In fünf Schritten zum Ö-Cloud-Gütesiegel
Anbieter von Cloud-Diensten erhalten in Österreich das Ö-Cloud-Gütesiegel, wenn sie den Selbstevaluierungsprozess der Ö-Cloud-Initiative erfolgreich absolvieren. Der Weg zum Gütesiegel ist klar strukturiert und für alle Beteiligten transparent. Das Ergebnis jeder Selbstevaluierung, die mit einem Ö-Cloud-Gütesiegel ausgezeichnet wurde, ist ab diesem Zeitpunkt vollständig veröffentlicht.
1. Erstinformation
Anbieter erhalten alle wichtigen Informationen über die Ö-Cloud-Initiative auf der Website Ö-Cloud-Initiative (digitalaustria.gv.at).
Ö-Cloud-Unterlagen downloaden
Laden Sie sich bitte die aktuellen Unterlagen zum StarAudit-Katalog herunter. Das geht über dieses Downloadinterface (Menupunkt “Download”)
Sie tragen dort nur Ihre E-Mail-Adresse ein, zu der Sie die Unterlagen geschickt bekommen möchten. Nutzen Sie dafür diesen Code: 9888-9888-9888. Auch diese Unterlagen sind alle kostenfrei.
Sie erhalten dann eine E-Mail aus dem Brainloop Secure Dataroom, die eine Reihe von Links enthält, mit denen Sie die folgenden Dokumente (mit Wasserzeichen) erhalten:
- EuroCloud StarAudit-Katalog – Vollversion Deutsch
- EuroCloud StarAudit-Katalog – Vollversion Englisch
- EuroCloud StarAudit Control Mapping FULL
- Anleitung zur Nutzung des StarAudit Tools
Ö-Cloud-Kontrollen prüfen
Um zu erkennen, welche Kontrollen für das Ö-Cloud-Gütesiegel relevant sind, verwenden Sie bitte das Dokument StarAudit Control Mapping FULL. Anhand dieser beiden Informationen (Vollkatalog und Control Mapping) können Sie entscheiden, ob Sie für ein Ö-Cloud-Gütesiegel einreichen wollen.
2. Registrierung
Unter dem Menüpunkt 2 „Anmeldung“ füllen Cloud-Service-Anbieter bitte das Online-Anmeldeformular aus, dann erhalten sie detaillierte Informationen über die weiteren Schritte.
3. Selbstevaluierung
Anschließend ist die nach internationalen Standards (StarAudit) erstellte Selbstevaluierung (Self-Assessment) online durchzuführen. Der Kontrollkatalog umfasst rund 135 Kriterien, die sich auf Providertransparenz, Sicherheit, Rechenzentrumsbetrieb, operative Prozesse, Anwendungen wie IaaS, PaaS, SaaS, Vertragsbedingungen und auf die Einhaltung der DSGVO beziehen.
Mit dem Self-Assessment Tool bekanntmachen
Registrieren Sie im StarAudit Assessment Tool einen neuen Nutzer und machen Sie sich mit dem Tool vertraut. Die Nutzung ist sehr einfach. Eine Anleitung haben Sie über den Dokumenten-Download aus dem Secure Dataroom bereits erhalten.
Das ist völlig kostenfrei für so viele User, wie Sie möchten. Zum Tool gelangen Sie im Menü unter Punkt 3 „Evaluierung“.
Wichtiger Hinweis:
Im Feld “Name of the cloud service” muss eine eindeutige und klar spezifizierte Benennung eines einzelnen Cloud-Services angegeben werden, nicht mehrere Services. Es können jedoch mehrere Einreichungen für mehrere Cloud-Services gemacht werden.
Im Feld „Short service description” muss eine klar verständliche Beschreibung des Services eingetragen werden; keine Beschreibung mehrerer Services, kein Marketing-Text und keine Beschreibung des Unternehmens.
Das Ö-Cloud-Gütesiegel ist ein Qualitätssiegel, das sich auf einen ganz spezifischen Cloud-Service eines Cloud-Providers bezieht (so wie jedes Cloud-Zertifikat). Daher muss in Einreichunterlagen ein einzelner Cloud-Service benannt sein. Für jeden einzelnen Service ist entsprechend der jeweiligen Leistungserbringung der Assessment Report auszufüllen. Die Angaben in den Controlls (Area 1-7) müssen sich explizit auf den angegebenen Service beziehen. Es muss auf eine spezifische Website verwiesen werden, die sich ausdrücklich auf den eingereichten Cloud-Service bezieht (nicht die Standard-Unternehmens-Website).
Mit der Gütesiegelurkunde (ausgestellt von EuroCloud Austria mit freundlicher Unterstützung des BMDW) sowie dem vollständig online publizierten Assessment Report (alle Antworten des Einreichers auf sämtliche Kontrollfragen) entsteht dann eine explizite Verbindlichkeit (für z. B. den Einkauf des Cloud-Kunden), dass der ausgezeichnete Cloud-Service nach genau jenen Maßgaben geliefert wird, wie dies vom Cloud-Provider im Assessment Report angegeben wurde.
Es wird kein Gütesiegel für Managed Services ausgestellt, sondern ausschließlich für reine Cloud-Services. Ebenso kann kein Gütesiegel für Services ausgestellt werden, die beim Kunden on-premise betrieben werden.
Self-Assessment durchführen
Erstellen Sie ein Ö-Cloud-Projekt im StarAudit Assessment Tool. Fügen Sie den Ö-Cloud-Kriterienkatalog hinzu und beantworten Sie alle Fragen in den einzelnen Abschnitten. Dazwischen empfiehlt es sich, zu „speichern“ und für jeden Abschnitt das „Template“ abzuschließen. (Dies kann später wieder geändert und bearbeitet werden).
4. Einreichung
Erstellen Sie ein Ö-Cloud-Self-Assessment mit dem Assessment Tool. Wenn Sie die Arbeiten an allen Controls abgeschlossen haben (keine Kontrollen mehr, die mit einem roten „x“ gekennzeichnet sind), können Sie den finalen Bericht als pdf „ausdrucken“ und gemeinsam mit einem Firmenbuchauszug zur Erlangung des Ö-Cloud-Gütesiegels einreichen. Sie tun dies unter dem Menüpunkt 4 „Einreichung“.
Gütesiegel erhalten
Die Prüfung Ihrer eingereichten Unterlagen wird im Regelfall innerhalb von einem Monat abgeschlossen sein. Bei positivem Abschluss der Selbstevaluierung erhalten Sie das offizielle Gütesiegeldokument und das Gütesiegellogo der Ö-Cloud-Initiative elektronisch übermittelt. Das Gütesiegel ist ein Jahr gültig und kann danach erneuert werden. Bei einem negativen Abschluss (Ablehnung der Einreichunterlagen) kann der Einreicher jederzeit eine neuerliche, verbesserte Einreichung durchführen (kein Update bestehender Einreichunterlagen via E-Mail, sondern neue Einreichung).
5. Veröffentlichung
Das Gütesiegel erhält seine Gültigkeit ab dem Zeitpunkt der Veröffentlichung auf der EuroCloud-Website. Ab jetzt darf das Unternehmen das Ö-Cloud-Gütesiegel tragen und in seiner Kommunikation einsetzen. Das Gütesiegel ist ein Jahr lang gültig, maximal jedoch bis 31.7.2022. Ab 1.1.2022 ist nur mehr die Einreichung des “Ö-Cloud Qualifiziertes Gütesiegel” möglich. Gültigkeit ebenfalls 1 Jahr. Nach Ablauf dieser Frist ist eine neuerliche Evaluierung durchzuführen.
Prinzipien
Transparenz
Das Ö-Cloud-Gütesiegel ist hinsichtlich Umfang und Inhalt transparent publiziert und damit allgemein frei zugänglich. Dies gilt sowohl für die Anforderungen selbst (Kontrollkatalog) als auch für die Ergebnisse jedes Assessments (Gütesiegeldokumentation oder Zertifikatsinhalte und Ergebnis).
Stufenmodell
Das Ö-Cloud-Gütesiegel (Self-Assessment) baut auf einem Stufenmodell auf. Damit soll ein erster Einstieg ermöglicht werden und mit diesen Erfolgen sollen weitere höherwertige Siegel oder Zertifikate leichter erreichbar werden. Weitere internationale Zertifizierungsmodelle (BSI, ISO, Trusted Cloud, StarAudit,) können über eine Kompatibilitätsmatrix immer integriert werden.
Kompatibilität
Das Ö-Cloud-Gütesiegel ist sowohl hinsichtlich bereits bestehender österreichischer Gütesiegel als auch zu international verfügbaren Gütesiegeln oder Zertifikaten kompatibel. Dadurch sollen Aufwände zur Erreichung von weiteren Gütesiegeln und Zertifikaten reduziert werden.
Publizität
Jedes Ö-Cloud-Self-Assessment-Gütesiegel wird immer zusammen mit dem vollständigen Detailbericht veröffentlicht und ist für jedermann online einsehbar. Durch diese Transparenz wird Vertrauen in die Qualität und die Aussagekraft des Ö-Cloud-Gütesiegels aufgebaut.
Zugang
Das Ö-Cloud-Gütesiegel ist für jeden Cloud-Anbieter gleichermaßen zugänglich, unabhängig von Unternehmensgröße und Herkunft. Einstiegshürden sollen verhindert oder minimiert werden. Explizit soll es österreichischen KMUs, die Cloud-Services anbieten, leicht und kostenschonend möglich sein, über das Ö-Cloud-System in ein qualitatives Gütesiegel- und Zertifizierungssystem einzusteigen.
Verfügbarkeit
Das Ö-Cloud-Gütesiegel ist durch online verfügbare Tools und Prozesse weitgehend digital unterstützt. Damit sind erste Ö-Cloud-Gütesiegel ab Sommer 2021 öffentlich verfügbar.
