In fünf Schritten zum Ö-Cloud-Gütesiegel
Anbieter von Cloud-Diensten erhalten in Österreich das Ö-Cloud-Gütesiegel, wenn sie den Selbstevaluierungsprozess der Ö-Cloud-Initiative erfolgreich absolvieren. Der Weg zum Gütesiegel ist klar strukturiert und für alle Beteiligten transparent.
1. Erstinformation
Anbieter erhalten alle wichtigen Informationen über die Ö-Cloud-Initiative auf der Website oe-cloud.gv.at.
Ö-Cloud-Unterlagen downloaden
Laden Sie sich bitte die aktuellen Unterlagen zum StarAudit-Katalog herunter. Das geht über dieses Downloadinterface (Menupunkt “Download”)
Sie tragen dort nur Ihre E-Mail-Adresse ein, zu der Sie die Unterlagen geschickt bekommen möchten. Nutzen Sie dafür diesen Code: 9888-9888-9888. Auch diese Unterlagen sind alle kostenfrei.
Sie erhalten dann eine E-Mail aus dem Brainloop Secure Dataroom, die eine Reihe von Links enthält, mit denen Sie die folgenden Dokumente (mit Wasserzeichen) erhalten:
- EuroCloud StarAudit-Katalog – Vollversion Deutsch
- EuroCloud StarAudit-Katalog – Vollversion Englisch
- EuroCloud StarAudit Control Mapping FULL
- Anleitung zur Nutzung des StarAudit Tools
- Ö-Cloud-Stufenmodell (Infografik)
Ö-Cloud-Kontrollen prüfen
Um zu erkennen, welche Kontrollen für das Gütesiegel Ö-Cloud relevant sind (im Sinne eines Stufenmodells ist nur ein Teil des gesamten StarAudit-Kataloges relevant, siehe Ö-Cloud-Stufenmodell), verwenden Sie bitte das Dokument StarAudit ControlMapping FULL. Anhand dieser beiden Informationen (Vollkatalog und Control Mapping) können Sie entscheiden, ob Sie für ein Ö-Cloud-Gütesiegel einreichen wollen.
2. Registrierung
Unter dem Menüpunkt 2 „Anmeldung“ füllen Cloud-Service-Anbieter bitte das Online-Anmeldeformular aus und erhalten dann detaillierte Informationen über die weiteren Schritte.
3. Selbstevaluierung
Anschließend ist die nach internationalen Standards (StarAudit) erstellte Selbstevaluierung online durchzuführen. Der Kontrollkatalog umfasst rund 135 Kriterien, die sich auf Providertransparenz, Sicherheit, Rechenzentrumsbetrieb, operative Prozesse, Anwendungen wie IaaS, PaaS, SaaS, Vertragsbedingungen und auf die Einhaltung der DSGVO beziehen.
Mit dem Self-Assessment Tool bekanntmachen
Registrieren Sie im StarAudit Assessment Tool einen neuen Nutzer und machen Sie sich mit dem Tool vertraut. Die Nutzung ist sehr einfach. Eine Anleitung haben Sie über den Dokumenten-Download aus dem Secure Dataroom bereits erhalten.
Das ist völlig kostenfrei für so viele User, wie Sie möchten. Zum Tool gelangen Sie im Menü unter Punkt 3 „Evaluierung“.
Wichtiger Hinweis:
Im Feld “Name of the cloud service” muss eine eindeutige und klar spezifizierte Benennung eines einzelnen Cloud Services angegeben werden, nicht mehrere Services. Es können jedoch mehrere Einreichungen für mehrere Cloud Services gemacht werden.
Im Feld „Short service description” muss eine klar verständliche Beschreibung des Services eingetragen werden; keine Beschreibung mehrerer Services, kein Marketing-Text und keine Beschreibung des Unternehmens.
Das Ö-Cloud Gütesiegel ist ein Qualitätssiegel, das sich auf einen ganz spezifischen Cloud Service eines Cloud Providers bezieht (so wie jedes Cloud-Zertifikat). Daher muss in Einreichunterlagen ein einzelner Cloud Service benannt sein. Für jeden einzelnen Service ist entsprechend der jeweiligen Leistungserbringung der Assessment Report auszufüllen. Die Angaben in den Controlls (Area 1-7) müssen sich explizit auf den angegebenen Service beziehen.
Mit der Gütesiegelurkunde des BMDW sowie dem online publizierten Assessment Report entsteht dann eine explizite Verbindlichkeit (für z. B. den Einkauf des Cloud-Kunden), dass der ausgezeichnete Cloud Service nach genau jenen Maßgaben geliefert wird, wie dies vom Cloud Provider im Assessment Report angegeben wurde.
Es wird kein Gütesiegel für Managed Services ausgestellt, sondern ausschließlich für reine Cloud Services. Ebenso kann kein Gütesiegel für Services ausgestellt werden, die beim Kunden on-premise betrieben werden.
Self-Assessment durchführen
Erstellen Sie ein Ö-Cloud Self-Assessment Projekt im StarAudit Assessment Tool. Fügen Sie den Ö-Cloud Kriterienkatalog hinzu und beantworten Sie alle Fragen in den einzelnen Abschnitten. Dazwischen empfiehlt es sich zu „speichern” und für jeden Abschnitt das „Template” abzuschließen. (Dies kann später wieder geändert und bearbeitet werden).
4. Einreichung
Erstellen Sie ein Ö-Cloud Self-Assessment mit dem Assessment Tool. Wenn Sie die Arbeiten an allen Controls abgeschlossen haben (keine Kontrollen mehr, die mit einem roten „x” gekennzeichnet sind), können Sie den finalen Bericht als pdf „ausdrucken“ und gemeinsam mit einem Firmenbuchauszug zur Erlangung des Ö-Cloud-Gütesiegels einreichen. Sie tun dies unter dem Menüpunkt 4 „Einreichung“.
Gütesiegel erhalten
Die Prüfung Ihrer eingereichten Unterlagen wird in 7 bis 14 Tagen abgeschlossen sein. Bei positivem Abschluss der Selbstevaluierung erhalten Sie das offizielle Gütesiegel-Dokument und das Gütesiegel-Logo der Ö-Cloud-Initiative des BMDW elektronisch übermittelt. Das Gütesiegel ist 1 Jahr gültig und kann danach erneuert werden.
5. Veröffentlichung
Das Gütesiegel erhält seine Gültigkeit ab dem Zeitpunkt der Veröffentlichung auf der Website oe-cloud.gv.at und auf der EuroCloud-Website. Ab jetzt darf das Unternehmen das offizielle Ö-Cloud-Gütesiegel tragen und in seiner Kommunikation einsetzen. Das Gütesiegel ist ein Jahr lang gültig. Nach Ablauf dieser Frist ist eine neuerliche Selbstevaluierung durchzuführen.
Prinzipien
Transparenz
Das Ö-Cloud-Gütesiegel und/oder - Zertifikat ist hinsichtlich Umfang und Inhalt transparent publiziert und damit allgemein frei zugänglich. Dies gilt sowohl für die Anforderungen selbst (Kontrollkatalog) als auch für die Ergebnisse jedes Assessments (Gütesiegeldokumentation oder Zertifikatsinhalte und Ergebnis).
Stufenmodell
Das Ö-Cloud-Gütesiegel und/oder - Zertifikat baut auf einem Stufenmodell auf. Damit soll ein erster Einstieg ermöglicht werden und mit diesen Erfolgen sollen weitere höherwertige Siegel oder Zertifikate leichter erreichbar werden. Weitere internationale Zertifizierungsmodelle (CSA, GAIA, GDPR, BSI, ISO) können über eine Kompatibilitätsmatrix immer integriert werden.
Kompatibilität
Das Ö-Cloud-Gütesiegel und/oder - Zertifikat ist sowohl hinsichtlich bereits bestehender österreichischer Gütesiegel (Austrian Cloud der WKO) als auch zu international verfügbaren Gütesiegeln oder Zertifikaten kompatibel. Dadurch sollen Aufwände zur Erreichung von weiteren Gütesiegeln und Zertifikaten reduziert werden.
Publizität
Jedes Gütesiegel wird immer zusammen mit dem vollständigen Detailbericht veröffentlicht und ist für jedermann online einsehbar. Durch diese Transparenz wird Vertrauen in die Qualität und die Aussagekraft des Ö-Cloud-Gütesiegels aufgebaut.
Zugang
Das Ö-Cloud-Gütesiegel und/oder -Zertifikat ist für jeden Cloud-Anbieter gleichermaßen zugänglich, unabhängig von Unternehmensgröße und Herkunft. Einstiegshürden sollen verhindert oder minimiert werden. Explizit soll es österreichischen KMUs, die Cloud Services anbieten, leicht und kostenschonend möglich sein, über das Ö-Cloud-System in ein qualitatives Gütesiegel- und Zertifizierungssystem einzusteigen.
Verfügbarkeit
Das Ö-Cloud-Gütesiegel und/oder -Zertifikat ist durch online verfügbare Tools und Prozesse möglichst weitgehend digital unterstützt. Damit ist ein erstes Ö-Cloud-Ergebnis für die Öffentlichkeit verfügbar (Herbst 2020). Das Gütesiegel ist kostengünstig in der Abwicklung.
