zeitraum hinweg (nicht nur zu einem bestimmten Zeitpunkt), untersucht.

Die SOC-2-Berichte vom Typ II enthalten eine von einer unabhängigen Audit-Firma durchgeführte, detaillierte Bewertung der Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud.

SOC 3

Der SOC-3-Bericht für Appian Cloud ist öffentlich verfügbar und enthält eine Zusammenfassung des Appian Cloud SOC-2-Berichts. Der SOC-3-Bericht bietet Gewissheit über die Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud gemäß den „Trust Services Principles“ (Vertrauensdienstprinzipien) der AICPA. Hierzu gehört die Meinung eines externen Prüfers zur Wirksamkeit der Kontrollmechanismen.

Bericht lesen

PCI-DSS

Der Payment Card Industry (PCI) Security Standards Council bietet Standards zur Verbesserung der Datensicherheit bei Kreditkartentransaktionen an. Beim PCI Data Security Standard (PCI-DSS) handelt es sich um ein Regelwerk für die Entwicklung eines soliden Datensicherheitsprozesses für Kreditkartentransaktionen. Hierzu gehören Vorbeugung und Erkennung von Sicherheitspannen sowie ein angemessener Umgang damit. Kunden können nach der Zustimmung zu den PCI-DSS-Bestimmungen von Appian Cloud diese Zertifizierung nutzen, um die Komplexität ihrer eigenen PCI-Compliance zu reduzieren.

Appian Cloud wurde von einem unabhängigen externen Prüfer bewertet und erfüllt die PCI-DSS-Bestimmungen.

HIPAA

Der United States Health Insurance Portability and Accountability Act von 1996 (HIPAA) reguliert die Sicherheit und den Datenschutz von geschützten Gesundheitsdaten (Protected Health Information, PHI).

Appian Cloud erfüllt die HIPAA-Sicherheitsanforderungen. HIPAA-Compliance bedeutet, dass Kunden nach der Unterzeichnung einer Geschäftspartnervereinbarung (Business Associate Agreement) geschützte Gesundheitsdaten (Protected Health Information, PHI) sicher in der Appian Cloud verarbeiten und speichern können.

FEDRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein behördenweites Programm der US-Regierung, das einen standardisierten Ansatz für Sicherheitsprüfungen, Autorisierungen und kontinuierliche Überwachung für Cloud-Produkte und ‑Services bietet. Wenn ein Cloud-System FedRAMP-konform ist, verfügt es über eine gut etablierte, sehr sichere Umgebung, die umfassende Tests bestanden hat, bevor US-amerikanische Bundesbehörden das System nutzen dürfen.

Appian Cloud ist FedRAMP-konform und hat eine Betriebszulassung (Agency Authorization to Operate, ATO) auf der Stufe „Moderate“ erhalten.

Aufgrund der FedRAMP-Compliance gilt die Appian Cloud als angemessene Lösung zur Gewährleistung von wesentlichen Zeit- und Kosteneinsparungen, verbessertem Sicherheitsrisikomanagement sowie mehr Programmtransparenz für missionskritische Tätigkeiten von Bundesbehörden. Diese Genehmigung kann von anderen Bundesbehörden weiterverwendet werden, um die Zeit und Personalkosten zu sparen, deren Aufwand beim Einsatz von Nicht-FedRAMP-Systemen nötig wäre.

Zum FedRAMP-konformen Paket von Appian Cloud

DISA Auswirkungsgrad 2 (IL2)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat eine vorläufige Autorisierung (PA) für IL2-Bereitstellungen in der Appian Government Cloud.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

DISA Auswirkungsgrad 4 (IL4)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat eine vorläufige Autorisierung (PA) für IL4-Bereitstellungen in der Appian Government Cloud.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

DISA Auswirkungsgrad 5 (IL5)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat die vorläufige Autorisierung (PA) für IL5-Bereitstellungen in der Appian Government Cloud erhalten.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

FISMA

Der 2002 verabschiedete und 2014 modifizierte Federal Information Security Management Act (FISMA) bietet einen umfassenden Rechtsrahmen zur Gewährleistung der Wirksamkeit von Datensicherheitskontrollen für IT-Systeme der US-Bundesregierung. Das Office of Management and Budget (OMB), das Department of Homeland Security (DHS) und das National Institute of Standards and Technology (NIST) haben gemeinsam ein Programm implementiert, um die entsprechenden Standards festzulegen und deren Einhaltung zu überwachen.

Appian Cloud verfügt über einen Sicherheitsrahmen mit einer soliden Sicherheitskontrollstruktur, die es Bundesorganisationen ermöglicht, eine Authorization to Operate (ATO) zu erlangen.

GxP

Unternehmen aus der Pharma- und Life-Science-Branche sind beim Aufbau von Systemen im Zusammenhang mit Daten zu maßgeblichen Direktiven gesetzlich zur Einhaltung von Richtlinien zur guten Validierungs- und Arbeitspraxis (GxP) verpflichtet. Hierzu gehören Daten und Prozesse im Zusammenhang mit Clinical Trials, Labordaten, Qualitätskontrolle, Regulatory Information Management, Fertigung und elektronischen Patientenrecords.

Appian Cloud wurde einer unabhängigen, von Experten aus der Life-Science-Branche durchgeführten Prüfung unterzogen. Hierbei wurden die Kontrollmaßnahmen der Appian Cloud und ihre Erfüllung der GxP-Validierungsanforderungen und -standards für Computersysteme untersucht.

Kunden können diesen unabhängigen Prüfbericht nutzen, um ihre GxP-Compliance und ‑Diligence-Maßnahmen zu ergänzen und zu unterstützen.

FDA

Die Food and Drug Administration (FDA) führte 21 CFR Part 11 als Anforderung für gewerbliche Life-Science-Unternehmen ein, die von der FDA geforderte Daten und Unterschriften in elektronischer Form aufbewahren, um bestimmten Standards zu entsprechen und die Anforderungen zu erfüllen, die an gute klinische, Labor- und Herstellungsverfahren gestellt werden. Diese Regulierung verfolgt eine Reihe unterschiedlicher Hauptziele. Zum einen soll die Unversehrtheit von Daten gewahrt bleiben. Des Weiteren sollen am System vorgenommene Änderungen dokumentiert, begründet und nicht zurückgewiesen werden. Es soll gewährleistet werden, dass Computersysteme vertrauenswürdig sind, und Anwendungen sollen für ihre geplante Zweckbestimmung validiert werden.

Appian Cloud unterstützt die Funktionen und Technologie, die Kunden brauchen, um mit 21 CFR Part 11 konforme Anwendungen erstellen zu können.

UK G-Cloud

G-Cloud 13 ist ein digitaler Marktplatz, mit dem der öffentliche Dienst im Vereinigten Königreich Menschen und Technologie für behördenübergreifende Projekte finden kann. Ermöglicht wird das G-Cloud-Framework durch den Crown Commercial Service (CCS), der auf diese Weise die Geschäfts- und Beschaffungsaktivitäten des öffentlichen Dienstes optimieren und gleichzeitig Einsparungen für die Steuerzahler erzielen will. Diese Zielsetzungen werden erreicht, indem der Service diverse Maßnahmen kombiniert, professionelle Beratung anbietet, die Qualität von Angeboten vorab prüft und Unternehmen die Möglichkeit zu Direktkäufen gibt.

Der Crown Commercial Service (CCS) arbeitet sowohl mit Behörden als auch mit Unternehmen im gesamten öffentlichen Dienst, damit jede Geschäftsbeziehung bestmöglich genutzt und die Qualität der Dienstleistungserbringung stetig verbessert werden kann.

Appian Cloud ist mit dem G-Cloud-Framework kompatibel. Die G-Cloud-Zertifizierung von Appian Cloud ist auf dem digitalen Marktplatz unter gov.uk verfügbar.

508/VPAT

In Abschnitt 508 des Rehabilitation Act von 1973 ist festgelegt, dass die elektronische und die Informationstechnologie von Bundesbehörden für Menschen mit Behinderung zugänglich sein muss.

Das VPAT (Voluntary Product Accessibility Template) ist ein Tool, das dafür verwendet wird, zu dokumentieren, ob ein Produkt den geltenden Barrierefreiheitsstandards im Sinne von Abschnitt 508 des Rehabilitation Act entspricht.

Appian hat die VPAT-Anforderungen erfolgreich erfüllt und das Produkt von Appian entspricht den in Abschnitt 508 dargelegten Vorschriften.

Weitere Informationen

Cloud Security Alliance

Das STAR-Programm (Security, Trust and Assurance Registry) der Cloud Security Alliance (CSA) bietet einen umfassenden Vertrauens- und Sicherheitsrahmen für Cloud-Anbieter. Das STAR-Programm der CSA ist ein öffentlich zugängliches Verzeichnis, das dafür konzipiert wurde, die unterschiedlichen Sicherheitsanforderungen und Reifestufen von Anbietern und Verbrauchern zu erfassen. Es wird von Kunden, Anbietern, Branchen und Regierungen weltweit genutzt. Mithilfe des STAR-Programms können Cloud-Provider ihre Kontrollen gemäß der Cloud Controls Matrix (Cloud-Kontrollen-Matrix) der CSA einstufen.

Appian Cloud ist im CSA Security, Trust and Assurance Registry registriert, da es den Consensus Assessments Initiative Questionnaire (CAIQ), der 133 Kontrollen in 16 Bereichen abdeckt, eingereicht hat.

STAR-Einreichung von Appian Cloud anzeigen

Qualys SSL Labs

Qualys SSL Labs bietet eine tiefgreifende Analyse der Sicherheitskonfigurationen von Webservern im Internet, insbesondere mit Bezug auf die SSL/TLS-Konfiguration. Die Web-Tier der Appian Cloud wurde von SSL Labs mit A+ eingestuft.

Health Information Trust Alliance (HITRUST)

Unternehmen verlassen sich bei der Verwaltung der Sicherheitsanforderungen, die der HIPAA zugrunde liegen, auf die vorgeschriebenen Richtlinien des Health Information Trust Alliance (HITRUST) Common Security Framework (CSF).

Um hochsensible Informationen zu schützen, benötigen Gesundheitsorganisationen – darunter Krankenkassen, Krankenhäuser, Arztpraxen und SaaS-Anbieter – eine HITRUST CSF (Common Security Framework) zertifizierte Infrastruktur.

Das HITRUST CSF verwendet national und international anerkannte Standards wie ISO, NIST, PCI und HIPAA, um eine umfassende Auswahl grundlegender Sicherheitskontrollen zu gewährleisten.

CoalFire

ISO/IEC 27001:2013

Als internationale Norm für Informationssicherheit und Risikomanagement schützt ISO/IEC 27001:2013 Unternehmen aller Branchen und Sektoren auf der ganzen Welt.

Die Norm ISO 27001:2013 fordert Unternehmen auf, ein geeignetes Informationssicherheitsmanagementsystem (ISMS) einzuführen, das sicherstellt, dass Sicherheitskontrollen in den Bereichen Verwaltung, Betrieb und Technik effektiv funktionieren.

Mit der Zertifizierung nach ISO 27001:2013 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Mit dem Ziel, eine möglichst zuverlässige Sicherheit zu gewährleisten, hat Appian Kontrollen zur Verwaltung oder Beseitigung von Sicherheitsrisiken eingerichtet. So können Kunden darauf vertrauen, dass ihre sensiblen Daten zu jedem Zeitpunkt geschützt sind.

ISO 27017:2015

Die Norm ISO 27017:2015 legt zusätzliche Kontrollanforderungen speziell für Anbieter von Cloud-Diensten fest, darunter das Management der Cloud-Infrastruktur.

Mit der Zertifizierung nach ISO 27017:2015 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Mit dem Anspruch, die bestmögliche Sicherheit zu bieten, hat Appian die notwendigen Kontrollen eingerichtet, um Sicherheitsrisiken zu verwalten oder zu beseitigen, sodass die Kunden darauf vertrauen können, dass ihre Daten geschützt sind. Diese ISO-Zertifizierung gilt für alle Appian Cloud-Kunden weltweit, da sie unser bestehendes ISO 27001-Zertifizierungsrahmenwerk erweitert.

ISO 27018:2019

Die Norm ISO 27018:2019 stellt zusätzliche Anforderungen an die effektive Sicherheit und Verwaltung von personenbezogenen Daten (PII) in Cloud-Umgebungen.

Mit der Zertifizierung nach ISO 27018:202019 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Appian hat die notwendigen Kontrollen eingerichtet, um Sicherheitsrisiken zu managen oder zu beseitigen, sodass Kunden darauf vertrauen können, dass ihre personenbezogenen Daten geschützt sind. Diese ISO-Zertifizierung gilt für alle Appian Cloud-Kunden weltweit, da sie unser bestehendes ISO 27001-Zertifizierungsrahmenwerk erweitert.

ISO 9001:2015

Die ISO 9001:2015 ist eine internationale Norm für das Qualitätsmanagement und trägt dazu bei, dass die Kunden gleichbleibend hochwertige Produkte und Dienstleistungen erhalten.

Die Norm ISO 9001:2015 fordert, dass Organisationen ein angemessenes Qualitätsmanagementsystem (QMS) einführen, das den Kundenfokus, die Motivation und Einbeziehung des Topmanagements, den Prozessansatz und die kontinuierliche Verbesserung gewährleistet.

Mit der Zertifizierung nach ISO 9001:2015 beweist Appian Engineering, dass es einen hohen Grad an Qualitätsreife erreicht hat. Mit seinem Engagement für Kundenzufriedenheit und Qualität hat Appian Prozesse eingeführt, die sicherstellen, dass die Kunden konsistente, qualitativ hochwertige Produkte und Dienstleistungen erhalten.

Cyber Essentials

Mit dem Cyber Essentials-Programm des britischen National Cyber Security Centre soll gewährleistet werden, dass Unternehmen vor den häufigsten Cyber-Bedrohungen geschützt sind. Außerdem sollen sie damit ihr Engagement für Cybersicherheit demonstrieren, das von der britischen Regierung unterstützt wird. Appian Cloud hat die Cyber Essentials-Zertifizierung erhalten. Weitere Informationen zu dieser Zertifizierung finden Sie unter ncsc.gov.uk/cyberessentials

Cyber Essentials Plus

Die Cyber Essentials Plus-Zertifizierung wird vom britischen National Cyber Security Centre unterstützt, um Unternehmen dabei zu helfen, ihre betriebliche Sicherheit gegen gängige Cyberangriffe nachzuweisen. Dabei werden die Sicherheitsstufen für Unternehmen und Behörden verifiziert. Appian Cloud hat sowohl die Cyber Essentials- als auch die Cyber Essentials Plus-Zertifizierung erhalten. Weitere Informationen finden Sie unter ncsc.gov.uk/cyberessentials.

Zulassungsregelung ENS (Esquema Nacional de Seguridad)

Die Zulassungsregelung ENS (Esquema Nacional de Seguridad) ist Spaniens nationaler Sicherheitsrahmen, der sich auf Gesetze zur Informationssicherheit stützt. Appian Cloud hat die Cyber ENS-Zertifizierung erhalten. Weitere Informationen zu dieser Zertifizierung finden Sie unter ens.ccn.cni.es/en/

StateRAMP


StateRAMP ist ein US-amerikanisches Programm für Bundesstaaten, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und ‑Diensten bietet. Wenn ein Cloud-System StateRAMP-konform ist, verfügt es über eine gut etablierte, sehr sichere Umgebung, die umfassende Tests bestanden hat, bevor Bundesstaaten das System nutzen dürfen.

Appian Cloud ist StateRAMP-konform und hat eine Zulassung auf der Stufe „Moderate“ erhalten.

Aufgrund der StateRAMP-Compliance gilt die Appian Cloud als angemessene Lösung zur Gewährleistung von wesentlichen Zeit- und Kosteneinsparungen, verbessertem Sicherheitsrisikomanagement sowie mehr Programmtransparenz für missionskritische Tätigkeiten von Bundesstaaten. Diese Genehmigung kann von anderen Bundesstaaten weiterverwendet werden, um die Zeit und Personalkosten zu sparen, deren Aufwand beim Einsatz von Nicht-StateRAMP-Systemen nötig wäre.

Weitere Informationen finden Sie unter https://stateramp.org/about-us/

Canada Protected B


Die Sicherheitsstufe „Protected B“ der kanadischen Regierung für sensible staatliche Informationen und Assets bezieht sich auf Informationen oder Assets, die bei einer Kompromittierung einer Person, einer Organisation oder einer Regierung ernsthaften Schaden zufügen könnten. Auf der Grundlage der „Information Technology Security Guidance (ITSG) 33“ zum IT-Sicherheitsrisikomanagement, veröffentlicht vom Canadian Centre for Cybersecurity(CCCS), entwickelte die Regierung von Kanada die Guidance on the Security Categorization of Cloud-Based Services (ITSP.50.103) und das Government of Canada Security Control Profile for Cloud-based GC Services (GC Security Control Profile), in dem die grundlegenden Sicherheitskontrollen für die Verarbeitung von Informationen mit der Sicherheitskategorie „Protected B“, mittlerer Integrität und mittlerer Verfügbarkeit (PBMM) festgelegt sind.

Programm für registrierte Prüfer für Informationssicherheit (IRAP)


Das Programm für registrierte Prüfer für Informationssicherheit (IRAP) bietet ein umfassendes Verfahren zur Bewertung eines Sicherheitssystems anhand der Anforderungen des Informationssicherheitshandbuchs (ISM) der australischen Regierung, das vom Australian Cyber Security Centre (ACSC), der führenden Behörde der australischen Regierung für Cybersicherheit, erstellt wurde. Mit IRAP können Kunden der australischen Regierung sicherstellen, dass Appian gemäß den Anforderungen des Informationssicherheitshandbuchs (ISM) der australischen Regierung bis zur Stufe „Geschützt“ bewertet wurde. Die IRAP-Bewertung von Appian ist ein Beweis für unsere Verpflichtung gegenüber dem öffentlichen Dienst in Australien und schafft zusätzliches Vertrauen in die Nutzung der Appian Plattform für ihre wichtigsten Geschäftsprozesse.

Der Kriterienkatalog Cloud Computing (C5)

Der vom Bundesamt für Information (BSI) entwickelte Kriterienkatalog Cloud Computing (C5, Cloud Computing Compliance Criteria Catalogue) hilft Unternehmen beim Nachweis der Betriebssicherheit gegen gängige Cyberangriffe bei der Nutzung von Cloud-Diensten. Mit dem C5 können Behörden und Unternehmen in Deutschland sicherstellen, dass Appian nach den Kriterien des Bundesamtes für Information (BSI) bewertet wurde.

Der Bericht SOC 2 C5 Typ II bietet eine detaillierte Überprüfung von Appian Cloud durch eine unabhängige Wirtschaftsprüfungsgesellschaft anhand der in Abschnitt 3.4.4.1 von C5:2020 festgelegten Kriterien.

Sie suchen einen Ansprechpartner?

Finden Sie heraus, wie die weltweit am schnellsten wachsenden Unternehmen Appian zur Prozessautomatisierung einsetzen.