Verständnis der gemeinsamen Verantwortung mit Zoho

Zoho übernimmt Verantwortung dafür, Produkte zu entwickeln, die sicher, zuverlässig und robust sind. Während wir die Cloud-Infrastruktur pflegen, sind Sie für die Sicherung Ihrer Daten und der Einstellungen verantwortlich, die Sie innerhalb der Zoho-Anwendungen konfigurieren.

Wenn Sie Zoho nutzen, teilen wir uns mit Ihnen die Verantwortung hinsichtlich Datensicherheit und Datenschutz. Dieses Modell beschreibt die übergeordnete Architektur unserer Cloud-Umgebung, wobei es sich um Software-as-a-Service (SaaS) handelt, sowie die damit verbundenen Verantwortlichkeiten.

Aktualisiert am: 12. Juli 2020

Verantwortung des Kunden

  •   Verantwortlicher Umgang mit Daten
  •   Passwörter
  •  Client- und Endpunkt-Sicherheit

Gemeinsame Verantwortung

  •   Identifizierung und Zugriffsverwaltung
  •   Datenverwaltung
  •   Datenverwaltung für andere Parteien
  •   Verschlüsselung
  •   Datensicherungen
  •   Incident Management
  •   Sensibilisierung und Schulung
  •   Richtlinien und Compliance

Verantwortung von Zoho

  •  Datensicherheit
  •  Verfügbarkeit
  •   Geschäftskontinuität
  •   Netzwerksteuerung
  •   Host-Infrastruktur
  •   Physische Sicherheit

Wir haben diesen Leitfaden zusammengestellt, damit Sie verstehen, wie Zoho Ihr Konto schützt, was Sie zur Sicherung Ihrer Daten tun können und wie wir gemeinsam eine sichere Cloud-Umgebung schaffen.

Verantwortung des Kunden

Sehen wir uns an, wie Sie für den Schutz Ihrer Daten in der Cloud und die Sicherheit Ihrer Geräte verantwortlich sind.

Verantwortlicher Umgang mit Daten

Sie sind verantwortlich:

  • Für Daten, die Sie über die Cloud weitergeben und empfangen. Sie entscheiden nicht nur, für wen Sie Daten freigeben, sondern legen auch Dauer und Mittel für die Freigabe fest.
  • Für die Gewährleistung des Datenschutzes bei der Nutzung von Zoho-Services, um sicherzustellen, dass Sie weder versehentlich noch bereitwillig private Inhalte öffentlich zugänglich machen.
  • Für die Aufrechterhaltung der Genauigkeit aller in Ihrem System verarbeiteten Daten.
  • Dafür Sorge zu tragen, dass Ihr Konto für Zoho-Services keinesfalls von Ihnen selbst oder in Ihrem Namen für Spam oder illegale Aktivitäten verwendet wird. Zoho-Services dürfen nur für die jeweils beabsichtigten Zwecke verwendet werden.

Passwörter

Sie sind dafür verantwortlich, ein sicheres Kennwort zu erstellen und es bei der Anmeldung und beim Zugriff auf die Cloud zu schützen.

Client- und Endpunkt-Sicherheit

  • Wird einer Ihrer Endpunkte kompromittiert (ob Laptop, Desktop oder Smartphone), werden dadurch alle anderen Kontrollen unwirksam.
  • Sie sind für die Sicherheit Ihrer Endpunkte verantwortlich und müssen dafür sorgen, dass Browser-Services, mobiles Betriebssystem und mobile Anwendungen auf die neueste Version aktualisiert und gegen Schwachstellen gepatched werden.

Gemeinsame Verantwortung

Verantwortung bei den Kontrollen, die Sie und Zoho gemeinsam tragen.

Identitäts- und Zugriffskontrolle

Wir bieten Ihnen eine Infrastruktur für die Verwaltung von Benutzerkonten über den IAM-Service (Identity and Access Management), indem wir Folgendes bereitstellen:

  • Benutzerregistrierung, Optionen zur Löschung der Registrierung und Angaben zur Verwendung dieser Funktionen.
  • Funktionen zur Verwaltung von Zugriffsrechten für Ihre Cloud-Benutzer.
  • Starke Authentifizierungsverfahren, so z. B. Multifaktor-Authentifizierung und Beschränkungen für IP-Adressen.

Sie sind verantwortlich:

  • Für die Implementierung starker Kontrollen zur Verwaltung des Benutzerzugriffs.
  • Für die Verwendung und den Schutz sicherer Kennwörter auf Grundlage der Unternehmensrichtlinie.
  • Für das Aktivieren der Multifaktor-Authentifizierung für die Benutzer Ihres Unternehmens.
  • Dafür, Benutzerkonten und Berechtigungen zu verwalten – indem Sie Benutzerrollen gemäß dem Prinzip der geringsten notwendigen Berechtigung konfigurieren.
  • Für das Festlegen des Konto-Administrators für Ihr Unternehmen und für die Einrichtung eines geeigneten Prozesses zur Übertragung von Eigentumsrechten. Für das Einleiten der notwendigen Schritte, damit Ihr Unternehmen jederzeit die Kontrolle über die Administratorkonten behält.
  • Für die regelmäßige Überprüfung der Liste von Benutzern mit Datenzugriff und dafür, unberechtigten Personen den Zugang zu verweigern.
  • Für die regelmäßige Überprüfung der mit den Benutzerkonten des Unternehmens verknüpften Geräte sowie für die Entfernung nicht verwendeter bzw. nicht autorisierter Geräte.
  • Dafür, die Benutzerkonten Ihres Unternehmens auf bösartigen Zugriff oder böswillige Nutzung zu überwachen.
  • Für die Benachrichtigung von Zoho über jede unbefugte Nutzung der Konten Ihres Unternehmens.
  • Dafür, Ihre Benutzer über die Bedeutung einer guten Passwortverwaltung, die Risiken bei der Wiederverwendung von Anmeldeinformationen, die Anmeldung in den sozialen Medien und über Phishing-Angriffe aufzuklären.

Datenverwaltung

Unsere Plattform zur Verwaltung Ihrer Daten bietet Ihnen:

  • Funktionen zur gemeinsamen Nutzung von Daten für Steuerelemente auf Administrator- und Benutzerebene.
  • Funktionen zur Prüfung von Kundendaten, um die Transparenz wichtiger Aktivitäten zu verbessern und Änderungen nachverfolgen zu können.
  • Interoperabilität von Daten – die Option, ein komplettes Backup von Daten und Konfigurationen durchzuführen, um alle oder einen Teil Ihrer Daten zu einem anderen SaaS-Anbieter zu migrieren.
  • Datenaufbewahrung und -entsorgung – wir speichern die Daten in Ihrem Konto, so lange Sie Zoho Services verwenden. Sobald Sie Ihr Zoho-Benutzerkonto kündigen, werden Ihre Daten bei der nächsten Bereinigung, die alle sechs Monate durchgeführt wird, aus der aktiven Datenbank gelöscht. Die aus der aktiven Datenbank gelöschten Daten werden nach drei Monaten aus unseren Backups gelöscht.
  • Funktionen für Zugriffsbeschränkungen, um den Zugriff von Mitarbeitern auf Kundendaten zu beschränken und sicherzustellen, dass dafür immer ein bestimmter Grund besteht.

Sie sind verantwortlich:

  • Dafür, mit der gebotenen Sorgfalt vorzugehen, wenn die verarbeiteten Daten zu besonderen Kategorien gehören (z. B. personenbezogene/sensible Daten). Dazu müssen Sie geeignete Kontrollen anwenden, um geltendem Recht zu entsprechen.
  • Für die Konfiguration der richtigen Freigabe- und Anzeigeberechtigungen.
  • Für die regelmäßige Überprüfung von Audit-Berichten, um verdächtige Aktivitäten zu erkennen.
  • Dafür, Ihre Kontaktdaten bei Zoho stets aktuell zu halten.
  • Für die Entfernung Ihrer Daten aus dem System, sobald Sie unsere Services nicht mehr nutzen. Andernfalls werden die Daten dauerhaft gelöscht und können nicht wiederhergestellt werden.

Datenverwaltung für andere Parteien

Für sichere Integrationen und Erweiterungen zu unseren Anwendungen unternehmen wir Folgendes:

  • Marketplace-Anwendungen: Durchführung von Funktionstests, Sicherheitstests und Datenschutztests, sobald eine Anwendung bei uns eingereicht wurde. Wir führen auch Produkt- und Inhaltsüberprüfungen durch.
  • Unterauftragsverarbeiter: Wir beurteilen die Sicherheits- und Datenschutzpraktiken von Unterauftragsverarbeitern, die wir unter Vertrag nehmen möchten, um sicherzustellen, dass die Zoho-Standards zu Informationssicherheit und Datenschutz eingehalten werden. Daraufhin schließen wir entsprechende Datenschutzvereinbarungen mit ihnen ab.
  • Wir überprüfen die Datenschutzrichtlinien und Servicebedingungen unserer Anbieter und stellen sicher, dass ihre Abläufe diese einhalten.

Wir erwarten von Ihnen:

  • Die Daten zu berücksichtigen, welche für Drittanbieter-Umgebungen freigegeben werden, und Integrationen von Drittanbietern entsprechend zu aktivieren bzw. zu deaktivieren. Sie müssen Bedingungen und Datenschutzrichtlinien von Drittanbietern bezüglich der Erhebung, Nutzung oder Weitergabe von Daten überprüfen.
  • Anzugeben, ob Sie Ihre Daten bei jeder Installation einer Erweiterung an Anbieter weitergeben möchten.
  • Die Eignung der Marketplace Apps und die Angemessenheit der angeforderten Berechtigungen vor der Installation zu bewerten.
  • Zoho über bösartiges Verhalten zu benachrichtigen, das in den Marketplace-Anwendungen identifiziert wurde.

Rechte betroffener Personen

Wir sind verantwortlich:

  • Für die Bereitstellung von Funktionen, mit denen unsere Kunden die Rechte ihrer eigenen Kunden erfüllen und schützen können.
  • Dafür, Sie über Anfragen ihrer Kunden zu informieren, wenn diese sich zur Ausübung ihrer Rechte direkt an uns wenden.

Sie sind verpflichtet:

  • Anfragen von Kunden hinsichtlich Datenzugriff, Berichtigung, Löschung und Einschränkungen bei der Verarbeitung personenbezogener Daten zu erfüllen und zu bearbeiten.

Verschlüsselung

Auf folgende Weise schützen wir Ihre Daten durch Verschlüsselung bei der Übertragung und im Ruhezustand:

  • Datenübertragung: Wir schützen alle Kundendaten, die über öffentliche Netzwerke an unsere Server übertragen werden, mit starken Verschlüsselungsprotokollen. Auf allen Verbindungen zu unseren Servern wird die Transport Layer Security-Verschlüsselung (TLS 1.2/1.3) mit starken Chiffrierschlüsseln angewendet. Dies gilt für alle Verbindungen, einschließlich Internetzugriff, API-Zugriff, unsere mobilen Apps und Zugriff auf IMAP/POP/SMTP.
  • Daten im Ruhezustand: Sensible Kundendaten werden im Ruhezustand anhand des AES-Algorithmus (Advanced Encryption Standard) mit 256 Bit verschlüsselt. Die Daten, die im Ruhezustand verschlüsselt werden, sind von den Diensten abhängig, für die Sie sich entscheiden. Die Schlüssel gehören uns, und wir verwalten sie mit unserem internen Schlüsselverwaltungsdienst (Key Management Service, KMS).

Wir empfehlen Ihnen:

  • Ihre Verschlüsselungsanforderungen zu bestimmen. Bei Daten im Ruhezustand sind Sie in vielen Fällen während der Nutzung unserer Services selbst dafür verantwortlich, zu definieren, welche Felder verschlüsselt werden müssen.
  • Werden die Daten aus unserer Cloud heruntergeladen, in Ihre Umgebung exportiert oder innerhalb von Integrationen in Zoho synchronisiert (bzw. mit anderen Integrationen von Drittanbietern), müssen Sie sicherstellen, dass dabei relevante Verschlüsselungskontrollen zum Einsatz kommen. Aktivieren Sie beispielsweise die Festplattenverschlüsselung auf Ihren Geräten, verwenden Sie die Export-Funktion nur mit aktiviertem Kennwortschutz usw.

Datensicherungen

Unser robustes System ermöglicht Ihnen:

  • Die Durchführung von Backups auf Systemebene, verschlüsselt mit dem AES-256-Bit-Algorithmus und sicher gespeichert. Die automatische Durchführung von Integritäts- und Validierungsprüfungen der vollständigen Datensicherungen.
  • Die Ermöglichung von Anfragen zur Datenwiederherstellung und die Bereitstellung eines sicheren Zugriffs auf Daten innerhalb des Aufbewahrungszeitraums. Die Bereitstellung einer Funktion zum Exportieren und Erstellen einer Sicherungskopie für die Daten Ihrer Kunden.

An Ihrem Ende können Sie:

  • Datensicherungen planen, Daten aus den jeweiligen Zoho-Services exportieren und diese bei Bedarf in Ihrer Infrastruktur speichern. Dabei sind Sie für die sichere Speicherung verantwortlich.

Incident Management

Von unserer Seite aus sorgen wir für Folgendes:

  • Wir melden alle Vorfälle von Verstößen, die uns bekannt werden und die für Sie von Bedeutung sind, zusammen mit Einzelheiten zu den Auswirkungen und geeigneten Maßnahmen. Bei Vorfällen, die sich speziell auf einzelne Benutzer oder Unternehmen beziehen, werden wir die betroffenen Beteiligten unter der bei uns registrierten E-Mail-Adresse benachrichtigen.
  • Wir verfolgen solche Vorfälle nach und schließen diese ab.
  • Wir implementieren Kontrollen, um ein erneutes Auftreten ähnlicher Situationen zu verhindern.
  • Auf Anfrage stellen wir Ihnen zusätzliche Nachweise für den auf Sie zutreffenden Vorfall zur Verfügung.

Wir erwarten von Ihnen:

  • Maßnahmen zu ergreifen, die von Zoho im Falle eines Verstoßes vorgeschlagen werden.
  • Ihre Anforderungen für die Offenlegung und Meldung von Datenschutzverletzungen zu erfüllen, so z. B. die Benachrichtigung Ihrer Endbenutzer und der Datenschutzbehörden, wenn dies relevant ist.
  • Bitte melden Sie Ihnen bekannte Sicherheitsvorfälle und Datenschutzvorfälle an incidents@zohocorp.com.

Sensibilisierung und Schulung

Wir übernehmen die volle Verantwortung:

  • Für die Schulung unserer Mitarbeiter zum Sicherheitsbewusstsein und zur Einhaltung eines sicheren Entwicklungsstandards. Dafür, dass unsere neu eingestellten Mitarbeiter an obligatorischen Sicherheits- und Datenschutzschulungen teilnehmen und regelmäßig über informative E-Mails, Präsentationen und Ressourcen in unserem Intranet weitere Schulungen zum Sicherheitsbewusstsein erhalten .
  • Für die Schulung unserer Mitarbeiter im angemessenen Umgang mit Kundendaten aus dem Cloud-Service.

Sie sind für die Schulung von Cloud-Benutzern in folgenden Bereichen verantwortlich:

  • Standards und Verfahren zur Nutzung unserer Services.
  • Handhabung der mit unseren Services verbundenen Risiken.
  • Risiken für das allgemeine System und die Netzwerkumgebung.
  • Anwendbare Erwägungen zu geltendem Recht und behördlichen Anweisungen.

Richtlinien und Compliance

Wir halten eine Reihe von Richtlinien ein, zum Beispiel:

  • Verfügen wir über ein umfassendes Programm zur Risikoverwaltung und setzen die entsprechenden Kontrollen effektiv um.
  • Arbeiten wir gemäß dem geltenden Recht verschiedener Zuständigkeitsbereiche, von denen aus wir tätig sind.
  • Erbringen wir Nachweise über die Einhaltung geltender Gesetze, auf Basis unserer vertraglichen Anforderungen.
  • Unterstützen wir DPIA-Bewertungen unserer Kunden im gesetzlich zulässigen Umfang.

Wir erwarten von Ihnen:

  • Die Bewertung der für Sie geltenden Vorschriften und Gesetze sowie die Überprüfung unserer Einhaltung der für Ihr Unternehmen erforderlichen Vorschriften und Standards. Sie können zusätzliche Informationen zum Nachweis unserer Compliance anfordern.
  • Das Verständnis unserer Richtlinien, unserer Methoden zur Beurteilung von Richtlinien und unserer Verarbeitung von Daten.
  • Die Durchführung von DPIA gemäß den für Ihr Unternehmen geltenden Datenschutzgesetzen vor/während der Datenverarbeitung.
  • Die Einschätzung der rechtlichen Grundlage vor der Verarbeitung personenbezogener/sensibler Daten. Dass Sie die Zustimmung Ihrer Kunden Einholen, falls Ihre rechtliche Grundlage die Zustimmung ist.
  • Die Bewertung der Eignung unserer cloudbasierten Services anhand der von uns bereitgestellten Informationen, um sicherzustellen, dass diese Ihre Compliance-Anforderungen erfüllen.
  • Das Risikoprofil und die Vertraulichkeit der in den Zoho-Services gehosteten Daten zu verstehen und geeignete Kontrollen anzuwenden.

Verantwortung von Zoho

Wir sind verantwortlich für den Schutz der Cloud und der damit verbundenen Kontrollen, mit denen alle Zoho-Services ausgeführt werden..

Datensicherheit

  • Wir sind für die Isolation Ihrer bei uns gespeicherten Daten verantwortlich. Die Servicedaten jedes Kunden werden mithilfe einer Reihe sicherer Protokolle im Framework logisch von den Daten anderer Kunden getrennt.
  • Wir sind für die Vertraulichkeit Ihrer bei uns gespeicherten Daten verantwortlich, und zwar im Ruhezustand, bei der Übermittlung und während der Verarbeitung.
  • Wir sind für die Integrität Ihrer Daten und Systemdaten verantwortlich, z. B. von Protokollen und Konfigurationsdaten.
  • Wir sind für die Nachverfolgbarkeit und Kontrolle Ihrer Daten verantwortlich, damit der physische Standort und der Status der Verarbeitung Ihrer Daten jederzeit bekannt sind.

Verfügbarkeit

  • Wir sind dafür verantwortlich, dass unsere Services gemäß unserer Verfügbarkeits-SLA von 99,9 % erreichbar sind, indem wir gegen Hardware-/Softwarefehler und Bedrohungen wie Denial-of-Service-Angriffe vorgehen.
  • Als Kunde können Sie jederzeit auf zohostatus.com den aktuellen Standort-Status sowie frühere Störungen einsehen.

Geschäftskontinuität

  • Wir sind dafür verantwortlich, einen Plan für die Business Continuity für unsere wichtigsten Abläufe parat zu haben, z. B. Support und Infrastrukturverwaltung.
  • Wir stellen sicher, dass Anwendungsdaten auf einem ausfallsicheren Speicher gespeichert und über Rechenzentren hinweg repliziert werden. Die Daten im primären Rechenzentrum werden nahezu in Echtzeit im sekundären Rechenzentrum repliziert; im Katastrophenfall können wir einfach auf das sekundäre DC umschalten.

Netzwerksteuerung

Wir sind für den Betrieb eines sicheren Produktionsnetzwerks verantwortlich. Wir verwenden Firewalls, um unser Netzwerk vor unbefugtem Zugriff und unerwünschtem Datenverkehr zu schützen. Der Zugang zu Produktionsnetzwerken wird streng kontrolliert.

Host-Infrastruktur

Wir sind für den Schutz und die Sicherung der Host-Infrastruktur verantwortlich. Alle im Produktionsnetzwerk bereitgestellten Server werden gemäß den Standards gehärtet. Zur Aufrechterhaltung einer sicheren Infrastruktur werden Technologien für die Aktualisierungsverwaltung von Betriebssystemen, für die Basiskonfiguration und für die Erkennung von Host-Angriffen eingesetzt.

Physische Sicherheit

Wir sind dafür verantwortlich, unsere Infrastruktur vor unbefugtem physischen Zugriff, Eindringlingen und Katastrophen zu schützen.

Schlussfolgerung

Das Modell der gemeinsamen Verantwortung für die Cloud-Sicherheit bietet Cloud-Benutzern und Cloud-Service-Providern Klarheit über die Sicherheitserwartungen. Ein Verständnis der Erwartung ist jedoch nur der erste Schritt. Die Benutzer müssen diese Verantwortlichkeiten erfüllen, indem sie Richtlinien und Verfahren für ihren Teil der Cloud-Sicherheit festlegen. Zoho wird weiterhin hart daran arbeiten, Ihre Daten zu schützen – wie wir es immer getan haben – und sich um eine sichere Cloud-Umgebung bemühen.

Wenn Sie weitere Fragen zu diesem Thema haben, wenden Sie sich an uns unter security@zohocorp.com.