Compliance ist ein integraler Bestandteil der Sicherheit der Appian Cloud

Angesichts der sich verschärfenden Regulierungen weltweit sehen Organisationen sich mit der schwierigen Aufgabe konfrontiert, ihre Compliance sicherzustellen und gleichzeitig wettbewerbsfähige Innovationen voranzutreiben. Dank seines umfassenden Sicherheits- und Compliance-Programms lässt Appian Cloud diese Aufgabe kinderleicht erscheinen.

Compliance-Programm von Appian Cloud

Erfüllt die strengsten lokalen, regionalen und globalen Branchenstandards.

Unterzieht sich mehreren unabhängigen Sicherheitsprüfungen durch Drittanbieter.

Stellt sicher, dass die Kontrollen den Schutz der Kundendaten gewährleisten.

Bietet fortschrittliche Governance-Fähigkeiten.

Die Air Force ist stets bestrebt, die bestehenden Geschäftssysteme kosteneffizient zu modernisieren. Aus diesem Grund implementieren wir erweiterbare, skalierbare Cloud-Technologien, wie beispielsweise die von Branchenpartnern wie Appian bereitgestellten Geschäftsprozessmanagement-Funktionen.

Richard T. Aldridge
Program Executive Officer für Geschäfts- und Unternehmenssysteme und Mitglied des Senior Executive Service der U.S. Air Force.

SOC 2

SOC 2-Berichte richten sich an eine Vielfalt von Benutzern, welche die internen Kontrollmechanismen eines Dienstleisters verstehen können müssen. Konkret geht es dabei um die geltenden „Trust Services Principles and Criteria“ (Vertrauensdienstprinzipien und -kriterien). Zu diesen gehören Grundsätze in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz.

In Berichten vom Typ II werden die Zuverlässigkeit der Beschreibung, die das Management eines Dienstleisters für das eigene System abgibt, sowie die Ordnungsmäßigkeit des Designs und der Effektivität von Kontrollen über einen bestimmten Zeitraum hinweg (nicht nur zu einem bestimmten Zeitpunkt), untersucht.

Die SOC 2-Berichte vom Typ II enthalten eine von einer unabhängigen Audit-Firma durchgeführte, detaillierte Bewertung der Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud.

SOC 3

Der SOC-3-Bericht für Appian Cloud ist öffentlich verfügbar und enthält eine Zusammenfassung des Appian Cloud SOC-2-Berichts. Der SOC-3-Bericht bietet Gewissheit über die Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen von Appian Cloud gemäß den „Trust Services Principles“ (Vertrauensdienstprinzipien) der AICPA. Hierzu gehört die Meinung eines externen Prüfers zur Wirksamkeit der Kontrollmechanismen.

Bericht lesen

PCI-DSS

Der Payment Card Industry (PCI) Security Standards Council bietet Standards zur Verbesserung der Datensicherheit bei Kreditkartentransaktionen an. Beim PCI Data Security Standard (PCI-DSS) handelt es sich um ein Regelwerk für die Entwicklung eines soliden Datensicherheitsprozesses für Kreditkartentransaktionen. Hierzu gehören Vorbeugung und Erkennung von Sicherheitspannen sowie ein angemessener Umgang damit. Kunden können die PCI-DSS-Zertifizierung von Appian Cloud nutzen – nachdem sie den PCI-DSS-Bestimmungen von Appian Cloud zugestimmt haben – , um die Komplexität ihrer eigenen PCI-Compliance zu reduzieren.

Appian Cloud wurde von einem unabhängigen externen Prüfer bewertet und erfüllt die PCI-DSS-Bestimmungen.

HIPAA

Der United States Health Insurance Portability and Accountability Act von 1996 (HIPAA) reguliert die Sicherheit und den Datenschutz von geschützten Gesundheitsdaten (Protected Health Information, PHI).

Appian Cloud erfüllt die HIPAA-Sicherheitsanforderungen. HIPAA-Compliance bedeutet, dass Kunden nach der Unterzeichnung einer Geschäftspartnervereinbarung (Business Associate Agreement) geschützte Gesundheitsdaten (Protected Health Information, PHI) sicher in der Appian Cloud verarbeiten und speichern können.

FedRAMP

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein behördenweites Programm der US-Regierung, das einen standardisierten Ansatz für Sicherheitsprüfungen, Autorisierungen und kontinuierliche Überwachung für Cloud-Produkte und -Services bietet. Wenn ein Cloud-System FedRAMP-konform ist, verfügt es über eine gut etablierte, sehr sichere Umgebung, die umfassende Tests bestanden hat, bevor US-amerikanische Bundesbehörden das System nutzen dürfen.

Appian Cloud ist FedRAMP-konform und hat eine Betriebszulassung (Agency Authorization to Operate, ATO) auf der Stufe „Moderate“ erhalten.

Aufgrund der FedRAMP-Compliance gilt die Appian Cloud nun als angemessene Lösung zur Gewährleistung von wesentlichen Zeit- und Kosteneinsparungen, verbessertem Sicherheitsrisikomanagement sowie mehr Programmtransparenz für missionskritische Tätigkeiten von Bundesbehörden. Diese Genehmigung kann von anderen Bundesbehörden weiterverwendet werden, um die Zeit und Personalkosten zu sparen, deren Aufwand beim Einsatz von Nicht-FedRAMP-Systemen nötig wäre.

Zum FedRAMP-konformen Paket von Appian Cloud

DISA Auswirkungsgrad 2 (IL2)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat eine vorläufige Autorisierung (PA) für IL2-Bereitstellungen in der Appian Government Cloud.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

DISA Auswirkungsgrad 4 (IL4)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat eine vorläufige Autorisierung (PA) für IL4-Bereitstellungen in der Appian Government Cloud.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

DISA Auswirkungsgrad 5 (IL5)

Auf der Grundlage von FedRAMP hat das Verteidigungsministerium der USA in seinem „DoD Cloud Computing Security Requirements Guide“ (SRG) zusätzliche Anforderungen definiert. Das Autorisierungsprogramm wird von der Defense Information Systems Agency (DISA) verwaltet.

Appian hat die vorläufige Autorisierung (PA) für IL5-Bereitstellungen in der Appian Government Cloud erhalten.

Weitere Informationen zu den Cloud-Sicherheits-Impact-Levels des DoD finden Sie im Cloud-Sicherheitsportal des DoD.

FISMA

Der 2002 verabschiedete und 2014 modifizierte Federal Information Security Management Act (FISMA) bietet einen umfassenden Rechtsrahmen zur Gewährleistung der Wirksamkeit von Datensicherheitskontrollen für IT-Systeme der US-Bundesregierung. Das Office of Management and Budget (OMB), das Department of Homeland Security (DHS) und das National Institute of Standards and Technology (NIST) haben gemeinsam ein Programm implementiert, um die entsprechenden Standards festzulegen und deren Einhaltung zu überwachen.

Appian Cloud verfügt über einen Sicherheitsrahmen mit einer soliden Sicherheitskontrollstruktur, die es Bundesorganisationen ermöglicht, eine Authorization to Operate (ATO) zu erlangen.

GxP

Unternehmen aus der Pharma- und Life-Science-Branche sind beim Aufbau von Systemen im Zusammenhang mit Daten zu maßgeblichen Direktiven gesetzlich zur Einhaltung von Richtlinien zur guten Validierungs- und Arbeitspraxis (GxP) verpflichtet. Hierzu gehören Daten und Prozesse im Zusammenhang mit Clinical Trials, Labordaten, Qualitätskontrolle, Regulatory Information Management, Fertigung und elektronischen Patientenrecords.

Appian Cloud wurde einer unabhängigen, von Experten aus der Life-Science-Branche durchgeführten Prüfung unterzogen. Hierbei wurden die Kontrollmaßnahmen der Appian Cloud und ihre Erfüllung der GxP-Validierungsanforderungen und -standards für Computersysteme untersucht.

Kunden können diesen unabhängigen Prüfbericht nutzen, um ihre GxP-Compliance und -Diligence-Maßnahmen zu ergänzen und zu unterstützen.

FDA

Die Food and Drug Administration (FDA) führte 21 CFR Part 11 als Anforderung für gewerbliche Life-Science-Unternehmen ein, die von der FDA geforderte Daten und Unterschriften in elektronischer Form aufbewahren, um bestimmten Standards zu entsprechen und die Anforderungen zu erfüllen, die an gute klinische, Labor- und Herstellungsverfahren gestellt werden. Diese Regulierung verfolgt eine Reihe unterschiedlicher Hauptziele. Zum einen soll die Unversehrtheit von Daten gewahrt bleiben. Des Weiteren sollen am System vorgenommene Änderungen dokumentiert, begründet und nicht zurückgewiesen werden. Es soll gewährleistet werden, dass Computersysteme vertrauenswürdig sind und Anwendungen sollen für ihre geplante Zweckbestimmung validiert werden.

Appian Cloud unterstützt die Funktionen und Technologie, die Kunden brauchen, um mit 21 CFR Part 11 konforme Anwendungen erstellen zu können.

DfT Id templates

UK G-Cloud

G-Cloud 10 ist ein digitaler Marktplatz, mit dem der öffentliche Dienst in GB Menschen und Technologie für behördenübergreifende Projekte finden kann. Ermöglicht wird das G-Cloud-Framework durch den Crown Commercial Service (CCS), der auf diese Weise die Geschäfts- und Beschaffungsaktivitäten des öffentlichen Dienstes optimieren und gleichzeitig Einsparungen für die Steuerzahler erzielen will. Diese Zielsetzungen werden erreicht, indem der Service diverse Maßnahmen kombiniert, professionelle Beratung anbietet, die Qualität von Angeboten vorab prüft und Unternehmen die Möglichkeit zu Direktkäufen gibt.

Der Crown Commercial Service (CCS) arbeitet sowohl mit Behörden als auch mit Unternehmen im gesamten öffentlichen Dienst, damit jede Geschäftsbeziehung bestmöglich genutzt und die Qualität der Dienstleistungserbringung stetig verbessert werden kann.

Appian Cloud ist mit dem G-Cloud-Framework kompatibel. Die  G-Cloud-Zertifizierung von Appian Cloud ist auf dem digitalen Marktplatz unter gov.uk verfügbar.

508/VPAT

In Abschnitt 508 des Rehabilitation Act von 1973 ist festgelegt, dass die elektronische und die Informationstechnologie von Bundesbehörden für Menschen mit Behinderung zugänglich sein muss.

Das VPAT (Voluntary Product Accessibility Template) ist ein Tool, das dafür verwendet wird zu dokumentieren, ob ein Produkt den geltenden Barrierefreiheitsstandards im Sinne von Abschnitt 508 des Rehabilitation Act entspricht.

Appian hat die VPAT-Anforderungen erfolgreich erfüllt und das Produkt von Appian entspricht den in Abschnitt 508 dargelegten Vorschriften.

SOC 1/ISAE 3402

SOC-Berichte (Service Organization Controls), zuvor als SAS-70-Berichte bekannt, sollen Betreibern und Anbietern von Informationssystemen dabei helfen, Vertrauenswürdigkeit und Zuverlässigkeit ihrer Serviceprozesse und -kontrollen zu belegen.

Appian veröffentlicht einen SOC-1-Bericht vom Typ II sowie einen ISAE-3402-Bericht (International Standards for Assurance Engagements). Diese Prüfung wird von einem unabhängigen Buchhalter (Certified Public Accountant, CPA) durchgeführt und untersucht die internen Kontrollen einer Dienstleistungsorganisation über einen bestimmten Zeitraum hinweg, die sich auf das Finanzberichtswesen von Kunden, die entsprechende Leistungen in Anspruch nehmen, auswirken könnten. Diese Berichte sind häufig wichtige Komponenten von Kundenevaluierungen der eigenen internen Kontrollprozesse in Bezug auf Finanzberichte, um die Finanzprüfungserklärung und die Compliance-Anforderungen von Kunden zu unterstützen.

Bei Untersuchungen vom Typ II geht es um die Angemessenheit bzw. den Wahrheitsgehalt der Beschreibung, die das Management für das System einer Dienstleistungsorganisation abgibt, sowie die Angemessenheit des Konzeptes und der betrieblichen Leistung von Kontrollen bei der Erreichung der in der Beschreibung aufgeführten Ziele über einen bestimmten Zeitraum hinweg, nicht nur zu einem bestimmten Zeitpunkt.

Cloud Security Alliance

Das STAR-Programm (Security, Trust and Assurance Registry) der Cloud Security Alliance (CSA) bietet einen umfassenden Vertrauens- und Sicherheitsrahmen für Cloud-Anbieter. Das STAR-Programm der CSA ist ein öffentlich zugängliches Verzeichnis, das dafür konzipiert wurde, die unterschiedlichen Sicherheitsanforderungen und Reifestufen von Anbietern und Verbrauchern zu erfassen. Es wird von Kunden, Anbietern, Branchen und Regierungen weltweit genutzt. Mithilfe des STAR-Programms können Cloud-Provider ihre Kontrollen gemäß der Cloud Controls Matrix (Cloud-Kontrollen-Matrix) der CSA einstufen.

Appian Cloud ist im CSA Security, Trust and Assurance Registry registriert, da es den Consensus Assessments Initiative Questionnaire (CAIQ), der 133 Kontrollen in 16 Bereichen abdeckt, eingereicht hat.

STAR-Einreichung von Appian Cloud anzeigen

Qualys SSL Labs

Qualys SSL Labs bietet eine tiefgreifende Analyse der Sicherheitskonfigurationen von Webservern im Internet, insbesondere mit Bezug auf die SSL/TLS-Konfiguration. Die Web-Tier der Appian Cloud wurde von SSL Labs mit A+ eingestuft.

Health Information Trust Alliance (HITRUST)

Unternehmen verlassen sich bei der Verwaltung der Sicherheitsanforderungen, die der HIPAA zugrunde liegen, auf die vorgeschriebenen Richtlinien des Health Information Trust Alliance (HITRUST) Common Security Framework (CSF).

Um hochsensible Informationen zu schützen, benötigen Gesundheitsorganisationen – darunter Krankenkassen, Krankenhäuser, Arztpraxen und SaaS-Anbieter – eine HITRUST CSF (Common Security Framework) zertifizierte Infrastruktur.

Das HITRUST CSF verwendet national und international anerkannte Standards wie ISO, NIST, PCI und HIPAA, um eine umfassende Auswahl grundlegender Sicherheitskontrollen zu gewährleisten.

ISO/IEC 27001:2013

Als internationale Norm für Informationssicherheit und Risikomanagement schützt ISO/IEC 27001:2013 Unternehmen aller Branchen und Sektoren auf der ganzen Welt.

Die Norm ISO 27001:2013 fordert Unternehmen auf, ein geeignetes Informationssicherheitsmanagementsystem (ISMS) einzuführen, das sicherstellt, dass Sicherheitskontrollen in den Bereichen Verwaltung, Betrieb und Technik effektiv funktionieren.

Mit der Zertifizierung nach ISO 27001:2013 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Mit dem Ziel, eine möglichst zuverlässige Sicherheit zu gewährleisten, hat Appian Kontrollen zur Verwaltung oder Beseitigung von Sicherheitsrisiken eingerichtet. So können Kunden darauf vertrauen, dass ihre sensiblen Daten zu jedem Zeitpunkt geschützt sind.

ISO 27017:2015

Die Norm ISO 27017:2015 legt zusätzliche Kontrollanforderungen speziell für Anbieter von Cloud-Diensten fest, darunter das Management der Cloud-Infrastruktur.

Mit der Zertifizierung nach ISO 27017:2015 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Mit dem Anspruch, die bestmögliche Sicherheit zu bieten, hat Appian die notwendigen Kontrollen eingerichtet, um Sicherheitsrisiken zu verwalten oder zu beseitigen, sodass die Kunden darauf vertrauen können, dass ihre Daten geschützt sind. Diese ISO-Zertifizierung gilt für alle Appian Cloud-Kunden weltweit, da sie unser bestehendes ISO 27001-Zertifizierungsrahmenwerk erweitert.

ISO 27018:2019

Die Norm ISO 27018:2019 stellt zusätzliche Anforderungen an die effektive Sicherheit und Verwaltung von personenbezogenen Daten (PII) in Cloud-Umgebungen.

Mit der Zertifizierung nach ISO 27018:202019 beweist Appian Cloud, dass es einen hohen Grad an Sicherheitsreife erreicht hat. Appian hat die notwendigen Kontrollen eingerichtet, um Sicherheitsrisiken zu managen oder zu beseitigen, so dass Kunden darauf vertrauen können, dass ihre personenbezogenen Daten geschützt sind. Diese ISO-Zertifizierung gilt für alle Appian Cloud-Kunden weltweit, da sie unser bestehendes ISO 27001-Zertifizierungsrahmenwerk erweitert.

Cyber Essentials

Mit dem Cyber Essentials-Programm des britischen National Cyber Security Centre soll gewährleistet werden, dass Unternehmen vor den häufigsten Cyber-Bedrohungen geschützt sind. Außerdem sollen sie damit ihr Engagement für Cybersicherheit demonstrieren, das von der britischen Regierung unterstützt wird. Appian Cloud hat die Cyber Essentials-Zertifizierung erhalten. Weitere Informationen zu dieser Zertifizierung finden Sie unter ncsc.gov.uk/cyberessentials.

Zulassungsregelung ENS (Esquema Nacional de Seguridad)

Die Zulassungsregelung ENS (Esquema Nacional de Seguridad) ist Spaniens nationaler Sicherheitsrahmen, der sich auf Gesetze zur Informationssicherheit stützt. Appian Cloud hat die Cyber ENS-Zertifizierung erhalten. Weitere Informationen zu dieser Zertifizierung finden Sie unter ens.ccn.cni.es/en/national-security-scheme.